Plan de seguridad
j.jadeDocumentos de Investigación26 de Octubre de 2015
6.933 Palabras (28 Páginas)125 Visitas
Presentación
El Plan de Seguridad Informática constituye el documento fundamental para el control y la seguridad en la explotación de las tecnologías informáticas de la Facultad de Ingeniería.
Las medidas que se establecen en el presente Plan de Seguridad Informática son de obligatorio cumplimiento para todo el personal que haga uso de las tecnologías informáticas instaladas en la institución.
Por lo que el presente documento pretende, establecer algunos procedimientos y herramientas necesarias para poder garantizar la seguridad del área de tecnologías de la información de la Facultad de Ingeniería de la Universidad Autónoma del Estado de México, de una forma más eficiente y productiva. Se abarcarán diferentes aspectos de seguridad, como lo son seguridad de personal, seguridad de las instalaciones, seguridad de los equipos, seguridad en los centros de cómputo; además asignar mejores políticas y reglamentos al área de tecnologías de información, con el fin de resguardar tanto al personal que labora en éste, así como los equipos, materiales y herramientas con los que cuenta la infraestructura, para poder prevenir y estar preparados ante cualquier situación.
Así este documento tendrá como fin evaluar el estado actual de la seguridad en el departamento e identificar las posibles amenazas y riesgos, tanto naturales como provocados, que pudieran afectar la integridad física de ya mencionado.
Alcance
El alcance del diagnóstico de la situación de administración del riesgo de Tecnologías de Información, en adelante TI, comprende la revisión de las siguientes funciones al interior del área de sistemas:
- Administración del área de Tecnología de Información
- Estructura organizacional
- Función de seguridad a dedicación exclusiva
- Políticas y procedimientos para administrar los riesgos de TI
- Actividades de desarrollo y mantenimiento de sistemas informáticos
- Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal y física y ambiental)
- Inventario periódico de activos asociados a TI
- Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
Asimismo, comprende la revisión de los siguientes aspectos:
- Cumplimiento normativo
- Privacidad de la información
- Auditoria de sistemas
Con base a las incidencias detectadas, descritas más adelante, es importante que el plan de seguridad informática que se muestra sea aplicado a la brevedad posible; con el fin de evitar algún tipo de accidente ya mencionado, tanto natural como provocado por falta de atención y cumplimiento de normas de seguridad definidas por la institución y poder así impedir que información de alto grado de importancia resulte dañada o se utilice de manera inadecuada.
La siguiente tabla muestra el grado de cumplimiento en los aspectos relacionados a la adecuación del Plan de Seguridad:
Aspectos evaluados | Grado de Cumplimiento | |
Estructura de la seguridad de la información. | ||
Plan de seguridad de la Información | ||
Políticas, estándares y procedimientos de seguridad. | ||
Seguridad Lógica. | ||
Seguridad del personal. | ||
Seguridad física y ambiental. | ||
Clasificación de seguridad. | ||
Administración de las operaciones y comunicaciones. | ||
Desarrollo y mantenimiento de los sistemas informáticos. | ||
Procedimientos de respaldo | ||
Cumplimiento normativo | ||
Privacidad de la información | ||
Auditorías de los Sistemas |
Tecnologías de Información de la Facultad de Ingeniería
El área de TI de la Facultad de Ingeniería se encarga de administrar, supervisar y mantener los sistemas que utilizan las demás áreas de la misma. Ésta área se encarga de administrar los recursos informáticos con los que cuenta tanto la universidad como la facultad mencionada, es decir, se encarga de la administración de recursos como la red de comunicaciones, las impresoras, los equipos de cómputo que se administran, es decir, gestionar las salidas y los permisos que tienen los usuarios para navegar hacia Internet, además de que se cuenta con un servidor de dominio de red para administrar las topologías de comunicación de equipos de cómputo, impresoras y demás recursos que se necesiten, con el fin de controlar el uso de los accesos, el contenido al que se puede acceder, etc.
Además se cuenta con un administrador de red y de dominio para la facultad de ingeniería, con el fin de optimizar los accesos a la red y tener un “identificador” dentro de la universidad y poder así evitar algún tipo de colisión entre las comunicaciones que se generen dentro de la casa de estudios, también se cuenta con personal calificado, ingenieros en computación, que se encargan de dar soporte y mantenimiento a esta área y poder así administrar las utilidades de la página Web de la universidad.
Evaluación De Riesgos, Amenazas Y Vulnerabilidades
Con el propósito de obtener un adecuado entendimiento de la importancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así como las iniciativas del centro de Tecnologías de Información sobre la seguridad de la información de esta área, se llevaron a cabo entrevistas, de las cuales se obtuvieron las siguientes respuestas, que muestran la importancia en seguridad que presentan cada uno de los factores mencionados anteriormente, así como el estándar o medida a aplicar para minimizar los riesgos correspondientes.
Esta tabla muestra la tecnología utilizada actualmente por el área de TI y los cambios estratégicos planificados que impactan en ella, las implicancias de seguridad asociadas al uso de tecnología y los estándares o medidas propuestas para minimizar los riesgos generados por la tecnología empleada.
Tecnología (Sistema Operativo) | Seguridad | Estándar o medida de seguridad a aplicar |
Actual | Recomendada | |
Windows 8 | Baja: Se debe contar con mejores controles de acceso adecuados a la información y sistemas soportados por el Sistema Operativo. | Capacitación del correcto uso del sistema operativo para su óptimo desempeño. (ISO 27002: Guía de buenas prácticas) |
Sistema de Gestión de la Calidad | Buena: Puesto que través de sus espacios académicos y administrativos, es la responsable del uso, protección y tratamiento de sus datos personales, observando íntegramente para ello lo previsto en la Ley de Protección de Datos Personales del Estado de México. | Cláusulas de confidencialidad y delimitación de responsabilidades en Contratos los contratos y/o avisos. |
Sistema de Información de gestión | Bueno: El acceso a repositorios de información dentro de esta área está restringido adecuadamente. | Se recomienda seguir el estándar ISO 27001: contiene los requisitos del sistema de gestión de seguridad de la información. 27002: Guía de buenas prácticas. |
Computadoras personales. | Bueno: Se cuenta con buenos controles de acceso a información existente en computadoras personales, pues ahora se cuenta con un correo institucional, asignado a cada integrante de la universidad, tanto a directivos, profesores y alumnos. La existencia de diversos sistemas operativos con el que cuente arbitrariamente cada equipo, no afecta el rendimiento poder acceder al medio. El exceso de equipos conectados, genera un mayor tráfico en el flujo de la información, haciendo que existan más colisiones y la velocidad de banda ancha disminuya. En el caso de los equipos dentro del área de cómputo se recomienda un control sobre los dispositivos que pudieran facilitar fuga de información (USB, grabadoras de cd's, impresoras personales, etc.) Se debe controlar y monitorear las aplicaciones y sistemas instalados en las PC´s | Se recomienda el uso de la norma ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y remuneración de ISO 18028. *Actualización periódica de inventarios del software instalado. * Monitoreo periódico de carpetas compartidas. • Monitoreo de actividad de los usuarios, sistemas de detección de intrusos. |
Correo electrónico | Bueno: En el caso de las cuentas de correos institucionales, cuentas de usuario, como de personal administrativo, profesores y alumnos se necesita la interceptación no autorizada de mensajes de correo electrónico (SPAM). • Riesgo de acceso no autorizado a información del servidor. • Posibilidad de utilización de recursos por parte de personas no autorizadas, para enviar correo electrónico a terceros. | Se debe contar con estándares de encriptación para los mensajes de correo electrónico que contengan información confidencial. * Implementación de un sistema de seguridad del protocolo SMTP (Simple Mail Transfer Protocol). |
Conexión a Internet y redes | Bueno: Riesgos de accesos no autorizados desde Internet y redes externas hacia los sistemas de la facultad de ingeniería y en su defecto, de la universidad en general. Adecuado uso del acceso a Internet por parte de los usuarios. Los dispositivos que permiten controlar accesos, tales como, firewalls, servidores proxy, etc. Deben contar con medidas de seguridad adecuadas para evitar su manipulación por personas no autorizadas. | ISO 27002: Políticas de seguridad. • Estándares de mejores prácticas de seguridad para servidores de correo electrónico, servidores Web y equipos de comunicaciones. Mejores prácticas de seguridad para configuración de Firewalls. Diseño e implementación de una arquitectura de seguridad de red. Utilización de sistemas de detección de intrusos. |
...