Políticas
Hola, soy nuevo aquí y tengo un problema mayúsculo a resolver.En la empresa que me encuentro trabajando, requieren que realice o proponga las políticas de seguridad (email, contraseñas, internet, respaldo de archivos, etc.) y el problema es que no se por donde empezar, y no tengo ni una referencia donde apoyarme, si alguien me puede ayudar, por favor se agradecería mucho.
Gracias, y espero respuestas
Gracias, y espero respuestas
1 Respuesta
Respuesta de kuerti
1
Tu pregunta abarca bastante de lo que es seguridad informática, y trasciende lo que se pueda encontrar en la red al respecto (hay mucha giladas, propaganda, etc.). Pero, sin embargo, te seleccioné algunas url además de algo de mi cosecha personal:
1) http://www2.ing.puc.cl/~msc/apuntes/cap5/cap5.htm. TODA LA TEORIA. Toda.
2) http://www.eafit.edu.co/revista/107/montoya.pdf. Idem
3) http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/SO7.htm. La frutilla del postre. Un libraco de teoría.
Además, personalmente te recomendaría lo siguiente, más acorde con el tema de DEFINIR políticas de seguridad:
1) Tener y mantener una buena política de seguridad aplicable a tu empresa. Esta, debería decir qué hacer con:
a) Política antivirus (de qué manera van a mitigar el riesgo de embicharse)
b) Responsabilidad Gerencial (de quién es la información; te recomiendo que la información sea de los usuarios y que sistemas de solo el servicio de acceso a los datos)
c) Comunicación con redes externas (todo un tema: incluye la política respecto de internet, política respecto a usar callback, correo electrónico, encriptación de información crítica que viaje por la red, etc.)
d) Criterios para definir contingencias
(Qué es contingencia, plan de desastres, plan de continuidad de negocios, etc. Declararlos, no implementarlos, que lo hacés por un rocedimiento)
e) Clasificación de la sensitividad de la información (qué información es crítica para el negocio, que información es de carácter público. Esto, te conviene plantearlo cuando veas planes de contingencia o BCP - Business continuity Plan)
f) Normas para pasaje a Producción de ejecutables (que no te digan que esto es difícil porque tenés una red; SIEMPRE habrá algo que modificar y NO SE DEBE MODIFICAR sobre el ambiente de producción. Ojo con esto!)
g) Acceso físico a áreas restringidas (qué vas a hacer, si ponés clave, tarjetas, biometría, etc. También aquí podes declarar que vas a tener, si tubería seca, gas halón, detectores de humo, etc.)
h) Destrucción de la información (¿Qué vas a hacer con la información que ya no sirva en papel?)
i) Control de versiones (¿cómo lo vas a controlar? No te olvides que vos sos el dueño de los objetos...)
j) ME OLVIDABA: cronograma de procesos, si es que tenés - no creo, pero ...- alguna cosa batch.
2) Implementala paulatinamente, junto con los procedimientos que te van a dar la pauta de que lo tenés controlado, más una planificación del tipo cada cuanto reviso los puertos (te recomiendo que todos los días, cada cuanto reviso el log, si es que tenés un ids, qué hago si un usuario pierde su password, etc.)
3) Adelántate a los problemas. Si tenés idea de redes, sabés donde están los mocos de tu sistema. Ahora, poné a trabajar alguien en detección temprana, si lo tenés.
4) NO OLVIDAR: vos sos la primer barrera. Entonces te conviene MÁS PREVENIR QUE CURAR. Si no, tendrás la desagradable presencia de mis colegas (Auditores informáticos) rompiéndote las pelotas y encontrándote mocos, que, te garantizo, los van a encontrar porque para eso les pagan.
Van otras url:
http://seguridad.internautas.org/scanonline.php. Muy buena, para detectarte puertos abiertos y saber a qué atenerte. Además los artículos son buenos, realmente. Ojo, no tiene la entidad de la definición que querés. Pero para cancherear (pavonearse) sirve. No lo olvides: vendete como si lo que hubieras hecho, sea la salvación de la compañia.
http://www.criptonomicon.com/programas/puertos.html. Tiene herramientas para mirar, analizar y cerrar
1) http://www2.ing.puc.cl/~msc/apuntes/cap5/cap5.htm. TODA LA TEORIA. Toda.
2) http://www.eafit.edu.co/revista/107/montoya.pdf. Idem
3) http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/SO7.htm. La frutilla del postre. Un libraco de teoría.
Además, personalmente te recomendaría lo siguiente, más acorde con el tema de DEFINIR políticas de seguridad:
1) Tener y mantener una buena política de seguridad aplicable a tu empresa. Esta, debería decir qué hacer con:
a) Política antivirus (de qué manera van a mitigar el riesgo de embicharse)
b) Responsabilidad Gerencial (de quién es la información; te recomiendo que la información sea de los usuarios y que sistemas de solo el servicio de acceso a los datos)
c) Comunicación con redes externas (todo un tema: incluye la política respecto de internet, política respecto a usar callback, correo electrónico, encriptación de información crítica que viaje por la red, etc.)
d) Criterios para definir contingencias
(Qué es contingencia, plan de desastres, plan de continuidad de negocios, etc. Declararlos, no implementarlos, que lo hacés por un rocedimiento)
e) Clasificación de la sensitividad de la información (qué información es crítica para el negocio, que información es de carácter público. Esto, te conviene plantearlo cuando veas planes de contingencia o BCP - Business continuity Plan)
f) Normas para pasaje a Producción de ejecutables (que no te digan que esto es difícil porque tenés una red; SIEMPRE habrá algo que modificar y NO SE DEBE MODIFICAR sobre el ambiente de producción. Ojo con esto!)
g) Acceso físico a áreas restringidas (qué vas a hacer, si ponés clave, tarjetas, biometría, etc. También aquí podes declarar que vas a tener, si tubería seca, gas halón, detectores de humo, etc.)
h) Destrucción de la información (¿Qué vas a hacer con la información que ya no sirva en papel?)
i) Control de versiones (¿cómo lo vas a controlar? No te olvides que vos sos el dueño de los objetos...)
j) ME OLVIDABA: cronograma de procesos, si es que tenés - no creo, pero ...- alguna cosa batch.
2) Implementala paulatinamente, junto con los procedimientos que te van a dar la pauta de que lo tenés controlado, más una planificación del tipo cada cuanto reviso los puertos (te recomiendo que todos los días, cada cuanto reviso el log, si es que tenés un ids, qué hago si un usuario pierde su password, etc.)
3) Adelántate a los problemas. Si tenés idea de redes, sabés donde están los mocos de tu sistema. Ahora, poné a trabajar alguien en detección temprana, si lo tenés.
4) NO OLVIDAR: vos sos la primer barrera. Entonces te conviene MÁS PREVENIR QUE CURAR. Si no, tendrás la desagradable presencia de mis colegas (Auditores informáticos) rompiéndote las pelotas y encontrándote mocos, que, te garantizo, los van a encontrar porque para eso les pagan.
Van otras url:
http://seguridad.internautas.org/scanonline.php. Muy buena, para detectarte puertos abiertos y saber a qué atenerte. Además los artículos son buenos, realmente. Ojo, no tiene la entidad de la definición que querés. Pero para cancherear (pavonearse) sirve. No lo olvides: vendete como si lo que hubieras hecho, sea la salvación de la compañia.
http://www.criptonomicon.com/programas/puertos.html. Tiene herramientas para mirar, analizar y cerrar
