Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de La Seguridad
Gestión de La Seguridad
SEGURIDAD DE REDES
10MO CICLO
JEISON PINARGOTE
ANTONIO LOPEZ
BLADIMIR RODRIGUEZ
NEBEL VIERA
2018 – 2019
GESTIÓN DE LA SEGURIDAD
Cobit
ventajas:
Tienen implementado la norma iso 9000 de calidad y gestion de los procesos, ademas de la ley
organica de transparencia y acceso a la informacion publica
desventajas
No esta aplicado cobit en el organigrama de la organizacion para definir los planes de accion de la
seguridad de la informacion, definiendo riesgos y correctivos.
conclusiones
Las politicas de la seguridad de informacion no se aplican todos los controles o son casi inexistentes
por no haber claridad en los procesos o no estan actualizados
ya sea por la falta de concienciacion sobre la importancia que debe tener la informacion dentro y
fuera de la organizacion.
Artitulos Cientificos
IT Governance Evaluation on Educational Institutions based on COBIT 5.0 Framework
Resumen
Este estudio analiza e identifica la compatibilidad de Marco COBIT 5.0 para instituciones
educativas en Indonesia. El enfoque de investigación utilizado es cualitativo al realizar una
entrevista en profundidad. A los 5 expertos y objetivos empresariales analizados cada uno.
Instituciones educacionales. Los entrevistados para esta investigación tienen Certificación
COBIT5. Resultado de esta investigación, hay 12 procesos que COBIT 5.0 tiene Más apropiado
para instituciones educativas, entre otras: APO. 01 (Gestionar el marco de gestión de TI), APO 07
(Gestionar Recursos Humanos), EDM 02 (Asegurar la Entrega de Beneficios), APO 04 (Gestionar
la innovación), EDM 01 (Asegurar el marco de gobernanza Configuración y mantenimiento), APO
02 (Gestionar estrategia), APO 03 (Gestionar Arquitectura Empresarial), APO 05 (Gestionar
Cartera), APO 08 (Gestionar relaciones), APO 11 (Gestionar calidad), BAI01 (Gestionar
programas y proyectos). Sobre la base de los resultados de esta investigación, el marco COBIT 5.0
puede Apoyar el gobierno de TI de las instituciones educativas, pero todavía es necesario otros
marcos, como ITIL, TOGAF y CMMI para admitir más Gobierno de TI confiable y manejable.[1]
[1] D. Z. Darmawan and Wella, “IT governance evaluation on educational institutions based on
COBIT 5.0 framework,” Proc. 2017 4th Int. Conf. New Media Stud. CONMEDIA 2017, vol. 2018–
January, pp. 50–55, 2018.
[2]K. R. P. Harefa and N. Legowo, "The governance measurement of information system using
framework COBIT 5 in Automotive Company," 2017 International Conference on Applied
Computer and Communication Technologies (ComCom), Jakarta, 2017, pp. 1-6.
IT Governance Framework Planning Based on COBIT 5
Resumen
Inversión en tecnología de la información en una empresa. Impulsado por la importancia de la
información que necesita una empresa. La compañía busca aumentar el valor de las inversiones en
TI que tiene. pasado en el campo. El consejo de administración de la empresa ha También entendió
la importancia de una TI efectiva y eficiente. ambiente. En el presente estudio, planificaremos el
gobierno de TI. marco que se alineará con una de las empresas en Indonesia que tiene un alto nivel
de seguridad. El diseño de este marco adoptará normas internacionales marco es COBIT 5. El
diseño debe hacerse para producir efectivos y una gobernanza eficiente para que el uso de la
tecnología de la información. puede ser optimizado [3]
[3] I. K. Nisrina, I. J. Matheus Edward, and W. Shalannanda, “IT governance framework
planning based on COBIT 5 case study: Secured internet service provider company: Case Study:
Secured internet service provider company,” Proc. - ICWT 2016 2nd Int. Conf. Wirel. Telemat.
2016, pp. 51–56, 2017.
GESTIÓN DE LA SEGURIDAD
2. Planes de Seguridad
Seguridad Física y Ambiental
Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del
equipamiento informático que alberga la información de los Sistemas de Información.
Mantenimiento de Equipos
La realización de tareas de mantenimiento preventivo al equipamiento, de acuerdo con los
intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización
formal del Comité de Sistemas.
Controles de Redes
El Área de TIC definirá controles para garantizar la seguridad de la infraestructura de
comunicaciones y los servicios conectados en las redes de la Institución, contra el acceso no
autorizado. Se podrán implementar controles para limitar la capacidad de conexión de los usuarios,
de acuerdo a las políticas que se establecen a tal efecto. Dichos controles se podrán implementar
en los firewalls Se incorporarán controles de ruteo, para asegurar que las conexiones informáticas
y los flujos de información no violen la Política de Control de Accesos. Estos controles
contemplarán mínimamente la verificación positiva de direcciones de origen y destino.
Controles Criptográficos
Para la protección de claves de acceso a sistemas, datos y servicios. Para el resguardo de
información, en el proceso de generación de backups de los sistemas de información.
Correos del Ecuador
Políticas y Procedimientos
Título:
V1.0
RESPONSABILIDADES DEL EMPLEADO
Fecha de aprobación: 1 diciembre 2018 Revisión: Anual
Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información
Actividades prohibidas
Todos los mensajes y comunicación electrónica generados con los equipos provistos
son de propiedad de la empresa.
Acceso a Internet
Debido al costo que este recurso representa se debe asignar y restringir de manera
adecuada para cada usuario según la necesidad comercial o administrativa, sin ser este
usado para entretenimiento de cualquier índole.
Si se detectase un uso indebido del mismo, el usuario será notificado y sancionado según
la falta.
En el caso que sea debido a una infección por virus, se deberá proceder a:
Mecanismos
Capacitaciones continuas al personal, por parte de expertos en seguridad
informática internos / externos
Auditorias para evaluar el correcto cumplimiento de las políticas y del personal.
Identificación y autenticación
Inicio de sesión
Todos los usuarios tendrán su ID de inicio de sesión el cual será validado por un sistema
de control para evitar accesos no autorizados.
Mecanismos
Implementación de un sistema de automatización LDAP (Lightweight Directory
Access Protocol) programado en PHP7 basado en el estandar X.500, llamado
MyRos(My computer Roster)
Mecanismos
Firewalls
Los controladores SDN como Maple, Nettle
Lenguajes de flujo como Flow-Based Management Language (FML), Frenetic y
Pyretic proporcionan formas de expresar políticas de red de alto nivel utilizando
Haskell y Python para gestionar las interacciones SDN dentro del dominio.
Mecanismos
Implementación de servidores con sistemas redundantes de almacenamiento
Instalación y configuración de programa de respaldos agente servidor para
despliegue en la red
Configuración de respaldos remotos en almacenamientos en la nube Amazon
Análisis de información a respaldar por usuario y departamento.
Auditoria para evaluar integridad, seguridad, confidencialidad e integridad de
los datos respaldados locales y remotos.
Mecanismos
Instalación y configuración de Antivirus corporativo Symantec
Despliegue de agentes por la red para una automatización del sistema NIDS
Monitoreo y auditoria de agentes y servidor
Correos del Ecuador
Políticas y Procedimientos
Título: ENCRIPTACION Revisión: Anual
Fecha de aprobación: 1 diciembre 2018 Tecnologías de la información
Fecha de vigencia: 1 diciembre 2018 Revisión: Anual
Encriptación
Los equipos informáticos que accedan a esas aplicaciones web con soporte SSL deberán
tener previamente instalado su certificado para su correcto funcionamiento y
autentificación a ese servicio.
Mecanismos
Instalación y configuración de servicio STEGANOS para la encriptación de
correos, medios extraíbles, vpns, navegación
Monitoreo y auditoria de documentos cifrados con el aplicativo.
Correos del Ecuador
Políticas y Procedimientos
Título: SEGURIDAD DEL EDIFICIO Revisión: Anual
Fecha de aprobación: 1 diciembre 2018 Tecnologías de la información
Fecha de vigencia: 1 diciembre 2018 Revisión: Anual
Política de sanciones
Se impondrán sanciones a todo personal que acceda, altere, elimine, use o divulgue
información crítica o confidencial sin la autorización correspondiente.
Violaciones
Nivel Descripción
1 • Acceder a información que no necesita.
• Facilitar nombre de usuario y contraseña del equipo informático.
• Copiar información sensible sin autorización.
• Cambio de información sensible sin autorización.
• Discutir información sensible con una persona no autorizada.
2 • Segunda violación de Nivel 1.
• Uso de información sensible sin autorización.
• Usar nombre de usuario y contraseña ajenos.
3 • Tercera violación de Nivel 1.
• Segunda violación de Nivel 2.
• Provocar daños intencionados a la información.
• Obtener ganancias personales al facilitar la información a terceros.
[4] İ. M. Taş, B. Uğurdoğan and H. Taş, "Integrating VoIP/UC security into the holistic
information security planning," 2015 23nd Signal Processing and Communications Applications
Conference (SIU), Malatya, 2015, pp. 1002-1005.
[5] D. Port, R. Kazman and A. Takenaka, "Strategic Planning for Information Security and
Assurance," 2008 International Conference on Information Security and Assurance (isa 2008),
Busan, 2008, pp. 466-471.
A Planning-Based Method of Risk Process Modeling for Information Security
Resumen:
Para evaluar el riesgo de seguridad de la información, se propone un enfoque llamado
PISRPMA para modelar el proceso de riesgo de la seguridad de la información. PISRPMA
describe el dominio de riesgo y el problema de riesgo en el lenguaje PDDL, razona todas las
rutas de explotación utilizando algoritmos relativos y crea un Gráfico de Explotación de
Planificación para modelar el proceso de riesgo. El experimento muestra que este método
tiene las características de formalización y escalabilidad, y es una buena solución para el
modelado de procesos de riesgo para la seguridad de la información. [6]
[6] W. Zhen-zhen, W. Xiao-yue, L. Zhong, T. Xu and C. Feng, "A Planning-Based Method of
Risk Process Modeling for Information Security," 2008 International Conference on Advanced
Computer Theory and Engineering, Phuket, 2008, pp. 1010-1014
Referencias
[1] D. Z. Darmawan and Wella, “IT governance evaluation on educational institutions based on
COBIT 5.0 framework,” Proc. 2017 4th Int. Conf. New Media Stud. CONMEDIA 2017, vol.
2018–January, pp. 50–55, 2018.
[2]K. R. P. Harefa and N. Legowo, "The governance measurement of information system using
framework COBIT 5 in Automotive Company," 2017 International Conference on Applied
Computer and Communication Technologies (ComCom), Jakarta, 2017, pp. 1-6.
[3] I. K. Nisrina, I. J. Matheus Edward, and W. Shalannanda, “IT governance framework
planning based on COBIT 5 case study: Secured internet service provider company: Case Study:
Secured internet service provider company,” Proc. - ICWT 2016 2nd Int. Conf. Wirel. Telemat.
2016, pp. 51–56, 2017.
[4] İ. M. Taş, B. Uğurdoğan and H. Taş, "Integrating VoIP/UC security into the holistic
information security planning," 2015 23nd Signal Processing and Communications Applications
Conference (SIU), Malatya, 2015, pp. 1002-1005.
[5] D. Port, R. Kazman and A. Takenaka, "Strategic Planning for Information Security and
Assurance," 2008 International Conference on Information Security and Assurance (isa 2008),
Busan, 2008, pp. 466-471.
[6] W. Zhen-zhen, W. Xiao-yue, L. Zhong, T. Xu and C. Feng, "A Planning-Based Method of
Risk Process Modeling for Information Security," 2008 International Conference on Advanced
Computer Theory and Engineering, Phuket, 2008, pp. 1010-1014