Sistemas de Gestión de Seguridad Eje 4
Sistemas de Gestión de Seguridad Eje 4
información
Eje 4
SGSI (information security management system, ISMS)
Presentado por:
Juan Carlos Rendón Aguirre
Harold Elías Vargas Gómez
Ingeniería de sistemas
INTRODUCCIÓN
OBJETIVO
Desarrollo de la actividad.
En la red interna de una clínica nos encontramos con una topología de red en estrella
extendida la cual cuenta con un datacenter principal ubicado en el piso 1, esta cuenta
con 7 pisos hacia arriba y 2 hacia abajo, con racks de servicio en piso -1, 3, 4, 5, 6 y 7
y 356 equipos de cómputo conectados a la red interna, por esta cantidad de equipos,
de áreas y sub-áreas se encuentra una gran exposición a cualquier tipo de ataque o
falencia en la seguridad.
Ingeniería social (1)
Phishing (2)
Código malicioso/Virus (3)
Ataques de contraseña (4)
Fraude informático (5)
Acceso a información confidencial impresa (6) Daños
físicos al equipamiento (7)
Pérdida de copias de resguardo (8)
Robo de identidad (9)
Trashing (10)
Impacto
Probabilidad
Insignificante Menor Moderado Mayor Catastrófico
Raro
Improbable 8
Posible 10 9 3 5
Probable 7 6 2
Casi Seguro 4 1
Ingeniería social
- Implementar política para solicitud de identificación cuando alguien solicita
acceso a la información o pide datos específicos.
Esta es una política que debe ser implementada inmediatamente, en la cual se validara la
identidad del solicitante ya sea por medio de una escarapela o digitalmente ya sea vía
correo electrónico institucional o mesas de ayuda de áreas específicas.
- Firma de documento en el cual cada uno de los usuarios se responsabilice de las
acciones que puedan ser realizadas desde el mismo, así dar a entender la
importancia y delicadeza de difundir información y prestar los usuarios de los
aplicativos.
-
Validar con áreas como THU y Jurídica la existencia de documentos o párrafos en el
contrato de cada uno de los empleados en los cuales los responsabilicemos del manejo
de la información, de lo contrario adjuntar otro si al contrato con este punto.
Phishing
- Implementar por medio del administrador de correos electrónicos el envio
masivo, solo usuarios específicos podrán enviar cantidades de correo
electrónicos, de lo contrario estos serán bloqueados hasta que sean analizados.
Crear políticas en el servidor de correo el cual todo correo electrónico externo deba
pasar antes por antivirus local, crear un correo certificado de manejo privado para
envió de información masiva.
- Capacitar al personal con base a correos que posiblemente sean Phishing, el
personal identificara correos sospechosos por sus contenidos, extensiones, cuerpo
de correo etc.
Por medio de correo electrónico certificado para envio masivo, compartir pautas y hacer
jornadas de seguridad de la información donde todo el personal aprenda sobre su
importancia.
Código malicioso/Virus
- Realizar bloqueo de puertos USB para limitar el uso de dichos dispositivos teniendo
en cuenta que este es uno de los más grandes portadores de programas maliciosos.
Bloquear desde el directorio activo, antivirus o cada uno de los equipos el uso libre de
conexión de memorias USB, solo dar acceso a personas especificas y bajo una serie de
permisos y responsabilidades.
- Mantener actualizado y licenciado el antivirus con los últimos parches de seguridad.
Activar Update y actualización automática de los equipos y parches de seguridad de cada
uno de los equipos de cómputo de la empresa.
Ataques de Contraseña
- Bloqueo de usuarios después de cierta cantidad de intentos fallidos a la hora de
su logueo.
Fraude Informático
- Inactivación de usuarios de información a tiempo, cambio de contraseña de
usuarios que son más delicados o puestos de alta complejidad y manejo de
información confidencial.
Coordinar con áreas como THU la obligatoriedad de firma de paz y salvos de los
empleados que se retirarán de la institución, informas cuando cargos de alta complejidad
serán despedidos para realizar acciones como cambios de contraseña y custodia de
equipos.
- Limitar el acceso a sistemas transaccionales, tener una matriz de roles y perfiles
para no dar acceso a módulos que no le corresponden a alguien.
Crear matriz bien estructurada para no dar permisos de acceso innecesarios a los
sistemas transaccionales, limitar al máximo su funcionalidad o roles.
- Implementar políticas para el menor uso de papel posible, solo imprimir lo que
sea necesario.
Ser socialmente responsables y legalmente cuidadosos con el uso indiscriminado de
papel y visibilidad de los mismos, o debida custodia.
- Eliminación correcta de documentos que contengan información confidencial,
rasgar hojas y dar una buena disposición final como es el reciclaje.
Dar pautas de correcta eliminación de documentos importantes o que contengan
datos personales, si es necesario adquirir trituradoras de papel para proceder con
eliminación de datos.
Robo de identidad
- No anotar usuarios y contraseñas en papeles y dejarlos sobre los
escritorios.
Política de escritorios físicamente y visualmente limpios, sin pegatinas ni
contraseñas de los equipos y los aplicativos a simple vista.
- No guardar usuarios y contraseñas en navegadores de equipos a los cuales
tienen acceso diferentes personas.
No guardar contraseñas en navegadores ni cuentas de Google en los equipos que
son de uso publico o que varias personas cuentan con acceso a él.
Trashing
- Implementación de un software destructor de información para dar disposición
final a los archivos que son privados y no se puede dejar rastro de contenido.
Implementar software con el cual se realiza destrucción total de la información para que
esta sea irrecuperable, cuando los equipos se dan de baja o los discos se cambian, realizar
formateos en bajo.
- Limpiado constante de archivos que quedan alojados en papelera de reciclaje
Configurar vaciado automático de papeleras de reciclaje al transcurso de 15
días, este es un tiempo justo para descubrir si algún archivo en papelera debe
ser recuperado.
Conclusiones
27005-como-identificar-los-riesgos/
https://www.econo.unlp.edu.ar/detise/amenazasinformaticas-3918
de-Gobierno-Digital/150516:Guia-de-gestion-de-riesgos
www.kaspersky.es. https://www.kaspersky.es/resource-center/threats/how-to-
avoid-social-engineering-attacks