CASO FICTICIO SOBRE SEGURIDAD INFORMATICA

el siguiente caso (ficticio), como ejemplo: soy un estudiante de la carrera X, en la universidad Y, soy un experto en seguridad informática, cracking y programación a bajo nivel y quiero dejar de estudiar (y conseguir mi título instantáneamente) tras mi segundo año de estudios. Entro en el sistema de calificaciones (BD Oracle) utilizando un exploit, actualizo y relleno mis calificaciones (y retraso varios años mi escolarización con ánimo de no levantar sospechas y con cuidado de no violar restricciones en la BD). Replico los cambios, borro las huellas (logs y demás) y dejo pasar el tiempo, aunque no demasiado (un par de días). Tras esto, voy a secretaría, donde "cierro" el expediente y solicito el título (que amablemente me tramitarán al comprobar que tengo aprobado todos los cursos). Me apuntarán en el libro, y el título me llegará a mi casa. Es posible que alguien descubra el error (o no), pero el título ya está en mi poder; soy ingeniero en X. ¿Dónde está el problema? ¿En la (in)seguridad (física) del sistema? ¿O en la falta de comprobación de datos de secretaría? Tal vez una simple comprobación en una base de datos distinta hubiera evitado este entuerto

integrantes:

Juan Rene Rivas Lima 25-1485-2004

Osmaro Anibal Rodriguez Silva 25-2724-2004

Alexander javier Elias Lopez 25-1653-2004

José Orlando Hernández Hernández 25-0902-2004

Luis Franklín Recinos Choto 25- 6725-1999

Administracion del cambio del equipo

5.2.1.1 ¿Quién es el encargado de tomar la decisión de compra de equipos tecnológicos dentro de su organización?¿Quién es el encargado de tomar la decisión de compra de equipos tecnológicos dentro de su organización?

El analista de sistemas en conjunto con la gerencia de informatica

Proceso para adquirirlo:

5.2.1.2 ¿Qué ocurre si un departamento necesita espacio adicional de almacenamiento y debe comprarse un equipo nuevo?

El encargado del area de informatica hace la solicitud formal donde se detalla la adquisicion del nuevo equipo asi mismo la consideracion del espacio donde va hacer utilizado para instalar el equipo . luego dicha solicitud se envia a la gerencia para su dicha aprobacion.

5.2.1.3. ¿Quién maneja esa adquisición y cómo se integra al centro de cómputo existente?

La direccion del centro de informatica son los encargados de ubicar y dejar completamente instalado el equipo.

Definiendo procedimientos de contingencia:

5.4.1.1. ¿Qué acontecimientos pueden provocar alarmas de un centro de cómputo?

• La caida del servidor.
• La caida de la red isp
• Virus
• Desastres naturales

5.4.1.2. ¿Qué pasos deben tomarse para prevenir esas alarmas?

hacer respaldos de toda la informacion.
Tener al menos dos proveedores de internet.
Hacer actualizaciones constantes.

5.4.1.3. ¿Cómo se verificarán cada una de esas alarmas?

Diseñar el material de contingencia en el cual se encuentran todas las referencias de las posibles problematicas y asi mismo sus soluciones de todo lo relacionado.

5.4.1.4. ¿Cuáles son los procedimientos de solución si una alarma se convierte en un acontecimiento real?

Ir al manual de referencia , buscar el problema y la solucion del mismo , en caso de que no encontremos el problema busacar una solucion inmediata al mismo.

5.4.1.5. ¿Qué puesto o persona será el responsable para resolver el acontecimiento?

Va a depender del area donde se genere el problema por ejemplo:
Redes : Admon. de red
Base de datos : DBA
Hardware y Software : Soporte tecnico

5.4.1.6. ¿Cómo será contactado en el día o la noche está persona?

todos los tecnicos del area estaran disponibles en horas diurnas y nocturnas para resolver cualquier problema.

5.4.1.7. ¿Qué tareas de recuperación pueden ser iniciadas antes de que el acontecimiento sea resuelto?

Se deben de hacer copias de seguridad y trasladar regularmente a otro lugar seguro externo a la empresa.
Deben establecerse controles para una efectiva disuasión y detección, a tiempo de los intentos no autorizados de acceder a la información de archivos no autorizados.

Establecer políticas de autorizaciones de acceso físico al ambiente y de revisiones periódicas de dichas autorizaciones.

Establecer políticas de control de entrada y salida del personal, así como de los paquetes u objetos que portan.

5.4.1.8. ¿Qué puesto o persona declarará que el acontecimiento ha sido resuelto y que ya no necesita atención?

Es el Gerente de Informática.

5.4.1.9. ¿Qué persona y cuándo se revisara el acontecimiento para que no vuelva a suceder ?

Es el Gerente de Informática.

Respaldo y Recuperación de Datos

5.5.1.1. ¿Cuáles son las necesidades de respaldo de la organización?

Cada organización tiene diferentes necesidades, es por eso que tenemos que hacer un estudio para ver cada cuanto tenemos que estar haciendo los respaldo, ya que si es información de vital importancia pues debemos de hacerlos diariamente para no tener ningún contratiempo, en caso de que sea muchísima información la que tenemos que guardar, tenemos que pensar en tener un equipo de alto rendimiento para poder hace los respaldo sin ningún problema.

5.5.1.2. ¿Cuáles son las expectativas administrativas de respaldo y recuperación?

Es tener la seguridad y que podamos ya sea guardar la información o guardar la información, esto es seguridad para la empresa ya que los datos de importancia siempre tendrán copias de respaldo.

5.5.1.3. ¿Qué personal se encarga del proceso de respaldo y recuperación?

El personal que se encargara será el encargado de seguridad informática por que el llevara el control mas que todo del del centro de informática de nuestra organización, así como también se ocupara de estar revisándolo consecutivamente para ver que no tenga ningún problema y se necesita hacer un respaldo el lo hará.

5.5.1.4. ¿Cómo afectan las regulaciones de conformidad (Leyes sobre administración de información: Acta del Patriota, HIPAA, Sarbanes Oxley, ) su proceso de respaldo y recuperación?

Cada ley tiene su propósito ye es que cada una ve por la protección que le brindan a las empresas por ejemplo la ley de sarbanes Oxley dice proporcionar una supervisión independiente de empresas de contabilidad pública prestación de servicios control de calidad, y cumplimiento de los mandatos específicos de SOX pero a la vez afectan un poco por que cada una de esas tiene diferentes leyes de administración de información.

5.5.1.5. Adicionalmente, ocúpese del proceso real de respaldar datos, como sigue:

El respaldo lo realizamos a través de Cintas.

5.5.1.6. ¿Cómo realizará usted el respaldo?

5.5.1.7. ¿Cuándo tendrá lugar?

Cada semana si es posible por que así podemos mantener un mejor control sobre los datos la realización de copias de seguridad ha de realizarse diariamente, éste es el principio que debe regir la planificación de las copias, sin embargo, existen condicionantes, tales como la frecuencia de actualización de los datos, el volumen de datos modificados, etc., que pueden hacer que las copias se realicen cada más tiempo.

5.5.1.8. ¿Cómo almacenaran los datos de respaldo y dónde?

Una copia mensual se entrega al gerente general y los respaldos diarios se almacenan en una caja fuerte en el departamento de informática. El respaldo se hace a través de cintas.

5.5.1.9. ¿Qué tipo de auditorias necesitarán para cumplir con las regulaciones de conformidad?

En este caso lo que tendríamos que hacer es que tenemos que hacer una investigación de preliminar Se deberá observar el estado general del área, dentro de la empresa, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización la información que tenemos. Así mismo la auditoria seria la de la auditoria de sistemas para llevar un mejor control de las copias de respaldo

Actualización (Update) y Mejora (Upgrade) del Software Principal

5.6.1.1. Determine en que parte del ciclo de vida se encuentra el software principal.

Actualmente el software de nuestra empresa se encuentra en la etapa de IMPLEMENTACION. La empresa esta llevando un control de sus labores con un programa escrito en lenguaje PHP con base de datos MySQL, se la esta dando el debido mantenimiento.

5.6.1.2. ¿Con cuánta frecuencia se necesita llevarse a cabo la actualización del software principal?

De tres a seis meses, dependiendo del trabajo que se realice con los equipos y la ubicación donde se encuentran

5.6.1.2. ¿Con cuánta frecuencia se necesita llevarse a cabo la actualización del software principal?
cuando esten disponibles nuevas actualizaciones se harian de inmediato.

5.6.1.3. ¿Con cuánta frecuencia se debe de dar mantenimiento?

De tres a seis meses, dependiendo del trabajo que se realice con los equipos y la ubicación donde se encuentran

5.6.1.4. ¿Cómo afecta a otros departamentos dentro de la organización las actualizaciones o mantenimiento?

Puede afectar el rendimiento mientras se realizan las actualizaciones, pero una vez terminadas puede mejorar la eficiencia del sistema y por consiguiente facilitar sus labores.

5.6.1.5. ¿Cómo se pueden minimizar estos efectos?

Realizando las actualizaciones en horas no laborales para no interrumpir las labores de otros departamentos.

5.6.1.6. ¿Qué puesto o persona será el responsable de ejecutar y monitorrear las actualizaciones y mantenimientos?

El encargado de seguridad informatica es el responsable de que estas actividades se lleven acabo diariamente.

5.6.1.7. ¿Qué penalidades deben de ser impuestas si las actualizaciones o reparaciones no son ejecutadas en el horario previsto?

Si la actualizacion es de carácter urgente y no se ha cumplido con la fecha establecida para llevar acabo la actualizacion, se hace una amonestación al personal encargado de llevar acabo estas actividades.

5.6.1.8. ¿Se tiene un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?

5.6.1.9. ¿Quién es el responsable de comunicar y entrenar a los usuarios acerca de las actualizaciones y mantenimiento que los afectan?

El departamento de informática.

5.6.1.10. Desarrolle un horario para actualización y mantenimiento de equipo y software o sistemas de información

Catalogo de servicios

Catalogo de Servicios

Administración de proyectos:

El área administración de proyectos establece y lleva acabo sistemáticamente las actividades que permitan cumplir con los objetivos de un proyecto en el tiempo y costo esperados, apoya en la vinculación y gestión de los recursos necesarios para el funcionamiento del departamento, así como el monitoreo de los servicios que se prestan a la comunidad universitaria.

Análisis de sistemas:

El área de análisis de sistemas analiza los procedimientos y actividades de manera conjunta con las áreas y dependencias de la Institución, diseña la solución de automatización mediante la propuesta de desarrollo de sistemas de información, genera los prototipos necesarios y proporciona los elementos suficientes para el desarrollo de los sistemas de información.

Programación:

El área de programación construye las aplicaciones informáticas que integran los sistemas de información a partir de los elementos proporcionados del análisis y diseño, realiza las pruebas pertinentes a las aplicaciones, implementa los sistemas de información, capacita a los usuarios en el uso y operación de las aplicaciones y realiza las acciones de mantenimiento y actualización de los sistemas de información.

Redes, Seguridad y servicios anexos:

Competencia aplicada al procesamiento de Datos, hacen un uso extensivo de LAN´s, WAN´s e INALAMBRICAS, deben manejar ahora activos de TI adicionales (servidores, firewalls, servidores proxy, routers, switches y amplia gama de software) responsable de mantener los sistemas de cómputo de ambientes multiusuario, incluyendo LAN´s y WAN

Administración de base de datos:

El área de Administración de la Base de Datos es el área encargada de velar porque los modelos de datos y los sistemas de información que funcionan en la Universidad sean consistentes, correctos, seguros y se puedan accesar de una forma rápida y confiable mediante construcción de índices, constraints y otras técnicas de bases de datos.

Soporte a usuarios (hardware, software y servicio técnico):

El Soporte técnico es un rango de servicios que proporcionan asistencia con el hardware o software de una computadora , o algún otro dispositivo electrónico o mecánico. En general los servicios de soporte técnico tratan de ayudar al usuario a resolver determinados problemas con algún producto en vez de entrenar o personalizar
Comunicaciones o Interconectividad (correo electrónico, Internet, telefonía):

Desarrollo de sistemas o aplicaciones:

Competencia que hace establecer un flujo de información eficiente a través de toda la organización.

Contingencias:

Se asegura de desarrollar planes estrategicos para poder afrentar situaciones criticas en la empresa y poder superar una crisis rapidamente

Aseguramiento de calidad:


Se asegura que las labores se ejecuten de forma correcta y bien desempeñada para obtener buenos y mejores resultados, todo ello mediante la organización de pruebas y documentación que comprueben la buena labor.

Organigrama y funciones

UNIDAD DE INFORMÁTICA

Coordinar y supervisar en forma permanente el trabajo operativo de todas las unidades de su dependencia a través de la programación de actividades de cada Unidad o Sección

DEPARTAMENTO DE ADMINISTRACIÓN DE PROYECTO

* Desarrollar proyectos de análisis, desarrollo e implementación de software para la organización

* Mantener informada a la Subdirección de Evaluación acerca de las funciones del área.

* Supervisar todo proyecto informático que fuere contratado a terceros y ser la contraparte técnica de los sistemas computacionales arrendados.

* Evaluar y sugerir la incorporación de nuevas tecnologías.

* Evaluar, preparar y confeccionar la ejecución de nuevos proyectos en el área de la informática a nivel de equipamiento y aplicaciones.

* Planear el crecimiento del equipo de cómputo, analizando la factibilidad de dichas necesidades.

* No de personal asignado: 5 personas

DEPARTAMENTO DE ANÁLISIS DE SISTEMAS

* Proponer las adaptaciones y modificaciones a los programas de cómputo, con base en las necesidades del Sistema.

* Analizar los programas en operación de la Dirección General, y proponer los que sean factibles de computarizar.

No de personal asignado: 10 personas

DEPARTAMENTO DE PROGRAMACIÓN

* Diseñar y mantener actualizados los programas de cómputo así como los formatos de captura de información.

* Elaborar los programas de cómputo, para atender demandas sobre de la información que se necesite.

* Mantener y actualizar el sitio Web.

No de personal asignado: 10 personas

DEPARTAMENTO DE REDES, SEGURIDAD Y SERVICIOS ANEXOS:

* Coordinar las labores pertinentes a la administración y buen funcionamiento de los servidores

* Coordinar las labores pertinentes a la administración y buen funcionamiento de nuestra red LAN, WAN.

* Planear e implementar políticas de seguridad informática para la Institución.

* Dar soporte para un buen funcionamiento de la red

*Administrar la creación de los usuarios y el sistema de privilegios según los requerimientos de los sistemas y la función de cada usuario dentro de la organización

*Analizar, Implantar y Administrar la Red

*Administrar las conexiones de Internet dentro de la red

*Realizar la administración de los equipos Servidores, en lo relacionado con memoria, procesos, software, discos, direcciones e impresoras

*Simplificar la información de la red

*Implementar medidas de seguridad en tecnología

No de personal asignado: 15 personas

DEPARTAMENTO DE ADMINISTRACIÓN DE BASE DE DATOS

* Realizar labores de recuperación de datos

*Administrar la base de datos

*Proporcionar los servicios de codificación, registro procesamiento y procesamiento de datos

*Diseñar y desarrollar sistemas para la creación y consulta de las bases de datos que requieran las áreas de la dirección general.

No de personal asignado: 10 personas

DEPARTAMENTO SOPORTE A USUARIOS (HARDWARE, SOFTWARE Y SERVICIO TÉCNICO):

*Realizar labores de reinstalación de programas

*Soporte interno a usuarios

*Integrar y mantener actualizados los sistemas de información que se encuentran en operación.

*Prestar soporte a usuarios en todo lo relativo a la plataforma computacional

*Soporte a los usuarios en la operación normal de los sistemas y el uso correcto del equipamiento

*Apoyar a los usuarios en uso de la red de datos, compartición de recursos, impresión y correo electrónico

*Elaborar la documentación técnica

*Realizar el mantenimiento preventivo a las computadoras.

*Configurar los equipos y periféricos

*Control contra virus y otros códigos maliciosos

No de personal asignado: 15 personas

DEPARTAMENTO DE COMUNICACIONES O INTERCONECTIVIDAD (CORREO ELECTRÓNICO, INTERNET, TELEFONÍA):

*Brindar servicio de enlaces Urs y Oficinas de desarrollo productivo y Videoconferencia.

*Mantener y Administrar los Servicios de Internet, Correo Electrónico y FTP

No de personal asignado: 8 personas

DEPARTAMENTO DE CONTINGENCIAS

*Elaborar y ejecutar los planes de contingencia necesarios en caso de pérdida de dicha información

*Diseño de un manual de recuperación ante desastres

*Llevar registros de fallas, problemas, soluciones, acciones desarrolladas, respaldos, recuperaciones y trabajos realizados

No de personal asignado: 5 personas

DEPARTAMENTO DE ASEGURAMIENTO DE CALIDAD

*Velar por la integridad de la información almacenada en equipos computacionales

*Velar que todo el equipo informático este debidamente licenciado

*Verificar que los proveedores de equipo de cómputo cumplan con las especificaciones señaladas en los contratos o pedidos correspondientes.

*Verificar y mantener actualizado el inventario de sistemas instalados en los equipos de cómputo, con el fin de poder determinar su actualización de acuerdo a las necesidades de los usuarios.

*Evaluar constantemente el uso y funcionamiento de los sistemas instalados.

No de personal asignado: 5 personas



Organigrama



haga clic para ampliar