I Introducción 2. II Diseñar el Sistema de Gestión de Seguridad de la Información (SGSI) 3

Transcripción

1 Página 1 de 27 Sistema de Gestión de Seguridad de la información Índice I Introducción 2 II Diseñar el Sistema de Gestión de Seguridad de la Información (SGSI) 3 III Implantar Sistema de Gestión de Seguridad de la Información (SGSI) 20 IV Generar Informes de evaluación del Sistema de Gestión de Seguridad de la Información (SGSI) 23 V Desarrollar estrategia de mejora para del Sistema de Gestión de Seguridad de la Información (SGSI) 28

2 Página 2 de 27 Introducción El Sistema de Gestión de Seguridad de la Información (SGSI) de El Colegio de la Frontera Sur describe los procesos y las actividades de los sistemas de cómputo e infraestructura que ayuda y apoya a las diferentes líneas y áreas de investigación científica, es decir es decir todos aquellos datos organizados en poder de una entidad como es el colegio de la frontera sur que posean valor para la misma, independientemente de la forma en que se guarde o transmita o de la fecha de elaboración y por ultimo de su origen. La seguridad de la información, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización Objetivo General: Disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivos de la institución. Objetivos Específicos: Establecer un sistema que permita identificar, analiza, evaluar, atender y monitorear los riesgos en materia de TIC Establecer mediante el sistema establecido los medios que permitan tomar decisiones de manera informada y oportuna sobre la mitigación de riesgos en materia de TIC.

3 Página 3 de 27 II Diseñar el Sistema de Gestión de Seguridad de la Información. Objetivo General: Establecer los mecanismos que permitan la administración de la seguridad de la información de la institución contenida en los medios electrónicos y sistemas informáticos. Objetivos Específicos: Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información contenida en medios electrónicos y sistemas informáticos, contra accesos y usos no autorizados con la finalidad de conservar la confidencialidad, integridad y disponibilidad. PRESENTACION Hoy día, de la eficacia y eficiencia del Sistema de Telecomunicaciones de ECOSUR dependen la mayoría, por no decir, todas las actividades de la institución, derivado de ello, la prevención de desastres informáticos se torna en una acción institucional prioritaria. Contar con un buen esquema de seguridad informática donde se contemple la prevención y recuperación de desastres, evitará en la medida de lo posible, la suspensión de servicios informáticos y de telecomunicaciones, procurando de ésta manera, que la productividad y continuidad de acciones institucionales se vean afectadas. Podemos decir que, una contingencia informática, es la acción que provoca la interrupción y paralización de las actividades y/o procesos informáticos esenciales para la institución que deriva en la afectación de los servicios informáticos y de telecomunicaciones, ofertados a la comunidad ECOSUR. El evitarlas, es una responsabilidad institucional, la cual requiere de contar con los elementos necesarios (acciones, normas, recursos, etc.) que permitan la recuperación de la información institucional de forma casi inmediata, y con el menor costo posible. Para garantizar la disponibilidad de servicios esenciales para ECOSUR como: el Sistema Integral Administrativo, el Sistema de Seguimiento Académico, el Sistema de Control Escolar, los servicios de Correo electrónico, Videoconferencia y Telefónico, el acceso al Sistema Bibliotecario, las aplicaciones Estadísticos, Bases de Datos de investigación, etc., es necesario contar con sistemas y servicios de prevención de contingencias y recuperación de información, que mediante su buena aplicación y uso, posibiliten la continuidad de acciones y garanticen la disponibilidad de los procesos esenciales para la institución. El investigador en seguridad informática, Jon Toiga, concluyó que un desastre informático que se prolongara por más de 10 días afectaría financieramente a las empresas de

4 Página 4 de 27 manera irreversible, y que la mitad de ellas quebraría dentro de los siguientes 5 años. Podemos decir hoy día, que esta primicia está más vigente que nunca, ya que las pérdidas por desastres informáticos a nivel mundial, se han cuantificado en millones de dólares, sin embargo, los grandes avances tecnológicos han posibilitado una recuperación cada vez más expedita y con costos más razonables. Por lo anterior, es importante visualizar toda una estrategia apoyada en herramientas tecnológicas que garanticen la continuidad de actividades negocio, siendo en nuestro caso, las actividades del ECOSUR. OBJETIVO Y ALCANCE El Sistema de Riesgos y Gestión de Seguridad de la información de ECOSUR, se concibe como un instrumento de gestión para disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivos institucionales, propiciando el buen manejo de las tecnologías de Información, y que estará conformado por medidas técnicas, humanas y organizativas, basadas en el ciclo de vida iterativo "plan-do-checkact", ("planifica-actúa-comprueba-corrige"). Está dirigido en primera instancia, a: a) Personal especializado relacionado con el manejo de la información. b) Especialistas informáticos, debido a los conocimientos técnicos que poseen. c) Personal responsable de la seguridad informática. Cabe mencionar, que el presente documento es de observancia general y obligatoria para todo el personal técnico especializado, su desconocimiento no podrá ser invocado como justificación para evadir u omitir lo que en él se encuentra contenido. Establecer directrices del proceso y sistema de Administración de Riesgos Telecomunicaciones Servidores Bases de datos Telefonía Redes locales

5 Página 5 de 27 TELECOMUNICACIONES. Monitorear los enlaces institucionales de las cinco unidades para verificar que el desempeño sea el adecuado, y también determinar si hay saturación o cortes, esto es para mantener el servicio de telecomunicaciones de calidad. Determinar el procedimiento correcto para la instalación y configuración de un enlace nuevo en ECOSUR. Infraestructura Seguridad de la información Cofiguracioen de router Configuracion de enlaces Revicion de los log Verificar los anchos de banda Ravisar y guardar la configuracion de routers Garantizar el servicio servicios Usuarios de ecosur y visitantes Garantizar el ancho de banda para el suso de los servicios de Telefonia, Internet y Video Conferencias. RUTEADOR RUTEADOR WAN SCLC MÉTODO DE RESPALDO Se instala un servidor ftp en cada una de las unidades, con un nombre de usuario y contraseña que el Telecom disponga, se da de alta en el router los datos de acceso al servidor, los siguientes comandos son un ejemplo del LUGAR EN DONDE SE UBICA EL RESPALDO Se almacena el archivo del respaldo en el documento TELECOMUNICACIONES ubicado en el foro domino titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara PERIODICIDAD DEL RESPALDO Siempre que se realiza un cambio sustantivo en la configuración de los equipos

6 Página 6 de 27 RUTEADOR WAN TAP proceso: Router#config terminal Router(config)#ip ftp username cisco Router(config)#ip ftp password cisco123 Router(config)#end Router#copy running-config ftp: Address or name of remote host []? x.x.x.x Destination filename [ce_2- confg]? (enter) idem idem idem

7 Página 7 de 27 Servicio Red Extendida Funcionamiento

8 Página 8 de 27 Redes Local

9 Página 9 de 27 Servidores La información contenida en los servidores de datos ó servicios web es aquella que está disponible a usuarios previamente autorizados o al público en general según las políticas a las que fue establecidas. Algunos servidores de datos resguardan información fundamental para las operaciones diarias de algunos departamento que hace uso de estos. también existen servidores que respaldan información generada día a día o por periodos de algunos departamentos así como el historial de las mismas. Por lo que el activo mas importante en este caso es la información contenida en estos servidores. El activo mas importante basándonos en el SGSI es la información contenida en ella. Infraestructura Servidores de datos ó WEB UPS. Tierra Física Conexiones eléctricas Switches Conocimientos administración. Seguridad de la información Información confidencial(contable, administrativa, académica y escolares), Información pública acerca de ecosur Usuarios ecosur visitantes de y

10 Página 10 de 27 SERVIDOR MÉTODO DE RESPALDO MAILSCLC 1.entramos al servidor de correoelectronico. 2 ejecutamos el programa llamado ARECAS.3. click derecho al icono llamado BACKUPDATA damos la opción realizar copia. 4 Nos vamos a la opción respaldo completo. 5. Quitamos la opción de verificar después de respaldo. 6. Le damos iniciar respaldo MAILSMTP No se realiza ninguno respaldo WWW Se detiene el servicio MySQL. Se copian las carpetas WWW y MySQL y se depositan en otra sección del mismo servidor DNS Se copia la configuración a un archivo TXT LUGAR EN DONDE SE UBICA EL RESPALDO En el mismo servidor y en el disco externo de 1 terabite en resguardo de Hugo Lara. Tambien se guarda una copia en una maquina destinada para respaldo de informacio Ninguno En el mismo servidor y se solicita al administrador de WWW copie el contenido en una unidad externa. Se almacena el documento TXT en el documento TELECOMUNICACIONE S ubicado en el foro domino titulado PERIODICIDA D DEL RESPALDO Se realiza los respald una vez al mes. Ninguno Se realizan los respaldos una vez al mes Siempre que se realiza un cambio sustantivo en la configuración de los equipos

11 Página 11 de 27 EQUIPO PERSONAL Se copian todos DE AREA DE los documentos TELFONIA Y en el disco SERVIDORES externo de 1 terabite en resguardo de Hugo Lara SERVIDOR IMSS Se tiene un espejo del servidor SERVIDOR CONTROL No se realiza DOCUMENTAL Ningun respaldo SERVIDOR Dando de baja el SAMETIME servidor y haciendo una copia manual SERVIDOR DE Dando de baja el QUICKR servidor y haciendo una copia manual SERVIDOR Se realiza el TARIFICADOR respaldo en caliente SERVIDOR FTP POSGRADO SERVIDOR CALENDARIO DE VIDEOCONFERENCIA S SERVIDOR POSGRADO No se realiza respaldo Se realiza el respaldo en caliente No es responsabilidad de DI TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara En el disco externo de 1 terabite en resguardo de Hugo Lara En un Servidor virtual Ninguno Se respalda dentro de la unidad C:\archivos de programas. La carpeta llamada sametime Se respalda dentro de la unidad C:\archivos de programas. La carpeta llamada Quickr Se respalda toda la unidad C:\archivos de programadas. La carpeta llamada INTERTEL Ninguno c:\appserv No es responsabilidad de DI Una vez al año o al cambio de un sistema operativo. Nunca Ninguno Una vez al mes Una vez al mes Cada 3 meses Ninguno Se realizan los respaldos una vez al mes No es responsabilida d de DI

12 Página 12 de 27 No es responsabilidad de DI SERVIDOR No es VINCULACION responsabilidad de DI SERVIDOR No es BIBLIOTECA-1 responsabilidad de DI SERVIDOR No es BIBLIOTECA-2 responsabilidad de DI SERVIDOR No es BIBLIOTECA-3 responsabilidad de DI SERVIDOR No es DESARROLLO responsabilidad de DI SERVIDOR LAIGE No es responsabilidad de DI SERVIDOR ADMINISTRACION DE No responsabilidad de DI es No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilidad de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI No es responsabilida d de DI

13 Página 13 de 27 Desarrollo de aplicaciones y bases de datos Una base de datos o Aplicación es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso, todas las aplicaciones a excepción del correo electrónico, se están estandarizando a MySQL y PHP Estas aplicaciones son con las que se cuentan en el departamento de informática para realizar tareas específicas, son de mucha importancia para el trabajo cotidiano en el departamento de informática de El Colegio de la Frontera Sur Servidores MAILSCLC WWW Control de inventario Bitácora Generación de Id para el correo electrónico Digitalización de formatos MAAGTIC Descripción Base de datos que se genera atreves del correo institucional de ECOSUR Página Web institucional que contiene una base de datos en MySQL y Joomla Aplicaciones para el control de equipos de nuevo ingreso a el colegio de la frontera sur Base de datos generada en MySQL y PHP para las solicitudes que necesita el usuario para el servicio de soporte técnico de equipos Aplicaciones generada en MySQL y PHP para generar Id s para almacenar el password de el correo electrónico Base de datos que contendrá los archivos digitales de el MAAGCTIC

14 Página 14 de 27 Telefonía Garantizar el servicio de telefonía digital e IP en las cinco unidades de ECOSUR, verificando su adecuado desempeño y seguridad, ofertando con éstas acciones, un servicio de calidad. Infraestructura Seguridad de la información servicios Instalación y Configuración de conmutadores. Verificar de forma constante el estado físico de los conmutadores. Usuarios de ecosur y visitantes. Verificar el aterrizaje correcto de los conmutadores. Verificar logs Respaldos Garantizar servicio. el Instalación y Configuración de tecnología IP. Verificar de forma constante el estado físico de los dispositivos IP. Verificar configuración adecuada. Usuarios de ecosur y visitantes. Respaldos. Verificar configuración adecuada. Garantizar servicio. el Instalación y Configuración de Sistemas Tarificadores Respaldos. Usuarios de ecosur y visitantes. Garantizar servicio. el

15 Página 15 de 27

16 Página 16 de 27 Redes Institucionales Garantizar una óptima transmisión, conectividad, rendimiento y confidencialidad en los datos transportados en la red institucional en cada una de las sedes, monitoreando de forma constante y continua los datos transmitidos desde fuera y dentro de la red para detectar cualquier anomalia, sospecha de posibles intruciones o saturacion de la red ya sea de forma remota o interna. Infraestructura Seguridad de la información servicios firewall Verificar de forma constante intentos de conexión a la red interna. Verificar de forma constante intentos de conexión a equipos externos sospechosos. Usuarios Ecosur visitantes Garantizar servicio de y el Instalación y configuración de sistemas de monitoreo de red Instalación y configuración de sistemas detectores de instrusos. Monitorear de forma constante la red interna en busca de componentes de red defectuosos o lentos. Monitorear de forma constante la red en busca de amenazas del exterior o interior de la red. Configurar y administrar los switches para un mejor performance en la red. Usuarios Ecosur visitantes Garantizar servicio de y el configuración de switches Usuarios Ecosur visitantes de y Garantizar servicio el

17 Página 17 de 27 Usuarios Ecosur visitantes Garantizar servicio de y el

18 Página 18 de 27 MEDIDAS PREVENTIVAS Control de Acceso a) Acceso físico de personas no autorizadas. Con la finalidad de evitar cualquier fallo por personal ajeno al departamento de informática, el acceso físico al sitio de servidores, cuartos de comunicación y oficinas que lo conforman será restringido. b) Acceso a Servidores. El acceso a los servidores, se encontrará bajo responsabilidad de los administradores de los mismos (Informática, Administración, Difusión, SIBE, Seguimiento Académico y LAIGE), como medida preventiva, se solicita el cambio de la contraseña de acceso de forma periódica. c) Acceso restringido a las librerías, programas, y datos. El acceso a programas, librerías o a ciertas carpetas dentro de los servidores, será restringido mediante niveles de acceso, otorgados por los administradores de los mismos. Respaldos Esta importante medida preventiva, es descrita en el apartado correspondiente.

19 Página 19 de 27 P DE DESASTRES La previsión de desastres se puede realizar bajo la expectativa de minimizar los riesgos innecesarios en los sitios que conforman el Sistema de Telecomunicaciones de ECOSUR, previendo que no haya situaciones que generen la interrupción del proceso de operación normal y de respaldo. Se debe tener claro los lugares de resguardo, vías de escape y ubicaciones de los archivos y dispositivos con información vital para el funcionamiento de la institución. Adecuado Soporte de Utilitarios Las fallas de los equipos de procesamiento de información pueden minimizarse mediante el uso de otros equipos, mismos que deben ser verificados periódicamente para constatar su buen funcionamiento, tales como: a) Unidades de Respaldo de Energía.- Estos equipos deberán recibir cuando menos 1 servicio de mantenimiento preventivo al año, por la empresa contratada para realizar dicho servicio, dejando reporte o bitácora del mismo. b) Pilas.- Estos equipos deberán recibir cuando menos 1 servicio de mantenimiento preventivo al año, por la empresa contratada para realizar dicho servicio, dejando reporte o bitácora del mismo. Seguridad de la Información La información contenida en los diversos sistemas y aplicaciones deberá está protegida por claves de acceso; así como un adecuado seguimiento al plan de respaldo.

20 Página 20 de 27 III. Implantar Sistema de Gestión de Seguridad de la Información (SGSI) PLAN DE RESPALDO Como parte importante de un Programa de Contingencia Informático se Vencuentra el Plan de Respaldo, que indica el proceso para la generación de los diferentes respaldos, ya sea de bases de datos, aplicaciones o configuraciones y proporcionará el impacto de pérdida de información relevante en la continuidad de operación de los sistemas con información institucional. Area o Departamento Nombre Aplicación Proceso de Respaldo Informática Servidores Institucionales Informática Conmutadoras SERVIDOR MÉTODO DE LUGAR EN DONDE SE PERIODICIDAD RESPALDO UBICA EL RESPALDO DEL RESPALDO MAILSCLC Se baja el En el mismo servidor y en Dos veces al año. servicio el disco externo de 1 En época de DOMINO, se terabite en resguardo de vacaciones de copia la carpeta Hugo Lara semana santa y Lotus, se navidad compacta y se importa a un servidore FTP. De ahí se copia en el disco de 1 terabite. MAILSMTP idem idem idem WWW Se detiene el En el mismo servidor y se Ultimo viernes de servicio MySQL. solicita al administrador cada mes. Se copian las de WWW copie el carpetas WWW y contenido en una unidad MySQL y se externa. depositan en otra sección del mismo servidor

21 Página 21 de 27 DNS Se copia la configuración a un archivo TXT EQUIPO PERSONAL DE TELECOM Se copian todos los documentos en el disco externo de 1 terabite en resguardo de Hugo Lara Se almacena el documento TXT en el documento TELECOMUNICACIONES ubicado en el foro domino titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara En el disco externo de 1 terabite en resguardo de Hugo Lara Siempre que se realiza un cambio sustantivo en la configuración de los equipos Una vez al año o al cambio de un sistema operativo. TELECOMUNICACIONES RUTEADO R RUTEADO R WAN SCLC MÉTODO DE RESPALDO Se copia en forma de texto la configuración del ruteador en formato txt y almacena el documento TXT en el documento TELECOMUNICACIONE S ubicado en el foro domino titulado TELECOM LUGAR EN DONDE SE UBICA EL RESPALDO Se almacena el documento TXT en el documento TELECOMUNICACIONE S ubicado en el foro domino titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara PERIODICIDA D DEL RESPALDO Siempre que se realiza un cambio sustantivo en la configuración de los equipos

22 Página 22 de 27 Debido a la importancia de los sistemas y aplicaciones institucionales, es necesario realizar un proceso de respaldo que asegure, en caso de contingencia, su restauración. NOTA: Cabe mencionar que los respaldos de los archivos de sistemas o aplicaciones ocurren con menor frecuencia debido a que estos, no sufren modificaciones constantes.

23 Página 23 de 27 IV. Generar Informes de evaluación del Sistema de Gestión de Seguridad de la Información (SGSI) Bitácoras de Respaldos Respaldo de Datos Sistema/Aplicación Servidor Plan de Mantenimiento Base Programación Dns, Correo, Web Server, DHCP, etc. Servidor Virtual Cada 3 meses Manual Respaldo de Archivos de Sistema o Aplicación Sistema/Aplicación Servidor Tarea Programación Linux Virtual Respaldo de Imágenes Windows Virtual Respaldo de imágenes 1 al año Manual 1 al año Manual Respaldo Fuera de Sitio Se guardará un respaldo no mayor a 3 meses de anterioridad en un sitio alterno fuera de la Institución a fin de tener forma de restaurar la operación en caso de ser necesario fuera de sitio. Este respaldo se encontrará en las instalaciones ó área responsable, en la caja con el código definido y resguardado por el.

24 Página 24 de 27 PLAN DE RECUPERACION Objetivos Los objetivos del plan de recuperación son: Determinar los procedimientos adecuados para respaldar las aplicaciones y datos Planificar la reactivación de la operación interrumpida producida por un desastre de los sistemas prioritarios Mantener el mantenimiento y supervisión permanente de los servicios, sistemas y aplicaciones Establecer una disciplina de acciones a realizar para garantizar una rápida y oportuna respuesta frente a un desastre. Alcance El objetivo es restablecer en el menor tiempo posible el nivel de operación normal de los sitios de cómputo y telecomunicaciones, basándose en los planes de emergencia y de respaldo. La responsabilidad sobre el Plan de Recuperación es la Dirección de Administración, la cual debe considerar la combinación de todo su personal, equipos, datos, comunicaciones y suministros. Activación Decisión Queda a juicio de la Dirección de Desarrollo Institucional determinar la activación del Plan de Contingencia. Duración estimada Dependiendo de la situación, se determinará la duración estimada de la interrupción del servicio. Responsables Orden de Ejecución del Plan Supervisión General del Plan Supervisión del Plan de Recuperación Tareas de Respaldo y Recuperación Dirección de Desarrollo Institucional Area de Seguridad Personal áreas responsables

25 Página 25 de 27 Consideraciones Adicionales El plan debe ser revisado anualmente, para retroalimentación y su respectiva actualización o modificación en caso de así considerarse pertinente. El plan de contingencia deberá ser de conocimiento de toda la comunidad ECOSUR Se deberá almacenar una copia de este plan fuera de sitio, junto con los respaldos. El departamento de informática contará con información de los contratos realizados, un padrón de proveedores con información de los servicios que brinden relacionados con los considerados prioritarios. La aplicación de este Plan se aplicará en caso de suspensión del servicio por más de 24 hrs. Acciones de recuperación Las acciones de recuperación serán diseñadas para cada uno de los impactos mostrados anteriormente, definiendo asimismo los responsables de dichas actividades. Falla en Comunicación a Internet Acciones Enlaces Institucionales Ruteador Internet Firewall Externo Responsabilidad Area Telecomunicaciones Area Telecomunicaciones Area Telecomunicaciones Firewall Interno Area Red Local/ Jefatura Informática Unidad Falta de Conectividad entre edificios Acciones Responsabilidad Equipos de Comunicación (Switchs) Area Red Local/Jefatura Informática Unidad

26 Página 26 de 27 Concentrador Fibra Optica Area Red Local/Jefatura Informática Unidad Fibra Optica Area Red Local/Jefatura Informática Unidad Falla en Comunicación de voz Acciones Conmutador alarmado Falla Interna Proveedor de Telefonía Comunicación de voz entre edificios Responsabilidad Area de Telefonía y Servidores Area de Telefonía y Servidores Area de Telefonía y Servidores Area de Telefonía y Servidores Falla en el suministro de Energía Acciones Falta energía eléctrica Unidad de respaldo de energía en operación. Tiempo de respaldo. Responsabilidad Area Redes Locales Area Redes Locales Area de Telefonía y Servidores

27 Página 27 de 27 LLENAR CUADROS Falla en el hardware y/o software de los servidores Acciones Correo Electrónico SMTP IMSS DHCP DNS Responsabilidad Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Falla en aplicaciones Correo Electrónico SMTP IMSS DHCP DNS Acciones Responsabilidad Área Servidores. Área Servidores. Área Servidores. Área Servidores. Área Servidores. Virus Informático Acciones Responsabilidad Pérdida de datos Área local de soporte técnico. Saturación de la red Sttaf y área local Daño en software de equipos de cómputo y servidores Soporte tecnico