TEMAS SEMANA 5: a) Seguridad física y lógica b) Seguridad informática como herramienta de control
Lee con atención la siguiente información.
Informática de México, S. A. deC. V. (IMEX) es una empresa con más de 10 años de experiencia colaborando en tareas como:Antivirus, FireWall, VPN, Filtrado de Contenido, AntiSpam, Detección de Intrusos (IDS), Voz por IP, Análisis de Vulnerabilidades, Monitoreo de redes corporativas en tiempo real, Consultoría en Seguridad, Servicio de Instalación y Configuración de Linux desde Cero, Capacitación de Seguridad Lógica, Cursos de diseño de redes, Capacitación de Linux, Capacitación de Virus, Curso de Taller de Virus en Vivo, entre otras tareas. La experiencia de nuestro personal que ha laborado en puestos clave de Auditoria en Seguridad Informática, Administración de Proyectos, Consultoría y Manejo de Áreas de Negocio, nos da el conocimiento superior para realizar tareas como Auditoria Informática, Asesoramiento de Riesgos Informáticos, Pruebas de Intrusión, Análisis Forense, etc. Además de esto, IMEX está especializado en programación de sistemas utilizando tecnologías actuales como PHP, MySQL, HTML dinámico, etc., lo que nos ayuda aproporcionar servicios competitivos en el mercado actual, así como productos de alta calidad. IMEX es una empresa que valora y fomenta las relaciones basadas en honestidad y mutuobeneficio con nuestros clientes. Con esto en mente, nuestro personal siempre va más allá de lo requerido, con el fin de brindar el apoyoque las empresas necesitan, ya que queremos ser sus “Aliados de Negocio”. Con nosotros, usted ha encontrado no solouna empresa seria que le brinda los servicios que requiere, con un alto nivel de calidad; sino también ha encontrado un “socio” con el quepuede contar para todos sus requerimientos de Internet, Desarrollo de Sistemas y más. Los consultores de IMEX están a la vanguardia en esquemas y estados de seguridad, lo cual nos permite eliminar cualquier riesgo localizado en el sistema de seguridad de su empresa una vez que nuestro equipo evalúa la situación e identifica las fuentes de estos. Si existe la amenaza de riesgos o intentos de daño a la información de los clientes, nuestros especialistas en seguridad están capacitados para responder con un paso adelante evitando cualquier pérdida. Debido a que cada uno de los clientes tiene diferentes necesidades, IMEX cuenta con la experiencia para implementar los esquemas de seguridad, realizar penetraciones (pen-test), identificar vulnerabilidades, Sistemas de información empresarial
y normas, y dar la protección global que requiera su empresa de forma personalizada. ¿Cómo puede IMEX garantizar la seguridad de los sistemas de sus clientes? Con base en lo visto en la semana 5 y lo explicado en la Open class, IMEX debe de centrar su servicio en: Realizar políticas y normas de seguridad Trabajar en forma global y conjunta con todos los organismos de seguridad Investigación de nuevas vulnerabilidades Desarrollo de aplicaciones para la autentificación y confiabilidad de la información Proporcionar esquemas de seguridad complejos que faciliten la disponibilidad de la información de los clientes Con estas estrategias IMEX podrá apoyar a sus clientes a tener una correcta seguridad de sistemas de información.
¿Cuál debe ser la función de IMEX para la capacitación del
personal de sus clientes?
Uno de los elementos importantes de la seguridad es la comunicación de la
empresa, por lo que el personal debe tener la capacitación necesaria para garantizar que la seguridad de la empresa sea responsabilidad de todos.
El área de capital humano debe apoyar:
Realizando manuales de funciones, de manera que estén definidos todos los puestos de trabajo y sus correspondientes funciones. Realizando manuales de Procedimientos, de manera que los empleados puedan identificar cuáles son las tareas que deben realizar de acuerdo a su puesto y funciones. Establecer Procedimientos de Acreditación, ya que de lo contrario se pueden tener serios problemas por no haber realizado correctamente las investigaciones de seguridad. Proporcionar un entrenamiento “cruzado” de manera de tener personal de respaldo con la finalidad de solucionar posibles ausencias, ya que la escuela no puede contar con suficiente personal por su economía actual. Sistemas de información empresarial
Definir y publicar formalmente las evaluaciones de rendimiento, en las
cuales se incluya el cumplimiento de todas las políticas de seguridad y las recompensas por apoyar a que la empresa no incurra en incumplimientos.
¿Qué áreas debe cubrir IMEX en la seguridad de sus clientes?
En este aspecto, debemos recordar que existen normas aceptadas mundialmente como la norma AS/NZS ISO/IEC 17799:2001, la cual trata de cubrir la seguridad de una empresa en diez áreas: Políticas de Seguridad, Seguridad Organizacional, Clasificación y Control de Activos, Seguridad del Personal, Seguridad Física y ambiental, Administraciones de las Operaciones y Comunicaciones, Control de accesos, Desarrollo y mantenimiento de Sistemas, Administración de la Continuidad del negocio, Cumplimiento de aspectos legales
Políticas de seguridad IMEX
La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización Documento de Políticas de Seguridad. o Debe ser aprobado por la administración, publicado y comunicado a todos los empleados. Revisión y Evaluación. La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido
¿Qué debe proponer IMEX a sus clientes en cuando a la
seguridad de personal? En la seguridad de personal el objetivo es reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales. Por ello se debe implementar lo siguiente: Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad. Sistemas de información empresarial
El acuerdo de confidencialidad debe hacer notar que la información es
confidencial o secreta. Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales. La regularidad dependerá de la actualización o los cambios que se den en la organización Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes. Los usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.