Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 1
Descripcin de la Organizacin Nuestra Misin Ser un Banco Lder que a travs de actividades ticas, sensitivas y rentables provea a nuestros empleados de un ambiente de trabajo en el que puedan desarrollarse, brindando un servicio inmejorable para nuestros clientes y un sentido de responsabilidad compartida junto a nuestra comunidad; respetando los intereses de los accionistas minoritarios. Nuestra Filosofa
Crecimiento: Apostamos al pas y creemos que el crecimiento rentable es vital para nuestra organizacin
Innovacin: Detectamos tempranamente las oportunidades que siempre ofrecen los mercados e inmediatamente respondemos con productos y servicios.
Actitud de servicio: Estamos convencidos de que el conocimiento de nuestros clientes, el trato personalizado y nuestra velocidad de respuesta, son y sern, nuestras caractersticas distintivas.
Organizacin: Nos proponemos trabajar con una estructura organizativa flexible y eficiente, soportando los procesos con la tecnologa adecuada. Respondiendo gilmente a las presiones y cambios del entorno, sin perder el equilibrio. El foco del control deber estar en la prevencin, sin coartar el dinamismo de nuestra organizacin.
Ambiente de trabajo: Promovemos un ambiente de trabajo donde se estimule la responsabilidad, la ejecutividad, el compromiso, los resultados, la lealtad, la honestidad, la buena comunicacin y el trabajo en equipo.
Nuestra Visin A corto plazo: Ser el Banco reconocido por la excelencia en la calidad de sus servicios, la integridad de su gente y por su contribucin al desarrollo nacional. A largo plazo: Ser reconocido como uno de los mejores bancos del mundo por su excelencia en calidad de servicios y confiabilidad. Funcionamiento Banco Macro es una empresa lder en el rubro financiero, destacada desde hace varios aos por su excelencia corporativa, su cordialidad hacia sus clientes y su alta confiabilidad en prestacin de servicios, entre los cuales se encuentran: cuenta corriente, caja de ahorro, cobro de impuestos, plazo fijo, administracin de tarjeta de crdito y debito, seguros bancarios, etc. El departamento de seguridad informtica se encarga de : Administrar la red: brindar una conexin segura, administrando el firewall y reduciendo considerablemente el acceso a la red por parte de personal no autorizado
Administracin y seguridad de base de datos: proteger y resguardar la integridad y confidencialidad de los datos, garantizando la obtencin de informacin confiable, oportuna y precisa
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 2
Back-up: garantizar el respaldo y resguardo de datos realizando buck-ups de los mismos pactados en forma peridica e incluyendo copias de seguridad completas e incrementales. Este resguardo es almacenado en cintas inventariadas.
Registro de usuarios: ser solicitado por el gerente de cada sector, indicando para cada usuario los datos tipo de usuario requerido. Una vez aprobada la solicitud se registran los datos del usuario y se le otorgan su respectivo nombre y contrasea de acceso, como as tambin los permisos necesarios, el acceso a Internet y los das junto con el horario de acceso a la red.
Analisis y manenimiento de sistema: se tiene en cuenta el mantenimiento perfectivo y adaptativo del sistema, en la continua bsqueda de las nuevas funcionalidades requeridas por el mismo. Cuando es necesario incorporar una nueva funcionalidad al sistema se realiza un estudio de factibilidad y se presentan los resultados a la alta direccin informado su presupuesto y tiempo de implementacin para que se se tome una decisin
Plan de capacitacin Actividad de la empresa: Banco macro es una organizacin orientada al rubro financiero y la prestacin de servicios de esta ndole. Justificacion: El recurso mas importante de la organizacin lo forma su recurso humano implicado en las actividades laborales.Esto es de vital importancia en una organizacin que presta servicios, en la cual la conducta y rendimiento de los individuos influye directamente en la calidad y optimizacin de los servicios prestados.Un personal motivado y trabajando en equipo, son los pilares fundamentales en los que las organizaciones exitosas sustentan sus logros. En tal sentido se plante el presente plan de capacitacin trimestral con el con el objetivo de mejorar la calidad de atencin al cliente. Alcance: El presente plan de capacitacin abarca a todo el personal que trabaja en Banco Macro. Los usuarios del sistema recibirn una capacitacin de 5 horas semanales con la finalidad de que aprendan a interactuar con el sistema informtico de Banco Macro. Este curso tendr una duracin de 90 das
Se capacitara a los usuarios en el uso de programas y aplicaciones de entorno web con una duracin de 4 horas semanales. Este curso tendr una duracin de 90 dias.
Se realizaran pruebas de manejo y operacin de PC, office 2007 y Windows XP Professional Edittion, con el objetivo de determinar el nivel de cada usuario
Se le brindara a cada usuario en cada curso su correspondiente manual de usuario.
De acuerdo a los resultados obtenidos se los incluir a los usuarios en distintos planes de capacitacin para el uso y administracin de Windows y office. Aquellos que presenten un bajo nivel de conocimiento en estas herramientas sern incluidos en un plan de capacitacin de 6 horas semanales, aquellos con un nivel intermedio sern incluidos en un plan de 4 horas semanales, mientras que aquellos usuarios avanzados sern incluidos en un plan de dos horas semanales.Esta capacitacin ser llevada a cabo durante un periodo de 90 dias
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 3
Se evaluaran los resultados obtenidos de los empleados determinando de esta manera si el plan de capacitacin fue efectivo o no.
Fines: siendo su objetivo general impulsar la eficacia organizacional, la capacitacin se lleva a cabo para contribuir a:
Elevar el nivel de rendimiento de los colaboradores y con ello al incremento de la productividad y rendimiento de la empresa.
Satisfacer de manera ms rpida requerimientos futuros de la empresa en materia de personal. Sobre la base de planeacin de recursos humanos
Generar conductas positivas y mejoras en el clima laboral, la productividad y la calidad y con ello elevar la moral de trabajo
Objetivos:
Generales:
o Preparar al personal para la ejecucin eficiente de sus responsabilidades que asuman en sus puestos o Brindar oportunidades de desarrollo personal en los cargos actuales y para otros puestos para los que el colaborador puede ser considerado o Modificar actitudes para contribuir a crear un clima de trabajo satisfactorio,incrementar la motivacin del trabajador y hacerlo mas receptivo a las tareas de gestios
Especificos:
o Proporcionar informacin y orientacin relativa a los objetivos de la empresa, su organizacin, funcionamiento, normas y polticas o Proveer conocimientos y desarrollar habilidades que cubran la totalidad de requerimientos para el desempeo de puestos especficos o Actualizar y ampliar los conocimientos requeridos en areas especializadas de actividad o Contribuir a elevar y mantener un buen nivel de eficiencia individual y rendimiento colectivo o Ayudar en la preparacin de personal calificado, acorde con los planes ,objetivos y requerimientos de la empresa o Apoyar la continuidad y crecimiento institucional
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 4
Organigrama
Polticas de seguridad Anlisis de riesgos realizados en forma peridica Su finalidad es identificar todos los riesgos que podran llegar a afectar a la organizacin encontrando as todas las posibles soluciones para hacerles frente y reducir sus posibilidades de ocurrencia. 1. Construir un perfil de las amenazas que est basado en el activo ms importante de la organizacin, que es la informacin 2. Identificacin y clasificacin de la informacin de la organizacin. 3. Identificar las amenazas de cada uno de los activos listados. 4. Conocer las prcticas actuales de seguridad
5. Identificar las vulnerabilidades en infraestructura informtica de la organizacin. 6. Identificar los requerimientos de seguridad de la organizacin. 7. Identificacin de las vulnerabilidades dentro de la infraestructura tecnolgica. 8. Deteccin de los componentes claves 9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:
Riesgo para los activos crticos Medidas de riesgos Estrategias de proteccin Planes para reducir los riesgos.
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 5
Estas actividades sern llevadas a cabo por el personal del departamento de riesgos conjuntamente con personal designado del departamento de seguridad informtica. Cualquier empleado que entorpezca dicha investigacin ser sancionado con medidas que van desde suspensiones hasta despido segn lo acredite la gravedad del hecho. Red y Firewall Su finalidad es lograr el balance optimo entre seguridad y accesibilidad, buscando obtener todas las ventajas que ofrece el libre manejo de informacin sabiendo que esta se encuentra completamente protegida El gerente del departamento de sistemas de informacin se encargara de designar un administrador de red, quien estar a cargo de configurar y administrar el firewall, sus funciones sern: 1. Prevenir que usuarios no autorizados obtengan acceso a la red : implementacin de cortafuegos, sistema de deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Se busca mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad.
2. Proveer acceso transparente a la red a los usuarios habilitados: solo los usuarios registrados podrn acceder a la red, para ello deben contar con su correspondiente usuario y contrasea 3. Asegurar que los datos privados sean transferidos en forma segura por la red pblica: usar encriptacin de datos, lo cual permitir modifica un mensaje original mediante una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje. Junto con la firma digital y las marcas de aguas digitales 4. buscar y reparar problemas de seguridad: verificar que todas las medidas de seguridad se cumplen logrando as un correcto funcionamiento y mantenimiento de la red.
5. Proveer un amplio sistema de alarmas advirtiendo intentos de intromisin a la red: se busca evitar robos y alteracin de informacin protegiendo as su integridad y confidencialidad.
Cualquier empleado que viole las normas mencionadas ser sancionado con suspensin o despido segn lo acredite la gravedad del hecho. Se iniciaran acciones legales contra cualquier persona que acceda al sistema si autorizacin del administrador.
Base de datos Apuntamos a proteger informacin acerca de nuestras listas de clientes y registros de accionistas, transacciones comerciales y material de marketing, estrategias de comercializacin y diseo de productos. El gerente del departamento de sistemas de informacin designara un administrador de base de datos, sus funciones sern:
1.Administrar la estructura de la Base de Datos: participar en el diseo inicial de la base de datos y su puesta en prctica as como controlar, y administrar sus requerimientos, ayudando a evaluar alternativas, incluyendo los DBMS a utilizar y ayudando en el diseo general de la bases de datos. 2. Administrar la actividad de los datos: debe proporcionar estndares, guas de accin, procedimientos de control y la documentacin necesaria para garantizar que los usuarios trabajen en forma cooperativa y complementaria al procesar datos en la bases de datos.
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 6
3. Administrar el Sistema Manejador de Base de Datos: . La concurrencia de mltiples usuarios requiere la estandarizacin de los procesos de operacin; el DBA es responsable de stas especificaciones y de asegurarse que estas lleguen a quienes concierne. 4. Establecer el Diccionario de Datos: Cuando se definen estndares sobre la estructura de la base de datos, se deben de registrarse en una seccin del diccionario de datos a la que todos aquellos usuarios relacionados con ese tipo de proceso pueden acceder. Este metadato debe precisar informacin que nos indique con claridad el tipo de datos que sern utilizados, sus mbitos de influencia y sus limitantes de seguridad. 5. Asegurar la confiabilidad de la Base de Datos: garantizar que el sistema de base de datos sea capaz de recuperarse frente a errores o usos inadecuados. Se deben utilizar gestores con las herramientas necesarias para la reparacin de los posibles errores que las bases de datos pueden sufrir
6. Confirmar la seguridad de la Base de Datos: Restringir el acceso a los procedimientos para ciertos usuarios. Restringir al acceso a los datos para ciertos usuarios procedimientos y/o datos. Evitar la coincidencia de horarios para usuarios que comparten. 7. Mantener la Integridad de los Dato proteger la base de datos de accidentes tales como los errores en la entrada de los datos o en la programacin, del uso mal intencionado y de los fallos del hardware o del software que corrompen los datos. 8. Mantener la Seguridad de los Datos: Proteger la base de datos del uso malintencionado o no autorizado, limitando a los usuarios a ejecutar nicamente las operaciones permitidas. 9.Mantener la Disponibilidad de los Datos: proporcionar medios para el restablecimiento de las bases de datos que se hayan corrompido por desperfectos del sistema, a un estado uniforme. Se iniciaran acciones legales contra cualquier persona que acceda a la base de datos sin permiso del administrador, cualquier empleado que viole las normas de seguridad mencionadas ser sancionado con medidas disciplinarias que abarcan desde la suspensin hasta despido segn lo acredite la gravedad del hecho
Tipos de usuarios y permisos El gerente del departamento de seguridad informtica ser quien se encargara de definir los distintos perfiles de usuario: 1.Clasificacion de la informacin: la informacin ser analizada y clasificada de acuerdo a su nivel de confidencialidad 2.De acuerdo a la clasificacin de la informacin se establecern niveles de acceso para los usuarios determinando permisos de lectura, escritura a y actualizacin de la misma para cada usuario
3.Se notificara a cada usuario cuales son los permisos asignados
4.Se verificara peridicamente que cada usuario no viole los permisos asignados. Cualquier empleado que viole las normas de seguridad mencionada ser sancionado con medidas disciplinarias que van desde la suspensin al despido segn lo acredite la gravedad del hecho.
Verificacin de usuarios
Cada usuario podr acceder al sistema atraves de su nombre de usuario y contrasea, se busca permitir que solo puedan acceder al sistema solo aquellas personas autorizadas a hacerlo. El nombre de usuario es brindado por el gerente del departamento de seguridad informtica siendo el mismo de conocimiento publico y la contrasea de carcter confidencial dando al usuario la posibilidad de elegirla siguiendo las siguientes reglas: Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 7
1. La contrasea debe tener una longitud de 8 caracteres como mnimo.
2. La contrasea debe Contener una combinacin de letras, nmeros y smbolos. No es una palabra que pueda encontrarse en el diccionario.
3. No puede llevar el nombre de un comando.
4. No puede ser el nombre de una persona.
5. No puede ser el nombre de un usuario.
6. No puede ser el nombre de un equipo.
7. Debe presentar diferencias notables con respecto a contraseas anteriores.
8. Caducidad de contraseas: las contraseas tendrn una caducidad los usuarios debern cambiar sus contraseas cada 6 meses, el sistema les recordara cuando este por cumplirse el plazo
9. Es de uso nico e intransferible
Cualquier empleado que utilice la contrasea de acceso de algn otro empleado o viole las normas de seguridad mencionadas ser sancionado con medidas disciplinarias que van desde sanciones a despido. Se iniciaran acciones legales contra cualquier persona que utilice las contraseas o nombre de usuario registrados en el sistema en forma no autorizada
Respaldo de informacin
Estar a cargo del gerente del departamento de seguridad informtica con la colaboracin del Dba. Se determinaran polticas de copias y seguridad y buck-ups, incluyendo copias de seguridad completas e incrementales. El sistema de respaldo de datos comteplara los siguientes aspectos:
1. Continuo: El respaldo de datos debe ser completamente automtico y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. 2. Seguro: incluir encriptacin de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes del envo de la informacin. 3. Remoto: Los datos deben quedar alojados en dependencias alejadas de la empresa.
4. Mantencin de versiones anteriores de los datos :Se debe contar con un sistema que permita la recuperacin de versiones diarias, semanales y mensuales de los datos.
Cualquier empleado que viole las normas de seguridad mencionadas ser sancionado con medidas disciplinarias que van desde suspensiones hasta despido segn lo acredite la gravedad del hecho. Se iniciaran acciones legales contra cualquier persona que atente contra la seguridad e integridad de los datos de la organizacion
Universidad Catlica de Salta Facultad de Ingeniera e Informtica Ctedra: Seguridad en sistemas de informacin Alumno: Santilln Pablo 8
Porque implementar todas estas polticas de seguridad? Garantizar que los recursos informticos de la empresa estn disponibles para cumplir sus propsitos, es decir, que no esten daados o alterados por circunstancias o factores externos. Debido a la existencia de personas ajenas a la informacin, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos dejando como resultado la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares. La vulnerabilidad antes los riesgos nos hace observar que en el rea de informtica, existen varios muchos de ellos tales como: ataque de virus, cdigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopcin de Internet como instrumento de comunicacin y colaboracin, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negacin de servicio y amenazas combinadas; es decir, la integracin de herramientas automticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para daar los recursos informticos. La adopcin de las polticas mencionadas con anterioridad permitir desplegar una arquitectura de seguridad basada en soluciones tecnolgicas, as como el desarrollo de un plan de accin para el manejo de incidentes y recuperacin para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.