Embed Size (px)
Citation preview
SUGERENCIAS PARA MEJORAR LA
SEGURIDAD EN LAS OPERACIONES DE PD O CENTRO DE CÓMPUTO O ÁREA DE SISTEMAS
Integrantes :Díaz Chonta, Junior Díaz Cuba, HarleyGarcía Arias, MarianoGuerrero Alfaro, MarcoGutiérrez Núñez, Alex
PREPARAR CUIDADOSOS PROCEDIMIENTOS PARA PROTEGER PROGRAMAS,
INSTRUCCIONES DEL PROCESO
Caso: Protección de un software en una Empresa
Software¿PROTEGER?
Programadores
debuggers/desensambladores
DESCIFRAR CÓDIGO
Empresa
IMPLANTAR UNA LICENCIA- NOMBRE DEL USUARIO
- CONTRASEÑA
DISPONIBILIDAD DEL SOFTWARE
CADUCACION DE LA CONTRASEÑA Y
CAMBIO
IMPLANTAR UNA LICENCIA- NOMBRE DEL USUARIO
- CONTRASEÑA
Software
Jefe de cada Área
Destinado
Empresa
Software
Usuarios
DISPONIBILIDAD DEL SOFTWARE
Manipulan
Software
CADUCACION DE LA CONTRASEÑA Y
CAMBIO
Password
Software
Encriptar
Software para encriptar: CryptoForge
Determinar Procedimientos para Controlar los Programas de Aplicación
Adicionalmente a proteger sus programas de Aplicación como activos, es a menudo necesario establecer controles rígidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan daños accidentales o intencionados a los datos o a su uso no autorizado.
Implementación o Mantenimiento de Software
AREA DE TI
AREA DE DESARROLLO
AREA DE SOPORTE
AREA DE REDES
CONTROL DE CALIDAD
FASES DEL PROYECTO
REQUERIMIENTO
Ejm: - Mensajería.- Trámite documentario.- Rueda de negocios.
1) ACTA DE INICIO
DESIGNACION DEL EQUIPO
DE DESARROLLO
2) ACTA DE REQUERIMIENTO REUNIONES CON LOS USUARIOS IDENTIFICACION DE LA PLATAFORMA EN EL
QUE SE DESARROLLARA EL SOFTWARE.
3) ACTA DE CONTRUCCION
FORMATOS DE DESARROLLO NTP Nro. 12277 DISEñO DE LA ARQUITECTURA - ESTRUCTURADA. - VISTA CONTROL. - P. EN CAPAS.
SISTEMA: ADMINISTRADOR DE LA INTRANET
1) Máster Page del sistema
2) Arquitectura de la programación en capas
3) Capa de Entidades (ejm: ClsArchivoEnt)
4)Capa Lógica (ejm: ClsDocumentoLog)
5) Capa de Acceso a Datos (ejm: ClsDoucmentoDat)
6) UI – Interfaz de Usuario (ejm: adm_documentos.aspx)
4) ACTA DE CONTROL DE CALIDAD PARTICIPANTES:
- JEFE DE AREA DE TI
- USUARIO LIDER
- ENCARGADO DEL AREA DE CONTROL DE C. LOCACION:
- SERVIDOR DE PRUEBAS.
5) ACTA DE CIERRE O PASE A PRODUCCION SERVIDOR DE PRODUCCION. SOFTWARE / FECHA DE EJECUCION. MAUAL DE USUARIO. MANUAL DE INSTALACION.
PREPARAR PROCEDIMIENTOS DE
CONTROL PARA EL USO DE LOS REPORTES
CASO: REPORTES DE BUSINESS INTELLIGENCE
ACERCA DEL USO DE CAJEROS AUTOMATICOS.
Detrás de todos estos Reportes existen un conjuntos de Documentaciones, que se deben realizar como buenas practicas; dando claro alusión a los dominios del ISO 17799.
Los reportes están supeditados al tipo de documento que son; por ejemplo tipo de reporte por estrategia.
PROCEDIMIENTOS DEFINIR CRITERIOS DE CONTROL DE
DOCUMENTOCONTROL DE DOCUMENTOS INTERNOS
○ ELABORACION DE REPORTES:○ IDENTIFICACION DE REPORTES:○ APROBACION DEL REPORTE:○ ACTUALIZACION DEL REPORTE:
CONTROL DE DOCUMENTOS EXTERNOS○ Identificar los documentos externos aplicables.○ Mantener la última versión del documento.○ Distribuir a los usuarios que los necesiten.
CONTROL DE DOCUMENTOS INTERNOS:
PROCEDIMIENTOS: ELABORACION DE REPORTES: IDENTIFICACION DE REPORTES: APROBACION DEL REPORTE: ACTUALIZACION DEL REPORTE:
ACTUALIZACION DEL REPORTE: En caso de que fuese necesaria la entrega de copia
controlada de los documentos internos aprobados, el Encargado de la Distribución de cada Sistema, deberá llevar un control de dichos documentos, utilizando la planilla “Distribución de Documentos Internos” (ver Anexo 2).
Para identificar y velar por los documentos relacionados con el SGC que se reciben físicamente en aquellas áreas donde no cuenten con intranet, cada área nombrará a un responsable que ocupará el cargo de Receptor de Documentos.
Esta persona será la responsable de archivarlos, protegerlos del deterioro y facilitarlos para su uso.
CONTROL DE DOCUMENTOS EXTERNOS: Para el caso de los reportes del tipo de documentación
externa, se da en casos (o situaciones) donde empresas clientes o asociadas, piden informes, reportes, análisis a otra organización a través del uso de BI también.
Cada área elegirá el mejor método para revisar y mantener actualizados los documentos externos, dada la naturaleza y origen de los mismos. Sin embargo, al menos, se deberá tener presente las siguientes consideraciones:
1) Identificar los documentos externos aplicables.
2) Mantener la última versión del documento.
3) Distribuir a los usuarios que los necesiten.
ESTABLECER PROCEDIMIENTOS E INSTRUCCIONES PARA LOS OPERADORES
DEL SISTEMA
INSTRUCCIONES DE TRABAJO:
Son guías detalladas y escritas, que establecen el método de trabajo a seguir paso a paso para la realización de una tarea concreta o grupo de tareas desde su comienzo hasta su finalización, recogiendo los riesgos que existen en cada uno de los pasos y las medidas a adoptar para eliminarlos o reducirlos.
PROCEDIMIENTOS DE TRABAJO:
Son un conjunto de reglas escritas, más generales que las Instrucciones de trabajo, de obligado cumplimiento que marcan pautas de conducta laboral en la realización de tareas
INSTRUCCIÓN Y PROCEDIMIENTO DE TRABAJO
1. ELABORACION
1.1 CODIGO
1.2 DENOMINACION
Se indicará el trabajo que la Instrucción normaliza
1.3 SECUENCIA DEL TRABAJO
1.4 RIESGOS POTENCIALES
1.5 MEDIDAS A TOMAR
2. APROBACION
3. DIFUSION Las Instrucciones han de ser comentadas con cada
empleado por parte del Responsable de Área en el momento de su contratación o en un posible cambio de puesto.
4. REVISION
CASO PRACTICO
El 80% del downtime no planificado es causado por operaciones mal ejecutadas o aplicaciones mal administradas
USE RASTROS DE AUDITORÍAS O REGISTROS CRONOLÓGICOS (LOGS) DE TRANSACCIÓN
COMO MEDIDAS DE SEGURIDAD.
Definición
LOG es un registro oficial de eventos durante un rango de tiempo en particular
Importancia de un LOG
La importancia de los LOGs es que te permite: La Recuperación ante incidentes de seguridad La Detección de comportamiento inusual Información para resolver problemas Evidencia legal
Arquitectura del registro de un LOG
Centralizada
Ventajas Se requiere de un solo punto
de almacenamiento de LOGs.
Desventajas
• Existe un solo punto de falla.
• Se necesitan muchos recursos para almacenamiento y redundancia
Descentralizada
Ventajas• No hay un solo punto de falla.• Los registros se almacenan de
acuerdo a una clasificación
Desventajas
• Se requiere de mas equipo.
Caso PrácticoTenemos una tabla en la base de datos, la cual no tiene campos de auditoria
por la cual no se sabe que fecha se han registrado esos usuarios para cualquier evento no deseado que se pueda suscitar por parte de cualquiera de estos usuarios
Caso PrácticoDonde:
id_usuario: es el usuario que realiza la acción. acción: es la acción que se realiza, ya sea de loguear, actualizar,
insertar, eliminar, etc. tabla: la tabla afectada tras la acción realizada por el usuario. fecha: la fecha en que se realizo la acción. hora: la hora en que se realizo la acción.
CONCLUSIONES Existen gran número de aplicaciones para empaquetar nuestro programa, hay
bastantes gratuitos pero siempre hay que leerse las condiciones de uso.
Conforme a la tecnología va avanzando, van apareciendo nuevas soluciones, nuevas formas de programación, nuevos lenguajes y un sin fin de herramientas que intentan realizar el trabajo del desarrollador un poco más fácil y así mismo mejor control para controlar nuestros cambios a nuestros datos.
Generar data de auditoría en una base de datos es una ventaja y a la vez un
problema ya que acarrea costos en espacio de almacenamiento y tiempo en manejarla. Pero aún así es necesaria en ciertas actividades, especialmente la financiera.
Según la experiencia de Foundstone, la mayoría de las fallas de seguridad son causadas porque a los desarrolladores y a otras partes interesadas del ciclo de vida de desarrollo de software no les han dicho lo que deben y no deben hacer. Esto se logra de mejor manera mediante el uso de políticas y procedimientos.
RECOMENDACIONES Al momento de desarrollar un software se deben tener en cuenta los
Estándares internacionales o nacionales para el uso de las buenas prácticas de desarrollo para tener la certeza de que nuestros aplicativos cumplan con los objetivos propuestos.
La auditoría debería realizarse a ciertas tablas de una base de datos y no a todas, ya que complicaría aún más el proceso de administración.
Las Organizaciones deben estar acorde en al ISO 17799, en cuanto al
control del uso de reportes; y el Sector Bancario debe regirse a la Circular G140.
Las empresas deben dar a conocer a sus empleados los
procedimientos e instrucciones que ellos deben aplicar en el área en el cual se van a desenvolver dando a conocer también las sanciones si estos (procedimientos e instrucciones) no fuesen cumplidos.
GRACIAS….!!!
