Caso de Estudio Legislación 21

7/23/2019 Caso de Estudio Legislacin 21

1/41

INSTITUTO TECNOLGICO DETLALNEPANTLA

Ingeniera en tecnologas de informacin com!nicaciones

Caso de Estudio:

Sistema de seguridad de la informacin

"odrigo Galindo GarcaLeonardo Garca Gon#$le#

Alan Orti# Gard!%oDaniel "!i# Tre&o'os( Carlos Sala#ar )ern$nde#

Profesor. Horacio Martnez Lpez

TLALEPATLA !E "A#$ E!%. !E M&'(C% %ctu)re de *+,-


2/41

Diseo y configuracin de una red LAN

!(CE

INTRODUCCIN___________________________________________________________2

1 DEFINICIN DEL PROYECTO__________________________________________3

1.1 Defnicin del problema_________________________________________________31.2 Objetivo General________________________________________________________4

1.3 Objetivos especfcos____________________________________________________4

1.4 Hiptesis_________________________________________________________________4

2 Justifcacin___________________________________________________________4

3 An!isis "# Ri#s$%s & 'u!n#(a)i!i"a"#s______________________________*

Se!ridad en las cone"iones a #nternet._________________________________$

+#$u(i"a" #n !a in,(a#st(uctu(a "# c%-unicaci%n#s.______________/

4 P%!0ticas $#n#(a!#s___________________________________________________/4.1 %iloso&a de las polticas de se!ridad_______________________________12

4.2 'esponsabilidades del !s!ario________________________________________12

4.3 (olticas de se!ridad &sica__________________________________________12

4.4 (olticas de contrase)as______________________________________________14

4.* (olticas del fre+all___________________________________________________1,

4., (olticas de relamentos internos____________________________________1-

4.$ (olticas de c!entas___________________________________________________1-

4.- (olticas de control de acceso________________________________________2* P%!0ticas "# us% a"#cua"%__________________________________________21

*.1 (olticas de respaldos_________________________________________________23

*.2 (olticas de contabilidad del sistema_________________________________24

*.3 (olticas de sitios /0________________________________________________2*

*.4 (olticas para redes inalmbricas____________________________________2,

*.* (olticas de contratacin fnaliacin de relaciones laborales derec!rsos 5!manos en sistemas in&ormticos_______________________________2$

*., (olticas para la colaboracin conj!nta______________________________2-

*.$ 6ct!aliacin de las polticas de se!ridad en cmp!to____________27

*.- (olticas acerca de incidentes de se!ridad raves_________________27

*.7 (olticas del plan de continencias___________________________________31

+anci%n#s____________________________________________________________31

,.1 #8(9080:;6' :


3/41

Diseo y configuracin de una red LAN

,.2 (lan de >apacitacin__________________________________________________34

R#c%-#n"aci%n#s a(a P(##ni( P#("i"a "# Dat%s In,%(-tic%s3*

/ Ca)!#a"% #st(uctu(a"% a(a !%s !a)%(at%(i%s_____________________3

5 T(a)a6%s cita"%s_____________________________________________________3

2


4/41

INT"ODUCCIN

El desarrollo de las tecnologas en la /ltima d0cada 1a dado un impulso nota)le a las

nue2as 3 2ie4as empresas$ las cuales pueden o)tener un gran )eneficio si se da un

)uen uso de ellas$ esto a su 2ez 1ace 5ue la actualizacin 3 proteccin de los sistemas

3


5/41

de informacin sea cada 2ez m6s con2eniente 3 constante 3a 5ue si no se 1ace

e7isten m6s pro)a)ilidades de 5ue el sistema pueda ser 2ctima de procesos de ro)o

de informacin el cual afecta en gran medida al usuario 5ue es el 5ue da la

autorizacin de 5uien pueda 2er la informacin$ modificarla o encapsularla. 8a 5ue el

uso de estos en manos e5ui2ocadas puede repercutir tanto a la integridad fsica como

moral.

El ro)o de informacin o de identidad no distingue g0nero$ nacionalidad$ cultura o

capital$ )asta con 5ue parte de nuestra informacin sea usada de manera maliciosa por

personas a4enas a ella.

Este pro)lema surge principalmente por la gran competencia 5ue e7iste 1o3 en da en

las empresas 5ue cuentan con sistemas de este tipo 5ue guardan la ma3or parte de la

informacin. 8 por lo tanto 1ace 5ue e7istan personas o empresas sin 0tica ni moral5ue con el fin de o)tener 9AAC(AS utilizan diferentes m0todos para o)tener

informacin 3 con ella realizar el ro)o de identidad$ informacin u otros moti2os.

!e)ido a procesos constantes de ro)o de informacin de los alumnos en el instituto

tecnolgico de Tlalnepantla se planea implementar un sistema 5ue contenga

est6ndares de uso legal$ as como normas. Para e2itar ata5ues 5ue com/nmente son

utilizados por personas 5ue se dedican a procesos criptoanaliticos ro)ando informacin

confidencial de instituciones pri2adas o de car6cter p/)lico.

El cual tendr6 un impacto a la sociedad 5ue 1ar6 m6s com/n la pr6ctica de estos

m0todos para dem6s empresas u organizaciones. Al igual fa2orecer6 el desarrollo

tecnolgico 3 el uso de tecnologas actuales. Ha)r6 una disminucin de costos en la

institucin 3a 5ue no 1a)r6 la necesidad de cam)iar constantemente de modelos de

almacenamiento de informacin. Con el uso de tecnologas tanto en el almacenamiento

de informacin 3 seguridad de datos contri)uir6 al poco uso de materiales de origen

am)iental

* DE+INICIN DEL P"O,ECTO

*-* Definicin del .ro/lema

En el instituto se encontraron las siguientes pro)lem6ticas 5ue impiden el )uen

desempeo del usuario.

4


6/41

Mala conecti2idad inal6m)rica de internet E5uipos de cmputo fuera de funcionamiento Ca)leado de red regados en el suelo Sin ser2icio de internet en los e5uipos Suciedad en los e5uipos ;alta de softS9S(? para proteger la informacin 5ue se genera en el tecnolgico$ mediante la

implantacin de controles

*-2 O/&eti1os es.ecficos

Concientizar al personal de la escuela so)re los cuidados 5ue de)en tener so)re los

dispositi2os Mantener la informacin segura 3 pre2enir en caso de siniestros

5


7/41

*-3 )i.tesis

(mplementando el sistema de seguridad propuesto el cual inclu3e un modelado actual$

programas anti@mal


8/41

En el la)oratorio de cmputo no 1a3 e7tinguidores$ ni pararra3os$ por lo tanto de

acuerdo a las polticas de seguridad fsica:

Se instalar6n en todos los edificios donde se encuentren e5uipos de cmputo

e7tinguidores 3 los responsa)les de cada edificio ser6n capacitados para el mane4o de

estos.

Se 1ar6 proteccin e7terna contra ra3os mediante lo siguiente:

Sistemas de captacin >pararra3os o puntas ;ranlin 3 mallas?.

Conductores de )a4ada.

Puesta a tierra.

Proteccin contra so)retensiones.

%tras medidas 5ue minimicen los efectos destructi2os del ra3o >uniones

e5uipotenciales$ apantallamientos$ etc.?

El sistema de ca.tacin tiene por o)4eto interceptar la descarga el0ctrica@atmosf0rica

para conducirla a tierra. Entre los distintos sistemas de captacin normalizados

disponemos dePararraos con Dis.ositi1o de Ce/ado >P!C? o de Sistema de

P!ntas 5allas. Estos productos de)en ser conformes con las ormas o

Beglamentos 2igentes$ tanto nacionales >normas E *,.,D$ ;C ,F.,+*$ Cdigo

T0cnico de la Edificacin SD?$ como internacionales >(EC E *.G+-@,$@*@G$@$ E

-+.,?.,

Beguladores de 2olta4e por las 2ariaciones de 2olta4e

, >ra3o$ *+,G?

7


9/41

Control de acceso

En cuanto a este$ el cuarto donde se encuentran los ser2idores casi cual5uier persona

tiene acceso

Por lo cual a los ser2idores$ solo tendr6n acceso los administradores de la red$ se

tendr6 5ue poner un control para el acceso mediante puertas con c1apas$ solo a los

administradores de la red se le dar6n lla2es.

!esastres naturales

Para asegurar la continuidad del negocio$ es recomenda)le partir de la siguiente

premisa: ISiempre desear lo me4or 3 planear para lo peorI. En un )uen plan e7istendiferentes factores 5ue 1a3 5ue tomar en cuenta. Los m6s importantes son:

El 6r)ol telefnico: para notificar todo el personal cla2e del pro)lema 3 asignarles

tareas enfocadas 1acia el plan de recuperacin.

Beser2as de memoria: sar ser2icios remotos de reser2a se re5uerir6 una

cone7in de reda la posicin remota de reser2a >o (nternet?.

(nstalaciones: teniendo sitios calientes o sitios fros para empresas m6s grandes.

(nstalaciones de recuperacin m2iles est6n tam)i0n disponi)les en muc1os

pro2eedores.

Tra)a4adores con conocimiento. !urante desastre a los empleados se les

re5uiere tra)a4ar 1oras m6s largas 3 m6s agotadoras. !e)e 1a)er un sistema de

apo3o para ali2iar un poco de tensin.

La informacin de negocio. Las reser2as de)en estar almacenadas

completamente separadas de la empresa >Cummings$ Haag 3 *++-

McCu))re3?. La seguridad3 la fia)ilidad de los datos es cla2e en ocasiones

como estas*

* >Hoffer$ *+,+?

8
https://es.wikipedia.org/w/index.php?title=Conexi%C3%B3n_de_red&action=edit&redlink=1https://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Seguridad_inform%C3%A1ticahttps://es.wikipedia.org/w/index.php?title=Conexi%C3%B3n_de_red&action=edit&redlink=1https://es.wikipedia.org/wiki/Internethttps://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica


10/41

Proceso de Becuperacin

Llamar el a)astecedor de soft


11/41

o tienen las especificaciones necesarias de seguridad$ como ale4ado de cargas

electroest6ticas$ cam)ios dr6sticos de alimentacin el0ctrica 3 5ue no opera en lugares

con temperatura adecuada. G

Por lo 5ue se re5uerir6 mo2er los routers a una 1a)itacin con aire acondicionado$

como se mencion anteriormente instalar6n reguladores de 2olta4e para 5ue las

descargas el0ctricas no afecten a estos dispositi2os

=P

La institucin no conta)a con =P$ para accesos remotos$ por lo cual se instalar6n

unos para tener la informacin en otro lugar$ por alg/n siniestro$ p0rdida de informacin3 poderlos recuperar de manera remota

3 Polticas generales

Este documento presenta las polticas de alcance institucional en un acuerdo en el 5ue

se lleg$ 4unto a los directi2os de la (nstitucin para poder crear 3 esta)lecer una

filosofa so)re la postura 5ue en materia de seguridad en cmputo 5ue de)e tener la

institucin respecto a los riesgos 5ue la rodean.

Las polticas definen ciertos lineamientos 5ue esta)lecen un lmite entre lo 5ue est6

permitido a los usuarios dentro de la institucin 3 fuera de ella as como lo 5ue se

encuentra pro1i)ido$ esto es con el propsito de proteger la informacin almacenada en

los sistemas 3 el acceso a 0stos.

Para ello$ se considera 5ue para la institucin$ el principio )6sico de seguridad es: 7Lo

8!e no se .ermite e6.resamente9 est$ .ro:i/ido7-

G >Juintero$ *+,+?

10


12/41

La tecnologa tiene la capacidad para a)rir las puertas a un 2asto mundo de recursos

de informacin$ as como de personas$ a cual5uier estudiante o miem)ro de la

comunidad uni2ersitaria con una cone7in a (nternet. Las oportunidades 5ue se tienen

con esta conecti2idad son casi ilimitadas$ mas no as$ los recursos computacionales 3

de conecti2idad disponi)les.

Este nue2o mundo 2irtual al 5ue se tiene acceso re5uiere de reglas 3 precauciones

para asegurar un uso ptimo 3 correcto de los recursos. En este sentido$ El

departamento de Sistemas 3 Computacin cree firmemente en 5ue el desarrollo de

polticas 5ue sean claras$ )ien entendidas$ 5ue circulen ampliamente$ sean difundidos 3

5ue sean efecti2amente implementadas$ conlle2ar6 a 1acer de la red de cmputo de la;acultad 3 el (nternet un am)iente m6s seguro 3 producti2o para estudiantes 3

miem)ros en general de la comunidad uni2ersitaria.

Las polticas de seguridad son los documentos 5ue descri)en$ principalmente$ la forma

adecuada de uso de los recursos de un sistema de cmputo$ las responsa)ilidades 3

derec1os 5ue tanto usuarios como administradores tienen 3 5u0 1acer ante un

incidente de seguridad.

Mientras las polticas indican el ;8!(


13/41

Actualizar el sistema operati2o.

(nstalar soft)re2es?.

Ser2ir de referencia.

Escritas.

!adas a conocer.

Entendidas por los usuarios.

;irmadas por los usuarios.

Mantenerse actualizadas.

Estar redactadas de manera positi2a.

12


14/41

Homog0neas al emplear los t0rminos.

Considerar a todo el personal.

Las polticas son parte fundamental de cual5uier es5uema de seguridad eficiente.Como administradores$ minimizan los riesgos$ 3 permiten actuar de manera r6pida 3

acertada en caso de 1a)er una emergencia de cmputo.

Como usuarios$ indican la manera adecuada de usar un sistema$ indicando lo 5ue

puede 1acerse 3 lo 5ue de)e e2itarse en un sistema de cmputo$ contri)u3endo a 5ue

no seamos malos 2ecinos de la red sin sa)erlo.

El tener un es5uema de polticas facilita grandemente la introduccin de nue2o

personal$ teniendo 3a una )ase escrita 3 clara para capacitacinN dan una imagen

profesional a la organizacin 3 facilitan una auditora.

Los principales puntos 5ue de)en contener las polticas de seguridad son los

siguientes:

Om)ito de aplicacin.

An6lisis de riesgos.

Enunciados de polticas.

Sanciones.

Seccin de uso 0tico de los recursos de cmputo.

Seccin de procedimientos para el mane4o de incidentes.

9losario de t0rminos.

13


15/41

Al disear un es5uema de polticas de seguridad$ con2iene 5ue se di2ida el tra)a4o en

diferentes polticas de tpico especfico: cuentas$ contraseas$ control de acceso$ uso

adecuado$ respaldos$ correo electrnico$ conta)ilidad del sistema$ seguridad fsica$

etc0tera.

3-* +ilosofa de las .olticas de seg!ridad

La filosofa 5ue se seguir6 para redactar las polticas de seguridad ser6 pro1i)iti2a$ es

decir ;Todo est$ .ro:i/ido a e6ce.cin de lo 8!e est$ es.ecficamente .ermitido('$

indo


24/41

El usuario tendr6 el derec1o a cam)iar su contrasea. &sta

de)e de ser ro)usta$ es decir$ 5ue cumpla con las siguientes

caractersticas.

Tener una e7tensin mnima de caracteres

E2itar el uso de datos personales o informacin pri2ada$

como fec1a de nacimiento$ nom)res$ apellidos$ B;C$

CBP$ direcciones$ n/meros asociados al usuario como

n/meros telefnicos$ numero de tra)a4ador$ n/mero de

cuenta etc0tera.

E2itar el uso de pala)ras contenidas en diccionarios de

cual5uier tipo$ inclu3endo otros idiomas.

La contrasea de)e usar com)inaciones de letras$

n/meros 3 caracteres especiales.

E2itar el uso de una sola contrasea para diferentes

cuentas$ es decir usar una contrasea por cuenta.

Cam)iar la contrasea al menos cada meses.

El usuario podr6 utilizar los ser2icios de sesiones remotas si se

)rinda.

"es.onsa/les=

Cual5uier personal 3 alumnos 5ue est0n registrados dentro del (nstituto Tecnolgico de

Tlalnepantla 3 tenga por lo mismo una cuenta al cual acceder. Con la aclaracin de 5ue

se tomaran cartas en el asunto si se tiene mane4o de una forma incorrecta de las

cuenta.

23


25/41

> Polticas de !so adec!ado

Las polticas de uso acepta)le est6n )asadas en las polticas de seguridad en cmputo

de la ;acultad de (ngeniera$ estas especifican lo 5ue se considera un uso apropiado 3

correcto de los recursos 5ue se asignan a la comunidad 5ue forma parte de la ;acultadde (ngeniera.

Polticas=Us!arios en general=

La e4ecucin 3 utilizacin de soft


26/41

Pueden realizar sus tareas con fines acad0micos 3 asociadas

con los programas acad0micos de la ;acultad de (ngeniera.

Pueden utilizar los ser2icios de (nternet donde se )rinden

siempre 3 cuando slo se 1aga con fines acad0micos.

Pueden utilizar soft!SC?$ 3 las

6reas de (n2estigacin de Seguridad en Cmputo >A(SC?$ son

las autorizadas por el CAC;($ para la realizacin prue)as e

in2estigacin en seguridad inform6tica$ en am)ientes

controlados. El !SC 3 las A(SC de)en solicitar permiso e

informar de dic1as prue)as al CAC;($ para programar el tipo$

lugar$ fec1a 3 1ora de estas. Como re5uisito de)en lle2arse a

ca)o en lugares aislados >redes internas?$ con la finalidad de

e2itar comprometer la operacin de otras 6reas.

El en2o 3 almacenamiento de todo tipo de informacin sensi)le

o de car6cter confidencial de)e contar con las medidas

apropiadas de seguridad para su proteccin.

"es.onsa/les=

Cual5uier personal 3 alumnos 5ue est0n registrados dentro del (nstituto Tecnolgico de

Tlalnepantla 3 tenga por lo mismo una cuenta al cual acceder. Con la aclaracin de 5ue

25


27/41

se tomaran cartas en el asunto si se tiene mane4o de una forma incorrecta de las

cuenta.

>-* Polticas de res.aldos

Especifican la responsa)ilidad 5ue tienen los usuarios so)re 0l mane4o de la

informacin de la 5ue son responsa)les seg/n sean su caso.

Polticas= Us!arios en general=

Es responsa)ilidad del usuario mantener una copia de la

informacin de su cuenta.

Administradores=

El administrador del sistema es el responsa)le de realizar

respaldos de la informacin crtica. Cada treinta das de)e

efectuarse un respaldo completo del sistema 3 2erificar 5ue se

1a3a realizado correctamente.

El administrador del sistema es el responsa)le de restaurar la

informacin.

La informacin respaldada de ser posi)le cifrarse 3

almacenarse en un lugar seguro.

!e)e mantenerse una 2ersin reciente de los arc1i2os m6simportantes del sistema.

En el momento en 5ue la informacin respaldada de4e de ser /til

a la organizacin$ dic1a informacin de)e )orrarse del medio

total 3 permanentemente.

26


28/41

Si alg/n medio 5ue contiene informacin es dado de )a4a o

cam)iado 1acia otra 6rea$ el administrador de)e cerciorarse de

5ue sea )orrada total 3 permanentemente

"es.onsa/les=

Como lo indica la poltica$ el usuario 3 administrados ser6n los responsa)les de poder

1acer respaldos de sus cuentas$ sin alterar de manera ilcita dic1as cuentas.

>-0 Polticas de conta/ilidad del sistema

Esta)lecen los lineamientos )a4o los cuales pueden ser monitoreadas las acti2idades

de los usuarios del sistema de cmputo$ as como la manera en 5ue de)e mane4arse la

conta)ilidad del sistema 3 el propsito de la misma.

Polticas=

El administrador del sistema de)e contar con 1erramientas de

auditora en el sistema.

El administrador o responsa)le puede realizar un monitoreo de

la red en caso de 5ue se presente un incidente de seguridad 3

cuando necesite estadsticas para redisear la red.

El /nico autorizado para realizar monitoreo de la red es el

administrador o el personal 5ue se 1a3a asignado para esa

responsa)ilidad.

El administrador o responsa)le$ as como el departamento de

cmputo$ tienen la autoridad de realizar auditoras internas

cuando estas se re5uieran contando pre2iamente con la

27


29/41

autorizacin del responsa)le$ 4efe directo del departamento o

6rea a la 5ue est6 asociado el administrador.

El departamento de seguridad en cmputo est6 facultado para

la realizar 3 autorizar el uso de 1erramientas de seguridad para

el an6lisis de 2ulnera)ilidades en las redes 3 e5uipos de la

;acultad de (ngeniera para la deteccin de posi)les incidentes

de seguridad. .

>-2 Polticas de sitios E

Las polticas a5u contenidas son lineamientos 5ue se de)en seguir para la operacin

de los sitos


30/41

arc1i2os$ documentos$ programas$ o cual5uier otro tipo de

material de)e contar con permiso e7preso$ acuerdo de

cola)oracin o ser de dominio p/)lico.

"es.onsa/les=

Se asignara a uno o 2arios responsa)les para 5ue este administre de manera correcta

los sitios -3 Polticas .ara redes inal$m/ricas

Pre2iamente a la implementacin de una red inal6m)rica se de)en seguir las siguientes

acciones.

Polticas=

Begistro de la Bed inal6m)rica ante el !epartamento de

seguridad en Computo de la ;(.

Apagar el e5uipo cuando al t0rmino de las acti2idades.

Cam)iar las cla2es por defecto cuando instalemos el softAccess Point? o PA.

Mane4ar una )uena gestin de contraseas.

Cam)iar el SS(! 5ue trae el e5uipo como predeterminado.

Proteccin fsica de los dispositi2os del medio am)iente 3 sus

efectos$ as como de posi)les atacantes.

(nstalacin de las actualizaciones del los PA.

Be2isin de las )it6coras de los PA peridicamente.

29


31/41

tilizar cifrado e2itando en lo posi)le la utilizacin de cifrado con

EP.

"es.onsa/les=

En este caso$ los /nicos responsa)les ser6n los administradores de la red. Ellos se

encargaran de seguir al margen las indicaciones de las polticas esta)lecidas.

>-> Polticas de contratacin finali#acin de relaciones la/orales derec!rsos :!manos en sistemas inform$ticos

Son las normas referentes con la contratacin 3 el t0rmino de las relaciones con el

personal 5ue la)ora para la ;acultad de (ngeniera.

Polticas=

Juedan e7cluidos de ser contratados como administradores de

sistemas o 6reas de seguridad inform6tica a5uellos 5ue 1a3an

tenido responsa)ilidades en incidentes gra2es de seguridad.

Al finalizar una relacin la)oral los administradores o

encargados de sistemas de)er6n entregar todas las cuentas delos sistemas.

Los responsa)les de sistemas de)en cam)iar todas las

contraseas cuando un administrador de su 6rea de4e de

prestar sus ser2icios.

"es.onsa/les=

El 6rea de Becursos Humanos 3 sistemas de la (nstitucin son los responsa)les lle2ar

a ca)o esta la)or$ as como dar de )a4a en el sistema toda informacin 5ue no se

ocupe del personal 5ue 3a no forma parte de la (nstitucin.

30


32/41

>-@ Polticas .ara la cola/oracin con&!nta

El esta)lecer recomendaciones 3 lineamientos para la cola)oracin con4unta entre dos

o m6s la)oratorios$ 6reas$ departamentos$ di2isiones$ facultades u otras

organizaciones.

Polticas=

Es responsa)ilidad del los interesados la realizacin$

super2isin$ implementacin de polticas en el caso de

cola)oracin con4unta.

!e re5uerir el acceso por parte de personal a4eno a los recursos

inform6ticos$ el administrador o responsa)le de)e pro2eer dic1o

ser2icio para garantizar$ re2ocar$ 3 reno2ar estos.

Aplicar el concepto del mnimo pri2ilegio para la implementacin

del acceso a los recursos inform6ticos 5ue se re5uieren.

El personal con el 5ue se cola)ora de)e ser notificado acerca

de las polticas$ reglamentos$ )uenas pr6cticas 3

procedimientos in2olucrados los cuales de)e seguir durante su

estancia.

Al t0rmino de la relacin de cola)oracin el administrador de)e

re2ocar$ )orrar 3 des1a)ilitar las cuentas in2olucradas en dic1a

relacin.

>- Act!ali#acin de las .olticas de seg!ridad en cm.!to

Esta)lece los procedimientos 3 acciones para la re2isin de las polticas de seguridad

con lo 5ue se )usca el me4or apro2ec1amiento de los recursos.

Polticas=

31


33/41

Las polticas de seguridad de)en ser actualizadas 3 re2isadas

en un periodo el cual ser6 estipulado por el CAC;(.

El CAC;( est6 facultado para realizar cam)ios en las polticas

en caso de 5ue se consideren necesarias las cuales ser6n

pu)licados a la )re2edad.

Las recomendaciones$ cam)ios 3 o)ser2aciones 5ue se

presenten a estas polticas podr6n ser presentadas al

departamento de seguridad en cmputo por el administrador a

cargo del 6rea$ estas ser6n analizadas 3 estudiadas antes de

ser presentadas al CAC;(.

>-B Polticas acerca de incidentes de seg!ridad gra1es

Se considera un incidente de seguridad gra2e un e2ento 5ue pone en riesgo la

seguridad de un sistema de cmputo 3 la informacin contenida en ellos.

Polticas=

%)tener pri2ilegios o el control de cuentas del sistema$ sin 5ue

se le 1a3a otorgado e7plcitamente.

Atentar contra la confidencialidad$ integridad 3 confia)ilidad de

los sistemas.

!ifundir$ copiar$ o utilizar informacin confidencial para otro

propsito a4eno al destinado cual est6 destinada.

Cual5uier tipo de ata5ue o intento de e7plotar alguna

2ulnera)ilidad a e5uipos de cmputo.

E4ecucin de cual5uier tipo de programa para o)tener o escalar

pri2ilegios$ informacin$ cuentas de alg/n sistema inclu3endo

32


34/41

cuentas de correo$ ingreso al sistema de manera ilcita 3a sea

de manera local o remota.

En un incidente donde est0 in2olucrado directamente un

administrador de sistema u tra)a4ador del Tecnolgico.

(nfectar intencionalmente un ser2idor con cual5uier tipo de

malcomo son fi)ra ptica$ TP$ S


35/41

de cmputo el cual es responsa)ilidad de ellos el desarrollarlo 3

tenerlo implementado correctamente.

"es.onsa/le=

Se tiene por o)4eto 5ue el responsa)le para tener un plan de contingencia 3 lo apli5ue

sea el encargado de cada departamento definido en la (nstitucin. Teniendo alternati2as

para salir del percance.

@ Sanciones

Acti1idad ilcita

Sancin

Por .rimera 1e#En caso de

"eincidencia

Consumo de alimentos$ )e)idas$

utilizacin de los ser2icios por ocio.

Suspensin de los

ser2icios de cmputo por

un da.

Cancelacin de los

ser2icios por un mes

en todos los

la)oratorios de

cmputo.

tilizar una sesin acti2a a4ena Suspensin por un dasu cuenta.

Suspensin de los

ser2icios por un mes

en todas todos los

la)oratorios de

cmputo.

Acceso con una cuenta diferente a la

propia$ con el permiso del propietario

Suspensin por un mes

de los ser2icios de

cmputo a los

in2olucrados en todas las

6reas de la ;acultad de(ngeniera.

Suspensin a los

in2olucrados de los

ser2icios por un

semestre.

E4ecucin de programas 5ue intenten

o)tener informacin$ pri2ilegios$

cuentas de alg/n sistema inclu3endo

cuentas de correo$ o ingreso al

Suspensin de los

ser2icios por un ao en

todas las 6reas de la

;acultad de (ngeniera.

Cese definiti2o de los

ser2icios de cmputo$

durante toda su

carrera.

34


36/41

sistema de manera ilcita de manera

local o remota.

E4ecucin de 1erramientas para

rastrear 2ulnera)ilidades en sistemasde cmputo dentro de la ;acultad

Suspensin de los






durante toda su

carrera.

Hacer uso de programas 5ue

e7plotan alguna 2ulnera)ilidad del

sistema.

Suspensin de los






durante toda su

carrera.

(nstalacin de soft


37/41

tra)a4ador$ en un incidente menor.

tilizacin de los recursos con fines

diferentes a las funciones de su

plaza en caso de ser empleado

Carta de e7traamiento dirigida al efe de

!i2isin o Secretara.

NOTA

En caso de ro)o 3 dao fsico de e5uipo 3 material de forma intencional$ el responsa)le

tendr6 5ue resarcir los daos.

La carta de e7traamiento la podr6 realizar el 4efe o responsa)le del 6rea afectada.

@-* I5PLE5ENTA" NUE4OS P"OTOCOLOS DE "ED.

En el Tecnolgico de Tlalnepantla se de)er6 implementar un nue2o protocolo de red

5ue consistir6 en:

Bemodelacin de la instalacin del ser2idor de)er6 contar con aire

acondicionado$ respaldo de energa$ e7tintores$ ca)leado de red. Tam)i0n se recomienda cam)iar los ser2idores por uno de me4or procesador con

sistema operati2o Linu7 o indoAlmacenamiento conectado en red?

peridicamente para tener respaldado la informacin en caso de un desastre en el

ser2idor principal

36


38/41

@-0 Plan de Ca.acitacin

!e acuerdo a las polticas generales 3a esta)lecidas por el departamento de sistemas

se capacitar6 tanto a alumnos 3 a personal de tener las de)idas precauciones con los

e5uipos 3 para 5ue se d0 un )uen uso de las instalaciones.

Estos son los principales puntos 5ue se lle2aran a ca)o en el plan de capacitacin.

,. !ar a conocer de manera r6pida 3 general so)re los componentes 5ue e7isten

dentro del la)oratorio$ as como su funcionamiento.*. (mpartir cursos para un )uen mane4o del e5uipo de cmputo as como de la red

instalada.G. !ar a conocer los planes de contingencia en caso de alg/n desastre natural.. (nformar so)re las polticas de seguridad e7istentes dentro del (nstituto

Tecnolgico de Tlalnepantla para 5ue puedan aplicarlas.-. !ar a conocer el reglamento 5ue 1a)r6 dentro de los la)oratorios 5ue de)er6n

seguir los alumnos.

Los cursos de)er6n realizarse mnimo cada * meses para 5ue se tenga el ma3or

conocimiento 3 as e2itar desastres.

Este plan de capacitacin a3udara a 5ue los la)oratorios tengan un ni2el ptimo 3 5ue

los encargados as como profesores 3 alumnos le den un )uen uso 3 de esta forma se

tenga un )uen mane4o 3 la seguridad este al ,++U sin riesgo a ser afectados por alg/n

tipo de contingencia.

37


39/41

"ecomendaciones .ara Pre1enir Perdida de Datos Inform$ticos

Ponemos a la disposicin de los encargados de la seguridad del departamento de

Sistemas del Tecnolgico de Tlalnepantla algunas recomendaciones para proteger lainformacin 3 pre2enir posi)les p0rdidas de datos inform6ticos. Son conse4os f6ciles de

lle2ar a ca)o 3 5ue pueden ser mu3 /tiles en el la)oratorio con dispositi2os 5ue usen

discos duros u otros dispositi2os de almacenamiento.

Pre1enir !na .(rdida de datos inform$ticos

Sit/a los e5uipos en un am)iente seguro: limpio$ fresco$ seco 3 separado de

fuentes 5ue puedan generar campos magn0ticos. Becuerda apagar los e5uipos siguiendo las indicaciones de su sistema operati2o

3 desconectarlo de la red el0ctrica cuando no est0 en uso. Mant0n los e5uipos en la misma posicin >2ertical u 1orizontal? en la 5ue se

formate el disco duro. tiliza un )uen anti2irus 3 procura actualizarlo al menos una 2ez al mes. Actualiza con frecuencia el sistema operati2o. Procura no instalar 3 desinstalar programas de forma indiscriminada. Bealiza regularmente copias de seguridad.

B Ca/leado estr!ct!rado .ara los la/oratorios

,.@ En este caso se )uscar una solucin completa de conecti2idad para los la)oratorios.

na solucin ptima para lograr la conecti2idad de redes a)arca todos los sistemas

5ue 1an sido diseados para conectar$ tender$ administrar e identificar los ca)les en los

sistemas de ca)leado estructurado. El cumplimiento de los est6ndares ser2ir6 para

garantizar el rendimiento 3 confia)ilidad de la nue2a implementacin.

*.@ Planificar teniendo en cuenta el crecimiento futuro dentro de los la)oratorios. La

cantidad de ca)les instalados de)e satisfacer necesidades futuras. Se de)en tener en

cuenta las soluciones de Categora -e$ categora 3 de fi)ra ptica para garantizar 5ue

se satisfagan futuras necesidades. La instalacin de la capa fsica de)e poder

funcionar durante diez aos o m6s.

38


40/41

G.@ Conser2ar la li)ertad de eleccin de pro2eedores. Aun5ue un sistema cerrado 3

propietario puede resultar m6s econmico en un principio$ con el tiempo puede resultar

ser muc1o m6s costoso. Con un sistema pro2isto por un /nico pro2eedor 3 5ue no

cumpla con los est6ndares$ es pro)a)le 5ue m6s tarde sea m6s difcil realizar

traslados$ ampliaciones o modificaciones.

na 2ez instalado se de)en tener en cuenta diferentes aspectos:

Solucin Segura: El ca)leado se encuentra instalado de tal manera 5ue los usuarios

del mismo$ tienen acceso a lo 5ue de)en de tener 3 el resto del ca)leado se encuentra

perfectamente protegido.

@Solucin Longe2a: Cuando se instala un ca)leado estructurado se con2ierte en parte

del edificio$ as como lo es la instalacin el0ctrica$ por tanto este tiene 5ue ser igual defuncional 5ue los dem6s ser2icios del edificio. La gran ma3ora de los ca)leados

estructurados pueden dar ser2icio por un periodo de 1asta *+ aos$ no importando los

a2ances tecnolgicos en las computadoras$ pero a la 2ez teniendo un )uen

mantenimiento del mismo.

@;6cil Administracin: El ca)leado estructurado se di2ide en partes mane4a)les 5ue

permiten 1acerlo confia)le 3 perfectamente administra)le$ pudiendo as detectar fallas 3

repararlas f6cilmente por parte de los encargados de los la)oratorios del (TTLA.

- Concl!siones=

Podemos concluir 5ue la implantacin 5ue se propuso so)re un Sistema de 9estin de

Seguridad de la (nformacin >S9S(? para proteger la informacin 5ue se genera en el

tecnolgico$ nos )asamos principalmente en polticas 5ue fueron creadas 3 analizadas

cuidando cada aspecto importante para el mane4o de controles de la seguridad del

campus$ a su 2ez utilizando algunos M0todos especulati2os como la concientizacin

del personal$ alumnos 3 toda persona 5ue 1aga uso de los e5uipos 3 sistemas

implantados en el tecnolgico.

Con la implantacin de este Sistema de 9estin de seguridad es posi)le disminuir el

impacto de los riesgos en los sistemas 3 e5uipos del tecnolgico utilizando las polticas

39


41/41

3 tam)i0n como se esta)leci un plan de capacitacin a todo personal 3 alumnos del

tecnolgico.

Este Sistema de 9estin de Seguridad de la informacin >S9S(? nos permiti o)tener

una 2isin en forma general 3 glo)al del estado de los sistemas de informacin sin caer

muc1o en detalles t0cnicos$ adem6s de poder o)ser2ar las medidas de seguridad

aplicadas 3 los resultados o)tenidos$ para poder con todos estos elementos tomar

me4ores decisiones estrat0gicas$ lo cual se consigui principalmente con las polticas

5ue se esta)lecieron.

*F Tra/a&os citados

Hern6ndez$ B. >*+++?. Firewalls.Espaa.

Hoffer$ . >** de octu)re de *+,+?. Industry Trend or Event. Becuperado el *G de

no2iem)re de *+,-$ de (ndustr3 Trend or E2ent:

1ttps:es.

Caso de Estudio Legislación 21

Documents

Transcript of Caso de Estudio Legislación 21