Post on 29-Jun-2015
SUGERENCIAS PARA MEJORAR LA SEGURIDAD EN LAS OPERACIONES DE PD O CENTRO DE CÓMPUTO O
ÁREA DE SISTEMAS
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
“Si algo puede fallar va a fallar”Ley de Murphy
Control de Acceso al Área de Sistemas y Centro de
Procesamiento de Información
Caso:
Data Center
Americatel (Perú)
Control de seguridad (seguridad perimetral, sistemas de vigilancia, sistemas de control de
accesos...)
Seguridad Perimetral
Acceso restringido por control de tarjeta magnética y contraseña.
Sistema generalizado de alarmas.
Televigilancia.
Definir responsabilidades para seguridad de activos y Mantener informado al personal sobre los posibles cambios
que se realicen en los protocolos, normas o roles
Las responsabilidades específicas para la protección de los datos, sistemas, programas, unidades de equipo, etc. deben ser firmemente mantenidos si se desea una seguridad adecuada
OBJETIVO
Debieran identificarse los propietarios para todos los activos importantes, y se debería asignar la responsabilidad de mantenimiento apropiados. La responsabilidad de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado del activo.
Activos de información Activos de software Activos físicos Servicios Otros…
TIPOS DE ACTIVOS
Los propietarios de los activos deben ser responsables por: a) asegurar que la información y los activos asociados con
las instalaciones de procesamiento de información son apropiadamente clasificadas;
b) definiendo y revisando periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables.
La propiedad debe ser asignada a: Proceso de negocios; Un conjunto definido de actividades; Una paliación; Un conjunto definido de datos.
RESPONSABILIDADES
Herramientas para el control y cumplimiento de protocolos
SOFTWARE ISO«GESTTIC»
TIVOLI
Gestiona el seguimiento y cumplimiento de las responsabilidades asignadas
Trabajar sobre una plataforma confiable.
Disponer de un SGSI documentado, implantado y evaluado mejora la gestión.
Proteger adecuadamente la información y gestionar los riesgos asociados a ella
Mantener la competitividad, liquidez, rentabilidad e imagen comercial,
SUGERENCIA N° 3 – ENVOLVER A UN GRUPO DE GENTE EN FUNCIONES SENSITIVAS
FUNDAMENTO DE LA SUGERENCIA
Hasta el grado permitido por el tamaño de sus operaciones la responsabilidad de escribir, procesar o autorizar un programa, trabajo o específicamente un cambio, debe ser asignadas a diferentes personas.
La separación efectiva de funciones sensitivas relacionadas ayudará a reducir los errores y el riesgo de actos no autorizados cometidos deliberadamente por el personal de Procesamiento de Datos.
Se debe auditar de tal manera que el Jefe pueda llevar funciones para asegurar que cada persona está desempeñando únicamente su rol. Por ejemplo, el Jefe puede comparar el registro de la consola con las órdenes de trabajo para determinar si el operador ha estado autorizado para procesar todos y cada uno de los trabajos efectuados.
RESPONSABILIDADES Y OBLIGACIONES
Ubicándonos dentro de un grupo de personas, donde las responsabilidades y la forma de operar están estipuladas en el MOF.
Se llega a notar ciertos casos donde por circunstancias del momento y el desconocer completamente las limitaciones de sus funciones lo llevan a transgredir actos que quizás perjudiquen tanto a la empresa como a su persona.
CASO: DESARROLLO DE SOFTWAREEMPRESA: DIM – A SYSTEMS
CICLO DE VIDA DEL PROYECTO DE DESARROLLO DE SOFTWARE
Áreas donde intervendrán personas
DESCRIPCION DE FASES El primer paso interviene el analista este se pone en contacto con la empresa para ver como esta
conformada, a que se dedica, saber todas las actividades que realiza en si, conocer la empresa de manera general.
El segundo paso interviene el diseñador. Su trabajo consiste en evaluar posibles soluciones y escoger las más apropiadas de acuerdo a su experiencia y a los recursos disponibles.
Las actividades del diseño incluyen el diseño arquitectural, la especificación del sistema, el diseño de componentes, el diseño de la estructura de datos y el diseño de los algoritmos.
El tercer paso, el programador se encargara de desarrollar todo el código del sistema, esto se hace ya dependiendo de que cada programador tiene sus bases o formas para realizarlo pero en si deben llegar todos al mismo objetivo de ofrecerle funcionalidad al sistema siempre y cuando apegándose a las especificaciones del cliente.
El cuarto paso son las pruebas, es donde al sistema se pone a prueba como su palabra lo dice para así poder saber cuales son los posibles errores que se están generando del sistema y con ello mejorarlo para eliminar todos los errores que se puedan presentar por que un programa con menor error es mayor calidad puede llegar a tener flexibilidad y seguridad.
El quinto y último paso es la instalación una vez realizado las pruebas correspondientes al sistema y haberlo corregido totalmente se procede a la instalación del mismo ya en la empresa para su uso correspondiente, todo con la finalidad de que los procesos se realicen de una manera más eficiente eliminando costos, tiempo y esfuerzo dentro de la organización.
PERSONAL DE DESARROLLO
MANEJO DEL EQUIPO
HERRAMIENTA PARA EL CONTROL DEL PERSONAL
ROTACION DE PERSONAL
ALCANCE FINAL La naturaleza exacta del trabajo para realizar completamente las
tareas, son especificadas en un paquete de trabajo. El paquete de trabajo típicamente consiste de un nombre, una descripción del trabajo a realizar, las condiciones para iniciar las tareas, la duración estimada de la tarea, recursos requeridos (ejemplo: número y tipo de personal, máquinas, sw, herramientas, viajes, soporte secretarial), el producto del trabajo a ser producido, los criterios de aceptación para el producto, el riesgo, los criterios de término de la tarea y las tareas sucesoras.
PROPUESTA DE SUGERENCIANORMATIVA DE SEGURIDAD – AREA DE COMPUTO
El primer nivel denota parada o prohibición e identifica además los elementos contra incendio. Se usa para indicar dispositivos de parada de emergencia o dispositivos relacionados con la seguridad cuyo uso está prohibido en circunstancias normales, por ejemplo:•Botones de alarma.•Botones, pulsador o palancas de parada de emergencia.•Botones o palanca que accionen sistema de seguridad contra incendio (rociadores, inyección de gas extintor, etc.).El segundo nivel indica precaución o advertir sobre riesgos en: Partes de máquinas que puedan golpear, cortar, electrocutar o dañar de cualquier otro modo; además se usará para enfatizar dichos riesgos en caso de quitarse las protecciones o tapas y también para indicar los límites de carrera de partes móviles. El tercer nivel denota condición segura. Se usa en elementos de seguridad general, excepto incendio, por ejemplo en:Puertas de acceso a salas de primeros auxilios.Puertas o salidas de emergencia.Botiquines.Ultimo nivel denota obligación. Se aplica sobre aquellas partes de artefactos cuya remoción o accionamiento implique la obligación de proceder con precaución, por ejemplo:•Tapas de tableros eléctricos.
IMPLEMENTACIÓN DE LA NORMATIVA DE SEGURIDAD EN EL ÁREA COMPUTACIONAL
Adoctrinar al personal de procesamiento de datos en la importancia de la seguridad y la responsabilidad
de cada uno en su mantenimiento.
Es necesario que el personal de Procesamiento de Datos esté enterado de cómo afecta su rol clave, en cada una de las áreas que soporta.
Ejemplo: Área De planillas
Cuando la gente de Procesamiento de Datos esté consciente de la importancia de sus actividades, la organización entera puede beneficiarse.
Ejemplo: Datos de calidad
Una de las funciones muy importantes de los responsables de comunicaciones es mantener controlado el uso de los datos de la compañía y los sistemas de transmisión.
Ejemplo: SIGED - SUNAT
Incidente Vulnerabilida
d
Comunicación
Reportes
Además de controlar el uso del sistema por empleados autorizados, deben también considerarse los problemas relativos a empleados que pueden tener acceso al computador, pero que no están autorizados a usar programas o acceder a los ficheros de bases de datos, así como los problemas con individuos ajenos a la organización
Un sistema de información puede ser causa de violación de su seguridad, debido a varios factores:
La naturaleza de la organización y de sus operaciones
• Los tipos de aplicaciones y de bases de datos en el sistema de proceso de datos
• La posibilidad de beneficio económico para los delincuentes
La protección de información reservada en un canal de comunicación, es esencial. Uno de los principales métodos para ofrecer protección es hacer que la información del mensaje sea ininteligible por medio de técnicas criptográficas, sin intentar ocultar la existencia del mensaje.