DETALLE DE AUDITORÍA.

Capitulo III. Propuesta de solución al problema.

A continuación, se presentan las novedades encontradas en la auditoría interna.

Seguridad de los equipos.

Protección de equipos y emplazamiento. Políticas:

Mantenimiento de equipos.

1. La dirección de tecnologías de la información y comunicación establecerá un cronograma de mantenimientos de los departamentos de la Uniandes Extensión Babahoyo, donde se establecerá 2 mantenimientos anuales como mínimo para preservar la vida útil de los equipos.

2. Solo el personal autorizado por el departamento de TIC puede realizar las debidas reparaciones de equipos, para esto los usuarios deben solicitar la credencial respectiva.

3. Previamente al envió de reparación de un equipo el usuario deberá sacar el respaldo de toda su información y borrar la información considerada como sensible para prevenir la perdida involuntaria de la información, para realizar este proceso podrá solicitar asesoramiento técnico.

Gestión de cambios. Política:

En la gestión de cambios para el departamento de TIC de la Uniandes Extensión Babahoyo podrá realizar los empleados tomando en cuenta lo siguiente:

1. Para implementar mejoras en algún servicio se deberá registrar la fecha del cambio realizado y guardar la fecha antigua de los archivos modificados.

2. Para realizar algún cambio de debe realizar las notificaciones al personal que interviene en el cambio y una socialización de la razón del cambio.

Copias de Seguridad.

Copias de seguridad de la información. Políticas:

Para todo usuario para la seguridad de su información de los equipos podrán realizar respaldos de la información de dependiendo de la importancia y frecuencia del cambio y el personal de soporte deberá configurar un directorio en la unidad D: donde se realizará el respaldo.

Gestión de la seguridad de las redes. Controles de la Red.

Políticas:

1. Está prohibido instalar o configurar software de escaneo de la red, cualquier exploración de los recursos en la red serán considerados como ataques porque estos programas realizan escaneo vulnerabilidades en los recursos de la red.

2. Se deben realizar escaneo de seguridad por parte del departamento de tecnologías de la información y comunicación, por lo menos una vez trimestralmente para poder detectar cualquier vulnerabilidad y subsanarla a través de las siguientes acciones.

• Rechazar conexiones a servicios comprometidos.

• Permitir cierto tipo de tráfico.

• Ocultar información sobre los dispositivos y cuentas de usuarios

internos.

• Para hacer uso de la red inalámbrica se debe registrar los usuarios

que deseen este servicio y presentando el dispositivo que se conectará a la red inalámbrica, para así registrar su dirección MAC, se deberá emplear autenticación tipo WPA”

• No se permite la operación ni instalación de ningún punto de acceso

(Access point) conectados a la red cableada sin la debida autorización del departamento de Tecnologías de la Información.

3. Es totalmente prohibido configurar tarjetas de red en modo promiscuo o equipos como puntos de acceso, el departamento de TIC al momento de identificar este tipo de errores inmediatamente procederá a bloquear el equipo de la red.

Seguridad de los servicios de Red.

1. Se debe incorporar en los servidores tecnologías de protección como servicios de firewall, encriptación en la autenticación.

2. Antes de poner cualquier servicio en producción en los servidores se debe realizar un hardening que incluya medidas de seguridad que salvaguarden la integridad confidencialidad de la información y su alta disponibilidad.

3. El acceso remoto de realizarán a través de VPN para tener acceso a ala red privada.

Manipulaciónde los soportes. Gestión de soportes extraíbles. Políticas:

1. Se permite el uso de dispositivos extraíbles de los usuarios tomando en cuenta las siguientes políticas.

2. En ningún caso está permitido almacenar información de carácter reservado por perdida del dispositivo en caso de necesitar traslado deberá pedir asesoramiento de cifrado de esa información por parte del departamento de TIC de la Uniandes.

3. En caso de los empleados dl departamento de TI puede hacer uso de medios extraíble siempre y cuando exista orden por escrito del director de TIC y este dispositivo no puede abandonar las instalaciones de la Uniandes Extensión Babahoyo.

4. En caso de traslado del dispositivo con información se debe realizar la cadena de custodia con un empleado del departamento de TIC para evitar fugas de información.

Retirada de los soportes. Políticas:

1. Al seleccionar una herramienta de borrado, elegir aquella que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado. 2. En el caso de que la destrucción lógica no se realice correctamente por

fallo del dispositivo, este hecho debe documentarse claramente y utilizar métodos de destrucción física de dicho soporte, asegurando que se realice de forma respetuosa con el medio ambiente.

Procedimiento de manipulación de la información. Políticas:

Se debe incorporar a os usuarios software para cifrar la información especialmente a los departamentos que tienen información crítica incluyendo la del departamento de TIC.

Seguridad en la documentación del sistema. Políticas:

La información generada por los sistemas informáticos se deberá tratar como uso restringido, los accesos a esta deberán ser autorizada por el responsable del área previa consulta al director de TIC, toda esta información estará ubicada en el data center para asegurar la disponibilidad al personal autorizado.

Supervisión.

Registros de Auditoría. Políticas:

Para detectar cualquier tipo de actividad anormal en el procesamiento de la información se deberá mantener registros de transacciones de las actividades y eventos de seguridad de la información de los usuarios para investigación de incidentes.

Supervisión del uso de sistemas y servicios. Políticas:

Se deberá implementar software que permita registrar la información de los sistemas y servicios que corren en la red y se deberá la siguiente información. Usuario, fechas detalles de eventos, los registros de intento de acceso a datos u otro servicio, inicio y cierre de sesión.

Cambios de configuración en los equipos, uso de privilegios aplicaciones y archivos accedidos por estos.

Control de Acceso.

Política de control de acceso. Política:

1. Todos los usuarios con acceso a la red para acceder los servicios tendrán una única autorización de acceso a través de usuario y password.

2. Para recibir las credenciales de acceso a un equipo y servicios el usuario deberá firmar un acta aceptando las políticas de seguridad establecidas. 3. La contraseña será de una longitud mínima de 10 caracteres deberá tener

4. En caso de usuarios temporales se deberá realizar una solicitud y aprobados por el director o jefe de área y supervisados por el director de TIC, se deberá establecer fecha inicial y final con horas y minutos de acceso.

Gestión de acceso a usuarios. Registro de Usuario

Política:

1. Para realizar el registro de un usuario se lo deberá realizar a través de una solicitud dirigida al director de TIC donde se indique los nombres y apellidos y las acciones que va a realizar en el departamento para establecer servicios que deben ser accedidos por el usuario.

2. Al entregar el usuario y contraseña, se deberá revisar la firma de compromisos de confidencialidad y notificación de uso adecuado de recursos.

3. En caso de que culmine una persona su relación laboral con el Uniandes Extensión Babahoyo se deberá notificar inmediatamente al departamento de TI para su baja correspondiente de sus credenciales.

Gestión de privilegios. Política:

1. Los directores o jefes de áreas deben establecer los privilegios asociados a cada recurso o software y/o aplicación.

2. Se debe realizar o establecer grupos de usuarios para poder asignar roles en los servicios para la asignación de privilegios a los recursos.

3. Para las cuentas con rol de administrador serán empleadas exclusivamente para la administración de recursos y tendrán mayor grado de complejidad sus contraseñas.

4. El responsable de cuentas de administrador será el director del área de TIC.

Gestión de contraseñas de usuario. Políticas:

1. Los usuarios tienen total responsabilidad sobre las contraseñas de sus cuentas y deben cumplir el compromiso de confidencialidad, en el primer acceso a todos los usuarios creados recientemente deberán cambiar sus contraseñas.

2. Se le obligará a cada usuario al momento de asignación de contraseña un grado de complejidad que cumpla con las políticas de asignación de nuevas contraseñas.

3. Estas contraseñas se almacenarán en forma codificada y en sistemas informáticos protegidos ejemplo: Active Directory de Windows Server. 4. Para el caso de contraseñas de con privilegios de administrador se

asignará una contraseña con mínimo 14 caracteres de longitud entre letras mayúsculas y minúsculas, números y caracteres especiales.

Responsabilidades de usuario. Uso de contraseñas.

Políticas:

1. Todos los usuarios deberán mantener sus contraseñas en secreto. 2. El usuario debe solicitar reinicio de contraseña cuando exista una posible

divulgación de esta.

3. Las contraseñas no deben estar registradas en lugares de fáciles accesos.

4. Cambiar la contraseña cada vez que el sistema los solicite.

5. Se debe notificar por escrito ante el director de TI cada vez que exista un indicio de robo de contraseña, para realizar el reinicio inmediato.

Equipo de usuario desatendido. Políticas:

En todos los equipos de cómputo de establecerá contraseñas al activar el protector de pantalla cuando exista un determinado tiempo de inactividad.

Control de acceso a la red

Identificación de los equipos de las redes. Políticas:

1. Se debe establecer un esquema de identificación de equipos que se conecte en la red, esto se lo realizará a través de un software que se a capaz de brindar esos detalles de identificación.

2. Se debe implementar la autenticación de equipos a través de direcciones Mac, para que cada equipo este identificado en la red y registrar su actividad.

3. Todos los nodos de la red deben estar dotado con protecciones físicas.

Protección de los puertos de diagnóstico y configuración remotos. Políticas:

1. La habilitación de los puertos remotos de los equipos de telecomunicaciones como de los servicios deberá de ser controlados, para evitar que se los aproveche como medio de acceso no autorizado queda prohibido la habilitación de servicios telnet ya que no proporciona cifrado y su servicio es muy sensible a fallos de seguridad.

2. El director de tecnologías de la información generara acuerdos con el proveedor de internet, para generar un marco de protección para la comunicación de los sistemas de diagnóstico remoto.

Control de la conexión a la red. Políticas:

1. Las carpetas o archivos compartidos de la red serán gestionados, para que solo puedan acceder los usuarios autorizados para esto se solicitará autorización al director o jefe del área que pertenece el archivo o carpeta compartida.

2. Para los equipos de escritorio se establecerá horarios de acceso a los equipos de acuerdo a la jornada laboral si algún empleado desea laborar por más periodo de tiempo deberá solicitar la correspondiente autorización de su director o jefe de área.

Control de encaminamiento (routing) de red. Políticas:

1. En las redes y subredes de la Uniandes extensión Babahoyo se instalarán controles de ruteo para que las conexiones puedan acceder a recursos autorizados según al segmento de red que pertenece.

2. Los mecanismos de control de accesos a las redes contemplarán verificación de dirección de origen y destino y listas de control de acceso.

Control de acceso al sistema operativo. Políticas:

Se establece que luego de 5 intentos de sesión fallidos el usuario será notificado y su cuenta bloqueada, para volver a tener acceso deberá solicitar reinicio de clave al departamento de soporte.

In document Plan de seguridad informática basado en la norma ISO 27002 y la gestión de la información para el departamento de TIC de la Uniandes extensión Babahoyo (página 89-98)