Caso de Estudio Legislación 21
Transcript of Caso de Estudio Legislación 21
-
7/23/2019 Caso de Estudio Legislacin 21
1/41
INSTITUTO TECNOLGICO DETLALNEPANTLA
Ingeniera en tecnologas de informacin com!nicaciones
Caso de Estudio:
Sistema de seguridad de la informacin
"odrigo Galindo GarcaLeonardo Garca Gon#$le#
Alan Orti# Gard!%oDaniel "!i# Tre&o'os( Carlos Sala#ar )ern$nde#
Profesor. Horacio Martnez Lpez
TLALEPATLA !E "A#$ E!%. !E M&'(C% %ctu)re de *+,-
-
7/23/2019 Caso de Estudio Legislacin 21
2/41
Diseo y configuracin de una red LAN
!(CE
INTRODUCCIN___________________________________________________________2
1 DEFINICIN DEL PROYECTO__________________________________________3
1.1 Defnicin del problema_________________________________________________31.2 Objetivo General________________________________________________________4
1.3 Objetivos especfcos____________________________________________________4
1.4 Hiptesis_________________________________________________________________4
2 Justifcacin___________________________________________________________4
3 An!isis "# Ri#s$%s & 'u!n#(a)i!i"a"#s______________________________*
Se!ridad en las cone"iones a #nternet._________________________________$
+#$u(i"a" #n !a in,(a#st(uctu(a "# c%-unicaci%n#s.______________/
4 P%!0ticas $#n#(a!#s___________________________________________________/4.1 %iloso&a de las polticas de se!ridad_______________________________12
4.2 'esponsabilidades del !s!ario________________________________________12
4.3 (olticas de se!ridad &sica__________________________________________12
4.4 (olticas de contrase)as______________________________________________14
4.* (olticas del fre+all___________________________________________________1,
4., (olticas de relamentos internos____________________________________1-
4.$ (olticas de c!entas___________________________________________________1-
4.- (olticas de control de acceso________________________________________2* P%!0ticas "# us% a"#cua"%__________________________________________21
*.1 (olticas de respaldos_________________________________________________23
*.2 (olticas de contabilidad del sistema_________________________________24
*.3 (olticas de sitios /0________________________________________________2*
*.4 (olticas para redes inalmbricas____________________________________2,
*.* (olticas de contratacin fnaliacin de relaciones laborales derec!rsos 5!manos en sistemas in&ormticos_______________________________2$
*., (olticas para la colaboracin conj!nta______________________________2-
*.$ 6ct!aliacin de las polticas de se!ridad en cmp!to____________27
*.- (olticas acerca de incidentes de se!ridad raves_________________27
*.7 (olticas del plan de continencias___________________________________31
+anci%n#s____________________________________________________________31
,.1 #8(9080:;6' :
-
7/23/2019 Caso de Estudio Legislacin 21
3/41
Diseo y configuracin de una red LAN
,.2 (lan de >apacitacin__________________________________________________34
R#c%-#n"aci%n#s a(a P(##ni( P#("i"a "# Dat%s In,%(-tic%s3*
/ Ca)!#a"% #st(uctu(a"% a(a !%s !a)%(at%(i%s_____________________3
5 T(a)a6%s cita"%s_____________________________________________________3
2
-
7/23/2019 Caso de Estudio Legislacin 21
4/41
INT"ODUCCIN
El desarrollo de las tecnologas en la /ltima d0cada 1a dado un impulso nota)le a las
nue2as 3 2ie4as empresas$ las cuales pueden o)tener un gran )eneficio si se da un
)uen uso de ellas$ esto a su 2ez 1ace 5ue la actualizacin 3 proteccin de los sistemas
3
-
7/23/2019 Caso de Estudio Legislacin 21
5/41
de informacin sea cada 2ez m6s con2eniente 3 constante 3a 5ue si no se 1ace
e7isten m6s pro)a)ilidades de 5ue el sistema pueda ser 2ctima de procesos de ro)o
de informacin el cual afecta en gran medida al usuario 5ue es el 5ue da la
autorizacin de 5uien pueda 2er la informacin$ modificarla o encapsularla. 8a 5ue el
uso de estos en manos e5ui2ocadas puede repercutir tanto a la integridad fsica como
moral.
El ro)o de informacin o de identidad no distingue g0nero$ nacionalidad$ cultura o
capital$ )asta con 5ue parte de nuestra informacin sea usada de manera maliciosa por
personas a4enas a ella.
Este pro)lema surge principalmente por la gran competencia 5ue e7iste 1o3 en da en
las empresas 5ue cuentan con sistemas de este tipo 5ue guardan la ma3or parte de la
informacin. 8 por lo tanto 1ace 5ue e7istan personas o empresas sin 0tica ni moral5ue con el fin de o)tener 9AAC(AS utilizan diferentes m0todos para o)tener
informacin 3 con ella realizar el ro)o de identidad$ informacin u otros moti2os.
!e)ido a procesos constantes de ro)o de informacin de los alumnos en el instituto
tecnolgico de Tlalnepantla se planea implementar un sistema 5ue contenga
est6ndares de uso legal$ as como normas. Para e2itar ata5ues 5ue com/nmente son
utilizados por personas 5ue se dedican a procesos criptoanaliticos ro)ando informacin
confidencial de instituciones pri2adas o de car6cter p/)lico.
El cual tendr6 un impacto a la sociedad 5ue 1ar6 m6s com/n la pr6ctica de estos
m0todos para dem6s empresas u organizaciones. Al igual fa2orecer6 el desarrollo
tecnolgico 3 el uso de tecnologas actuales. Ha)r6 una disminucin de costos en la
institucin 3a 5ue no 1a)r6 la necesidad de cam)iar constantemente de modelos de
almacenamiento de informacin. Con el uso de tecnologas tanto en el almacenamiento
de informacin 3 seguridad de datos contri)uir6 al poco uso de materiales de origen
am)iental
* DE+INICIN DEL P"O,ECTO
*-* Definicin del .ro/lema
En el instituto se encontraron las siguientes pro)lem6ticas 5ue impiden el )uen
desempeo del usuario.
4
-
7/23/2019 Caso de Estudio Legislacin 21
6/41
Mala conecti2idad inal6m)rica de internet E5uipos de cmputo fuera de funcionamiento Ca)leado de red regados en el suelo Sin ser2icio de internet en los e5uipos Suciedad en los e5uipos ;alta de softS9S(? para proteger la informacin 5ue se genera en el tecnolgico$ mediante la
implantacin de controles
*-2 O/&eti1os es.ecficos
Concientizar al personal de la escuela so)re los cuidados 5ue de)en tener so)re los
dispositi2os Mantener la informacin segura 3 pre2enir en caso de siniestros
5
-
7/23/2019 Caso de Estudio Legislacin 21
7/41
*-3 )i.tesis
(mplementando el sistema de seguridad propuesto el cual inclu3e un modelado actual$
programas anti@mal
-
7/23/2019 Caso de Estudio Legislacin 21
8/41
En el la)oratorio de cmputo no 1a3 e7tinguidores$ ni pararra3os$ por lo tanto de
acuerdo a las polticas de seguridad fsica:
Se instalar6n en todos los edificios donde se encuentren e5uipos de cmputo
e7tinguidores 3 los responsa)les de cada edificio ser6n capacitados para el mane4o de
estos.
Se 1ar6 proteccin e7terna contra ra3os mediante lo siguiente:
Sistemas de captacin >pararra3os o puntas ;ranlin 3 mallas?.
Conductores de )a4ada.
Puesta a tierra.
Proteccin contra so)retensiones.
%tras medidas 5ue minimicen los efectos destructi2os del ra3o >uniones
e5uipotenciales$ apantallamientos$ etc.?
El sistema de ca.tacin tiene por o)4eto interceptar la descarga el0ctrica@atmosf0rica
para conducirla a tierra. Entre los distintos sistemas de captacin normalizados
disponemos dePararraos con Dis.ositi1o de Ce/ado >P!C? o de Sistema de
P!ntas 5allas. Estos productos de)en ser conformes con las ormas o
Beglamentos 2igentes$ tanto nacionales >normas E *,.,D$ ;C ,F.,+*$ Cdigo
T0cnico de la Edificacin SD?$ como internacionales >(EC E *.G+-@,$@*@G$@$ E
-+.,?.,
Beguladores de 2olta4e por las 2ariaciones de 2olta4e
, >ra3o$ *+,G?
7
-
7/23/2019 Caso de Estudio Legislacin 21
9/41
Control de acceso
En cuanto a este$ el cuarto donde se encuentran los ser2idores casi cual5uier persona
tiene acceso
Por lo cual a los ser2idores$ solo tendr6n acceso los administradores de la red$ se
tendr6 5ue poner un control para el acceso mediante puertas con c1apas$ solo a los
administradores de la red se le dar6n lla2es.
!esastres naturales
Para asegurar la continuidad del negocio$ es recomenda)le partir de la siguiente
premisa: ISiempre desear lo me4or 3 planear para lo peorI. En un )uen plan e7istendiferentes factores 5ue 1a3 5ue tomar en cuenta. Los m6s importantes son:
El 6r)ol telefnico: para notificar todo el personal cla2e del pro)lema 3 asignarles
tareas enfocadas 1acia el plan de recuperacin.
Beser2as de memoria: sar ser2icios remotos de reser2a se re5uerir6 una
cone7in de reda la posicin remota de reser2a >o (nternet?.
(nstalaciones: teniendo sitios calientes o sitios fros para empresas m6s grandes.
(nstalaciones de recuperacin m2iles est6n tam)i0n disponi)les en muc1os
pro2eedores.
Tra)a4adores con conocimiento. !urante desastre a los empleados se les
re5uiere tra)a4ar 1oras m6s largas 3 m6s agotadoras. !e)e 1a)er un sistema de
apo3o para ali2iar un poco de tensin.
La informacin de negocio. Las reser2as de)en estar almacenadas
completamente separadas de la empresa >Cummings$ Haag 3 *++-
McCu))re3?. La seguridad3 la fia)ilidad de los datos es cla2e en ocasiones
como estas*
* >Hoffer$ *+,+?
8
https://es.wikipedia.org/w/index.php?title=Conexi%C3%B3n_de_red&action=edit&redlink=1https://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Seguridad_inform%C3%A1ticahttps://es.wikipedia.org/w/index.php?title=Conexi%C3%B3n_de_red&action=edit&redlink=1https://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica -
7/23/2019 Caso de Estudio Legislacin 21
10/41
Proceso de Becuperacin
Llamar el a)astecedor de soft
-
7/23/2019 Caso de Estudio Legislacin 21
11/41
o tienen las especificaciones necesarias de seguridad$ como ale4ado de cargas
electroest6ticas$ cam)ios dr6sticos de alimentacin el0ctrica 3 5ue no opera en lugares
con temperatura adecuada. G
Por lo 5ue se re5uerir6 mo2er los routers a una 1a)itacin con aire acondicionado$
como se mencion anteriormente instalar6n reguladores de 2olta4e para 5ue las
descargas el0ctricas no afecten a estos dispositi2os
=P
La institucin no conta)a con =P$ para accesos remotos$ por lo cual se instalar6n
unos para tener la informacin en otro lugar$ por alg/n siniestro$ p0rdida de informacin3 poderlos recuperar de manera remota
3 Polticas generales
Este documento presenta las polticas de alcance institucional en un acuerdo en el 5ue
se lleg$ 4unto a los directi2os de la (nstitucin para poder crear 3 esta)lecer una
filosofa so)re la postura 5ue en materia de seguridad en cmputo 5ue de)e tener la
institucin respecto a los riesgos 5ue la rodean.
Las polticas definen ciertos lineamientos 5ue esta)lecen un lmite entre lo 5ue est6
permitido a los usuarios dentro de la institucin 3 fuera de ella as como lo 5ue se
encuentra pro1i)ido$ esto es con el propsito de proteger la informacin almacenada en
los sistemas 3 el acceso a 0stos.
Para ello$ se considera 5ue para la institucin$ el principio )6sico de seguridad es: 7Lo
8!e no se .ermite e6.resamente9 est$ .ro:i/ido7-
G >Juintero$ *+,+?
10
-
7/23/2019 Caso de Estudio Legislacin 21
12/41
La tecnologa tiene la capacidad para a)rir las puertas a un 2asto mundo de recursos
de informacin$ as como de personas$ a cual5uier estudiante o miem)ro de la
comunidad uni2ersitaria con una cone7in a (nternet. Las oportunidades 5ue se tienen
con esta conecti2idad son casi ilimitadas$ mas no as$ los recursos computacionales 3
de conecti2idad disponi)les.
Este nue2o mundo 2irtual al 5ue se tiene acceso re5uiere de reglas 3 precauciones
para asegurar un uso ptimo 3 correcto de los recursos. En este sentido$ El
departamento de Sistemas 3 Computacin cree firmemente en 5ue el desarrollo de
polticas 5ue sean claras$ )ien entendidas$ 5ue circulen ampliamente$ sean difundidos 3
5ue sean efecti2amente implementadas$ conlle2ar6 a 1acer de la red de cmputo de la;acultad 3 el (nternet un am)iente m6s seguro 3 producti2o para estudiantes 3
miem)ros en general de la comunidad uni2ersitaria.
Las polticas de seguridad son los documentos 5ue descri)en$ principalmente$ la forma
adecuada de uso de los recursos de un sistema de cmputo$ las responsa)ilidades 3
derec1os 5ue tanto usuarios como administradores tienen 3 5u0 1acer ante un
incidente de seguridad.
Mientras las polticas indican el ;8!(
-
7/23/2019 Caso de Estudio Legislacin 21
13/41
Actualizar el sistema operati2o.
(nstalar soft)re2es?.
Ser2ir de referencia.
Escritas.
!adas a conocer.
Entendidas por los usuarios.
;irmadas por los usuarios.
Mantenerse actualizadas.
Estar redactadas de manera positi2a.
12
-
7/23/2019 Caso de Estudio Legislacin 21
14/41
Homog0neas al emplear los t0rminos.
Considerar a todo el personal.
Las polticas son parte fundamental de cual5uier es5uema de seguridad eficiente.Como administradores$ minimizan los riesgos$ 3 permiten actuar de manera r6pida 3
acertada en caso de 1a)er una emergencia de cmputo.
Como usuarios$ indican la manera adecuada de usar un sistema$ indicando lo 5ue
puede 1acerse 3 lo 5ue de)e e2itarse en un sistema de cmputo$ contri)u3endo a 5ue
no seamos malos 2ecinos de la red sin sa)erlo.
El tener un es5uema de polticas facilita grandemente la introduccin de nue2o
personal$ teniendo 3a una )ase escrita 3 clara para capacitacinN dan una imagen
profesional a la organizacin 3 facilitan una auditora.
Los principales puntos 5ue de)en contener las polticas de seguridad son los
siguientes:
Om)ito de aplicacin.
An6lisis de riesgos.
Enunciados de polticas.
Sanciones.
Seccin de uso 0tico de los recursos de cmputo.
Seccin de procedimientos para el mane4o de incidentes.
9losario de t0rminos.
13
-
7/23/2019 Caso de Estudio Legislacin 21
15/41
Al disear un es5uema de polticas de seguridad$ con2iene 5ue se di2ida el tra)a4o en
diferentes polticas de tpico especfico: cuentas$ contraseas$ control de acceso$ uso
adecuado$ respaldos$ correo electrnico$ conta)ilidad del sistema$ seguridad fsica$
etc0tera.
3-* +ilosofa de las .olticas de seg!ridad
La filosofa 5ue se seguir6 para redactar las polticas de seguridad ser6 pro1i)iti2a$ es
decir ;Todo est$ .ro:i/ido a e6ce.cin de lo 8!e est$ es.ecficamente .ermitido('$
indo
-
7/23/2019 Caso de Estudio Legislacin 21
24/41
El usuario tendr6 el derec1o a cam)iar su contrasea. &sta
de)e de ser ro)usta$ es decir$ 5ue cumpla con las siguientes
caractersticas.
Tener una e7tensin mnima de caracteres
E2itar el uso de datos personales o informacin pri2ada$
como fec1a de nacimiento$ nom)res$ apellidos$ B;C$
CBP$ direcciones$ n/meros asociados al usuario como
n/meros telefnicos$ numero de tra)a4ador$ n/mero de
cuenta etc0tera.
E2itar el uso de pala)ras contenidas en diccionarios de
cual5uier tipo$ inclu3endo otros idiomas.
La contrasea de)e usar com)inaciones de letras$
n/meros 3 caracteres especiales.
E2itar el uso de una sola contrasea para diferentes
cuentas$ es decir usar una contrasea por cuenta.
Cam)iar la contrasea al menos cada meses.
El usuario podr6 utilizar los ser2icios de sesiones remotas si se
)rinda.
"es.onsa/les=
Cual5uier personal 3 alumnos 5ue est0n registrados dentro del (nstituto Tecnolgico de
Tlalnepantla 3 tenga por lo mismo una cuenta al cual acceder. Con la aclaracin de 5ue
se tomaran cartas en el asunto si se tiene mane4o de una forma incorrecta de las
cuenta.
23
-
7/23/2019 Caso de Estudio Legislacin 21
25/41
> Polticas de !so adec!ado
Las polticas de uso acepta)le est6n )asadas en las polticas de seguridad en cmputo
de la ;acultad de (ngeniera$ estas especifican lo 5ue se considera un uso apropiado 3
correcto de los recursos 5ue se asignan a la comunidad 5ue forma parte de la ;acultadde (ngeniera.
Polticas=Us!arios en general=
La e4ecucin 3 utilizacin de soft
-
7/23/2019 Caso de Estudio Legislacin 21
26/41
Pueden realizar sus tareas con fines acad0micos 3 asociadas
con los programas acad0micos de la ;acultad de (ngeniera.
Pueden utilizar los ser2icios de (nternet donde se )rinden
siempre 3 cuando slo se 1aga con fines acad0micos.
Pueden utilizar soft!SC?$ 3 las
6reas de (n2estigacin de Seguridad en Cmputo >A(SC?$ son
las autorizadas por el CAC;($ para la realizacin prue)as e
in2estigacin en seguridad inform6tica$ en am)ientes
controlados. El !SC 3 las A(SC de)en solicitar permiso e
informar de dic1as prue)as al CAC;($ para programar el tipo$
lugar$ fec1a 3 1ora de estas. Como re5uisito de)en lle2arse a
ca)o en lugares aislados >redes internas?$ con la finalidad de
e2itar comprometer la operacin de otras 6reas.
El en2o 3 almacenamiento de todo tipo de informacin sensi)le
o de car6cter confidencial de)e contar con las medidas
apropiadas de seguridad para su proteccin.
"es.onsa/les=
Cual5uier personal 3 alumnos 5ue est0n registrados dentro del (nstituto Tecnolgico de
Tlalnepantla 3 tenga por lo mismo una cuenta al cual acceder. Con la aclaracin de 5ue
25
-
7/23/2019 Caso de Estudio Legislacin 21
27/41
se tomaran cartas en el asunto si se tiene mane4o de una forma incorrecta de las
cuenta.
>-* Polticas de res.aldos
Especifican la responsa)ilidad 5ue tienen los usuarios so)re 0l mane4o de la
informacin de la 5ue son responsa)les seg/n sean su caso.
Polticas= Us!arios en general=
Es responsa)ilidad del usuario mantener una copia de la
informacin de su cuenta.
Administradores=
El administrador del sistema es el responsa)le de realizar
respaldos de la informacin crtica. Cada treinta das de)e
efectuarse un respaldo completo del sistema 3 2erificar 5ue se
1a3a realizado correctamente.
El administrador del sistema es el responsa)le de restaurar la
informacin.
La informacin respaldada de ser posi)le cifrarse 3
almacenarse en un lugar seguro.
!e)e mantenerse una 2ersin reciente de los arc1i2os m6simportantes del sistema.
En el momento en 5ue la informacin respaldada de4e de ser /til
a la organizacin$ dic1a informacin de)e )orrarse del medio
total 3 permanentemente.
26
-
7/23/2019 Caso de Estudio Legislacin 21
28/41
Si alg/n medio 5ue contiene informacin es dado de )a4a o
cam)iado 1acia otra 6rea$ el administrador de)e cerciorarse de
5ue sea )orrada total 3 permanentemente
"es.onsa/les=
Como lo indica la poltica$ el usuario 3 administrados ser6n los responsa)les de poder
1acer respaldos de sus cuentas$ sin alterar de manera ilcita dic1as cuentas.
>-0 Polticas de conta/ilidad del sistema
Esta)lecen los lineamientos )a4o los cuales pueden ser monitoreadas las acti2idades
de los usuarios del sistema de cmputo$ as como la manera en 5ue de)e mane4arse la
conta)ilidad del sistema 3 el propsito de la misma.
Polticas=
El administrador del sistema de)e contar con 1erramientas de
auditora en el sistema.
El administrador o responsa)le puede realizar un monitoreo de
la red en caso de 5ue se presente un incidente de seguridad 3
cuando necesite estadsticas para redisear la red.
El /nico autorizado para realizar monitoreo de la red es el
administrador o el personal 5ue se 1a3a asignado para esa
responsa)ilidad.
El administrador o responsa)le$ as como el departamento de
cmputo$ tienen la autoridad de realizar auditoras internas
cuando estas se re5uieran contando pre2iamente con la
27
-
7/23/2019 Caso de Estudio Legislacin 21
29/41
autorizacin del responsa)le$ 4efe directo del departamento o
6rea a la 5ue est6 asociado el administrador.
El departamento de seguridad en cmputo est6 facultado para
la realizar 3 autorizar el uso de 1erramientas de seguridad para
el an6lisis de 2ulnera)ilidades en las redes 3 e5uipos de la
;acultad de (ngeniera para la deteccin de posi)les incidentes
de seguridad. .
>-2 Polticas de sitios E
Las polticas a5u contenidas son lineamientos 5ue se de)en seguir para la operacin
de los sitos
-
7/23/2019 Caso de Estudio Legislacin 21
30/41
arc1i2os$ documentos$ programas$ o cual5uier otro tipo de
material de)e contar con permiso e7preso$ acuerdo de
cola)oracin o ser de dominio p/)lico.
"es.onsa/les=
Se asignara a uno o 2arios responsa)les para 5ue este administre de manera correcta
los sitios -3 Polticas .ara redes inal$m/ricas
Pre2iamente a la implementacin de una red inal6m)rica se de)en seguir las siguientes
acciones.
Polticas=
Begistro de la Bed inal6m)rica ante el !epartamento de
seguridad en Computo de la ;(.
Apagar el e5uipo cuando al t0rmino de las acti2idades.
Cam)iar las cla2es por defecto cuando instalemos el softAccess Point? o PA.
Mane4ar una )uena gestin de contraseas.
Cam)iar el SS(! 5ue trae el e5uipo como predeterminado.
Proteccin fsica de los dispositi2os del medio am)iente 3 sus
efectos$ as como de posi)les atacantes.
(nstalacin de las actualizaciones del los PA.
Be2isin de las )it6coras de los PA peridicamente.
29
-
7/23/2019 Caso de Estudio Legislacin 21
31/41
tilizar cifrado e2itando en lo posi)le la utilizacin de cifrado con
EP.
"es.onsa/les=
En este caso$ los /nicos responsa)les ser6n los administradores de la red. Ellos se
encargaran de seguir al margen las indicaciones de las polticas esta)lecidas.
>-> Polticas de contratacin finali#acin de relaciones la/orales derec!rsos :!manos en sistemas inform$ticos
Son las normas referentes con la contratacin 3 el t0rmino de las relaciones con el
personal 5ue la)ora para la ;acultad de (ngeniera.
Polticas=
Juedan e7cluidos de ser contratados como administradores de
sistemas o 6reas de seguridad inform6tica a5uellos 5ue 1a3an
tenido responsa)ilidades en incidentes gra2es de seguridad.
Al finalizar una relacin la)oral los administradores o
encargados de sistemas de)er6n entregar todas las cuentas delos sistemas.
Los responsa)les de sistemas de)en cam)iar todas las
contraseas cuando un administrador de su 6rea de4e de
prestar sus ser2icios.
"es.onsa/les=
El 6rea de Becursos Humanos 3 sistemas de la (nstitucin son los responsa)les lle2ar
a ca)o esta la)or$ as como dar de )a4a en el sistema toda informacin 5ue no se
ocupe del personal 5ue 3a no forma parte de la (nstitucin.
30
-
7/23/2019 Caso de Estudio Legislacin 21
32/41
>-@ Polticas .ara la cola/oracin con&!nta
El esta)lecer recomendaciones 3 lineamientos para la cola)oracin con4unta entre dos
o m6s la)oratorios$ 6reas$ departamentos$ di2isiones$ facultades u otras
organizaciones.
Polticas=
Es responsa)ilidad del los interesados la realizacin$
super2isin$ implementacin de polticas en el caso de
cola)oracin con4unta.
!e re5uerir el acceso por parte de personal a4eno a los recursos
inform6ticos$ el administrador o responsa)le de)e pro2eer dic1o
ser2icio para garantizar$ re2ocar$ 3 reno2ar estos.
Aplicar el concepto del mnimo pri2ilegio para la implementacin
del acceso a los recursos inform6ticos 5ue se re5uieren.
El personal con el 5ue se cola)ora de)e ser notificado acerca
de las polticas$ reglamentos$ )uenas pr6cticas 3
procedimientos in2olucrados los cuales de)e seguir durante su
estancia.
Al t0rmino de la relacin de cola)oracin el administrador de)e
re2ocar$ )orrar 3 des1a)ilitar las cuentas in2olucradas en dic1a
relacin.
>- Act!ali#acin de las .olticas de seg!ridad en cm.!to
Esta)lece los procedimientos 3 acciones para la re2isin de las polticas de seguridad
con lo 5ue se )usca el me4or apro2ec1amiento de los recursos.
Polticas=
31
-
7/23/2019 Caso de Estudio Legislacin 21
33/41
Las polticas de seguridad de)en ser actualizadas 3 re2isadas
en un periodo el cual ser6 estipulado por el CAC;(.
El CAC;( est6 facultado para realizar cam)ios en las polticas
en caso de 5ue se consideren necesarias las cuales ser6n
pu)licados a la )re2edad.
Las recomendaciones$ cam)ios 3 o)ser2aciones 5ue se
presenten a estas polticas podr6n ser presentadas al
departamento de seguridad en cmputo por el administrador a
cargo del 6rea$ estas ser6n analizadas 3 estudiadas antes de
ser presentadas al CAC;(.
>-B Polticas acerca de incidentes de seg!ridad gra1es
Se considera un incidente de seguridad gra2e un e2ento 5ue pone en riesgo la
seguridad de un sistema de cmputo 3 la informacin contenida en ellos.
Polticas=
%)tener pri2ilegios o el control de cuentas del sistema$ sin 5ue
se le 1a3a otorgado e7plcitamente.
Atentar contra la confidencialidad$ integridad 3 confia)ilidad de
los sistemas.
!ifundir$ copiar$ o utilizar informacin confidencial para otro
propsito a4eno al destinado cual est6 destinada.
Cual5uier tipo de ata5ue o intento de e7plotar alguna
2ulnera)ilidad a e5uipos de cmputo.
E4ecucin de cual5uier tipo de programa para o)tener o escalar
pri2ilegios$ informacin$ cuentas de alg/n sistema inclu3endo
32
-
7/23/2019 Caso de Estudio Legislacin 21
34/41
cuentas de correo$ ingreso al sistema de manera ilcita 3a sea
de manera local o remota.
En un incidente donde est0 in2olucrado directamente un
administrador de sistema u tra)a4ador del Tecnolgico.
(nfectar intencionalmente un ser2idor con cual5uier tipo de
malcomo son fi)ra ptica$ TP$ S
-
7/23/2019 Caso de Estudio Legislacin 21
35/41
de cmputo el cual es responsa)ilidad de ellos el desarrollarlo 3
tenerlo implementado correctamente.
"es.onsa/le=
Se tiene por o)4eto 5ue el responsa)le para tener un plan de contingencia 3 lo apli5ue
sea el encargado de cada departamento definido en la (nstitucin. Teniendo alternati2as
para salir del percance.
@ Sanciones
Acti1idad ilcita
Sancin
Por .rimera 1e#En caso de
"eincidencia
Consumo de alimentos$ )e)idas$
utilizacin de los ser2icios por ocio.
Suspensin de los
ser2icios de cmputo por
un da.
Cancelacin de los
ser2icios por un mes
en todos los
la)oratorios de
cmputo.
tilizar una sesin acti2a a4ena Suspensin por un dasu cuenta.
Suspensin de los
ser2icios por un mes
en todas todos los
la)oratorios de
cmputo.
Acceso con una cuenta diferente a la
propia$ con el permiso del propietario
Suspensin por un mes
de los ser2icios de
cmputo a los
in2olucrados en todas las
6reas de la ;acultad de(ngeniera.
Suspensin a los
in2olucrados de los
ser2icios por un
semestre.
E4ecucin de programas 5ue intenten
o)tener informacin$ pri2ilegios$
cuentas de alg/n sistema inclu3endo
cuentas de correo$ o ingreso al
Suspensin de los
ser2icios por un ao en
todas las 6reas de la
;acultad de (ngeniera.
Cese definiti2o de los
ser2icios de cmputo$
durante toda su
carrera.
34
-
7/23/2019 Caso de Estudio Legislacin 21
36/41
sistema de manera ilcita de manera
local o remota.
E4ecucin de 1erramientas para
rastrear 2ulnera)ilidades en sistemasde cmputo dentro de la ;acultad
Suspensin de los
ser2icios por un ao en
todas las 6reas de la
;acultad de (ngeniera.
Cese definiti2o de los
ser2icios de cmputo$
durante toda su
carrera.
Hacer uso de programas 5ue
e7plotan alguna 2ulnera)ilidad del
sistema.
Suspensin de los
ser2icios por un ao en
todas las 6reas de la
;acultad de (ngeniera.
Cese definiti2o de los
ser2icios de cmputo$
durante toda su
carrera.
(nstalacin de soft
-
7/23/2019 Caso de Estudio Legislacin 21
37/41
tra)a4ador$ en un incidente menor.
tilizacin de los recursos con fines
diferentes a las funciones de su
plaza en caso de ser empleado
Carta de e7traamiento dirigida al efe de
!i2isin o Secretara.
NOTA
En caso de ro)o 3 dao fsico de e5uipo 3 material de forma intencional$ el responsa)le
tendr6 5ue resarcir los daos.
La carta de e7traamiento la podr6 realizar el 4efe o responsa)le del 6rea afectada.
@-* I5PLE5ENTA" NUE4OS P"OTOCOLOS DE "ED.
En el Tecnolgico de Tlalnepantla se de)er6 implementar un nue2o protocolo de red
5ue consistir6 en:
Bemodelacin de la instalacin del ser2idor de)er6 contar con aire
acondicionado$ respaldo de energa$ e7tintores$ ca)leado de red. Tam)i0n se recomienda cam)iar los ser2idores por uno de me4or procesador con
sistema operati2o Linu7 o indoAlmacenamiento conectado en red?
peridicamente para tener respaldado la informacin en caso de un desastre en el
ser2idor principal
36
-
7/23/2019 Caso de Estudio Legislacin 21
38/41
@-0 Plan de Ca.acitacin
!e acuerdo a las polticas generales 3a esta)lecidas por el departamento de sistemas
se capacitar6 tanto a alumnos 3 a personal de tener las de)idas precauciones con los
e5uipos 3 para 5ue se d0 un )uen uso de las instalaciones.
Estos son los principales puntos 5ue se lle2aran a ca)o en el plan de capacitacin.
,. !ar a conocer de manera r6pida 3 general so)re los componentes 5ue e7isten
dentro del la)oratorio$ as como su funcionamiento.*. (mpartir cursos para un )uen mane4o del e5uipo de cmputo as como de la red
instalada.G. !ar a conocer los planes de contingencia en caso de alg/n desastre natural.. (nformar so)re las polticas de seguridad e7istentes dentro del (nstituto
Tecnolgico de Tlalnepantla para 5ue puedan aplicarlas.-. !ar a conocer el reglamento 5ue 1a)r6 dentro de los la)oratorios 5ue de)er6n
seguir los alumnos.
Los cursos de)er6n realizarse mnimo cada * meses para 5ue se tenga el ma3or
conocimiento 3 as e2itar desastres.
Este plan de capacitacin a3udara a 5ue los la)oratorios tengan un ni2el ptimo 3 5ue
los encargados as como profesores 3 alumnos le den un )uen uso 3 de esta forma se
tenga un )uen mane4o 3 la seguridad este al ,++U sin riesgo a ser afectados por alg/n
tipo de contingencia.
37
-
7/23/2019 Caso de Estudio Legislacin 21
39/41
"ecomendaciones .ara Pre1enir Perdida de Datos Inform$ticos
Ponemos a la disposicin de los encargados de la seguridad del departamento de
Sistemas del Tecnolgico de Tlalnepantla algunas recomendaciones para proteger lainformacin 3 pre2enir posi)les p0rdidas de datos inform6ticos. Son conse4os f6ciles de
lle2ar a ca)o 3 5ue pueden ser mu3 /tiles en el la)oratorio con dispositi2os 5ue usen
discos duros u otros dispositi2os de almacenamiento.
Pre1enir !na .(rdida de datos inform$ticos
Sit/a los e5uipos en un am)iente seguro: limpio$ fresco$ seco 3 separado de
fuentes 5ue puedan generar campos magn0ticos. Becuerda apagar los e5uipos siguiendo las indicaciones de su sistema operati2o
3 desconectarlo de la red el0ctrica cuando no est0 en uso. Mant0n los e5uipos en la misma posicin >2ertical u 1orizontal? en la 5ue se
formate el disco duro. tiliza un )uen anti2irus 3 procura actualizarlo al menos una 2ez al mes. Actualiza con frecuencia el sistema operati2o. Procura no instalar 3 desinstalar programas de forma indiscriminada. Bealiza regularmente copias de seguridad.
B Ca/leado estr!ct!rado .ara los la/oratorios
,.@ En este caso se )uscar una solucin completa de conecti2idad para los la)oratorios.
na solucin ptima para lograr la conecti2idad de redes a)arca todos los sistemas
5ue 1an sido diseados para conectar$ tender$ administrar e identificar los ca)les en los
sistemas de ca)leado estructurado. El cumplimiento de los est6ndares ser2ir6 para
garantizar el rendimiento 3 confia)ilidad de la nue2a implementacin.
*.@ Planificar teniendo en cuenta el crecimiento futuro dentro de los la)oratorios. La
cantidad de ca)les instalados de)e satisfacer necesidades futuras. Se de)en tener en
cuenta las soluciones de Categora -e$ categora 3 de fi)ra ptica para garantizar 5ue
se satisfagan futuras necesidades. La instalacin de la capa fsica de)e poder
funcionar durante diez aos o m6s.
38
-
7/23/2019 Caso de Estudio Legislacin 21
40/41
G.@ Conser2ar la li)ertad de eleccin de pro2eedores. Aun5ue un sistema cerrado 3
propietario puede resultar m6s econmico en un principio$ con el tiempo puede resultar
ser muc1o m6s costoso. Con un sistema pro2isto por un /nico pro2eedor 3 5ue no
cumpla con los est6ndares$ es pro)a)le 5ue m6s tarde sea m6s difcil realizar
traslados$ ampliaciones o modificaciones.
na 2ez instalado se de)en tener en cuenta diferentes aspectos:
Solucin Segura: El ca)leado se encuentra instalado de tal manera 5ue los usuarios
del mismo$ tienen acceso a lo 5ue de)en de tener 3 el resto del ca)leado se encuentra
perfectamente protegido.
@Solucin Longe2a: Cuando se instala un ca)leado estructurado se con2ierte en parte
del edificio$ as como lo es la instalacin el0ctrica$ por tanto este tiene 5ue ser igual defuncional 5ue los dem6s ser2icios del edificio. La gran ma3ora de los ca)leados
estructurados pueden dar ser2icio por un periodo de 1asta *+ aos$ no importando los
a2ances tecnolgicos en las computadoras$ pero a la 2ez teniendo un )uen
mantenimiento del mismo.
@;6cil Administracin: El ca)leado estructurado se di2ide en partes mane4a)les 5ue
permiten 1acerlo confia)le 3 perfectamente administra)le$ pudiendo as detectar fallas 3
repararlas f6cilmente por parte de los encargados de los la)oratorios del (TTLA.
- Concl!siones=
Podemos concluir 5ue la implantacin 5ue se propuso so)re un Sistema de 9estin de
Seguridad de la (nformacin >S9S(? para proteger la informacin 5ue se genera en el
tecnolgico$ nos )asamos principalmente en polticas 5ue fueron creadas 3 analizadas
cuidando cada aspecto importante para el mane4o de controles de la seguridad del
campus$ a su 2ez utilizando algunos M0todos especulati2os como la concientizacin
del personal$ alumnos 3 toda persona 5ue 1aga uso de los e5uipos 3 sistemas
implantados en el tecnolgico.
Con la implantacin de este Sistema de 9estin de seguridad es posi)le disminuir el
impacto de los riesgos en los sistemas 3 e5uipos del tecnolgico utilizando las polticas
39
-
7/23/2019 Caso de Estudio Legislacin 21
41/41
3 tam)i0n como se esta)leci un plan de capacitacin a todo personal 3 alumnos del
tecnolgico.
Este Sistema de 9estin de Seguridad de la informacin >S9S(? nos permiti o)tener
una 2isin en forma general 3 glo)al del estado de los sistemas de informacin sin caer
muc1o en detalles t0cnicos$ adem6s de poder o)ser2ar las medidas de seguridad
aplicadas 3 los resultados o)tenidos$ para poder con todos estos elementos tomar
me4ores decisiones estrat0gicas$ lo cual se consigui principalmente con las polticas
5ue se esta)lecieron.
*F Tra/a&os citados
Hern6ndez$ B. >*+++?. Firewalls.Espaa.
Hoffer$ . >** de octu)re de *+,+?. Industry Trend or Event. Becuperado el *G de
no2iem)re de *+,-$ de (ndustr3 Trend or E2ent:
1ttps:es.