Definición de normas y procedimientos
Tengo un a duda que me gustaría aclarar, al securizar un sistema de información, se deben elaborar normas y procedimientos ¿sabes donde puedo conseguir información que muestre algunos ejemplos sobre los diferentes procedimientos y cuales deben ser elaborados.
1 respuesta
Respuesta de kuerti
1
Tu pregunta abarca bastante de lo que es seguridad informática, y trasciende lo que se pueda encontrar en la red al respecto (hay mucha giladas, propaganda, etc.). Pero, sin embargo, te seleccioné algunas url además de algo de mi cosecha personal:
1) http://www2.ing.puc.cl/~msc/apuntes/cap5/cap5.htm. TODA LA TEORIA. Toda.
2) http://www.eafit.edu.co/revista/107/montoya.pdf. Idem
3) http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/SO7.htm. La frutilla del postre. Un libraco de teoría.
Además, personalmente te recomendaría lo siguiente, más acorde con el tema de DEFINIR políticas de seguridad:
1) Tener y mantener una buena política de seguridad aplicable a tu empresa. Esta, debería decir qué hacer con:
a) Política antivirus (de qué manera van a mitigar el riesgo de embicharse)
b) Responsabilidad Gerencial (de quién es la información; te recomiendo que la información sea de los usuarios y que sistemas de solo el servicio de acceso a los datos)
c) Comunicación con redes externas (todo un tema: incluye la política respecto de internet, política respecto a usar callback, correo electrónico, encriptación de información crítica que viaje por la red, etc.)
d) Criterios para definir contingencias
(Qué es contingencia, plan de desastres, plan de continuidad de negocios, etc. Declararlos, no implementarlos, que lo hacés por un rocedimiento)
e) Clasificación de la sensitividad de la información (qué información es crítica para el negocio, que información es de carácter público. Esto, te conviene plantearlo cuando veas planes de contingencia o BCP - Business continuity Plan)
f) Normas para pasaje a Producción de ejecutables (que no te digan que esto es difícil porque tenés una red; SIEMPRE habrá algo que modificar y NO SE DEBE MODIFICAR sobre el ambiente de producción. Ojo con esto!)
g) Acceso físico a áreas restringidas (qué vas a hacer, si ponés clave, tarjetas, biometría, etc. También aquí podes declarar que vas a tener, si tubería seca, gas halón, detectores de humo, etc.)
h) Destrucción de la información (¿Qué vas a hacer con la información que ya no sirva en papel?)
i) Control de versiones (¿cómo lo vas a controlar? No te olvides que vos sos el dueño de los objetos...)
j) ME OLVIDABA: cronograma de procesos, si es que tenés - no creo, pero ...- alguna cosa batch.
2) Implementala paulatinamente, junto con los procedimientos que te van a dar la pauta de que lo tenés controlado, más una planificación del tipo cada cuanto reviso los puertos (te recomiendo que todos los días, cada cuanto reviso el log, si es que tenés un ids, qué hago si un usuario pierde su password, etc.)
3) Adelántate a los problemas. Si tenés idea de redes, sabés donde están los mocos de tu sistema. Ahora, poné a trabajar alguien en detección temprana, si lo tenés.
4) NO OLVIDAR: vos sos la primer barrera. Entonces te conviene MÁS PREVENIR QUE CURAR. Si no, tendrás la desagradable presencia de mis colegas (Auditores informáticos) rompiéndote las pelotas y encontrándote mocos, que, te garantizo, los van a encontrar porque para eso les pagan.
Van otras url:
http://seguridad.internautas.org/scanonline.php. Muy buena, para detectarte puertos abiertos y saber a qué atenerte. Además los artículos son buenos, realmente. Ojo, no tiene la entidad de la definición que querés. Pero para cancherear (pavonearse) sirve. No lo olvides: vendete como si lo que hubieras hecho, sea la salvación de la compañia.
http://www.criptonomicon.com/programas/puertos.html. Tiene herramientas para mirar, analizar y cerrar puertos.
Respecto a cómo confeccionar los procedimientos, bueno...
Como cualquier norma:
a) OBJETIVO
b) ALCANCES
c) ámbito de aplicación
d) Procedimiento detallado (conjunto de pasos que se deben seguir para alcanzar algo)
e) Glosario
Si querés algo más, de tipo consultoría, avisame. CObro barato.
1) http://www2.ing.puc.cl/~msc/apuntes/cap5/cap5.htm. TODA LA TEORIA. Toda.
2) http://www.eafit.edu.co/revista/107/montoya.pdf. Idem
3) http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/SO7.htm. La frutilla del postre. Un libraco de teoría.
Además, personalmente te recomendaría lo siguiente, más acorde con el tema de DEFINIR políticas de seguridad:
1) Tener y mantener una buena política de seguridad aplicable a tu empresa. Esta, debería decir qué hacer con:
a) Política antivirus (de qué manera van a mitigar el riesgo de embicharse)
b) Responsabilidad Gerencial (de quién es la información; te recomiendo que la información sea de los usuarios y que sistemas de solo el servicio de acceso a los datos)
c) Comunicación con redes externas (todo un tema: incluye la política respecto de internet, política respecto a usar callback, correo electrónico, encriptación de información crítica que viaje por la red, etc.)
d) Criterios para definir contingencias
(Qué es contingencia, plan de desastres, plan de continuidad de negocios, etc. Declararlos, no implementarlos, que lo hacés por un rocedimiento)
e) Clasificación de la sensitividad de la información (qué información es crítica para el negocio, que información es de carácter público. Esto, te conviene plantearlo cuando veas planes de contingencia o BCP - Business continuity Plan)
f) Normas para pasaje a Producción de ejecutables (que no te digan que esto es difícil porque tenés una red; SIEMPRE habrá algo que modificar y NO SE DEBE MODIFICAR sobre el ambiente de producción. Ojo con esto!)
g) Acceso físico a áreas restringidas (qué vas a hacer, si ponés clave, tarjetas, biometría, etc. También aquí podes declarar que vas a tener, si tubería seca, gas halón, detectores de humo, etc.)
h) Destrucción de la información (¿Qué vas a hacer con la información que ya no sirva en papel?)
i) Control de versiones (¿cómo lo vas a controlar? No te olvides que vos sos el dueño de los objetos...)
j) ME OLVIDABA: cronograma de procesos, si es que tenés - no creo, pero ...- alguna cosa batch.
2) Implementala paulatinamente, junto con los procedimientos que te van a dar la pauta de que lo tenés controlado, más una planificación del tipo cada cuanto reviso los puertos (te recomiendo que todos los días, cada cuanto reviso el log, si es que tenés un ids, qué hago si un usuario pierde su password, etc.)
3) Adelántate a los problemas. Si tenés idea de redes, sabés donde están los mocos de tu sistema. Ahora, poné a trabajar alguien en detección temprana, si lo tenés.
4) NO OLVIDAR: vos sos la primer barrera. Entonces te conviene MÁS PREVENIR QUE CURAR. Si no, tendrás la desagradable presencia de mis colegas (Auditores informáticos) rompiéndote las pelotas y encontrándote mocos, que, te garantizo, los van a encontrar porque para eso les pagan.
Van otras url:
http://seguridad.internautas.org/scanonline.php. Muy buena, para detectarte puertos abiertos y saber a qué atenerte. Además los artículos son buenos, realmente. Ojo, no tiene la entidad de la definición que querés. Pero para cancherear (pavonearse) sirve. No lo olvides: vendete como si lo que hubieras hecho, sea la salvación de la compañia.
http://www.criptonomicon.com/programas/puertos.html. Tiene herramientas para mirar, analizar y cerrar puertos.
Respecto a cómo confeccionar los procedimientos, bueno...
Como cualquier norma:
a) OBJETIVO
b) ALCANCES
c) ámbito de aplicación
d) Procedimiento detallado (conjunto de pasos que se deben seguir para alcanzar algo)
e) Glosario
Si querés algo más, de tipo consultoría, avisame. CObro barato.
