Seguridad en Aplicaciones. Políticas de Seguridad Informática

[pic 1]

Seguridad en Aplicaciones

Políticas de Seguridad Informática

[pic 2]

Alumnos:

Garvín Alexander Rojas

Andres Felipe Devia Romero

Docente:

Raúl Bareño Gutiérrez

Fundación Universitaria del Área Andina

Facultad de Ingeniería de Sistemas

2022

• Nombre del taller: Políticas de Seguridad Informática

• Objetivo de aprendizaje:

Aplicar conocimientos adquiridos con relación a la creación y la interpretación de políticas de seguridad informática.

• Descripción del taller:

Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:

• Seguridad física.

• Seguridad de red.

• Seguridad humana.

• Seguridad en sistemas operativos.

• Seguridad en aplicaciones.

• Seguridad en SGBD.

• Leer la unidad requerimientos de seguridad y seguridad en sistemas.

• Apoyarse en la norma ISO/IEC 17799.

• Aplicar los conceptos adecuados.

Introducción

Actualmente con el rápido desarrollo o avance de Internet y la implementación de aplicaciones que nos permiten simplificar las transacciones bancarias, pagos de facturas, compras en línea y más. Somos atacados por ciberdelincuentes que quieren robar nuestra información, cometer fraude, engañarnos, borrar datos o hackear. Según Gartner, Inc., "Hoy en día, más del 70 por ciento de los ataques contra sitios web corporativos o aplicaciones web están dirigidos a la 'capa de aplicación' en lugar de la red o sistema".

Es por esto por lo que es imperativo implementar una política de seguridad informática con las medidas apropiadas para lograr sus objetivos y proporcionar un marco apropiado para el desarrollo o implementación de aplicaciones.

Una vez leídas y analizadas las respectivas lecturas del eje pensamiento correspondiente a este eje y teniendo en cuenta las normas ISO/IEC 17799 que contempla básicamente el proceso de gestión de riesgos que tiene tres etapas: Establecimiento del contexto, evaluación de riesgos y tratamiento de estos.

Con el presente trabajo nuestro grupo de trabajo nos proponemos crear una política de seguridad que abarque los temas más importantes como: seguridad física, de redes, humana, en sistemas operativos, en aplicaciones y en SGBD.

Desarrollo

Palabras clave:

• Amenaza: Suceso desfavorable en que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.

• Vulnerabilidad: Está íntimamente relacionado con el riesgo y la amenaza y se puede definir como la debilidad o grado de exposición.

• Ataque: intento organizado e intencionado causada por una o más personas para causar daño o problemas a un sistema o red.

• Riesgo: probabilidad de que ocurra un hecho que produzca ciertos efectos, la combinación de la probabilidad de la ocurrencia de un evento y la magnitud del impacto que puede causar, así mismo es la incertidumbre frente a la ocurrencia de eventos y situaciones que afecten los beneficios de una actividad.

• Activo: Cualquier cosa que tenga valor para la organización.

Políticas de seguridad informáticas Seguridad Física

A través de esta política, buscamos evitar el acceso físico no autorizado, el daño y la interferencia con la información y las instalaciones de una organización. Las instalaciones de procesamiento de información crítica o confidencial se ubicarán en áreas seguras, protegidas por límites de seguridad definidos, con barreras de seguridad y controles de acceso apropiados. Deben estar físicamente protegidos contra accesos no autorizados, daños e interferencias.

1.1        Control del perímetro

•        Se hace indispensable establecer acceso con seguridad, como lo rejas y puertas de acceso controladas por tarjetas de acceso, sistemas biométricos o recepcionista.

•        Los accesos de seguridad deben ser definidos de forma clara, su ubicación y robustez dependerá de los requerimientos de seguridad de los activos que allí se encuentren.

•        La ubicación donde se encuentra la data center debe ser sólido y no tener accesos o áreas donde pueda haber un ingreso no autorizado y de igual forma debe estar con sus respectivos sistemas de alerta y seguridad.

•        Se debe contar con un área de recepción que permita saber e identificar el personal que ingresa al edificio.

•        Si es posible se deben implementar barreras físicas que eviten el ingreso de personal no autorizado y de contaminación ambiental.

•        Se debe contar con los adecuados sistemas de detección de intrusos y sus respectivas alarmas.

1.2        Control de acceso físico

•Se debe controlar adecuadamente la entrada y salida de visitantes, teniendo en cuenta la fecha y hora de entrada y salida.

• Todo acceso de visitantes deberá estar debidamente autorizado y acompañado en todo momento por la persona que autorice el ingreso a las instalaciones.

• El acceso a las áreas y centros de datos donde se procesa información confidencial debe ser controlado y restringido únicamente al personal autorizado.

• Para ingresar a diferentes zonas, se debe implementar un sistema de autenticación, es decir. tarjetas de acceso o sensores biométricos.

• Todos los empleados directos, contratistas y visitantes deben estar obligados a usar alguna forma de identificación visible y notificar a las áreas seguras si el visitante no está identificado o no está acompañado.

1.3        Protección contra amenazas internas y externas

•Se debe reservar un área segura específica para el almacenamiento de materiales peligrosos y combustibles.

• Debe mantener segura su computadora de respaldo en caso de un desastre que afecte a su computadora principal.

• Debe estar equipado con equipo contra incendios adecuado.

1.4        Protección de los activos

• Configure su dispositivo para restringir los ángulos de visión o use filtros de spam para evitar que terceros vean su información.

• Aplicar controles para minimizar el daño de amenazas potenciales como fugas, incendios, explosiones y humo.

• Los dispositivos siempre deben estar asegurados a las estaciones de trabajo para evitar robos.

• Los equipos deben estar protegidos contra cortes de energía y apagones.

Seguridad de red

• Esta política busca garantizar el funcionamiento seguro y adecuado de los equipos de telecomunicaciones, garantizar la disponibilidad, integridad y confidencialidad de la información, garantizar el cableado adecuado de la energía de telecomunicaciones y proteger contra intercepciones y daños.

2.1        Aseguramiento del cableado

Trate de evitar la interferencia de terceros tanto como sea posible, como el soterramiento de líneas eléctricas y líneas de comunicación.

El cableado debe estar separado del cableado de comunicación para evitar interferencias. Se deben usar etiquetas para cada junta para evitar errores de manipulación.

Se debe desarrollar un plan de acción para la prueba del cableado a fin de identificar equipos no deseados adheridos al cableado.

2.2        Mantenimiento

● Sólo el personal autorizado puede reparar el aparato.

● Se requiere un registro de todas las fallas y mantenimiento preventivo y correctivo.

● Si el equipo está programado para mantenimiento, se deben implementar los controles apropiados considerando si el mantenimiento será realizado por personal directo o por contratistas.

● Se debe realizar una inspección minuciosa de todos los equipos de aire acondicionado y refrigeración.

● Se debe realizar una revisión adecuada de los equipos de vigilancia y control de acceso.

● Asegúrese de que todas las alarmas contra incendios estén funcionando y que los extintores de incendios correspondientes estén cargados y listos en caso de una emergencia. ● Compruebe la estabilidad de la batería y el estado de carga, realice comprobaciones visuales externas y compruebe las lecturas del SAI.

...