1.2 Elabora el plan de seguridad en cómputo acorde con los riesgos determinados y estándares de protección.

A) Analiza modelos y buenas prácticas de seguridad informática.

•       ITIL: Propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos.

Plantea hacer una revisión y estructuración de los procesos existentes en caso de que estos lo necesiten. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de gran utilidad para otros miembros del área.

La biblioteca de infraestructura de ITIL toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI.

El conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.

• COBIT: Es un estándar abierto desarrollado y promovido por el Instituto de Gobernación de TI.

 Apoyado en las necesidades gerencia les en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones. El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).

• ISM3: Es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad ISM3 ve como objetivo la seguridad de la información, el garantizar la   consecución de objetivos de negocio. De la información. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).

   Algunas características significativas de ISM3 son:

-Métricas de Seguridad de la Información.

-Niveles de Madurez.

-Basado en Procesos.

-Adopción de las Mejores Prácticas.

-Certificación.

A)Analiza estándares internacionales de seguridad informática.

BS 17799: es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organización por Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information tecnología - Security techniques - Code of practica foro información segurito malajemente. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En España existe la publicación nacional UNE-ISO/IEC 17799 que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.

      Serie ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001: La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

      ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).

ISO 20000: La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.

La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infraestructura Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Jovenmente Commerce (OGC).

C) Definición del plan de seguridad informática.

      

Descripción de los principales  elementos de protección.

Las principales amenazas que se prevén en la seguridad física son:

a.     Desastres naturales, incendios accidentales tormentas e inundaciones.

b.    Amenazas ocasionadas por el hombre.

c.      Condiciones Climatológicas 

d.     Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

e. Instalaciones Eléctricas 

f. Ergometría 

Acciones Hostiles

·  Robo: Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.

 Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.

      Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido.

 La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería". Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados.

      Definición de políticas.

-De acceso físico a equipos: Al crear perfiles se puedo establecer las diferentes categorías de acceso deseadas por ejemplo a un "empleado de mantenimiento" se le podrá restringir las áreas a las cuales tendrá acceso con horarios limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse con mayores atributos. Por nuestra experiencia en la implementación de nuestros sistemas de control garantizamos la perfecta instalación de nuestros equipos en cualquier tipo de puerta o portón de acceso, utilizando partes y accesorios de primera calidad de fabricante líderes a nivel mundial. Nuestros sistemas están desarrollado para utilizar los dispositivos más avanzados del mercado, por ejemplo las credenciales con las accederá a las aéreas están dotadas de un microchip inteligente en donde el o los administradores del sistema podrá almacenar la información necesaria o requerida para atribuir los accesos a cada colaborador y esto se almacena directamente en la credencial (ver productos) y adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando sistemas BIOMÉTRICOS (huella dactilar, palma de la mano, iris del ojo) dando acceso en forma conjunta con la credencial inteligente(SmartArt). Control de Acceso Físico: Esta solución permite el control de los puntos estratégicos de una compañía mediante equipos que verifican la identidad de las personas en el momento de ingresar a las instalaciones. Control de tiempo de las personas que realizan transacciones. Mediante un manejo avanzado credencialización que permite controlar, limitar, monitorear y auditar el acceso físico. Este tipo de sistema es ideal para organizaciones que desea controlar una única área restringida o múltiples puertas de acceso.

D) Establece métricas y mecanismos para la evaluación de los controles implementados.

Define indicadores para evaluar la eficiencia de los controles implementados: La definición más usual de un indicador es: un hecho cuantificado que mide la eficacia y/o la eficiencia de todo o parte de un proceso o de un sistema (real o simulado), con referencia a una norma, un plan o a un-objetivo, determinado o aceptado en un cuadro estratégico de la empresa. Esta definición pone el acento sobre la función “medición” del indicador.

Dicha función es descrita por un modelo que integra la elaboración de la prestación en tres facetas distintas.

Una faceta objetivo, que permite expresar los objetivos vinculados a los indicadores.

Una faceta evaluación, que compara las medidas alcanzadas con los objetivos declarados. Las prestaciones evaluadas son expresadas de manera homogénea, sobre la base de ciertos mecanismos de cálculo, facilitando una agregación o una evaluación ulterior.

Y una faceta de apreciación, que analiza las prestaciones alcanzadas en función del contexto de desarrollo así como del conocimiento del observador.

Define el modo en que los indicadores serán medidos.

Ha de ser motivo de cambio y de formación continuada en cuanto a los comportamientos de los distintos ejecutivos y/o responsables. Ha de conseguir la motivación entre los distintos responsables. Esto ha de ser así, sobre todo por cuanto esta herramienta será el reflejo de su propia gestión.

  Por último y como objetivo más importante, esta herramienta de gestión debe facilitar la toma de decisiones. Para ello, el modelo debería en todo momento: