Linkedin - Profile

viernes, 20 de mayo de 2011

Políticas de admisión y control de usuarios, para evitar la fuga de datos.

 

Quiero compartir con todos ustedes, mi proyecto de fin de master en Seguridad de las TIC. El mismo fue desarrollado durante mis estudios en la Universidad Europea de Madrid. Espero contribuir con las organizaciones en fortalecer sus políticas de seguridad para la prevención de la fuga de datos.

Políticas de admisión y control de usuarios:

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 1. Historial de Política: Sistema Operativo Cliente.

Política: Sistema Operativo Cliente.

Comentario: Con esta política se pretende especificar el tipo de sistema operativo que se autoriza para acceder a la red corporativa. El sistema operativo cliente será el indicado por el responsable del departamento de seguridad y no se podrá operar con ningún otro sistema operativo que no esté autorizado por el responsable del departamento de seguridad.

Políticas relacionadas: “Sistema operativo cliente”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 2. Historial de Política: Sistema de antivirus.

Política: Sistema de antivirus.

Comentario: Esta política establece los equipos corporativos deberán de tener un sistema operativo el cual será actualizado periódicamente por los servidores que prestan el servicio de actualización de huellas, este antivirus será administrado y controlado por el departamento de seguridad.

Políticas relacionadas: “Sistema Antivirus”.

Política dirigida a: Todos .

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 3. Historial de Política: Sistema de control y admisión de estaciones de trabajo.

Política: Sistema de control y admisión de estaciones de trabajo.

Comentario: Esta política específica que las estaciones de trabajo que se conectan a la red corporativa solo recibirán los servicios si pertenece a un grupo específico del entorno tecnológico y cumpla con las reglas definidas por el departamento de seguridad de la corporación.

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos .

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 4. Historial de Política: Red de cuarenta.

Política: Red de cuarenta.

Comentario: Esta política especifica qué las estaciones de trabajo que no cumplan con las reglas definidas por el departamento de seguridad de la corporación, pasar a una red de cuarentena con servicios limitados que serán definidos previamente por el departamento de seguridad de la corporación.

Políticas relacionadas: “Control y Admisión”.

Política dirigida a: Todos .

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 5. Historial de Política: Actualización Automática del Sistema Operativo.

Política: Actualización Automática del Sistema Operativo.

Comentario: Esta política establece que las estaciones de trabajo y servidores contaran con un sistema automatizado para la actualización y parcheo de sus sistemas operativos, dicho sistema será administrado y controlado por el departamento de seguridad de la corporación y contara con la supervisión del responsable del departamento

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 6. Historial de Política: Perfiles de admisión de los usuarios.

Política: Perfiles de admisión de los usuarios.

Comentario: Esta política establece los perfiles de los usuarios en la red corporativa, el usuario tendrá acceso a los sistemas de la corporación de acuerdo al rol y las funciones que desempeñe en la organización, de esta manera se establecerán niveles de acceso para cada aplicación, base de datos, sistema web o cualquiera que aplique en el entorno corporativo. Estos niveles serán establecidos por el departamento de seguridad de la organización.

Políticas relacionadas: “Perfiles de los usuarios”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 7. Historial de Política: Red de Invitados.

Política: Red de invitados.

Comentario: Se contara con una red de invitados la cual tendrá una conectividad totalmente aislada a la red corporativa y cuyo acceso será solo autorizado por el departamento de seguridad de la corporación.

Políticas relacionadas: “Control y Admisión”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 8. Historial de Política: Control de acceso a proveedores externos.

Política: Control de acceso a proveedores externos.

Comentario: Para evitar que los equipos portátiles y electrónicos de proveedores externos que se conectan a la red corporativa, dicha autorización y chequeo previo será exclusivamente autorizado por el departamento de seguridad de la corporación, con el fin de evitar que dichos equipos puedan contener software malicioso o no cumplan con las políticas establecidas anteriormente.

Políticas relacionadas: “Control y admisión”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 9. Historial de Política: Administración de las aplicaciones de control y admisión.

Política: Administración de las aplicaciones de control y admisión.

Comentario: Es necesario tener un responsable que se encargue de administrar los dispositivos, servidores y aplicaciones que control, autoricen y administren el acceso a la red corporativa y sus recursos asociados. Este responsable será el encargado de dar un reporte y alertar de las posibles vulnerabilidades e irregularidades que pueda sufrir la organización. Este administrador dependerá directamente del responsable del departamento de seguridad.

Políticas relacionadas: “Responsables del sistema de control y admisión”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 10. Historial de Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos.

Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos.

Comentario: Solo se permitirán la implementación de equipos de electrónica de red que cumplan con el protocolo 802.1X para garantizar que dichos equipos tendrán la capacidad de operar bajo normas establecidas por el departamento de seguridad, garantizando el control y administración de los equipos que se conecten a la red corporativa.

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 11. Historial de Política: Servidores de control y admisión.

Política: Servidores de control y admisión.

Comentario: Se deberá contar con servidores que presten los servicios de admisión y control en la red corporativa. Estos servidores deberán cumplir con las normas establecidas anteriormente y serán capaces de ser administrados de manera autónoma con la mínima intervención del personal del departamento de seguridad

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 12. Historial de Política: Control de admisión de usuarios.

Política: Control de admisión de usuarios.

Comentario: Los usuarios que se conecten a la red corporativa deberán cumplir con las normas establecidas por el departamento de seguridad de la organización, y bajo ningún concepto podrán saltarse los procedimientos de admisión y control a la red corporativa

Políticas relacionadas: “Control de usuarios”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 13. Historial de Política: Actualización de los sistemas operativos de los clientes.

Política: Actualización de los sistema operativos de los clientes.

Comentario: La actualización de los sistemas operativos de las estaciones de trabajo estará a cargo del departamento de tecnología de la organización, bajo la supervisión del departamento de seguridad. Ambos departamento se coordinaran para tomar en cuenta cuáles serán los sistemas operativos implicados en el momento de su actualización.

Políticas relacionadas: “Sistemas operativos”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 14. Historial de Política: Administración de los dispositivos de electrónica de red.

Política: Administración de las dispositivos de electrónica de red.

Comentario: Se contara con un responsable de administrar y controlar los dispositivos de electrónica de red que interconectan la red corporativa, dicho responsable dependerá del departamento de seguridad de la organización.

Políticas relacionadas: “Personal Administrativo”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 15. Historial de Política: Admisión y control de Servidores en la red corporativa.

Política: Admisión y control de Servidores en la red corporativa.

Comentario: Solo se permitirán la instalación de servidores que cumplan con las normas establecidas por el departamento de seguridad y sean compatibles con el protocolo 802.1X, todos los servidores que se conecten a la electrónica de red deben de tener la capacidad de auto gestionarse con la mínima intervención de los administradores.

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 16. Historial de Política: Sistema de control de gestión y alertas.

Política: Sistema de control de gestión y alertas.

Comentario: Se contara con un sistema de gestión y alertas que permita notificar a los responsables del departamento de seguridad y tecnología en caso de alguna contingencia o alarma preventiva. Estas alertas serán pre configuradas en el sistema de acuerdo a las aplicaciones que se alojen en cada servidor y tomando en cuenta su criticidad para la organización.

Políticas relacionadas: “Sistema de gestión y alertas”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 17. Historial de Política: Renovación de los equipos de electrónica de red.

Política: Renovación de los equipos de electrónica de red.

Comentario: Se renovaran y se sacaran de su vida útil todos los equipos de electrónica de red que no cumplan con el protocolo 802.1X, esto con el fin de tener un equipamiento estándar que cumpla con los mínimos requerimientos para la gestión de la plataforma tecnológica de la corporación.

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 18. Historial de Política: Sistema de monitorización de la electrónica de red.

Política: Sistema de monitorización de la electrónica de red.

Comentario: Se debe contar con un sistema de monitorización que permita ver en tiempo real el funcionamiento y desempeño de los equipos de electrónica de red. Dicho sistema tiene que cumplir con las normas establecidas por el departamento de seguridad de la corporación, bajo la aprobación del responsable de seguridad.

Políticas relacionadas: “Sistema de monitorización”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa.

Política: Solicitud de acceso a la red corporativa.

Comentario: Todo equipo electrónico, dispositivo, portátil y/o servidor que cumpla una función critica dentro de la organización deberá ser autorizado previamente por el departamento de seguridad de la corporación antes de ser conectado a la plataforma tecnológica.

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Fecha:

13 de febrero de 2011

Fecha de revisión:

13 de febrero de 2012

Versn:

1.0

Revisn:

Departamento de seguridad

Revisor:

Director de Seguridad

Autor:

Peter Díaz

Tabla 20. Historial de Política: Actualización de las aplicaciones tecnológicas.

Política: Actualización de las aplicaciones tecnológicas.

Comentario: Solo se permitirán la implementación de aplicaciones tecnológicas compatibles con los sistemas de admisión y control descritos anteriormente, bajo ningún concepto se implementaran aplicaciones que no sean compatibles con la plataforma tecnológica de la corporación

Políticas relacionadas: “Admisión y control”.

Política dirigida a: Todos.

Ambientes de seguridad: Todos.

Peter Diaz

www.uem.es