1. Universidad Tecnológica de Panamá
Guía para el Desarrollo de
un Plan de Seguridad
Políticas y Procedimientos de Seguridad para el
Software
Lic. En Desarrollo de Software
12
1
2. Guía para el Desarrollo de un Plan de Seguridad 2012
Universidad Tecnológica de Panamá
Centro Regional de Bocas del Toro
Facultad de Ingeniería de Sistemas Computacionales
Licenciatura en Desarrollo de Software
Asignatura
Seguridad en los Sistemas de Información
Guía para el Desarrollo de un Plan de Seguridad: Políticas y
Procedimientos de Seguridad para el Software.
Estudiantes:
Yessenia Martínez
Neftalí Saldaña
Profesora
Ensy Santamaría
Changuinola, 26 de junio de 2012.
2 Políticas y Procedimientos de Seguridad para el
Software
3. Guía para el Desarrollo de un Plan de Seguridad 2012
Índice
Contenido
Introducción ........................................................................................................................................ 4
¿Qué protege una política de seguridad? ................................................................................... 5
¿Por qué son tan importantes las políticas de seguridad? ......................................................... 5
Políticas De Seguridad En Software .................................................................................................... 5
Políticas de seguridad para utilitarios ......................................................................................... 6
Políticas de seguridad en carpetas compartidas ......................................................................... 6
Políticas de seguridad en cuentas ............................................................................................... 6
Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto .......... 6
Políticas específicas para cuentas del sistema ............................................................................ 6
Políticas específicas para cuentas de correo electrónico............................................................ 6
Políticas de seguridad en contraseñas y control de acceso ........................................................ 7
Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso
remoto, FTP y web ...................................................................................................................... 7
Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP ............... 8
Políticas específicas para contraseñas correo electrónico.......................................................... 8
Políticas de seguridad contra virus: ............................................................................................ 8
Políticas de seguridad en redes con conexión a internet ........................................................... 8
Políticas de seguridad para software .......................................................................................... 8
Políticas de seguridad para firewall ............................................................................................ 8
Conclusión ......................................................................................................................................... 10
Bibliografía ........................................................................................................................................ 11
3 Políticas y Procedimientos de Seguridad para el
Software
4. Guía para el Desarrollo de un Plan de Seguridad 2012
Introducción
En este trabajo encontraremos la política y procedimientos para el software de una
empresa. Las empresas usarán software legal y autorizado con las debidas licencias,
cuya adquisición será aprobada por el Departamento de Sistemas.
Los administradores de Red deberán actualizar en forma permanente los sistemas
operativos y software utilizado por la empresa, con el fin de que nuevas aplicaciones
corran sin problemas.
En caso que el usuario se ausente de su estación de trabajo el sistema debe
automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una
contraseña para restablecer la sesión
Se deberá realizar chequeos periódicos al software instalado de cada estación de
trabajo o servidor con el fin de detectar software innecesario.
Sera una guía útil para la implementación de una política de seguridad para la
empresa en el futuro. Partiendo de la visión y misión de cada empresa.
4 Políticas y Procedimientos de Seguridad para el
Software
5. Guía para el Desarrollo de un Plan de Seguridad 2012
¿Qué protege una política de seguridad?
La certificación ISO 17799 define una política de seguridad como un documento que
ofrece instrucciones de administración y soporte para la seguridad de la información
de acuerdo con los requisitos empresariales y las leyes y reglamentaciones relevantes.
La política de seguridad de la aplicación no debe ser definida por el proceso de
desarrollo sino que solamente debe implementar los requisitos de seguridad
establecidos en una organización.
¿Por qué son tan importantes las políticas de seguridad?
Es fundamental reconocer la necesidad de políticas de
seguridad de aplicaciones porque sin tales políticas no existe
una forma confiable de definir, implementar y hacer cumplir
un plan de seguridad entro de una organización. ¿El plan se
seguridad física de su compañía incluye por ejemplo políticas
y procedimientos relacionados con accesos y salidas, o la
existencia de alarmas de incendios o el acceso a zonas
restringidas? Si se considera que la aplicación forma parte de
este mismo entorno físico, será más sencillo ver cómo este software, que por ejemplo
puede administrar su nómina de pagos e información contable, requiere el mismo
proceso de pensamiento para la seguridad que el acceso físico a los activos materiales
de su empresa.
Políticas De Seguridad En Software
Políticas de seguridad en sistemas operativos y software instalado
La empresa usará software legal y autorizado con las debidas licencias, cuya
adquisición será aprobada por el Departamento de Sistemas.
Los administradores de Red deberán actualizar en forma permanente los
sistemas operativos y/o software utilizado por la empresa, con el fin de que
nuevas aplicaciones corran sin problemas.
En caso que el usuario se ausente de su estación de trabajo el sistema debe
automáticamente poner en blanco la pantalla, suspender la sesión y solicitar
una contraseña para restablecer la sesión
Se deberá realizar chequeos periódicos al software instalado de cada estación
de trabajo o servidor con el fin de detectar software innecesario.
5 Políticas y Procedimientos de Seguridad para el
Software
6. Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad para utilitarios
Políticas de seguridad en carpetas compartidas
La carpeta compartida, dentro de una Red, deben tener una Clave de Acceso, la
misma que deberá ser cambiada periódicamente para evitar el ingreso de
cualquier persona.
Se debe dar permisos lectura, escritura, o total a la carpeta de acuerdo a las
necesidades de cada usuario con el fin de proteger la información.
Políticas de seguridad en cuentas
Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto
Los privilegios de las cuentas concedidos a
los usuarios deben ser determinados de
acuerdo a las funciones que desempeña.
Una cuenta debe ser cancelada por salida
del empleado para evitar que el mismo
pueda acceder al sistema y alterar la
información.
El nombre de cuenta es único, es decir no
permita la creación de una misma cuenta
más de una vez.
Políticas específicas para cuentas del sistema
El periodo de tiempo de inactividad de la
cuenta del sistema es de 3 minutos y
restablecimiento de la sesión requiere que
el usuario proporcione su contraseña, para
que personal no autorizado ingrese a la
cuenta.
La frecuencia de mantenimiento de las
cuentas es de mínimo seis meses
Políticas específicas para cuentas de correo
electrónico
El usuario bajo ninguna circunstancia permitirá el uso de su cuenta de correo
electrónico por otros usuarios.
Deberá asignarse una capacidad de almacenamiento fija par cada una de las
cuentas de correo electrónico de los empleados.
6 Políticas y Procedimientos de Seguridad para el
Software
7. Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad en contraseñas y control de acceso
Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico,
acceso remoto, FTP y web
Las contraseñas deben estar formadas por:
o Un mínimo de 6 caracteres.
o Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no
alfabéticos como: dígitos o signos de puntuación para dificultar su
identificación.
Usar contraseñas que sean fáciles de recordar, así no tendrá que escribirlas.
Las contraseñas no deben formarse con información relacionada con el usuario
que pueda adivinarse fácilmente como números de matrículas, de automóviles,
de teléfono, del seguro social, la marca de su automóvil, el nombre de la calle
donde vive, etc.
Las contraseñas no deben crearse con palabras que aparezcan en diccionarios
de español ni de ningún otro idioma extranjero, listas ortográficas ni ninguna
otra lista de palabras para que no sea fácil de adivinar.
La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la
primera sesión. En ese momento, el usuario debe escoger otra contraseña para
evitar el ingreso no autorizado a la cuenta.
Las contraseñas predefinidas que traen los equipos nuevos tales como
ruteadores, switches, entre otros, deben cambiarse inmediatamente al ponerse
en servicio el equipo ya que esta clave es conocida por el proveedor.
Se debe cambiar inmediatamente la contraseña en caso de creer que esta haya
sido comprometida
Se debe cambiar una contraseña cada mes para evitar que sea descubierta.
El usuario no debe guardar su contraseña en una forma legible en archivos en
disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser
encontrada.
Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al
usuario a las consecuencias por las acciones que los otros hagan con esa
contraseña.
Una misma contraseña no se debe usar para acceder a servicios diferentes.
Para evitar el acceso de intrusos se debe limitar a 3 el número consecutivo de
intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta
involucrada queda bloqueada y se alerta al Administrador del sistema.
7 Políticas y Procedimientos de Seguridad para el
Software
8. Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP
El cambio de clave o password sólo se hará de manera personal y directa con el
Administrador del Servicio.
Políticas específicas para contraseñas correo electrónico
El usuario debe cambiar el password inicial entregado por el administrador en
el primer registro que haga en su cuenta de correo.
Políticas de seguridad contra virus:
En todos los equipos de la empresa debe existir
una herramienta antivirus
ejecutándose
permanentemente y en continua actualización.
Deberá utilizarse más de una herramienta
antivirus en los servidores, para así disminuir el
riesgo de infección.
Deberá existir un procedimiento a seguir en
caso que se detecte un virus en algún equipo
como por ejemplo: notificar inmediatamente al
Jefe de Informática y poner la estación de trabajo
en cuarentena hasta que el problema sea resuelto
para evitar el contagio a toda la red.
Se debe ejecutar de forma regular las
comprobaciones de virus en estaciones de trabajo
y servidores para evitar el ingreso de virus a la
red.
Los diskettes u otros medios de almacenamiento no deben usarse en cualquier
computadora de la Compañía a menos que se haya previamente verificado que están
libres de virus.
El administrador debe bloquear los sitios Internet que se consideren sospechoso de
ser fuentes de virus.
Políticas de seguridad en redes con conexión a internet
Se cumplen todas las especificadas en las Políticas de Seguridad en Redes Locales y
además las siguientes:
Políticas de seguridad para software
Políticas de seguridad para firewall
La red que se conecta a la Internet debe tener un Firewall o dispositivo de
seguridad para controlar el acceso a la red y evitar el ingreso de intrusos.
8 Políticas y Procedimientos de Seguridad para el
Software
9. Guía para el Desarrollo de un Plan de Seguridad 2012
El firewall de la empresa debe presentar una postura de negación
preestablecida, configurado de manera que se prohíban todos los protocolos y
servicios, habilitando lo necesario.
9 Políticas y Procedimientos de Seguridad para el
Software
10. Conclusión
Es importante las políticas de seguridad en el software para las empresas porque
aseguran la aplicación correcta de las medidas de seguridad.
Con la ilusión de resolver los problemas de seguridad expeditamente, en
muchas organizaciones simplemente se compran uno o más productos de seguridad.
En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware,
software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin
embargo, se genera una gran desilusión al darse cuenta que los resultados esperados
no se han materializado.
En un número grande de casos, esta situación puede atribuirse al hecho que no se ha
creado una infraestructura organizativa adecuada para la seguridad informática. Un
ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización
ha adquirido recientemente un producto de control de acceso para una
red de computadoras. La sola instalación del sistema hará poco para mejorar la
seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a
qué recursos de información, preferiblemente definiendo cómo incorporar estos
criterios en las políticas de seguridad.
También
deben
establecerse
los
procedimientos
para
que
el personal, técnicas implante el control de acceso de una manera cónsona con estas
decisiones. Además debe definir la manera de revisar las bitácoras (logs) y
otros registros generados por el sistema. Éstas y otras medidas constituyen parte de la
infraestructura organizativa necesaria para que los productos y servicios de seguridad
sean efectivos.
Una empresa necesita de documentación sobre políticas, definiciones de
responsabilidades, directrices, normas y procedimientos para que se apliquen las
medidas de seguridad, los mecanismos de evaluación de riesgos y el plan de
seguridad.
Las políticas y una estimación preliminar de los riesgos son el punto de partida para
establecer una infraestructura organizativa apropiada, es decir, son los aspectos
esenciales
desde
donde
se
derivan
los
demás.
Continuando con el mismo ejemplo anterior de control de acceso, se debería primero
llevar a cabo un análisis de riesgo de los sistemas de información.
Esta evaluación de los riesgos también ayudará a definir la naturaleza de las amenazas
a los distintos recursos, así como las contramedidas pertinentes. Luego pueden
establecerse las políticas a fin de tener una guía para la aplicación de tales medidas.
10
11. Guía para el Desarrollo de un Plan de Seguridad 2012
Bibliografía
Políticas de Seguridad - Monografias.com
Por ejemplo, la metodología a usar para probar el software. Un documento sobre
políticas de seguridad contiene, entre muchos aspectos: definición de ...
http://www.monografias.com/trabajos11/seguin/seguin.shtml
Políticas de auditoría de seguridades en redes locales
de JA Arias Tapia – 2007
Las políticas de auditoría de seguridad en redes locales se basan en los siguientes
puntos: . División de recursos de la red . Políticas de seguridad . Auditoría ..
bibdigital.epn.edu.ec/handle/15000/140
11 Políticas y Procedimientos de Seguridad para el
Software.