• Author / Uploaded
• Julio Kaspersky

Citation preview

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Universidad Abierta y a Distancia de México Facilitador VICTOR HUGO RAMIREZ SALAZAR. Grupo: DS-DSEI-1801-B2-001

Asignatura Seguridad de la informática  Periodo semestral 2017 bloque 2

Estudiante Julio Cesar García Hernández. Matrícula ES1410902943

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática El propósito de la actividad es que apliques una nueva tecnología de seguridad informática, la cual investigarás en fuentes confiables y a tu alcance, y que la integres como parte de tu plan DRP o plan de recuperación de desastres, retomando las actividades 2 y 3 de esta unidad. Para ello, tu Docente en línea te hará llegar las instrucciones necesarias; una vez que cuentes con ellas, realiza los siguientes pasos: 1. Identifica una vulnerabilidad y un riesgo que consideres más importantes en el caso desarrollado en esta unidad. 2. Identifica cuál es el impacto del riesgo y vulnerabilidad identificados en el caso, mencionando: a. Criticidad. b. Periodo de recuperación. c. Sistema de clasificación de riesgos. 3. Investiga una herramienta de seguridad informática con la que puedes atender el riesgo y eliminar la vulnerabilidad identificada. 4. Redacta tus conclusiones, explicando las ventajas y desventajas del uso de un BCP y un DRP en las organizaciones de desarrollo de software. 5. Elabora un bosquejo de plan DRP integrando la nueva tecnología de seguridad investigada. 6. Lee detenidamente los criterios de evaluación para ser considerados en tu actividad. 7. Después de realizar la actividad, guárdala con la nomenclatura DSEI_U3_EA_XXYZ, Sustituye las XX por las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido y envíala a tu Docente en línea mediante el Portafolio de evidencias. Espera y atiende la retroalimentación correspondiente.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática Introducción: El plan de continuidad de negocios que se presenta a continuación tiene la finalidad de orientar a la gerencia y a la dirección sobre los procesos a realizar en caso de que suceda algún evento que interrumpa el funcionamiento normal de la Biblioteca de la Universidad Regional. Es necesario aclarar que no describe a detalle los pasos a seguir para recuperar un servicio o un área, esa información se encuentra en los planes de recuperación de desastres de cada departamento, tampoco es un manual que contenga la salida a todos y cada uno de los posibles problemas que pudiera causar un paro en la operación de la Biblioteca de la Universidad Regional. A lo largo de este documento se mencionan datos de contactos, ubicaciones de oficinas, procesos generales y consejos que son herramientas que ayudarán a la dirección a tomar decisiones informadas y de manera organizada en poco tiempo para poder re establecer la continuidad de la operación de la Biblioteca de la Universidad Regional lo más pronto posible. A continuación se define un término que será usado a lo largo del documento, es de vital importancia quede completamente claro para su manejo sin posibilidad de confusiones que podrían causar problemas mayores que los que se tratan de evitar o corregir:  Interrupción significativa del negocio (ISN): es un evento que potencialmente puede amenazar a la continuidad de las operaciones que realiza una organización, obligando a la misma a detenerlas por tiempo indefinido y por lo tanto dejando de tener ingresos de una manera tal que la existencia misma de la organización puede estar en peligro. Un suceso de esta magnitud requiere medidas especiales para regresar las operaciones a la normalidad. Es importante siempre estar preparados para eventos naturales como incendios, inundaciones, terremotos, tormentas, tornados y huracanes así eventos creados por el hombre como vandalismo o ataques terroristas. Siempre hay que considerar los efectos secundarios que cualquier evento de gran escala puede causar como falta de energía eléctrica o de suministros para seguir operando. Normalmente la mayor parte de los sucesos que causan una interrupción en el negocio son menos aparatosos y están compuestos por robos, sabotaje causado por empleados y fallas de equipos. Este plan contiene datos personales y empresariales que son clasificados como CONFIDENCIALES debe ser guardado bajo medidas de seguridad estrictas y solo deben tener acceso a él las personas que desempeñen puestos en la Dirección de la Biblioteca que las liguen directamente a este plan de continuidad de negocios. Dichos puestos son: presidente del consejo de administración, Director de departamento, Gerente de departamento, Administrador de seguridad. Personal a contactar en caso de emergencia Se identifican a dos personas, empleados de la Biblioteca de la Universidad Regional como contactos de emergencia a nivel de gerencia. Estos nombres deben ser revisados y actualizados por la dirección general cada 6 meses. En el caso de que la Biblioteca de la Universidad Regional cuente con un sistema de manejo de riesgos y emergencias externo, deberá notificar estos mismos datos a dicha empresa. Cada miembro debe ser un gerente perteneciente al consejo de la Biblioteca de Universidad Regional.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Contacto:       

Nombre: Jose Manuel Torres Puesto: Director Teléfono oficina: 55 13 6812 82 ext. 764 Teléfono casa: (55) 26437942 Celular: (044) 5513 21 32 32 Dirección: Cerrada 16 de Septiembe #39 Correo electrónico: [email protected]

Contacto:       

Nombre: Juan Carlos Ruiz Puesto: Subdirector Teléfono oficina: (55) 392 1023 91 Teléfono casa: (55) 32 32 12 31 Celular: (044) 8732 92192 Dirección: Pueblo san Juan de ARagon Correo electrónico: [email protected]

Política de la protección de la información: A continuación, se establecen las políticas que la Biblioteca de la Universidad Regional hará valer en el caso de enfrentarse a una interrupción significativa del negocio (ISN). Se incluye la obligación de la Universidad Regional a permitir a _________________ sus cuentas de ahorro en caso de una ISN, esta política debe ser entregada a todos los empleados y debe establecer quien tiene la autoridad para ejecutar el plan de continuidad de negocio, donde será guardado y como tener acceso a él. La política de la Biblioteca de la Universidad Regional ante una interrupción significativa del negocio es el poner a salvo las vidas de los empleados y las propiedades de la empresa, hacer una evaluación financiera y operacional de las instalaciones, recuperarse de la manera más rápida posible y reanudar las operaciones. Proteger todos los documentos y registros. En el caso de que sea imposible mantener el servicio, se asegurará el pronto acceso al sistema. A. Interrupción significativa del negocio (ISN): el plan de continuidad de negocio de la Biblioteca de la Universidad Regional contempla dos tipos de ISN, las internas, que afectan la habilidad para comunicarse y hacer negocios tales como un desperfecto técnico o una falla estructural dentro de las instalaciones, y las externas que evitan la operación de todo el mercado o de un gran número de empresas como un desastre natural o un ataque terrorista. La respuesta ante una ISN externa depende fuertemente de otras organizaciones y configuración de sistemas externos para recuperar la continuidad del negocio.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática B. Autoridad para aprobación y ejecución: El presidente del consejo de administración de la Biblioteca de la Universidad Regional queda registrado como la autoridad responsable de aprobar este plan y para conducir la revisión anual del mismo. El presidente del consejo de administración de la Biblioteca de la Universidad Regional, el director del área de operaciones y el gerente de tecnologías de la información tienen la autoridad para declarar estado de emergencia en la Biblioteca de la Universidad Regional y ejecutar este plan de continuidad de negocios. C. Ubicación y acceso al plan de continuidad de negocios: Biblioteca de la Universidad Regional tendrá varias copias del BCP (Business Continuity Plan, por sus siglas en inglés), sus revisiones anuales y los cambios que se hagan durante cada inspección, dichas copias estarán alojadas en las áreas de dirección general, dirección de operaciones y gerencia de tecnologías de la información. Una copia electrónica del plan, protegida con contraseña solamente disponible para el presidente del consejo de administración, el director de operaciones, el gerente de TI y el administrador de seguridad, estará guardada en cada servidor controlador de dominio de la Biblioteca de la Universidad Regional dentro de la carpeta llamada BCP y en el servidor alojado en las instalaciones del proveedor de un sitio de cómputo alterno. III. Descripción del negocio: La biblioteca de la Universidad Regional del Norte Campus Chihuahua, es un recinto donde se encuentran colecciones de libros para la lectura y la consulta del público especialmente estudiantes, investigadores y amantes de la lectura. Su objetivo es proporcionar a sus usuarios tanto el acceso al documento como el acceso y localización de la información. Así como documentos del acervo federal. IV. Ubicación de las instalaciones: Allende 2628 Col. Zarco C.P. 31020 Chihuahua, Chih. Tels.: (614) 411 14 51 ext. 114 V. Ubicación física alternativa para los empleados: En el caso de una ISN en alguna de las instalaciones de la Biblioteca de la Universidad Regional, el personal de la oficina afectada se trasladará a la oficina más cercana que no esté afectada. Si no hay una oficina cercana disponible, se debe de comunicar al campus más cercano para recibir instrucciones. En el caso de que quedara inhabilitada la Biblioteca de la Universidad Regional, podrá hacerse la invitación a que utilicen los servicios vía electrónica o telefónica si es que estos se encuentran funcionando de manera correcta. VI Respaldo y recuperación de datos (impresos y electrónicos) La Biblioteca de la Universidad Regional mantiene sus principales archivos impresos en El Lic. Eduardo Rodríguez Rivera, es el responsable del mantenimiento de dichos archivos. Las principales aplicaciones y bases de datos son almacenadas en un servidor externo. El encargado de informática Ing. Ricardo Martinez Rivera es el responsable del mantenimiento de los servidores. La Universidad Regional tiene la siguiente lista de documentos confidenciales:  Controles y manuales de procedimiento.  Datos históricos de la empresa.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática      

Claves de acceso. Movimientos monetarios entre cuentas. Datos de los socios y usuarios. Bitácoras. Cambios de personal. Ingreso y egresos totales.

La Biblioteca de la Universidad Regional no tiene respaldos de sus documentos impresos. Consecuencia de no contar con respaldos impresos ¿se requieren según el caso? No entiendo la pregunta El personal de informática, diariamente realiza respaldo de información de archivos electrónicos, los cuales se respaldan en: un servidor externo. En el caso de una ISN interna o externa que cause la pérdida de documentos impresos, estos serán recuperados del área de respaldos (obviamente solamente se pueden recuperar los archivos que tienen respaldo). Si los servidores primarios quedan fuera de funcionamiento, la Biblioteca de la Universidad Regional podrá continuar operaciones desde su sitio de respaldo o de una localidad alterna. Cuando suceda una pérdida de documentos electrónicos estos serán recuperados del dispositivo que los contiene directamente o de los respaldos en el sitio alterno. VII. Asesoría operacional y financiera: A. Riesgo operacional: En el caso de que una ISN ocurra, la Biblioteca de la Universidad Regional identificará los medios con que cuenta para comunicarse con sus socios, empleados, proveedores, bancos y contra partes críticas. Aunque los efectos de la ISN determinarán los medios de comunicación alternativos, las opciones que se emplearan son: sitio web, teléfono, correo electrónico seguro y publicidad impresa. Al mismo tiempo que se utilizan estos medios para notificar el evento, se recuperarán los archivos y documentos clave de la Biblioteca de la Universidad Regional como se menciona en la sección anterior. B. Riesgo financiero y crediticio: Cuando una ISN se presente, la Universidad Regional determinará el valor y liquidez de sus inversiones y activos para evaluar su capacidad de seguir operando. La Universidad Regional contactará a sus principales bancos y les informará de su estado financiero. Si se determina que la no es capaz de cumplir sus obligaciones con sus contrapartes o proveedores o si se decide que no es capaz de seguir operando se tomarán las medidas necesarias para poder hacerlo de manera lícita. VIII. Sistemas de misión críticos: Los sistemas de misión críticos de la Biblioteca de la Universidad Regional son aquellos que servidores que ejecutan aplicaciones esenciales y que guardan información importante, bases de datos, redes, etc.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática La Universidad Regional tiene la responsabilidad de establecer y mantener las relaciones con sus socios y usuarios y también la de sostener la continuidad del negocio por medio de sus sistemas de misión críticos para el ingreso de datos y toma y ejecución de decisiones. Nuestros proveedores Seguridad de la Información RRT nos ofrecen, por medio de un contrato, los siguientes servicios:  KIO: Hospedaje de aplicaciones.  AXTEL: Servicios de infraestructura en telecomunicaciones, redes de voz y datos, Internet dedicado.  TELMEX: Telefonía y servicio de Internet DSL, conmutadores.  IUSACELL: Servicios de Internet de 3G, telefonía móvil.  DELL, HP: Proveedor de Servidores, laptops, PC.  MICROSOFT: Sistemas Operativos, Office, IIS, SQL.  TRIARA: Servicios de hospedaje web, correo electrónico.  SCITUM: Servicios de consultoría de T. I. en general. Nota: los objetivos de recuperación de sistemas de misión críticos en tiempo son metas concretas para hacer planes y para competir contra ellas y tratar de mejorar el tiempo en el que se levanta un sistema. No son plazos cortos y difíciles de lograr que deben ser alcanzados en una situación de emergencia y varios factores externos que una ISN puede incluir, como la hora del día, el alcance de la ISN y el estado de la infraestructura crítica, sobre todo de telecomunicaciones, pueden influir en el tiempo actual de recuperación. A. Sistemas de misión críticos de la biblioteca de la Universidad Regional. SAP: durante una ISN se continuará operando con este sistema siempre y cuando funcione de manera correcta, en caso de que no lo hiciera se procederá a utilizar el plan de recuperación de desastres del área de redes/bases de datos y proveedores para levantar el sistema y el de operaciones para mantener la atención a los socios y usuarios mientras el control sobre el sistema es recuperado. Portal SAP: durante una ISN se continuará operando con este sistema siempre y cuando funcione de manera correcta, en caso de que no lo hiciera se procederá a utilizar el plan de recuperación de desastres del área de redes/bases de datos con la ayuda de proveedores para levantar el sistema y el plan de recuperación de desastres B. Sistemas de misión crítica otorgados por proveedores: La Universidad Regional utiliza, bajo contrato, los servicios de los distintos proveedores mencionados anteriormente. En el caso de una ISN deberán activarse los planes de recuperación de desastre de los departamentos que hayan sido afectadas y notificar a los proveedores para que ellos inicien la restauración de los sistemas que están a su cargo. IX. Formas de comunicación alternas entre la Universidad Regional, socios, usuarios y empleados. A. Socios y usuarios: Actualmente, Universidad Regional se comunica con sus socios y usuarios de manera presencial, por fax, teléfono, correo electrónico, página electrónica, volantes, carteles, trípticos. Cuando ocurra un evento que genere una ISN, la Universidad Regional definirá que medios de

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática comunicación siguen estando disponibles y siendo confiables y se comunicará a través de ellos con sus socios y usuarios. B. Empleados: Actualmente, la Universidad Regional se comunica con sus empleados de manera presencial, por teléfono, correo electrónico y el intranet. Cuando ocurra un evento que genere una ISN, la Universidad Regional definirá que medios de comunicación siguen estando disponibles y siendo confiables y se comunicará a través de ellos con sus empleados. La Universidad Regional también emplea un árbol de llamadas para que la gerencia general pueda comunicarse rápidamente con todos sus empleados en el caso de una ISN. El árbol debe incluir los teléfonos de casa y oficina de todos los empleados. Emisor de la llamada Dirección General

Dirección de Operaciones Jefe de Desarrollo y Base de Datos

Gerente de TI

Gerencia de Recursos Humanos

Gerencia de Tesorería

Jefe de Cobranza Key User

Gerente de Contabilidad Asistente de contabilidad Corporativo Jefe de redes y Telecomunicaciones

Receptores de la llamada Dirección de Operaciones Gerencia de TI Gerencia de Recursos Humanos Gerencia de contabilidad. Mantenimiento y obras Planeación comercial Supervisor de operaciones Gerente Desarrollador Segundo a cargo Administrador Desarrollador Jefe de Redes y Telecomunicaciones Jefe de Seguridad de la Información Jefe de Soporte Técnico Desarrollo de TI Jefe de Call Center Jefe de Planeación Comercial Jefe de Mantenimiento Gerencia de Seguros Asistentes de Recursos Humanos Jefa de Cobranza Key User Banca Electrónica Asistentes de Cobranza Auxiliar de caja Auxiliar de Tesorería Asistentes Cajeros Asistente Auxiliar Corporativo Auxiliar Contable Supervisor de Red Administrador de Red 1 Administrador de Red 2

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática Administrador de Red Jefe de Seguridad de la Información Desarrollo de TI Jefe de Soporte Técnico Jefe de Call Center Jefe de Planeación Comercial Jefe de Mantenimiento

Asistente Asistente de Seguridad de la Información Conmutador Asistente de Soporte Auxiliar de Soporte Supervisor Gestores Asistente de Planeación Diseñador Web Encargado de mantenimiento Auxiliar de mantenimiento

X. Bancos y proveedores de negocio críticos A. Proveedores: cuando una ISN interna o externa ocurra, la Universidad Regional contactará a sus proveedores de negocio críticos (aquellos que tienen una relación comercial que apoya las actividades operativas de la misma) y determinará hasta qué punto puede continuar con la relación de negocio con dicha empresa. Se deben establecer de manera rápida arreglos alternativos si un proveedor crítico no puede entregar los servicios que la Universidad Regional necesita debido a una ISN que afecte a cualquiera de las empresas o a ambas. También se deberán hacer los ajustes necesarios cuando, debido a una ISN, la Universidad Regional tenga un contrato complementario o temporal con algún otro proveedor que pueda otorgar los servicios de la manera o en el tiempo en que el primero no pudo. B. Bancos: en el caso de una ISN la _______________________________________ minimizará gastos para mantener sus finanzas sanas y en caso necesario solicitara apoyo a Instituciones Financieras. XI. Actualizaciones y revisión anual: La Biblioteca de la Universidad Regional actualizará este plan cada vez que haya un cambio en sus operaciones, estructura, negocio o ubicación, también cada vez que se haga un cambio importante en la organización de sus proveedores principales en la que el servicio que otorgan sea afectado o cuando dichos proveedores sean sustituidos por otros. Adicionalmente este plan de continuidad de negocios será revisado cada año en el mes de febrero para modificarlo en caso de cambios en la operación, estructura, negocio o ubicación así como cambios relativos a los proveedores principales. XII. Aprobación de la dirección general: Apruebo este plan de continuidad de negocios como razonablemente diseñado para ayudar a la Universidad Regional a cumplir con sus objetivos y obligaciones con sus socios y usuarios en el caso de una interrupción significativa del negocio. Firma: _________________________________ Nombre: Ramón Ruiz Robles Cargo: Presidente del Consejo de administración.

Seguridad de a Informatica Unidad 1. Actividad 1. Importancia de la criptografía en la informática Fecha: 05/06/2017