PLAN DE SEGURIDAD INFORMATICA

AUDITORIA Y SEGURIDAD DE SISTEMAS

CATEDRTICO (A):
ANGELA JIMENEZ GONZALEZ

ALUMNOS:
WILBERT LORENZO SUAREZ ALBERTO DE LA ROSA GONZLEZ CARLOS ENRIQUE MARGALLI PEREZ

INTRODUCCIN

El objetivo de la presente exposicin es establecer una metodologa para la elaboracin del Plan de Seguridad Informtica de cualquier entidad, mediante la descripcin de los controles de seguridad que deben ser implementados, de forma que permita la interpretacin clara y precisa de las polticas, medidas y procedimientos que se definan en la misma, con el objetivo de alcanzar niveles aceptables de seguridad. En la misma se describen los elementos fundamentales que deben ser incluidos en el Plan de Seguridad Informtica de una entidad (contenido) y el modo en que pueden ser estructurados (formato).

Conceptos
Un Sistema de Seguridad Informtica es un conjunto de medios administrativos, medios tcnicos y personal que de manera interrelacionada garantizan niveles de seguridad informtica en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.

El Plan de Seguridad Informtica es la expresin grfica del Sistema de Seguridad Informtica diseado y constituye el documento bsico que establece los principios organizativos y funcionales de la actividad de Seguridad Informtica en una Entidad y recoge claramente las polticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informtico.

Durante el proceso de diseo de un plan de Seguridad Informtica se distinguen tres etapas:

1. Determinar las necesidades de proteccin del sistema informtico objeto de anlisis, que incluye: Caracterizacin del sistema informtico. Identificacin de las amenazas y estimacin de los riesgos. Evaluacin del estado actual de la seguridad.

2. Definir e implementar el plan de seguridad que garantice minimizar los riesgos identificados en la primera etapa.

Definir las polticas de seguridad. Definir las medidas y procedimientos a implementar.

3. Evaluar el sistema de seguridad diseado. Sern confeccionados tantos ejemplares como se determine en cada lugar, numerando las paginas consecutivamente. Contendr las tablas y grficos que se consideren necesarios y contribuyan a su mejor interpretacin. Tendrn acceso a este documento, o a parte de l, las personas que en cada rea requieran de su conocimiento. Se mantendr permanentemente actualizado sobre la base de los cambios que se produzcan en las condiciones que se consideraron durante su elaboracin.

Alcance.
El Alcance expresar el radio de accin que abarca el Plan, de acuerdo al Sistema Informtico objeto de proteccin, para el cual fueron determinados los riesgos y diseado el Sistema de Seguridad.

Caracterizacin del Sistema Informtico.

Se describir el resultado de la caracterizacin realizada al sistema informtico de la entidad, con el objetivo de determinar qu se trata de proteger, especificando sus principales componentes y considerando entre otros:

Bienes informticos, su organizacin e importancia. Redes instaladas, estructura, tipo y plataformas que utilizan. Aplicaciones en explotacin. Servicios informticos y de comunicaciones disponibles, especificando si son en calidad de clientes o servidores. Caractersticas del procesamiento, transmisin y conservacin de la informacin, teniendo en cuenta el flujo interno y externo y los niveles de clasificacin de la misma. Otros datos de inters.

Resultados del Anlisis de Riesgos.

i. Cuales son los activos y recursos ms importantes para la gestin de la entidad y por lo tanto requieren de una atencin especial desde el punto de vista de la proteccin, Que amenazas actan sobre los activos y recursos a proteger y entre ellas cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.

ii.

iii. Cuales son los activos, recursos y reas con un mayor peso de riesgo y que amenazas lo motivan.

Polticas de Seguridad Informtica

En esta seccin se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus caractersticas propias y en conformidad con la poltica vigente en el pas en esta materia y el plan de seguridad diseado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el plan informtico.

Al definir las polticas de Seguridad Informtica se considerarn, entre otros, los aspectos siguientes: El empleo conveniente y seguro de las tecnologas instaladas

El tratamiento que requiere la informacin oficial que se procese

La definicin de los privilegios y derechos de acceso

Los principios que garanticen un efectivo control de acceso

La salva y conservacin de la informacin.

 Los requerimientos de Seguridad Informtica

El mantenimiento, reparacin y traslado de las tecnologas

Las regulaciones con relacin a la certificacin, instalacin y empleo de los Sistemas de Proteccin Electromagntica.
Las regulaciones relacionadas con la certificacin, instalacin y empleo de los Sistemas Criptogrficos, Los principios generales para el tratamiento de incidentes y violaciones

SISTEMA DE SEGURIDAD INFORMATICA En esta seccin se describe cmo se implementan, en las reas a proteger, las polticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de proteccin en cada una de ellas, atendiendo a sus formas de ejecucin, periodicidad, personal participante y medios.

Medios Humanos: Aqu se har referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseo, establecimiento, control, ejecucin y actualizacin del mismo. Medios Tcnicos de Seguridad: Se describirn los medios tcnicos utilizados en funcin de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, as como la configuracin de los mismos. Por ejemplo: Sistemas Operativos y nivel de seguridad instalado Tipo de redes utilizadas y topologa de las mismas Conexiones a redes externas a la entidad Servidores de uso interno y externo

Medidas y Procedimientos de Seguridad Informtica

En esta parte del Plan de seguridad de sistemas se relacionarn las acciones que deben ser realizadas en cada rea especfica por el personal

Las medidas y procedimientos de Seguridad Informtica que de manera especfica sean requeridas en las distintas reas, sern definidas de manera suficientemente clara y precisa, evitando interpretaciones ambiguas por parte de quienes tienen que ejecutarlas y son de obligatorio cumplimiento por las partes implicadas.

Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigida a garantizar un objetivo de seguridad. Algunos procedimientos a considerar son los siguientes:

Otorgar (retirar) el acceso de personas a las tecnologas de informacin y como se controla el mismo.
Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios. Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrnico, Internet) Definir perfiles de trabajo. Autorizacin y control de la entrada/salida de las tecnologas de informacin.

Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composicin, la frecuencia de actualizacin, quin debe cambiarla, su custodia, etc. Realizacin de salva de respaldo, segn el rgimen de trabajo de las reas, de forma que las salvas se mantengan actualizadas.
Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisin de personal responsable. Salva y anlisis de registros o trazas de auditoria, especificando quien lo realiza y con qu frecuencia.

Proteccin fsica. reas con tecnologas instaladas

Se precisarn, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informtica, las reas que se consideran vitales y reservadas en correspondencia con el tipo de informacin que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectacin de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos especficos que se apliquen en cada una.

Tecnologas de Informacin
Se especificarn las medidas y procedimientos de empleo de medios tcnicos de proteccin fsica directamente aplicados a las tecnologas de informacin que por las funciones a que estn destinadas o por las condiciones de trabajo de las reas en que se encuentran ubicadas lo requieran.
Posicin de las tecnologas de informacin destinadas al procesamiento de informacin con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la informacin a distancia, minimice la posibilidad de captacin de las emisiones electromagnticas y garantice un mejor cuidado y conservacin de las mismas.

Medidas y procedimientos para garantizar el control de las tecnologas de informacin existentes, durante su explotacin, conservacin, mantenimiento y traslado.

soportes de informacin
o relacionado con la identificacin de los soportes removibles autorizados a utilizar dentro de la entidad, incluyendo su identificacin fsica y lgica. Las condiciones de conservacin de los soportes, especificando las medidas que garanticen la integridad y confidencialidad de la informacin en ellos recogida.

Las medidas y procedimientos que se establecen para garantizar el borrado o destruccin fsica de la informacin clasificada o limitada contenida en un soporte una vez cumplida su finalidad. Las medidas y procedimientos que se establecen para garantizar la integridad y confidencialidad de la informacin clasificada o limitada durante el traslado de los soportes.

Tcnicas o Lgicas
Se especificarn las medidas y procedimientos de seguridad que se establezcan, cuya implementacin se realice a travs de software, hardware o ambas.

Identificacin de usuarios
Mtodo empleado para la identificacin de los usuarios ante los sistemas, servicios y aplicaciones existentes, especificando:

Como se asignan los identificadores de usuarios.

Si existe una estructura estndar para la conformacin de los identificadores de usuarios. Quien asigna los identificadores de usuarios. Como se eliminan los identificadores de usuarios una vez que concluya la necesidad de su uso y como se garantiza que estos no sean utilizados nuevamente. Proceso de revisin de utilizacin y vigencia de los identificadores de usuarios asignados.

Autenticacin de usuarios. el mtodo de autenticacin empleado para comprobar la identificacin de los usuarios ante los sistemas, servicios y aplicaciones existentes. Cuando se utilice algn dispositivo especfico de autenticacin se describir su forma de empleo. En el caso de empleo de autenticacin simple por medio de contraseas se especificar: Como son asignadas las contraseas. Tipos de contraseas utilizadas (Setup, Protector de pantalla, Aplicaciones, etc.)

Estructura y periodicidad de cambio que se establezca para garantizar la fortaleza de las contraseas utilizadas en los sistemas, servicios y aplicaciones, en correspondencia con el peso de riesgo estimado para los mismos. Causas que motivan el cambio de contraseas antes de que concluya el plazo establecido.

CONTROL DE ACCESO A LOS ACTIVOS Y RECURSOS En esta parte del Plan se describirn las medidas y procedimientos que aseguran el acceso autorizado a los activos de informacin y recursos informticos que requieren la imposicin de restricciones a su empleo, especificando:

A que activos y recursos se le implementan medidas de control de acceso.

Mtodos de control de acceso utilizados. Quien otorga los derechos y privilegios de acceso. A quien se otorgan los derechos y privilegios de acceso. Como se otorgan y suspenden los derechos y privilegios de acceso.

INTEGRIDAD DE LOS FICHEROS Y DATOS medidas y procedimientos establecidos con el fin de evitar la modificacin no autorizada, destruccin y prdida de los ficheros y datos, as como para impedir que sean accedidos pblicamente, especificando:
Medidas de seguridad implementadas a nivel de sistemas operativos, aplicacin o ambos para restringir y controlar el acceso a las bases de datos. Medidas para garantizar la integridad del software y la configuracin de los medios tcnicos. Empleo de medios criptogrficos para la proteccin de ficheros y datos. Medidas y procedimientos establecidos para la proteccin contra virus y otros programas dainos que puedan afectar los sistemas en explotacin

Auditora y Alarmas
Medidas y procedimientos implementados para el registro y anlisis de las trazas de auditora en las redes y sistemas instalados, con el fin de monitorear las acciones que se realicen (acceso a ficheros, dispositivos, empleo de los servicios, etc.), y detectar indicios de hechos relevantes a los efectos de la seguridad que puedan afectar la estabilidad o el funcionamiento del sistema informtico.

En caso de empleo de software especializado, se describirn los procedimientos requeridos.

Se describirn adems las medidas que garanticen la integridad de los mecanismos y registros

Seguridad de operaciones
incluirn las medidas y procedimientos relacionados con los siguientes aspectos:

Identificacin y control de las tecnologas en explotacin.

Control sobre la entrada y salida en la entidad de las ti.

Metodologa establecida para las salvas de la informacin.

Acciones especficas durante las conexiones externas a la entidad.

Autorizar (denegar) servicios a los usuarios. Gestin de las claves de acceso. Mantenimientos de los equipos, soportes y datos. Salva y anlisis de registros o trazas de auditoria.

medidas y procedimientos de neutralizacin y recuperacin ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informtica o degraden su funcionamiento. A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad de ocurrencia en caso de materializarse, as como para la recuperacin de los procesos, servicios o sistemas afectados, precisando en cada caso:

Que acciones se deben realizar. Quin las realiza. En que momento debe realizarlas. Como debe realizarlas. De qu recursos debe disponer.

Bibliografa: Auditoria informtica

Echenique Garca Jos Antonio

Metodologa para la elaboracin del Plan de Seguridad Informtica

Ministerio del Interior Paraguay

Planes de seguridad informtica www.seguinfo.com.ar/politicas/conti ngencia.htm