Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

53
Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica

Transcript of Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Page 1: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Evaluación de sistemas de cómputoTemas IX.

Seguridad Física y Lógica

Page 2: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

IX. Seguridad Física y lógica

Evaluación de selección

Definición de seguridad Antecedentes Objetivos de la seguridad Responsabilidad en el manejo de información Atributos de la información Principales funciones de la seguridad La información Controles básicos Diseño de seguridad

Page 3: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

En algunos casos se requiere comprar software, hardware y equipo de oficina especializado para mantener la seguridad lógica y física de los datos. Esto genera un costo el cual se debe calcular y contemplar en este análisis

Definición Seguridad física y lógica

Page 4: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

La siguiente información no es exhaustiva, sólo pretende dar una idea general de conceptos de seguridad.

La seguridad es la tranquilidad que se tiene de que nada malo va a pasar.

Para lograr esta tranquilidad se deben establecer varios mecanismos.

La seguridad física corresponde la implantación de mecanismo que protegen los recursos materiales (edificios, equipo de computo, personal, etc.)

La seguridad logia corresponde la implantación de mecanismos que protegen los recursos no materiales como los datos, la información, etc. La responsabilidad de esta seguridad recae principalmente en el sistema operativo y en el software.

Definición Seguridad física y lógica

Page 5: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Definición

Seguridad Calidad de seguro.

Libre de todo daño.

Que no admite duda o error

Firme, estable.

Garantía que da una

persona a otra de que

cumplirá con algo.

Seguridad

informáticaLa calidad de un sistema de computo involucra suprotección contra un sin

número de fallas y errores. Además de siniestros, robos y

sabotajes.

Nivel Organizacional

Unidad que define y

orienta políticas,

normas y

procedimientos

Page 6: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Definición de Seguridad

SEGURIDAD POR HARDWARE

* SEGURIDAD CONTRA DESASTRE

* SEGURIDAD CONTRA INTRUSOS

SEGURIDAD DE SOFTWARE

* SEGURIDAD PARA ACCESAR

IDENTIFICADOR DEL USUARIO(PASSWORD)

* SEGURIDAD EN LA MEMORIA

DISPONIBILIDAD DE LOS ARCHIVOS - COPIAS DE SEGURIDAD - ARCHIVOS LOGPRIVACIDAD DE LOS ARCHIVOS

Page 7: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Antecedentes

Información

Decisión

Seguridad de la Información = Protección de Activos

•Gente

•Datos

•Software

•Hardware

Mayor

Automatización

Mayor

Dependencia

Mayor

Riesgo

Page 8: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Antecedentes

Resultados de encuestas

5% 11%

79%

5%

Mucho Mas o Menos No Conozco No Opinó

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000

La seguridad en México

Page 9: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Se están

Desarrollando

47%

Completamente Desarrollados

0%

No Existen

53%

Antecedentes

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000

¿Cuál es el nivel de desarrollo

de estándares de seguridad

de informática en México?

Page 10: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Antecedentes

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000

¿Cuál es el grado de

formalización de la función

de seguridad Informática?

Informal

47%Formal

48%

No

Implementada

5%

Page 11: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Por Actos

Origen Interno

76%

externos24%

Ataques a la organización

Es la Administración

y protección de los

recursos cómputo

Establece los controles paradisminuir los

riesgosSu objetivo es elproteger el patrimonio

informático

Seguridad

¿Quién fue?

Ataques

Page 12: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Objetivos de la seguridad

Es la Administración

y protección de los

recursos cómputo

Su objetivo es el

proteger el patrimonio

informático

Establece los

controles para

disminuir los

riesgos

Page 13: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Objetivos de la seguridad

Es el de reducir el impacto de un fenómeno que pueda causar perdidas

económicas y que deberá encontrarse en posibilidades de recuperación

a un mínimo nivel aceptable, a un costo razonable y asegurando la

adecuada estabilización de la operatividad.

Page 14: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Objetivos de la seguridad

Asegurar la integridad y exactitud de los datos.

Proteger la confidencialidad y exactitud de los datos.

Proteger y conservar los activos de la organización fuera

del alcance de riesgos, de desastres naturales o actos

mal intencionados.

Asegurar la capacidad de supervivencia de la

organización ante eventos que pongan en peligro su

existencia.

Proveer el ambiente que asegure el manejo adecuado de

los datos sustantivos.

Page 15: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la Información.

POR NIVEL DE CONFIDENCIALIDAD

• PUBLICA PUBLICA

• INTERNAINTERNA

• CONFIDENCIALCONFIDENCIAL

• RESTRINGIDARESTRINGIDA

• NO CRITICANO CRITICA

• NECESARIANECESARIA

• VITALVITAL

Page 16: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la Información.

PUBLICAPUBLICA

Que puede circular fuera de la organización y que no necesita modificarse para ofrecerse a los clientes o accionistas.

Nivel de riesgo: ninguno

Ejemplo:

Folletos publicitarios

Boletines de prensa

Tipos de cambio

Tasas de interés

INTERNAINTERNA

Circula dentro de la organización. Su divulgación, modificación o destrucción no autorizada podría tener un impacto significativo en la organización, en cualquier cliente o empleado. No requiere protección especial a menos que se quieran prevenir intentos externos de divulgación.

Nivel de riesgo: medio o bajo

Ejemplo:

Manuales administrativos

Memos entre oficinas

Reglamento interno de trabajo

Page 17: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la Información.CONFIDENCIALCONFIDENCIAL

Se usa dentro de la organización. Su divulgación, modificación o destrucción no autorizada podría afectar a la propia organización, clientes y empleados.

Nivel de riesgo: medio o bajo

Ejemplo:

Registros de empleos

Planes de salarios

Información de clientes

Manuales de referencia al sistema y procedimientos

RESTRINGIDARESTRINGIDA

Sirve a la organización para su posicionamiento en el mercado y solo puede ser conocida por un grupo muy pequeño. Su divulgación, modificación o destrucción puede ocasionar perdidas económicas y poner en desventaja competitiva a la organización.

Nivel de riesgo: alto

Ejemplo:Passwords para transferencia de dinero

Características de productos y/o servicios en desarrollo

Diseños de campañas publicitarias

Información acerca de adquisiciones u otras actividades del

Mercado de capitales

Page 18: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la Información.

NO CRITICANO CRITICA

Soporta servicios/procesos que pueden ser interrumpidos por un periodo largo de tiempo.

La actualización de la información desde el punto en que fue interrumpida puede ser:

A. De bajo costo o sin costo.

B. De bajo consumo de tiempo o sin gasto de tiempo.

C. Una combinación de ambas.

Nivel de riesgo: bajo

NECESARIANECESARIA

Soporta servicios/procesos que pueden ser ejecutados por medios manuales con dificultad, pero a un costo tolerable y por un periodo largo de tiempo.

La actualización de la información, una vez que se vuelve a condiciones normales de operación, puede requerir recursos considerables.

Nivel de riesgo: bajo

Page 19: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la Información

VitalVital

Soporta servicio/procesos que pueden ser ejecutados por medios manuales, o por periodos muy cortos de tiempo.

Puede existir una tolerancia intermedia de interrupción entre los necesarios y los críticos.

Una suspensión corta de procesamiento puede ser tolerada, sin embargo, aumentara considerablemente el esfuerzo que será necesario para actualizar los datos desde el momento en que se interrumpieron.

Nivel de riesgo: alto moderado

Page 20: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Medios y formas en que se maneja la información

GRABADA-CINTAS-CARTUCHOS-DISQUETES-COMPAC DISC-DISCOS DUROS-CASSETTES-VIDEOCASSETTES

ORAL-CONFERENCIAS-JUNTAS-EXPOSICIONES-REUNIONES-VIA TELEFONICA-PLATICA INFORMAL

ESCRITA-PAPEL-REPORTES-MICROFICHAS-ACETATOS

TECNOLOGIA PORTATIL

-FAX-FOTOCOPIADO-DIGITALIZADA-CELULARES-BIPERS

Page 21: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Minimizar los riegos de quebrantos y fraudes.

Proteger la información de acuerdo a su importancia y valor.

Asegurar que siempre se incorporen en los proyectos y procedimientos las normas, medidas y procedimientos de prevención y seguridad.

Investigar administrativamente hechos dolosos .

Sancionar conforme a la normatividad interna y al marco jurídico,las acciones dolosas y negligentes de su personal.

Realizar diagnóstico de riesgos y proponer acciones de solución.

Principales funciones de la seguridad

Page 22: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Identificar necesidades y problemática, que afecten de manera general la seguridad de la información.

Definir políticas y procedimientos generales de seguridad informática.

Orientar y dar seguimiento a estrategias y planes de seguridad

Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y liberaciones, en forma conjunta con el auditor en informática (socios del control).

Concientizar y difundir los conceptos de seguridad, en toda la empresa.

Crear un proceso de evaluación y justificación para todos los proyectos de inversión de informática.

Participar en la creación de los planes informáticos institucionales mediante la revisión, adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada área.

Principales Funciones

Page 23: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Lineamientos para el desarrollo de la función de seguridad en informática

• Definición de una política de seguridad

• Aspectos administrativos (pólizas de seguros)

• El control para mantenimiento preventivo y correctivo de los equipos (contratos)

• Deben incluir todos los recursos informáticos, proteger datos, equipo, tecnología y usuarios.

• Establecer una política que impulse al desarrollo de la seguridad.

• Establecer un análisis costo-beneficio sobre controles de seguridad antes de ser instalados.

Page 24: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Definición de Políticas de Seguridad

Estas deben contemplar

• La prevención del rezago administrativo en tiempo y costo por el mal manejo de la tecnología de punta.

• Concientizar la necesidad permanente de aplicar la seguridad en informática.

• Apoyarse en estándares nacionales e internacionales.

• Difundir formalmente los planes de seguridad en informática.

• Evaluar periódicamente el nivel de cumplimiento de la ejecución.

• Actualizar de manera oportuna las políticas de seguridad implantadas.

Page 25: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Nombrar una persona responsable del programa.

Asegurarse de que los gerentes entiendan de que son

responsables de la protección de los activos de su

propia área.

Desarrollar una estrategia.

Anunciar el programa

Tip´s para la Implementación del programa de Tip´s para la Implementación del programa de seguridad informáticaseguridad informática

Page 26: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Estrategia de SeguridadIdentificación

de usuarios

Definición de accesos y facultades

Personalización

de usuarios

Activación y monitoreo de

bitácoras

•Nombre.•No. Nómina.•Ubicación, ext.•Departamento.•Sistema responsable.•Ip/address.

Acceso a :•Volúmenes.•Subvolúmenes•Utilerías•Programas

•De acuerdo a estándar definido.

•Seguimiento a eventos relevantes de seguridad.

Mantenimiento a usuarios

•Bajas.•Cambios. •Modificaciones.

Page 27: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Controles básicos de seguridad informática

Planear y desarrollar políticas, procedimientos, estándares y lineamientos de seguridad informática.

Establecer un programa de capacitación para dar a conocer aspectos de seguridad informática.

Establecer y definir procedimientos para el manejo de la información y un código de ética.

Obtener respaldo y soporte de la alta dirección y de todos los niveles gerenciales.

A. Politicas y concientización

Page 28: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Apoyar el fortalecimiento de las medidas de seguridad en la

información a través del establecimiento de un programa de

concientización y sensibilización, que permita el conocimiento

y desarrollo de las actividades del personal de la empresa o

entidad.

Lograr una cultura de seguridad de la información a nivel

corporativo que permita fortalecer la confidencialidad,

integridad, disponibilidad y auditabilidad de la información.

Hacer del conocimiento del personal los medios y controles

que permitan por medio de su implantación una disminución de

los riesgos.

Controles básicos de Seguridad Informática

Page 29: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Debe de establecerse la función de seguridad informática corporativa.

Deben de establecerse políticas y procedimientos internos donde se definan los conceptos de propietarios de la información y sus responsabilidades.

Establecer coordinadores y administradores de seguridad informática (custodios).

Tener claramente identificados a todos los usuarios de la información.

B. Responsabilidades de la organización

Controles básicos de seguridad informática

Page 30: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Conjuntamente con el área de organización, incluir en las descripciones de puestos, contratos de trabajo conceptos de seguridad informática.

Establecer el comité directivo de seguridad informática.

Conformar y capacitar al staff de seguridad informática

Controles Básicos de Seguridad Informática

Page 31: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Manejar contratos internos de confidencialidad para todo el personal.

Incluir en contratos con proveedores y/o servicios profesionales,cláusulas de confidencialidad y propiedad de la información.

Realizar todos los resguardos necesarios que aseguren los activos informáticos.

C. Resguardos, contratos y convenios

Controles Básicos de Seguridad Informática

Page 32: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Definir principios para realizar auditorías y revisiones de seguridad informática.

Coordinarse con el área de auditoría en informática para realizar revisiones (socios del control).

Desarrollar todo un programa para la administración de riesgos.

Formalizar la generación y tratamiento de reportes de pérdidas y análisis de riesgos.

D. Auditoria de seguridad informática, revisiones y administración de riesgos

Controles Básicos de Seguridad Informática

Page 33: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Establecer políticas y procedimientos sobre todos los aspectos de seguridad física de los recursos informáticos (ubicación, construcción, acceso físico, soporte ambiental, etcétera)

Definir e implementar mecanismos de respaldos de información.

Definir controles de acceso físico y cerraduras, medios intercambiables y tecnología portátil.

E. Seguridad física

Controles Básicos de Seguridad Informática

Page 34: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Preservar la confidencialidad de los datos que pasan a través de cualquier canal de comunicación.

Asegurar que el mensaje permanezca inalterado durante su transmisión.

Verificar que existan los controles para probar que un mensaje transmitido ha recibido exitosamente.

Control de acceso a los componentes y recursos de la red.

En general los controles fundamentales de seguridad son: de integridad, de autenticidad, de confirmación, de confidencialidad, de auditoría y de control de acceso.

F. Seguridad en redes y comunicaciones

Controles Básicos de Seguridad Informática

Page 35: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Establecimiento de políticas y procedimientos de seguridad en las conexiones y para compartir recursos.

Implementar en la metodología de desarrollo de sistemas, controles a considerar en el diseño de aplicaciones distribuidas.

Medidas de seguridad del servidor.

Técnicas de autentificación cliente / servidor.

Mecanismos de protección de datos distribuidos y recursos del sistema.

G. Seguridad en sistemas distribuidos

Controles Básicos de Seguridad Informática

Page 36: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Establecimiento de políticas y procedimientos para la

administración y uso de claves de acceso.

Administración de usuarios y cuentas

Protección de password.

Monitoreo de usuarios y detección de intrusos.

Procedimientos de emergencia y excepción para

identificación y autentificación.

H. Identificación y autentificación de usuarios

Controles Básicos de Seguridad Informática

Page 37: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Registro y monitoreo de seguridad de eventos.

Registro y monitoreo de seguridad de sistemas y aplicaciones.

I. Bitácora de seguridad y monitoreo

Políticas y procedimientos preventivos y correctivos.

Establecimiento y capacitación del uso de software antivirus.

Revisiones periódicas y estadísticas de incidentes de software nocivo.

J. PROTECCION CONTRA SOFTWARE NOCIVO

Controles Básicos de Seguridad Informática

Page 38: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Planes de contingencia.

Capacitación y prueba de planes de contingencia.

Respaldo de datos y protección fuera de sitio.

Respaldo de sistemas para servidores y estaciones de trabajo.

Políticas y procedimientos para el manejo de respaldos de información.

Prevención de emergencias.

Equipo y servicios de recuperación en contingencias.

Financiamiento de contingencias.

K. RESPALDOS Y RECUPERACIÓN

Controles Básicos de Seguridad Informática

Page 39: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Políticas y procedimientos para la adquisición, instalación y uso del software.

Supervisión continua del uso del software oficial.

Inventario de licencias de software y control de versiones

Protección de copias.

Distribución de copias.

L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE

Controles Básicos de Seguridad Informática

Page 40: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Metodologías y estándares de desarrollo

Responsabilidades de los desarrolladores de sistemas.

Diseño de estándares formales de seguridad.

Procedimientos de control de desarrollo y cambios.

Documentación del software desarrollado.

Pruebas de sistemas y control de calidad.

M. DESARROLLO DE SISTEMAS Y ADQUISICION

Controles Básicos de Seguridad Informática

Page 41: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Protección de comunicaciones de larga distancia.

Protección de aparatos de correo de voz.

Monitoreo de llamadas.

N. SEGURIDAD EN SISTEMAS DE VOZ

Controles Básicos de Seguridad Informática

Page 42: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Intentos de violación

O. REPORTES DE EVENTOS DE SEGURIDAD

• Claves de acceso.

• Uso de aplicaciones.

• Ejecución de procesos.

• Acceso a datos y recursos de alto riesgo.

Controles Básicos de Seguridad Informática

Page 43: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Bloqueo de cuentas de usuarios.

Afectación de la disponibilidad de información o recursos

de cómputo

Cambios de atributos de seguridad no autorizados.

Uso indebido de identificadores de usuarios y claves de acceso.

Acceso de usuarios temporales.

Actualización de información fuera del proceso de las aplicaciones.

Ejecución de rutinas y comandos de alto riesgo.

Controles Básicos de Seguridad Informática O. REPORTES DE EVENTOS DE SEGURIDAD

Page 44: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Clasificación de la información de acuerdo con el grado

de riesgo.

Identificar y manejar la información de acuerdo con su

grado de riesgo.

Procedimientos que disminuyan el riesgo de la

información que se maneja en forma verbal, escrita o

grabada.

Capacitación al personal para un manejo adecuado de la

información.

Controles Básicos de Seguridad Informática

P. MANEJO DE INFORMACIÓN

Page 45: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

PROPIETARIO

CUSTODIO USUARIO

Responsabilidad en el Manejo de la Información

Autoridad que delega la organización para el

manejo de la información.

Utiliza la información para fines propios de su función.

Responsable del almacenamiento y disponibilidad de la información

Page 46: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Diseño de la seguridad

Definir los elementos que requieren seguridad, (datos, archivos, etc.)

Definir los elementos que pueden poner en peligro la seguridad.

Definir los elementos y procedimientos que ayudarán a establecer la seguridad.

Definir las políticas y procedimientos que sostendrán dicha seguridad.

El ingeniero en informática debe contemplar en el análisis y diseño del sistema de computo procedimientos que eviten fallas, accidentes, acciones que dañen a la información y al mismo software, pasos a seguir en caso de existir problemas, etc.

Algunas consideraciones pueden ser:

Page 47: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Diseño de la seguridad Elaborar una lista de las medidas preventivas y correctivas en

caso de desastre, señalando cada actividad con una prioridad. Generar políticas de seguridad para la información. Organizar y asignar responsabilidades para establecer la

seguridad. Obtener los elementos técnicos que apoyen a la generación

de la seguridad de la información. Generar procedimientos computacionales y administrativos

que establezcan seguridad física y contra catástrofes. Generar o contratar productos de seguridad para el hardware,

software y las comunicaciones.

Page 48: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Diseño de la seguridad Efectuar pláticas con el usuario sobre la seguridad. En

estas pláticas es importante establecer la importancia y responsabilidad del usuario con relación a mantener la seguridad del sistema de computo.

Efectuar prácticas con el cliente sobre seguridad. Contratar pólizas de seguros y contra desastres. Efectuar auditorias periódicas y eventuales al sistema de

cómputo una vez que esta instalado para determinar el nivel de seguridad existente.

El implantar seguridad para los sistemas de cómputo puede reducir la flexibilidad pero no debe reducir la eficiencia.

Page 49: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Ejemplos de medidas de seguridad para el manejo de la informaciónRESTRINGIDA

OALTA SEGURIDAD

CONFIDENCIALO

SEGURIDAD MEDIA

INTERNA O MINIMA SEGURIDAD

PÚBLICA O

SIN SEGURIDADDESCRIPCIÓN ACCESO DOBLE PASSWORD

8 0 MAS DIGITOSDOBLE PASSWORD

4 A 8 DIGITOSPASSWORDENTRADA

SINPASSWORD

TRANSPORTA-CIÓN

CON UN PROPIOO CAMINONETAS DE SEGURIDAD

DENTRO DE BOLSASCERRADAS CONCINTIILLO DESEGURIDAD

EN SOBRESCERRADOS

SINRESTRICCIÓN

ENCRIPCIÓN ARCHIVOPARTICIONADO,ENVIANDOCODIGO Y LLAVEPOR SEPARADO

ENVIO DE CODIGOY LLAVE POR SEPARADO

NOREQUERIDA

NO REQUERIDA

FOTOCOPIADO NORECOMENDADO

CONTROLAR MEDIANTESELLOS EL NUM. DECOPIAS OBTENIDAS

SINRESTRICCIÓN

SINRESTRICCIÓN

CONSULTA DEINFORMACIÓN

PRIVADA YMONITOREADA

PRIVADA Y EN ALGUNOSCASOS CON CONSULTAMONITOREADA

BAJOFACULTADES

SINRESTRICCIÓN

USOTELEFONOCELULAR, FAX

PROHIBIDO SUUSO, CONTRATO DE CONFIDENCIALIDAD

PERMITIDO SÓLO ENPRIVADO O MONITOREADO

EVITARLUGARESPÚBLICOS

SINRESTRICCIÓN

REUNIONESEN PRIVADO Y ENOFICINAS DE LAEMPRESA

EN PRIVADO Y DEPREFERENCIA ENOFICINAS DE LAEMPRESA

EXCLUIRÁREASPUBLICAS

SINRESTRICCIÓN

Page 50: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Diseño de la seguridad

Por último realizar una lista de los datos, archivos, accesos, procesos, áreas, etc. que se debe establecer seguridad y el grado de seguridad requerida.

Elemento(s) a establecer seguridad

(datos, archivos, procesos, etc.)

Nivel de seguridad

Especificación de consideraciones y

procesos de seguridad

------- ---- --------

------- ---- -------

------ ---- ------

Matriz de consideraciones para la seguridad en el sistema de cómputo

Nivel de seguridad

1 – Alta

2 - Media

3 – Mínima4 – Sin seguridad

Page 51: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Administración de la seguridad

Esta debe de contemplar el:

• Confirmar la existencia de una función responsable de la seguridad.

• Decretar políticas y procedimientos aplicados a la utilización de los equipos de cómputo y al aprovechamiento de los bienes y sistemas informáticos.

Page 52: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Actividades una vez establecida la seguridad

La elaboración de planes de trabajo, de asignación de actividades, seguimiento y revisión periódica de documentación y de bitácoras.

• Revisión de las políticas creadas de la metodología para el análisis de sistemas.

• Estandarizar interfaces, funciones de programación y uniformizar los sistemas.

• Elaborar y revisar constantemente bitácoras de procesos ejecutados, de requerimientos, de errores en la implantación y los planes y programas bimestrales y anuales de los procesos que se van a ejecutar.

Page 53: Evaluación de sistemas de cómputo Temas IX. Seguridad Física y Lógica.

Costo de seguridad

Una vez que Usted ha determinado el nivel de seguridad que debe incluir su sistema de computo.

Paso 1 - Enlistará los requerimientos de seguridad y si es necesario actualizará y/o añadirá a los requerimientos de generales y los requerimientos funcionales y no funcionales los elementos de seguridad.

Paso 2 – Estimará el costo de la seguridad, efectuando bench mark y eligiendo la mejor opción para el sistema de computo.

Paso 3 – Se agregarán los costos de seguridad al software de aplicación y a los costos técnicos de la operación