SEGURIDAD DE LA INFORMACION Caso Lista de Cotejo 1 Desarrollo de un Plan de Seguridad para Frituras del Sureste Instrucciones:

CASO

El Director de Informtica de la empresa Frituras del Sureste dedicada a la produccin de productos derivados del pltano y yuca, debido a hechos relacionados con el robo de informacin de algunos productos que ha provocado retrasos en su lanzamiento, ha decidido hacer cambios sobre seguridad informtica y de la informacin en la empresa. Las condiciones actuales de infraestructura en TI son: a. Los empleados mantienen en sus unidades de disco externa, unidades usb, equipos de escritorio y equipos porttiles los archivos relacionados con los proyectos de crecimiento de la empresa, nuevos productos o desarrollos y campaas de mercadotecnia. b. Los equipos de cmputo de la empresa no tiene validacin a travs de usuario/contrasea o bajo un ambiente de seguridad cliente/servidor. c. Se han presentado situaciones en la que los empleados comparten los archivos con informacin a travs de sus cuentas de hotmail, gmail, yahoo, aunque cada empleado tiene una cuenta para uso corporativo. d. Los representantes de ventas pueden colocar sus pedidos acudiendo a los centros de distribucin, o bien hacindolos a travs del sitio web de la empresa. e. Se cuenta con un centro de datos que cuenta con infraestructura de servidores de archivos para el almacenamiento y resguardo de informacin importante para la correcta operatividad de la empresa, que desafortunadamente no es utilizado.

De lo anterior, el Director de Informtica ha decidido poner en marcha una nueva estrategia de seguridad, para ello se ha acercado a la Universidad para que alumnos de la materia de Seguridad de la Informacin le presenten propuestas que conlleven a la elaboracin de su plan de seguridad, por lo que deben de considerar los siguientes aspectos: 1. 2. 3. 4. 5. 6. Polticas de seguridad para eliminar el filtrado de informacin sensible. Tipo de incidentes se pueden presentar relacionados con el filtrado de informacin. Plan de respuesta a incidentes para filtracin de la informacin. Propuesta de un plan de seguridad para el control de acceso. Es necesario crear un plan de disponibilidad para esta situacin?, por qu? Propuesta de un plan de recuperacin de desastres suponiendo que la empresa se encuentra en una zona de probable inundacin.

SEGURIDAD DE LA INFORMACION Polticas de seguridad para eliminar el filtrado de informacin sensible

CASO

SEGURIDAD DE LA INFORMACION

CASO

Tipo de incidentes se pueden presentar relacionados con el filtrado de informacin. Extraccin de datos Algo que debe siempre considerarse en un entorno seguro es la proteccin hacia los sistemas y las personas que los utilizan. Es complicado concientizar al personal de una organizacin sobre la importancia de la seguridad y lo que esto implica cuando se presenta una situacin que pueda afectar al negocio. Por ejemplo, el requisito de utilizar una contrasea con ciertas caractersticas, es un elemento de seguridad, el cual proporciona control de acceso a la informacin que se maneja, evitando que sta pueda ser vista por usuarios no autorizados. Otra manera de minimizar la extraccin de los datos es durante la firma del contrato, donde se determine una penalizacin a todo aquel que se detecte realizando esta actividad e instalar dispositivos de rastreo. Falta de validacin a travs de usuario/contrasea o bajo un ambiente de seguridad cliente/servidor. Lo ms comn es implementar un Firewall para proteger posibles ataques desde Internet. Este dispositivo frecuentemente est conectado debajo del equipo de ruteo a la salida de Internet. Debe poder controlar el trfico de entrada y salida de la organizacin, adems de filtrar la informacin que pudiera ser perjudicial a los sistemas, como, virus, troyanos, cdigo malicioso en general. La informacin saliente de la empresa debe preocupar a cualquiera, por eso, es importante tener un conocimiento completo de las aplicaciones permitidas y aplicar polticas para restringir el uso de otras que puedan afectar al sistema o negocio. Comparten archivos con informacin a travs de cuentas personales. Podemos mencionar que es necesario tener filtros de contenido para correo y navegacin. As como la necesidad de tener ubicados los servicios de Internet, como es Correo electrnico -puerto 25- y para el Hipertexto -puerto 80-. En estos servicios es recomendable utilizar un segmento separado de la red, conocido regularmente como Red de Servicio o DMZ, la cual estar protegida por una tarjeta especial del Firewall principal. Otro punto importante a revisar son las Redes Privadas Virtuales, mejor conocidas como VPNs. Red Inalmbrica. Una red claramente sin cables es muy recurrida cuando se necesita movilidad y flexibilidad. Respecto a la seguridad hay elementos que pueden coadyuvar a que estas redes sean seguras; por ejemplo, la autenticacin utilizando la direccin MAC, utilizacin de una contrasea y posiblemente hasta certificados digitales creen una sensacin de seguridad. Cabe mencionar que el medio que utilizan estas redes es pblico, una solucin es utilizar un Firewall entre la red inalmbrica que debe definirse solo para usuarios y la red de cableado, adems de aplicar autenticacin para poder utilizar servicios de una red a otra, esto garantizar hasta cierto punto que el uso de recursos se permite nicamente a personas que estn autorizadas para el uso de los mismos

SEGURIDAD DE LA INFORMACION Plan de respuesta a incidentes para filtracin de la informacin.

CASO

PLAN DE RESPUESTA A INCIDENTES

Versin 1.0 May 31, 2012

SEGURIDAD DE LA INFORMACION

CASO

Niveles de Emergencia Filtracin de la Informacin Sistema de Gestin de la Seguridad de la Informacin. Para ayudar en la determinacin del nivel de respuesta y acciones a ser tomadas por la Empresa FritSte, las emergencias han sido clasificadas de manera general en tres niveles:

NIVEL 0
Situacin Normal

Operaciones usuales.

NIVEL 1 Emergencia Menor

Un incidente contenido, localizado que es resuelto rpidamente con recursos internos o ayuda limitada y no afecta la capacidad de funcionamiento del Centro. Ejemplos de una emergencia menor de nivel 1 incluyen, pero no estn limitados a: Fuegos pequeos Interrupcin de energa elctrica limitada Denegacin de servicios - DoS

G R A V E D A D

NIVEL 2 Emergencia Mayor Dependiendo de las Circunstancias

Una emergencia seria que interrumpe parcial o completamente la operacin y pudiera afectar funciones crticas, la seguridad y/o la vida. Servicios de emergencia externos, as como el soporte del Corporativo podran seran requeridos. Consideraciones y decisiones mayores seran requeridas. Ejemplos de una emergencia mayor de nivel 2, incluyen pero no estn limitados a: Fuegos mayores Robo de Equipos Informticos Interrupcin de energa elctrica masiva Mala operacin de los sistemas por parte de los usuarios Prdida de claves

NIVEL 3

Una emergencia mayor de la comunidad que afecta o detiene la operacin del Centro. Los servicios de emergencia externos seran necesarios. Consideraciones y decisiones mayores seran requeridas siempre. Ejemplos de una emergencia mayor de nivel 3 incluyen, pero no estn limitados a: Desastres naturales como huracanes, inundaciones o sismos mayores Epidemias de salud.

Emergencia Mayor

SEGURIDAD DE LA INFORMACION Propuesta de un plan de seguridad para el control de acceso.

CASO

PLAN DE SEGURIDAD PARA EL CONTROL DE ACCESO

Versin 1.0 May 31, 2012

SEGURIDAD DE LA INFORMACION

CASO

El presente documento es de uso confidencial y obligatorio para TODO el personal de FritSte y Visitantes. Generalidades Todos los empleados, sin distincin alguna, deben portar su gafete de identificacin personal en un lugar visible durante su permanencia en las instalaciones de la Empresa. Todos los empleados, sin distincin alguna, deben usar el dispositivo de reconocimiento de huella al entrar/salir de las instalaciones o reas de acceso restringido. En caso de olvido del gafete, el personal que ingrese al edificio/premisa debe registrarse en la Bitcora de Visitantes. Est prohibida la entrada a cualquier persona que se encuentre bajo los efectos del alcohol y/o de estupefacientes. Seguridad Informtica Interna Para dar de alta un usuario al sistema debe existir un procedimiento formal, por escrito, que regule y exija el ingreso de los siguientes datos: Identificacin del usuario, deber ser nica e irrepetible, Password, debe ser personal e ingresado por el usuario, Nombre y apellido completo, Sucursal de la empresa donde trabaja, Grupo de usuarios al que pertenece, Fecha de expiracin del password, Fecha de anulacin de la cuenta, Contador de intentos fallidos, Autorizacin de imprimir, Las PCs deben tener instalado un protector de pantalla con contrasea. Mantener encriptada la siguiente informacin: Listas de control de acceso Los passwords y cuentas de usuario Datos de autenticacin. Crear passwords seguros con las siguientes caractersticas: Combinacin de letras, nmeros. Tener una longitud mnima de 6 caracteres y mxima de 20. Cambiar los passwords peridicamente y evitar anotarlos en lugares visibles. La fecha mxima en que debe expirar el password deber ser de cuatro meses, una vez cumplido este plazo el sistema pedir automticamente el cambio del mismo. El acceso a Internet ser otorgado nicamente para propsitos relacionados con la institucin y con previa autorizacin de la Gerencia. Y los usuarios no autorizados no podrn acceder a este servicio. Determinar que empleado debe contar con una cuenta de correo electrnico, segn la tarea que el empleado desempee.

SEGURIDAD DE LA INFORMACION

CASO

Seguridad Fsica - Control de acceso a equipos Los equipos de la empresa deben contar con un password de administrador de tal forma que solo l tenga acceso para administrar el sistema. Se debe deshabilitar las disqueteras lectoras de CD y puertos USB, en aquellas maquinas que no se necesiten. Los servidores, rotures, etc., debern estar en el cuarto de equipos y bajo llave para evitar que estos sufran daos o robo. Los gabinetes donde se ubican los switches y hub de cada una de las sucursales, debern permanecer guardados bajo llave, y fuera del alcance del personal no autorizado. El administrador de la red deber encargarse de realizar chequeos peridicos para comprobar la correcta instalacin de los dispositivos. Los servidores debern apagarse automticamente una vez que se haya cumplido la hora laboral. Visitantes Est prohibido el acceso a toda visita personal (familiares o amigos) a las reas de administracin y produccin de la Empresa. Todo el personal visitante debe registrarse en la Bitcora de Visitantes Todos los visitantes deben portar el gafete en un lugar visible durante su permanencia en las instalaciones de la Empresa. En el caso de proveedores de servicios (Climas, Fumigacin, Alarmas, entre otros), debe realizarse una inspeccin de sus pertenencias tanto a la entrada como a la salida de las instalaciones de la Empresa y verificar el permiso de trabajo correspondiente. Acceso durante Horarios Laborables y No Laborables El horario laborable es de: Lunes Viernes de 8:30 am 18:30 pm; cualquier horario fuera del antes mencionado se considera No Laborable. El acceso durante el horario no laborable se permite nicamente al personal autorizado de acuerdo al nivel y actividad dentro de la empresa.

SEGURIDAD DE LA INFORMACION Es necesario crear un plan de disponibilidad para esta situacin?, Si, por los datos e informacin de la empresa. por qu?

CASO

La correcta planificacin de la disponibilidad permite establecer unos niveles de disponibilidad adecuados tanto en lo que respecta a las necesidades reales del negocio como a las posibilidades de la organizacin TI. Este documento debe recoger los objetivos de disponibilidad presentes y futuros y que medidas son necesarias para su cumplimiento. Este plan debe recoger: La situacin actual de disponibilidad de los servicios TI. Obviamente esta informacin debe ser actualizada peridicamente. Herramientas para la monitorizacin de la disponibilidad. Mtodos y tcnicas de anlisis a utilizar. Definiciones relevantes y precisas de las mtricas a utilizar. Planes de mejora de la disponibilidad. Expectativas futuras de disponibilidad.

Es imprescindible que este plan proponga los cambios necesarios para que se cumplan los estndares previstos y colabore con la Gestin de Cambios y la Gestin de Versiones en su implementacin (en caso de ser aprobados, claro est). Para que este plan sea realista debe contar con la colaboracin de los otros procesos TI involucrados. Se recomienda revisar el Diseo para la Disponibilidad Es crucial para una correcta Gestin de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estndares plasmados en el Plan de Disponibilidad. Un diferente nivel de disponibilidad puede requerir cambios drsticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Si ste se disea sin tener en cuenta futuras necesidades de disponibilidad puede ser necesario un completo rediseo al cabo de poco tiempo, incurriendo en costes adicionales innecesarios.

SEGURIDAD DE LA INFORMACION

CASO

Propuesta de un plan de recuperacin de desastres suponiendo que la empresa se encuentra en una zona de probable inundacin.

PLAN DE CONTINUIDAD DEL NEGOCIO (DESASTRES NATURALES)

Versin 1.0 May 31, 2012

SEGURIDAD DE LA INFORMACION

CASO

Introduccion
Tabasco es un estado que gran parte de su geografa est conformada por: ros, lagos, lagunas y pantanos. En los ltimos aos en temporada de lluvias, muchos de estos se desbordan ocasionando inundaciones en las partes ms bajas de la regin. Por ello, en caso de una de Inundacin Mayor realizar las siguientes actividades: Actividades a realizar en una emergencia por inundacin: Constantemente revisar los niveles de los ros y estado del tiempo de la localidad, en los sitios oficiales de las entidades gubernamentales. Principalmente en poca de lluvias. Debe reportar los cambios y anomalas al Gerente General. Al presentarse una anomala, de acuerdo al Plan de Respuesta de Emergencia y continuidad del negocio, debe evaluar la situacin para determinar el nivel de emergencia (1, 2, o 3) Deben reunirse en el centro de mando designado por Gerente General. Si la situacin es de riesgo deben informar al personal de la situacin. De lo contrario deben analizar el suceso y permanecer en alerta amarilla. Si el riesgo impactan a las operaciones, deben convocar al grupo de emergencia y activar el Plan de Respuesta de Emergencia y continuidad del negocio. Debe revisar y ubicar al personal en el Mapa de Seguridad previamente elaborado, identificando su direccin. Deben convocar al personal de la Lista de Llamado Clave. Mantener la comunicacin en todo momento con el personal para saber su situacin.

Actividades a realizar DURANTE una emergencia por inundacin: Continuar con las operaciones hasta que se restablezca la situacin normal con el personal clave y personal que no ha sido afectado por la inundacin. Personal que no est en la Lista de Llamado Clave y este afectado por la contingencia se le darn facilidades para resolver su situacin a evaluacin de su jefe inmediato.

Despus Deben revisar las instalaciones para verificar que el edificio est en buen estado y en buenas condiciones de seguridad e higiene. Analizar si el personal debe regresar a sus labores en su totalidad o parcialmente. Informar del resultado de la contingencia a todo el personal. Deben reunirse para retroalimentar las acciones realizadas.