MECANISMOS DE CONTROL Y SEGURIDAD

PORYECTO

Presentado
MERY H. CARDONA S DIANA MARCELA CRUZ
 INDICE

DISEO DE AUTORIZACION 3

DISEO DE UATENTICACION .. 4

MENSAJE DE ERROR Y ADVERTENCIA ...... 4

PROTECCION 5

FUNDAMENTOS ... 6

CONTROLES ..... 7

PRUEVAS 8
 DISEO DE AUTORIZACION

La Autorizacin como en el proceso se determina qu, cmo y cundo, un usuario

autenticado puede utilizar el sistema en una organizacin. El grado de autorizacin
puede variar dependiendo de qu sea lo que se est protegiendo. No toda la
informacin en Pelitos en la Ropa es igual. Los recursos en general y los datos en
particular, se organizan en niveles y cada nivel debe tener una autorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un
formulario o mediante una contrasea, pero siempre es necesario que dicha
autorizacin quede registrada para ser controlada posteriormente. En el caso de los
datos, la autorizacin debe asegurar la confidencialidad e integridad, ya sea dando o
denegando el acceso en lectura, modificacin, creacin o borrado de los datos. Por otra
parte, solo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que lo
necesiten para hacer su trabajo, y si no se le negar. Aunque tambin es posible dar
autorizaciones transitorias o modificarlas a medida que las necesidades del usuario
varen.
El sistema de roles y usuarios en la fundacin, podramos definirlo como la clasificacin
de privilegios de operacin en nuestro sistema, para entenderlo un poco mejor
tendramos que enumerar y explicar lo siguiente;
Usuarios: son los que interactan con nuestro sistema a los cuales debemos
controlar para validar que pueden o no hacer.
Perfiles: son los roles que se le asignaran o negaran a un usuario para conceder
privilegios en el sistema.
Recursos: son las zonas en las que dividiremos la aplicacin por ejemplo: crear
usuario, Modificar cliente, eliminar pedido, etc...
Permisos: Son las acciones concretas que se asignan sobre uno o ms recursos
del sistema.
 DISEO DE AUTENTICACION

En nuestra fundacin se define la Autenticacin como la verificacin de la identidad del

usuario, generalmente cuando entra en el sistema o la red, o accede a una base de
datos. Normalmente para entrar en el sistema de Pelitos en la Ropa se utiliza un
nombre de usuario y una contrasea. Este mtodo puede ser bueno o malo
dependiendo de las caractersticas de la contrasea.
En la medida que la contrasea sea ms grande y compleja para ser adivinada, ms
difcil ser burlar esta tcnica. Adems, la contrasea debe ser confidencial. No puede
ser conocida por nadie ms que el usuario. Muchas veces sucede que los usuarios se
prestan las contraseas y pueden ser descubiertas por cualquier otro usuario, esto en
parte no afecta la fundacin ya q personal, ya que la accin/es que se hagan con esa
contrasea es/son responsabilidad del empleado/s. Para que la contrasea sea difcil
de adivinar debe tener un conjunto de caracteres amplio y variado (con minsculas,
maysculas y nmeros). El problema es que los usuarios difcilmente recuerdan
contraseas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el
apellido, el nombre de usuario, el grupo musical preferido,...), que facilitan la tarea a
quin quiere entrar en el sistema sin autorizacin.

MENSAJERIA Y ERROR DE ADVERTENCIA

HARWARE

Las advertencias que arroja el sistema operativo hace sobre las condiciones fsicas del
equipo, estos errores se muestran dependiendo del S.O. que en el caso de nuestra
funcin son algunas configuraciones de Windows 7 pro
ERRORES DE ADVERTENCIA S.O.S

Hace referencia a fallos y advertencias que el sistema operativo hace sobre si, estos
errores se muestran dependiendo del S.O.S, e igual siguen siendo por configuraciones
de Windows 7 pro.
Los otros errores ya son por error de usuario por digitacin o por que no se encuentra
registrado en el sistema de confirmacin o de accin como eliminacin tambin
modificacin de datos, etc...
Las Advertencias hacen referencia a la falta de datos o campos obligatorios en el
registro.
PROTECCION

SEGURIDAD DE EQUIPOS

Se debe tener acceso controlado el servidor principal de pelitos en la ropa no es

comercial ya que no requiere mucha seguridad pero es importante tener en cuenta la
informacin, terminales de acceso, rauters y todo lo que tenga que ver estructura fsica.
El servidor que contenga la informacin deben ser mantenidos en un ambiente seguro y
protegido por los menos con:
Controles de acceso y seguridad fsica.
Deteccin de incendio y sistemas de extincin de conflagraciones.
Controles de humedad y temperatura.
Bajo riesgo de inundacin.
Sistemas elctricos regulados y respaldados por fuentes de potencia ininterrumpida
(UPS)

RESPONSABILIDAD

Todo el voluntario de Pelitos en la Ropa, cualquiera que sea su rol se har responsable,
y deber estar de acuerdo con los trminos y condiciones que regulan el uso de
recursos de TI y las reglas y perfiles que autorizan el uso de la informacin de la
fundacin.
ENCRIPTACION

Para poder encriptar los datos de la fundacin, se utiliza un proceso matemtico de

algoritmos, estos algoritmos efectan un clculo matemtico sobre los datos que
constituyen y da como resultado un nmero nico llamado MAC.

SOFWARE MALICIOSO

Todos los sistemas informticos deben ser protegidos teniendo en cuenta un

enfoque multinivel que involucre controles humanos, fsicos tcnicos y
administrativos. La administracin elaborar y mantendr un conjunto de polticas,
normas, estndares, procedimientos y guas que garanticen la mitigacin de riesgos
asociados a amenazas de software malicioso y tcnicas de hacking. En todo caso y
como control mnimo, toda estacin de trabajo deben estar protegidas por software
antivirus con capacidad de actualizacin automtica en cuanto a firmas de
Seguridad de la Informacin. Los usuarios de la estaciones no estn autorizados a
deshabilitar este control.
COPIA DE SEGURIDAD

Toda informacin que pertenezca a un sistema incluyendo Pelitos en la Ropa debe

ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos
documentados por la gerencia, se recomienda un backup mensual del sistema
operativo.

COPIA DE SEGURIDAD

La configuracin de enrutadores, switches, firewall, sistemas de deteccin de

intrusos y otros dispositivos de seguridad de red; debe ser documentada,
respaldada por copia de seguridad y mantenida por la gerencia correspondiente.

FUNDAMENTOS
Para establecer una estrategia adecuada es conveniente pensar una poltica de
proteccin en los distintos niveles que debe abarcar el sistema de Pelitos en la Ropa
como por ejemplo: Fsica, Lgica, Humana y la interaccin que existe entre estos
factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y
otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un conjunto
de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en
las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del
dao que un ataque va a provocar al sistema y las debilidades y puntos vulnerables
explotados durante este ataque ayudar a desarrollar esta estrategia.
IMPLEMENTACIN

La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo.

Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de
estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas
que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae
aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin.
La implementacin de un sistema de seguridad conlleva a incrementar la complejidad
en la operatoria de la organizacin, tanto tcnica como administrativamente.
Una PSI informtica deber abarcar:
Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidad de cada uno de los que van a manejar el sistema y recurso en
todos los niveles de la fundacin.
Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.
 Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidades de los usuarios con respecto a la informacin que generan y
a la que tienen acceso.
Responsabilidad de cada uno de los voluntarios de la fundacin.
Requerimientos mnimos para la configuracin de la seguridad de los sistemas al
alcance de la poltica.
Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.
Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones
sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con
exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria
de la ley. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin
sacrificar su precisin) sobre el porqu de las decisiones tomadas.

CONTROLES

Polticas de Seguridad: Busca proporcionar direccin y apoyo de Pelitos en la

Ropa para el proceso de seguridad de la informacin brindando los lineamientos
necesarios a cumplir para alcanzar los objetivos como Fundacin.
Organizacin de la Seguridad: Busca administrar la seguridad de la informacin
dentro de la Fundacin mediante el establecimiento de un marco gerencial para
iniciar y controlar la implementacin de la seguridad de la informacin.
Clasificacin y Control de Activos: El objetivo es mantener una adecuada
proteccin de los activos de la organizacin para la cual estamos trabajando.
Control de Acceso: Se debe controlar el acceso a la informacin y los procesos no
exactamente de negocio tomando sino como referencia los requerimientos de la
seguridad. Actualmente el sistema de la fundacin cuenta con algunos voluntarios
que tienen conocimientos en software y tambin incluidos los firewalls, los VPN, las
IPS encriptacin de claves.
Seguridad del Personal: Se centra en reducir los riesgos de error humano, robo,
fraude o uso inadecuado de instalaciones mediante la definicin de
responsabilidades del personal con respecto a la seguridad de la informacin y
definicin de criterios de seleccin del personal. En este aspecto es importante
incluir clusulas de confidencialidad y solo se encargaran los directivos.
Seguridad Fsica y Ambiental: Se debe impedir accesos no autorizados, daos e
interferencia a las sedes y centros informticos de la Fundacin.
Desarrollo y Mantenimiento de Sistemas: Se debe asegurar que la aplicacin
pueda funcionar correctamente SIEMPRE y sin ataques de intrusos, para ello se
deben incorporar medidas de seguridad.
Gestin de Comunicaciones y Operaciones: Busca garantizar el funcionamiento
correcto y seguro de las instalaciones de procesamiento de informacin, para ello
se deben establecer responsabilidades para el procedimiento y gestin de todas las
instalaciones de procesamiento.
Administracin de la Continuidad de los Negocios: Se deben definir estrategias
para contrarrestar las interrupciones de algunas actividades. Y proteger los
procesos crticos de otras, y los efectos de fallas significativas o desastres que
puedan ocurrir.
Gestin de Incidentes de Seguridad: Este tpico busca minimizar el impacto
causado por un riesgo de seguridad ya materializado, es decir ocurri una falla de
seguridad. Para ello se deben definir procedimientos muy claros que permitan
realizar la investigacin e identificar el origen del riesgo.
PRUEVAS
El ltimo elemento de las estrategias de seguridad, las pruebas y el estudio de sus
resultados, se lleva a cabo despus de que se han puesto en marcha las estrategias
reactiva y proactiva.
La carencia de laboratorios y equipos de pruebas a causa de restricciones
presupuestarias puede imposibilitar la realizacin de ataques simulados.
Para asegurar los fondos necesarios para las pruebas, es importante que los directivos
sean conscientes de los riesgos y consecuencias de los ataques, as como de las
medidas de seguridad que se pueden adoptar para proteger al sistema, incluidos los
procedimientos de las pruebas. Si es posible, se deben probar fsicamente y
documentar todos los casos de ataque para determinar las mejores directivas y
controles de seguridad posibles que se van a implementar.
Determinados ataques, por ejemplo desastres naturales como inundaciones y rayos, no
se pueden probar, aunque una simulacin servir de gran ayuda. Por ejemplo, se
puede simular un incendio en el que el servidor haya resultado daado y haya quedado
inutilizable. Este caso puede ser til para probar la respuesta de los Administradores y
del personal de seguridad, y para determinar el tiempo que se tardar en volver a poner
la organizacin en funcionamiento.
La realizacin de pruebas y de ajustes en las directivas y controles de seguridad en
funcin de los resultados de las pruebas es un proceso iterativo de aprendizaje. Nunca
termina, ya que debe evaluarse y revisarse de forma peridica para poder implementar
mejoras.