Matrícula: Nombre de la Evidencia de EA4. Propuesta de estrategias y políticas Aprendizaje de seguridad informática
Fecha de entrega: 19 de Marzo de 2020
Nombre del Módulo: Seguridad Informática v1 Nombre del asesor:
Como parte de nuestra formacion como Ingenieros en Gestion de Tecnologias es
importante realizar proyectos que impliquen el desarrollo e implementacion de sistemas y hardware, asi como los diferentes escenarios a los que nos enfretaremos y los planteamientos que debemos hacer para solucionarlos este es un excelente ejercicio para desarrollar este hipotetico caso y echar mano de las herramientas tecnologicas que nos ofrece el mercado, para el Hospital mi propuesta es la siguiente:
1. 1. ¿Qué estrategias o herramientas de seguridad propondrías para el manejo
del sistema de información? Menciona dos y justifica.
Definir con el consejo de administracion del Hospital la integracion de un equipo de
TI para: la generacion del sistema de seguridad en todos los niveles de sistemas y el tener un CISO (chief information security officer) en horario de oficina para la planeacion, mantenimiento y estrategia (s) de seguridad Creacion de usuarios multinivel (dependiendo el rango de responsabiliad y necesidades de uso) bloqueo de acceso a internet solo uso de la intranet para necesidades del sistema (en caso de necesitarse solo con autorizacion mediante consola por el CISO)**(autorizacion via correo para evidencia de solicitud)
1. 2. ¿Qué estrategias o herramientas de seguridad propondrías para evitar la
infección por virus?
el CISO se encargara de garantizar el uso y actualizacion de antivirus en todos los
dispositivos con acceso a la red/servidor la parte de usuario final es la mas importante ya que si no se tiene conciencia acerca de las afectaciones que puede haber al no utilizar bajo los parametros generados (no prestar contraseñas, bloquear equipos al dejar el equipo sin uso personal, reportar anomalias, etc) esto se lograria con capacitacio/cursos programados de manera constante asi como el contaste recordatorio via correo instuticional) 1. 3. ¿Qué estrategias o herramientas de seguridad propondrías para la protección física de los consultorios?
Uso de sistema Cliente-Servidor (fisicos) y que el servidor se encuentre en SITE
con acceso autorizado (biometrico, con chip, tarjeta de identificacion RFID, etc) para el control de entrada-salida Camaras WEB, con acceso por parte del CISO y a quienes el consejo de administracion designe Inventario de equipos con bitacoras de mantenimiento, bajas de equipo, incluye discos duros, memorias RAM, procesadores
1. 4. ¿Qué políticas de seguridad propondrías para preservar la seguridad en
general, basándote en el caso de estudio, en las que incluyas la navegación en internet? Indica cinco y justifica
Uso de correo Institucional unicamente, el depto de TI se encargara de la
administracion (altas,bajas de usuarios) asi como generar contraseñas seguras por software y que estas se reemplazen cada 30 dias Uso de encriptacion de disco duro con acceso por contraseña antes de SO (en caso de robo fisico de HD la informacion encriptada en 128/256 bits no podra ser robada del mismo Bloqueo de puertos USB en todos los equipos que tengan acceso al servidor, solo se podran generar reportes en PDF dependiendo el nivel de usuario instalar un firewall fisico para controlar los ataque externos Backups programados a diario en servidor Contratar algun servicio de respaldo en la nube que garantize la seguridad de la informacion para un segundo respaldo encriptado
al finalizar mi participacion en el foro veo que la mayoria coincidimos en dos rubros:
1.- la inversion en un sistema confiable operado por un depto de TI 2.- la concientizacion de los usuarios finales acerca de los problemas que acarrea un manejo sin proteccion de cualquier sistema ya que esta es lo mas importante lo cual me da gusto el saber que tanto yo como mis compañeros, acompañado de los comentarios del Profesor Cruz Pineda estamos en el camino correcto para cuando estemos trabajando ya en campo hagamos los proyectos y planeaciones de manera adecuada, gracias UVEG!