Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Documentos final.11.7
1. UNIVERSIDAD AUTÓNOMA GABRIEL RENE MORENO
FACULTAD DE CIENCIAS EXACTAS Y TECNOLOGÍA
DIPLOMADO EN AUDITORIA Y SEGURIDAD INFORMÁTICA
11.7 Computación y Comunicación Móvil
Integrantes:
Marcia Solís Arana
Pablo Manuel Molina
Reynaldo Mancilla Herrera
Whitman Pérez Robles
Richard Eduardo Zorrilla
Modulo: Control de Accesos
Docente: Ing. Karem Esther Infantas Soto Ph.D.
Página 1
2. Resumen
En el presente proyecto de se pretende dar una adecuada solución de seguridad a la
empresa de caso de estudio, tomando como base Estándares.
Se proporcionara los lineamientos básicos de la seguridad de la información, una
visión general del acceso a la información así como las diferentes alternativas para el
tratamiento , nos da una descripción de la Norma ISO 17799-2005 en donde
señala que la seguridad de información no se trata sólo de aspectos tecnológicos
sino su objetivo es organizar la seguridad de información, es por este motivo que
propone toda una secuencia de acciones tendientes al “Establecimiento,
Implementación, Operación, Monitorización, Revisión, Mantenimiento y Mejora.
En la cual se documenta los procesos y procedimientos que ayudarán a garantizar
la seguridad de la información.
Se identifican los activos más importantes para la empresa y se realiza una
identificación, análisis y evaluación de vulnerabilidades, para posteriormente
realizar una selección de controles y objetivos de control de la Norma ISO 17799.
Página 2
3. Resumen..............................................................................................................................2
1.- Introducción....................................................................................................................4
2.-ISO 27002 (ISO 17799) ......................................................................................................4
2.1.- Beneficios de las normas iso 27000 ...............................................................................4
2.2.-Políticas (Estandar ISO/27002)........................................................................................5
3.- Caso de estudio ...............................................................................................................5
4.-Control de acceso a computación y tele-trabajo móvil .......................................................6
4.1.-Objetivo........................................................................................................................6
4.2.-Alcance .........................................................................................................................6
5.-Control de acceso a computación y tele-trabajo móvil .......................................................6
5.1.-Objetivo........................................................................................................................6
5.2.-Control..........................................................................................................................6
5.3.-Lineamiento de implementación ....................................................................................6
6.-Tele-trabajo .....................................................................................................................7
6.1.-Control..........................................................................................................................7
6.2.-Lineamiento de implementación ....................................................................................7
6.3-Principios y procedimientos ............................................................................................7
7.-Políticas de Seguridad del caso de estudio .........................................................................8
8.-Informática móvil .............................................................................................................8
9.-Posibles soluciones...........................................................................................................8
10.- Costo en la implementación ...........................................................................................9
11.- Recomendaciones..........................................................................................................9
12.-Anexo .......................................................................................................................... 11
12.- Bibliografías ................................................................................................................ 12
Página 3
4. 1.- Introducción
Las organizaciones tratan como un problema tecnológico a la seguridad de la
información, sin tomar en cuenta que la seguridad de la información es un
problema organizativo y de gestión, lo que con lleva a que las organizaciones no
sean capaces de afrontar ataques provenientes de todos los ángulos.
No es suficiente contar con tecnología sofisticada, la gestión implica conocer la
situación de lo que queremos tratar y tener claro hacia dónde queremos ir, es decir,
determinar un objetivo y tomar las acciones modelo necesarias para conseguirlo. La
definición de un para la gestión de la seguridad de la información implica involucrar a
toda la organización y no sólo al área encargada de implantar el modelo, lo cual
trae como resultado el éxito del proyecto tanto en su implantación como en su
mantenimiento, es así que se debe fomentar el cambio cultural para concienciar
acerca de importancia de la seguridad.
2.-ISO 27002 (ISO 17799)
En fase de desarrollo; probable publicación en 2007. Es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO
17799:2005, que es la que actualmente está en vigor, y que contiene 39
objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se ha
mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO 17799:2005.
2.1.- Beneficios de las normas iso 27000
Entre los beneficios que se obtienen por la implementación del conjunto de
normas ISO en una organización, se tiene:
Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de
seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistema y las áreas a mejorar.
Página 4
5. Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
Conformidad con la legislación vigente sobre información personal,
propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Proporciona confianza y reglas claras a las personas de la organización.
Reduce costes y mejorar los procesos y servicio.
Seguridad garantizada en base a la gestión de procesos en vez de en la
compra sistemática de productos y tecnologías.
2.2.-Políticas (Estandar ISO/27002)
• 11.7 Computación y tele-trabajo móvil
• 11.7.1 Computación y comunicaciones móviles
• 11.7.2 Tele-trabajo
3.- Caso de estudio
Página 5
6. 4.-Control de acceso a computación y tele-trabajo móvil
4.1.-Objetivo
Asegurar la seguridad de la información cuando se utiliza medios de computación y
tele-trabajo móviles.
4.2.-Alcance
La protección requerida se debiera conmensurar con los riesgos que causan estas
maneras de trabajo específicas. Cuando se utiliza computación móvil, se debieran
considerar los riesgos de trabajar en un ambiente desprotegido y se debiera
aplicar la protección apropiada. En el caso de tele-trabajo, la organización debiera
aplicar protección al lugar del tele-trabajo y asegurar que se establezcan los arreglos
adecuados para esta manera de trabajar.
5.-Control de acceso a computación y tele-trabajo móvil
5.1.-Objetivo
Asegurar la seguridad de la información cuando se utiliza medios de computación y
tele-trabajo móviles. La protección requerida se debiera conmensurar con los riesgos
que causan estas maneras e trabajo específicos. Cuando se utiliza computación móvil,
se debieran considerar los riesgos de trabajar en un ambiente desprotegido y
se debiera aplicar la protección apropiada. En el caso del tele-trabajo, la
organización debiera aplicar protección al lugar del tele-trabajo y asegurar que se
establezcan los arreglos adecuados para esta manera de trabajar.
5.2.-Control
Se debiera establecer una política y adoptar las medidas de seguridad apropiadas
para proteger contra los riesgos de utilizar medios de computación y comunicación
móvil.
5.3.-Lineamiento de implementación
Cuando se utiliza medios de computación y comunicación móvil; por ejemplo,
notebooks, palmtops, laptops, tarjetas inteligentes y teléfonos móviles; se debiera
tener especial cuidado en asegurar que no se comprometa la información comercial.
La política de computación móvil debiera tomar en cuenta los riesgos de trabajar con
equipo de computación móvil en ambientes desprotegidos.
Página 6
7. 6.-Tele-trabajo
6.1.-Control
Se debiera desarrollar e implementar una política, planes operacionales y
procedimientos para las actividades de tele-trabajo.
6.2.-Lineamiento de implementación
Las organizaciones sólo debieran autorizar las actividades de tele-trabajo si están
seguros que se cuenta con los arreglos y controles de seguridad apropiados, y que
estos cumplen con la política de seguridad de la organización.
El lugar del tele-trabajo debiera contar con una protección adecuada contra; por
ejemplo, el robo de equipo e información, la divulgación no autorizada de información,
acceso remoto no autorizado a los sistemas internos de la organización o el mal uso
de los medios. Las actividades de tele-trabajo debieran ser autorizadas y controladas
por la gerencia, y se debiera asegurar que se hayan establecido los arreglos
adecuados para esta forma de trabajo.
6.3-Principios y procedimientos
La protección exigible debería estar en relación a los riesgos específicos que
ocasionan estas formas específicas de trabajo. En el uso de la comunicación móvil
deberían considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la
protección conveniente.
En el caso del teletrabajo, la Organización debería aplicar las medidas de protección al
lugar remoto y garantizar que las disposiciones adecuadas estén disponibles para esta
modalidad de trabajo.
Se debería desarrollar una política de uso de controles criptográficos.
Se debería establecer una gestión de claves que de soporte al uso de técnicas
criptográficas.
Se requieren ciertas precauciones para prevenir y detectar la introducción de código
malicioso y códigos móviles no autorizados.
El software y los recursos de tratamiento de información son vulnerables a la
introducción de software malicioso como virus informáticos, gusanos de la red,
caballos de troya y bombas lógicas.
Los usuarios deberían conocer los peligros que puede ocasionar el software malicioso
o no autor izado y los administradores deberían introducir controles y medidas
especiales para detectar o evitar su introducción.
Se deberían controlar los accesos a servicios internos y externos conectados en red.
Página 7
8. El acceso de los usuarios a redes y servicios en red no debería comprometer la
seguridad de los servicios en red si se garantizan:
a) que existen interfaces adecuadas entre la red de la Organización y las redes
públicas o privadas de otras organizaciones;
b) que los mecanismos de autenticación adecuados se aplican a los usuarios y
equipos;
c) el cumplimiento del control de los accesos de los usuarios a los servicios de
información.
7.-Políticas de Seguridad del caso de estudio
Tenga políticas claramente definidas para la protección, no sólo de los propios equipos
informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la
información almacenada en ellos.
Por lo general, el valor de la información supera con mucho el del hardware.
Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro
de las instalaciones de la organización tiene su correspondencia en el nivel de
protección de los equipos portátiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc.
"Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el
estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs,
teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo
móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales
de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de
configuraciones seguras, antivirus, firewalls personales, etc.
8.-Informática móvil
Se debería establecer una política formal y se deberían adoptar las medidas de
seguridad adecuadas para la protección contra los riesgos derivados del uso de los
recursos de informática móvil y las telecomunicaciones.
9.-Posibles soluciones
Informe sobre Malware en Smartphones que tiene por objeto exponer la problemática
del malware en este tipo de dispositivos y desde diversos puntos de vista (aspectos
técnicos, económicos e históricos)
Página 8
9. Revisión de controles para equipos portátiles, trabajo en movilidad, teletrabajo y redes
inalámbricas usar una herramienta para la monitorización en tiempo real de cambios
en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de
escritorio remoto entre otras utilidades.
Prey permite mantener trazabilidad de tu teléfono o portátil en todo momento para
poder encontrarlo en caso de pérdida o robo. Es una aplicación ligera, open source y
de libre uso.
10.- Costo en la implementación
En estos costos se consideran los valores de los elementos necesarios para la
implementación. Estos valores son los siguientes:
1.- Software.- El Software que utilizamos en nuestra implementación es de costo,
ponemos en consideración para referencia de la Organización.
A continuación la tabla donde se consideran los costos antes mencionados
Nº Detalle Costo
1 PRTG 100 US$ 400.00
2 Windows Server R2 US$ 500.00
TOTAL US$ 900.00
11.- Recomendaciones
• Identificar de forma clara cuales son los activos y asignarles un grado de
protección según su criticidad, indicando como debe ser tratado y
protegido; para de esta forma mantener una adecuada protección de los
activos.
• Realizar análisis periódicos de los riesgos y monitorear continuamente la
situación, pues la seguridad que se requiere proporcionar con un control que es
permanente para lo cual es necesario de un proceso continuo, más no
de acciones puntuales.
• Documentar los procedimientos operativos, cualquiera que sea su tipo,
detallándose para cada tarea sus requerimientos de programación,
interdependencias con otros sistemas, tareas de mantenimiento previstas y
procedimientos de recuperación ante incidentes.
• Es aconsejable que se aumente el personal que administra el
departamento de IT, pues al implementar el control se incrementan las
Página 9
10. responsabilidades y al recaer en una sola persona se vuelve complicada la
ejecución de las diferentes tareas.
• Se deben definir el comité de recuperación ante contingencias, para que se
pueda definir de forma clara las funciones y responsabilidades de cada
miembro ante desastres.
• Es recomendable que el desarrollo de cualquier sistema de gestión de
seguridad de información respete las normas y leyes vigentes del país,
como son por ejemplo el respeto a los derechos de propiedad intelectual.
• Se recomienda la implementación de la norma 27002 porque a más de
proteger la empresa, permite mejorar la imagen al exterior.
• La seguridad de la información debe ser considerada como un proceso de
mejoramiento continuo y no un estado estático, en donde los nuevos
requerimientos de seguridad se ajusten a los cambios de la empresa.
Página 10
