SEGURIDAD DE LA INFORMACION CASO Caso Lista de Cotejo 1 Desarrollo de un Plan de Seguridad para Frituras del Sureste I
Views 55 Downloads 0 File size 488KB
SEGURIDAD DE LA INFORMACION
CASO
Caso Lista de Cotejo 1 Desarrollo de un Plan de Seguridad para Frituras del Sureste Instrucciones: El Director de Informática de la empresa “Frituras del Sureste” dedicada a la producción de productos derivados del plátano y yuca, debido a hechos relacionados con el robo de información de algunos productos que ha provocado retrasos en su lanzamiento, ha decidido hacer cambios sobre seguridad informática y de la información en la empresa. Las condiciones actuales de infraestructura en TI son: a. Los empleados mantienen en sus unidades de disco externa, unidades usb, equipos de escritorio y equipos portátiles los archivos relacionados con los proyectos de crecimiento de la empresa, nuevos productos o desarrollos y campañas de mercadotecnia. b. Los equipos de cómputo de la empresa no tiene validación a través de usuario/contraseña o bajo un ambiente de seguridad cliente/servidor. c. Se han presentado situaciones en la que los empleados comparten los archivos con información a través de sus cuentas de hotmail, gmail, yahoo, aunque cada empleado tiene una cuenta para uso corporativo. d. Los representantes de ventas pueden colocar sus pedidos acudiendo a los centros de distribución, o bien haciéndolos a través del sitio web de la empresa. e. Se cuenta con un centro de datos que cuenta con infraestructura de servidores de archivos para el almacenamiento y resguardo de información importante para la correcta operatividad de la empresa, que desafortunadamente no es utilizado.
De lo anterior, el Director de Informática ha decidido poner en marcha una nueva estrategia de seguridad, para ello se ha acercado a la Universidad para que alumnos de la materia de Seguridad de la Información le presenten propuestas que conlleven a la elaboración de su plan de seguridad, por lo que deben de considerar los siguientes aspectos: 1. 2. 3. 4. 5. 6.
Políticas de seguridad para eliminar el filtrado de información sensible. Tipo de incidentes se pueden presentar relacionados con el filtrado de información. Plan de respuesta a incidentes para filtración de la información. Propuesta de un plan de seguridad para el control de acceso. ¿Es necesario crear un plan de disponibilidad para esta situación?, ¿por qué? Propuesta de un plan de recuperación de desastres suponiendo que la empresa se encuentra en una zona de probable inundación.
SEGURIDAD DE LA INFORMACION Políticas de seguridad para eliminar el filtrado de información sensible
CASO
SEGURIDAD DE LA INFORMACION
CASO
Tipo de incidentes se pueden presentar relacionados con el filtrado de información.
Extracción de datos Algo que debe siempre considerarse en un entorno seguro es la protección hacia los sistemas y las personas que los utilizan. Es complicado concientizar al personal de una organización sobre la importancia de la seguridad y lo que esto implica cuando se presenta una situación que pueda afectar al negocio. Por ejemplo, el requisito de utilizar una contraseña con ciertas características, es un elemento de seguridad, el cual proporciona control de acceso a la información que se maneja, evitando que ésta pueda ser vista por usuarios no autorizados. Otra manera de minimizar la extracción de los datos es durante la firma del contrato, donde se determine una penalización a todo aquel que se detecte realizando esta actividad e instalar dispositivos de rastreo.
Falta de validación a través de usuario/contraseña o bajo un ambiente de seguridad cliente/servidor. Lo más común es implementar un Firewall para proteger posibles ataques desde Internet. Este dispositivo frecuentemente está conectado debajo del equipo de ruteo a la salida de Internet. Debe poder controlar el tráfico de entrada y salida de la organización, además de filtrar la información que pudiera ser perjudicial a los sistemas, como, virus, troyanos, código malicioso en general. La información saliente de la empresa debe preocupar a cualquiera, por eso, es importante tener un conocimiento completo de las aplicaciones permitidas y aplicar políticas para restringir el uso de otras que puedan afectar al sistema o negocio.
Comparten archivos con información a través de cuentas personales. Podemos mencionar que es necesario tener filtros de contenido para correo y navegación. Así como la necesidad de tener ubicados los servicios de Internet, como es Correo electrónico -puerto 25- y para el Hipertexto -puerto 80-. En estos servicios es recomendable utilizar un segmento separado de la red, conocido regularmente como Red de Servicio o DMZ, la cual estará protegida por una tarjeta especial del Firewall principal. Otro punto importante a revisar son las Redes Privadas Virtuales, mejor conocidas como VPN´s.
Red Inalámbrica. Una red claramente sin cables es muy recurrida cuando se necesita movilidad y flexibilidad. Respecto a la seguridad hay elementos que pueden coadyuvar a que estas redes sean seguras; por ejemplo, la autenticación utilizando la dirección MAC, utilización de una contraseña y posiblemente hasta certificados digitales creen una sensación de seguridad. Cabe mencionar que el medio que utilizan estas redes es público, una solución es utilizar un Firewall entre la red inalámbrica que debe definirse solo para usuarios y la red de cableado, además de aplicar autenticación para poder utilizar servicios de una red a otra, esto garantizará hasta cierto punto que el uso de recursos se permite únicamente a personas que están autorizadas para el uso de los mismos
SEGURIDAD DE LA INFORMACION
CASO
Plan de respuesta a incidentes para filtración de la información.
PLAN DE RESPUESTA A INCIDENTES Versión 1.0 May 31, 2012
SEGURIDAD DE LA INFORMACION
CASO
Niveles de Emergencia – Filtración de la Información – Sistema de Gestión de la Seguridad de la Información. Para ayudar en la determinación del nivel de respuesta y acciones a ser tomadas por la Empresa FritSte, las emergencias han sido clasificadas de manera general en tres niveles:
0
1
NIVEL 0
Operaciones usuales.
Situación Normal
NIVEL 1 Emergencia Menor
G
Un incidente contenido, localizado que es resuelto rápidamente con recursos internos o ayuda limitada y no afecta la capacidad de funcionamiento del Centro. Ejemplos de una emergencia menor de nivel 1 incluyen, pero no están limitados a: • Fuegos pequeños • Interrupción de energía eléctrica limitada • Denegación de servicios - DoS
R A V E
2
D
NIVEL 2 Emergencia Mayor – Dependiendo de las Circunstancias
A D
NIVEL 3
3
Emergencia Mayor
Una emergencia seria que interrumpe parcial o completamente la operación y pudiera afectar funciones críticas, la seguridad y/o la vida. Servicios de emergencia externos, así como el soporte del Corporativo podrían serían requeridos. Consideraciones y decisiones mayores serían requeridas. Ejemplos de una emergencia mayor de nivel 2, incluyen pero no están limitados a: • Fuegos mayores • Robo de Equipos Informáticos • Interrupción de energía eléctrica masiva • Mala operación de los sistemas por parte de los usuarios • Pérdida de claves
Una emergencia mayor de la comunidad que afecta o detiene la operación del Centro. Los servicios de emergencia externos serían necesarios. Consideraciones y decisiones mayores serían requeridas siempre. Ejemplos de una emergencia mayor de nivel 3 incluyen, pero no están limitados a: • Desastres naturales como huracanes, inundaciones o sismos mayores • Epidemias de salud.
SEGURIDAD DE LA INFORMACION
CASO
Propuesta de un plan de seguridad para el control de acceso.
PLAN DE SEGURIDAD PARA EL CONTROL DE ACCESO Versión 1.0 May 31, 2012
SEGURIDAD DE LA INFORMACION
CASO
El presente documento es de uso confidencial y obligatorio para TODO el personal de FritSte y Visitantes. Generalidades Todos los empleados, sin distinción alguna, deben portar su gafete de identificación personal en un lugar visible durante su permanencia en las instalaciones de la Empresa. Todos los empleados, sin distinción alguna, deben usar el dispositivo de reconocimiento de huella al entrar/salir de las instalaciones o áreas de acceso restringido. En caso de olvido del gafete, el personal que ingrese al edificio/premisa debe registrarse en la Bitácora de Visitantes. Está prohibida la entrada a cualquier persona que se encuentre bajo los efectos del alcohol y/o de estupefacientes. Seguridad Informática – Interna Para dar de alta un usuario al sistema debe existir un procedimiento formal, por escrito, que regule y exija el ingreso de los siguientes datos: Identificación del usuario, deberá ser única e irrepetible, Password, debe ser personal e ingresado por el usuario, Nombre y apellido completo, Sucursal de la empresa donde trabaja, Grupo de usuarios al que pertenece, Fecha de expiración del password, Fecha de anulación de la cuenta, Contador de intentos fallidos, Autorización de imprimir, Las PC´s deben tener instalado un protector de pantalla con contraseña. Mantener encriptada la siguiente información: Listas de control de acceso Los passwords y cuentas de usuario Datos de autenticación. Crear passwords seguros con las siguientes características: Combinación de letras, números. Tener una longitud mínima de 6 caracteres y máxima de 20. Cambiar los passwords periódicamente y evitar anotarlos en lugares visibles. La fecha máxima en que debe expirar el password deberá ser de cuatro meses, una vez cumplido este plazo el sistema pedirá automáticamente el cambio del mismo. El acceso a Internet será otorgado únicamente para propósitos relacionados con la institución y con previa autorización de la Gerencia. Y los usuarios no autorizados no podrán acceder a este servicio. Determinar que empleado debe contar con una cuenta de correo electrónico, según la tarea que el empleado desempeñe.
SEGURIDAD DE LA INFORMACION
CASO
Seguridad Física - Control de acceso a equipos Los equipos de la empresa deben contar con un password de administrador de tal forma que solo él tenga acceso para administrar el sistema. Se debe deshabilitar las disqueteras lectoras de CD y puertos USB, en aquellas maquinas que no se necesiten. Los servidores, rotures, etc., deberán estar en el cuarto de equipos y bajo llave para evitar que estos sufran daños o robo. Los gabinetes donde se ubican los switches y hub de cada una de las sucursales, deberán permanecer guardados bajo llave, y fuera del alcance del personal no autorizado. El administrador de la red deberá encargarse de realizar chequeos periódicos para comprobar la correcta instalación de los dispositivos. Los servidores deberán apagarse automáticamente una vez que se haya cumplido la hora laboral. Visitantes Está prohibido el acceso a toda visita personal (familiares o amigos) a las áreas de administración y producción de la Empresa. Todo el personal visitante debe registrarse en la Bitácora de Visitantes Todos los visitantes deben portar el gafete en un lugar visible durante su permanencia en las instalaciones de la Empresa. En el caso de proveedores de servicios (Climas, Fumigación, Alarmas, entre otros), debe realizarse una inspección de sus pertenencias tanto a la entrada como a la salida de las instalaciones de la Empresa y verificar el permiso de trabajo correspondiente. Acceso durante Horarios Laborables y No Laborables El horario laborable es de: Lunes – Viernes de 8:30 am – 18:30 pm; cualquier horario fuera del antes mencionado se considera No Laborable. El acceso durante el horario no laborable se permite únicamente al personal autorizado de acuerdo al nivel y actividad dentro de la empresa.
SEGURIDAD DE LA INFORMACION
CASO
¿Es necesario crear un plan de disponibilidad para esta situación?, Si, por los datos e información de la empresa. ¿por qué? La correcta planificación de la disponibilidad permite establecer unos niveles de disponibilidad adecuados tanto en lo que respecta a las necesidades reales del negocio como a las posibilidades de la organización TI. Este documento debe recoger los objetivos de disponibilidad presentes y futuros y que medidas son necesarias para su cumplimiento. Este plan debe recoger:
La situación actual de disponibilidad de los servicios TI. Obviamente esta información debe ser actualizada periódicamente. Herramientas para la monitorización de la disponibilidad. Métodos y técnicas de análisis a utilizar. Definiciones relevantes y precisas de las métricas a utilizar. Planes de mejora de la disponibilidad. Expectativas futuras de disponibilidad.
Es imprescindible que este plan proponga los cambios necesarios para que se cumplan los estándares previstos y colabore con la Gestión de Cambios y la Gestión de Versiones en su implementación (en caso de ser aprobados, claro está). Para que este plan sea realista debe contar con la colaboración de los otros procesos TI involucrados. Se recomienda revisar el Diseño para la Disponibilidad Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estándares plasmados en el Plan de Disponibilidad. Un diferente nivel de disponibilidad puede requerir cambios drásticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Si éste se diseña sin tener en cuenta futuras necesidades de disponibilidad puede ser necesario un completo rediseño al cabo de poco tiempo, incurriendo en costes adicionales innecesarios.
SEGURIDAD DE LA INFORMACION
CASO
Propuesta de un plan de recuperación de desastres suponiendo que la empresa se encuentra en una zona de probable inundación.
PLAN DE CONTINUIDAD DEL NEGOCIO (DESASTRES NATURALES) Versión 1.0 May 31, 2012
SEGURIDAD DE LA INFORMACION
CASO
Introduccion Tabasco es un estado que gran parte de su geografía está conformada por: ríos, lagos, lagunas y pantanos. En los últimos años en temporada de lluvias, muchos de estos se desbordan ocasionando inundaciones en las partes más bajas de la región. Por ello, en caso de una de Inundación Mayor realizar las siguientes actividades: Actividades a realizar en una emergencia por inundación:
Constantemente revisar los niveles de los ríos y estado del tiempo de la localidad, en los sitios oficiales de las entidades gubernamentales. Principalmente en época de lluvias. Debe reportar los cambios y anomalías al Gerente General. Al presentarse una anomalía, de acuerdo al Plan de Respuesta de Emergencia y continuidad del negocio, debe evaluar la situación para determinar el nivel de emergencia (1, 2, o 3) Deben reunirse en el centro de mando designado por Gerente General. Si la situación es de riesgo deben informar al personal de la situación. De lo contrario deben analizar el suceso y permanecer en alerta amarilla. Si el riesgo impactan a las operaciones, deben convocar al grupo de emergencia y activar el Plan de Respuesta de Emergencia y continuidad del negocio. Debe revisar y ubicar al personal en el Mapa de Seguridad previamente elaborado, identificando su dirección. Deben convocar al personal de la “Lista de Llamado Clave”. Mantener la comunicación en todo momento con el personal para saber su situación.
Actividades a realizar DURANTE una emergencia por inundación:
Continuar con las operaciones hasta que se restablezca la situación normal con el personal clave y personal que no ha sido afectado por la inundación. Personal que no esté en la Lista de Llamado Clave y este afectado por la contingencia se le darán facilidades para resolver su situación a evaluación de su jefe inmediato.
Después
Deben revisar las instalaciones para verificar que el edificio esté en buen estado y en buenas condiciones de seguridad e higiene. Analizar si el personal debe regresar a sus labores en su totalidad o parcialmente. Informar del resultado de la contingencia a todo el personal. Deben reunirse para retroalimentar las acciones realizadas.