Tesis de grado


Figura 3.19 Organigrama del Comité de Coordinación de la Seguridad de la Información



Yüklə 0,98 Mb.
səhifə19/28
tarix27.12.2018
ölçüsü0,98 Mb.
#86782
1   ...   15   16   17   18   19   20   21   22   ...   28

Figura 3.19 Organigrama del Comité de Coordinación de la Seguridad de la Información




I.2Capacitación de Personal

Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad de los sistemas de información a todo el personal. El programa de concientización en seguridad debe contener continuas capacitaciones y charlas, adicionalmente se pueden emplear métodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumple en el mantenimiento de la seguridad de la información.


Cuando se contrate a un empleado nuevo y/o servicio de algún tercero, se debe entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y sistemas de información de la empresa. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información.
Los usuarios deben ser informados anualmente sobre la importancia de la seguridad de la información. Un resumen escrito de la información básica debe ser entregado nuevamente a cada empleado y una copia firmada debe ser guardada en sus archivos. El personal de terceros debe recibir una copia del acuerdo de no divulgación firmado por la empresa y por el proveedor de servicios de terceros.
La capacitación en seguridad debe incluir principalmente, pero no estar limitado, a los siguientes aspectos:

  • Seguridad de claves y contraseñas.

  • Seguridad de PC, incluyendo protección de virus.

  • Guías de acceso a Internet.

  • Guías de uso de correo electrónico.

  • Concientización de las técnicas utilizadas por los "hackers".

  • Controles de acceso a las instalaciones de cómputo.

  • Reglas de manipulación de cada uno de los activos de la empresa.

La capacitación del personal debe llevarse a cabo en las siguientes etapas.



Tiempo: 5 semanas

Etapas:

  • Definición del mensaje a transmitir y material a ser empleado para los distintos grupos de usuarios, entre ellos:

Personal en general: Información general sobre seguridad, políticas y estándares incluyendo protección de virus, contraseñas, seguridad física, sanciones, correo electrónico y uso de Internet.

Personal de sistemas y técnico: Políticas de seguridad, estándares y controles específicos para la tecnología y aplicaciones utilizadas.

Gerencias y Jefaturas: Monitoreo de seguridad responsabilidades de supervisión, políticas de sanción

  • Identificación del personal de cada departamento que se encargará de actualizar a su propio grupo en temas de seguridad.

  • Establecimiento de un cronograma de capacitación, el cual debe incluir, empleados nuevos, requerimientos anuales de de capacitación, actualizaciones.

  • Realizar la campaña según el cronograma elaborado, asegurándose de mantener un registro actualizado de la capacitación de cada usuario.


Observación: La capacitación del personal varía acorde al tamaño de la empresa.

I.3Prueba de la Seguridad

Con el objetivo de asegurar el cumplimiento de la política de seguridad en los controles ya existentes, se debe verificar el grado de cumplimiento de las políticas de seguridad en los sistemas de información de la empresa y adaptarlos en caso de su incumplimiento.


La prueba de la seguridad comprende las siguientes etapas:

  • Elaboración de un inventario de las aplicaciones existentes y de todos los servicios brindados tanto a clientes como personal de la empresa.

  • Elaboración de un resumen de los requisitos que deben cumplir las aplicaciones según la política y estándares de seguridad.

  • Evaluación del grado de cumplimiento de cada una de las políticas para cada una de las aplicaciones existentes.

La evaluación se llevó a cabo utilizando los formularios de ISO17999 TOOLKIT [44].



I.3.1Puntos de Acceso de Intrusos

Definimos como puntos de acceso de intrusos a toda oportunidad para vulnerar la seguridad de los sistemas de información de la empresa, de parte de personal externo o interno. Un punto de acceso de intruso puede ser: Un puerto físico desconectado de algún equipo de comunicación, un puerto de aplicación orientado a conexión interna no bloqueado o sin control, algún tramo del cableado desprotegido o descuido por parte de los responsables de controlar el acceso a las instalaciones de la empresa.




I.3.2Monitoreo y Detección de Intrusos

Una vez identificados los puntos de acceso para los intrusos. Se procederá a realizar una simulación de ataque a los sistemas informáticos de FIBERNET.

El propósito de la simulación es verificar que la configuración de los equipos de comunicaciones esta adaptada a las políticas de seguridad
Para monitorear el tráfico de la red y analizar alguna intrusión se instaló el programa ETHEREAL en las máquinas de inspección de contenido, que están ubicadas en la red DMZ y en la red de servidores interna respectivamente.
En el software se configuró la dirección de red de DMZ para filtrar los paquetes hacia y desde los servidores HTTP, SMTP y DNS.
A continuación se presenta un análisis de intrusión en tiempo real (figura 3.20): El 31 de mayo a las 20:15:00 el equipo de control ha detectado un aumento en el tráfico HTTP con destino al servidor web.

Figura 3.20 Análisis de Intrusión en Tiempo Real

En las conexiones se descubrió la descarga de diversos ficheros binarios.

Desde el 3 de Junio hasta 6 de Junio se vuelve a detectar actividad del atacante en el servidor web. Las conversaciones han quedado registradas en la máquina de control y se ha reconstruido con Ethereal (figuras 3.21.1 y 3.21.2).


Yüklə 0,98 Mb.

Dostları ilə paylaş:
1   ...   15   16   17   18   19   20   21   22   ...   28




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin