Índice. I Introducción 2. II Diseñar el Sistema de Gestión de Seguridad de la Información (SGSI) 3

Transcripción

1 Página 1 de 20 Índice I Introducción 2 II Diseñar el Sistema de Gestión de Seguridad de la (SGSI) 3 III Implantar Sistema de Gestión de Seguridad de la (SGSI) 20 IV Generar Informes de evaluación del Sistema de Gestión de Seguridad de la (SGSI) 23 V Desarrollar estrategia de mejora para del Sistema de Gestión de Seguridad de la (SGSI) 28 I. Introducción.

2 Página 2 de 20 El Sistema de Gestión de Seguridad de la (SGSI) de El Colegio de la Frontera Sur describe los procesos y las actividades de los sistemas de cómputo e infraestructura que ayuda y apoya a las diferentes líneas y áreas de investigación científica, es decir es decir todos aquellos datos organizados en poder de una entidad como es el colegio de la frontera sur que posean valor para la misma, independientemente de la forma en que se guarde o transmita o de la fecha de elaboración y por ultimo de su origen. La seguridad de la información, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización Objetivo General: Disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivos de la institución. Objetivos Específicos: Establecer un sistema que permita identificar, analizar, evaluar, atender y monitorear los riesgos en materia de TIC Establecer mediante el sistema establecido los medios que permitan tomar decisiones de manera informada y oportuna sobre la mitigación de riesgos en materia de TIC. II. Diseñar el Sistema de Gestión de Seguridad de la.

3 Página 3 de 20 Hoy día, de la eficacia y eficiencia del Sistema de Telecomunicaciones de ECOSUR dependen la mayoría, por no decir, todas las actividades de la institución, derivado de ello, la prevención de desastres informáticos se torna en una acción institucional prioritaria. Contar con un buen esquema de seguridad informática donde se contemple la prevención y recuperación de desastres, evitará en la medida de lo posible, la suspensión de servicios informáticos y de telecomunicaciones, procurando de ésta manera, que la productividad y continuidad de acciones institucionales se vean afectadas. Podemos decir que, una contingencia informática, es la acción que provoca la interrupción y paralización de las actividades y/o procesos informáticos esenciales para la institución que deriva en la afectación de los servicios informáticos y de telecomunicaciones, ofertados a la comunidad ECOSUR. El evitarlas, es una responsabilidad institucional, la cual requiere de contar con los elementos necesarios (acciones, normas, recursos, etc.) que permitan la recuperación de la información institucional de forma casi inmediata, y con el menor costo posible. Para garantizar la disponibilidad de servicios esenciales para ECOSUR como: el Sistema Integral Administrativo, el Sistema de Seguimiento Académico, el Sistema de Control Escolar, los servicios de Correo electrónico, Videoconferencia y Telefónico, el acceso al Sistema Bibliotecario, las aplicaciones Estadísticos, Bases de Datos de investigación, etc., es necesario contar con sistemas y servicios de prevención de contingencias y recuperación de información, que mediante su buena aplicación y uso, posibiliten la continuidad de acciones y garanticen la disponibilidad de los procesos esenciales para la institución. El investigador en seguridad informática, Jon Toiga, concluyó que un desastre informático que se prolongara por más de 10 días afectaría financieramente a las empresas de manera irreversible, y que la mitad de ellas quebraría dentro de los siguientes 5 años. Podemos decir hoy día, que esta primicia está más vigente que nunca, ya que las pérdidas por desastres informáticos a nivel mundial, se han cuantificado en millones de dólares, sin embargo, los grandes avances tecnológicos han posibilitado una recuperación cada vez más expedita y con costos más razonables. Por lo anterior, es importante visualizar toda una estrategia apoyada en herramientas tecnológicas que garanticen la continuidad de actividades negocio, siendo en nuestro caso, las actividades del ECOSUR. El Sistema de Gestión de Seguridad de la de ECOSUR, se concibe como un instrumento para disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivos institucionales, propiciando el buen manejo de las tecnologías de, y que estará conformado por medidas técnicas,

4 Página 4 de 20 humanas y organizativas, basadas en el ciclo de vida iterativo "plan-do-check-act", ("planifica-actúa-comprueba-corrige"). Está dirigido en primera instancia, a: a) Personal especializado relacionado con el manejo de la información. b) Especialistas informáticos, debido a los conocimientos técnicos que poseen. c) Personal responsable de la seguridad informática. Cabe mencionar, que el presente documento es de observancia general y obligatoria para todo el personal técnico especializado, su desconocimiento no podrá ser invocado como justificación para evadir u omitir lo que en él se encuentra contenido. Establecer directrices del proceso y sistema de Administración de Riesgos Telecomunicaciones Servidores Bases de datos Telefonía Redes locales Telecomunicaciones. Monitorear los enlaces institucionales de las cinco unidades para verificar que el desempeño sea el adecuado, y también determinar si hay saturación o cortes, esto es para mantener el servicio de telecomunicaciones de calidad. Determinar el procedimiento correcto para la instalación y configuración de un enlace nuevo en ECOSUR. Infraestructura Configuración router Configuración enlaces de de Seguridad de la información Revisión de los log Verificar los anchos de banda Revisar y guardar la configuración de routers Garantizar el servicio Servicios Usuarios de ECOSUR y visitantes Garantizar el ancho de banda para el uso de los servicios de Telefonía, Internet y Video Conferencias. Ruteador Método de Lugar donde se ubica el Periodicidad del

5 Página 5 de 20 WAN Sclc Se instala un servidor ftp en cada una de las unidades, con un nombre de usuario y contraseña que el Telecom disponga, se da de alta en el router los datos de acceso al servidor, WAN Tapachula Respaldo respaldo respaldo Se almacena el archivo Siempre que se del respaldo en el realiza un documento cambio TELECOMUNICACIONES sustantivo en la ubicado en el foro domino configuración de titulado TELECOM. Se los equipos ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara los siguientes comandos son un ejemplo del proceso: Router#config terminal Router(config)#ip ftp username cisco Router(config)#ip ftp password cisco123 Router(config)#end Router#copy running-config ftp: Address or name of remote host x.x.x.x Destination filename [ce_2- confg] (enter) Idem Idem Idem Servicio Funcionamiento

6 Página 6 de 20 Red Extendida

7 Página 7 de 20 Redes Local Servidores.

8 Página 8 de 20 La información contenida en los servidores de datos ó servicios web es aquella que está disponible a usuarios previamente autorizados o al público en general según las políticas a las que fue establecida. Algunos servidores de datos resguardan información fundamental para las operaciones diarias de algunos departamentos que hace uso de estos. También existen servidores que respaldan información generada día a día o por periodos de algunos departamentos así como el historial de las mismas. Por lo que el activo mas importante en este caso es la información contenida en estos servidores. El activo más importante basándonos en el SGSI es la información contenida en ella. Infraestructura Seguridad de la información Impacto Servidores de datos confidencial (contable, Usuarios ó WEB administrativa, académica y escolar), ECOSUR UPS. Tierra Física Conexiones eléctricas Switches Conocimientos administración. pública acerca de ECOSUR. visitantes de y Servidor Método de Respaldo MAILSCLC 1. Entramos al servidor de correoelectronico. 2. Ejecutamos el programa llamado ARECAS. 3. Click derecho al icono llamado BACKUPDATA damos la opción realizar copia. 4. Nos vamos a la opción respaldo completo. 5. Quitamos la opción de verificar después de Lugar donde se ubica el Respaldo En el mismo servidor y en el disco externo de 1 Terabite en resguardo de Hugo Lara. También se guarda una copia en una maquina destinada para respaldo de información Periodicidad del Respaldo Se realizan los respaldos una vez al mes.

9 Página 9 de 20 respaldo. 6. Le damos iniciar respaldo MAILSMTP No se realiza ninguno respaldo WWW Se detiene el servicio MySQL. Se copian las carpetas WWW y MySQL y se depositan en otra sección del mismo servidor DNS Se copia la configuración a un archivo TXT Personal del área de Servidores IMSS Control Documental SAMETIME QUICKR Se copian todos los documentos en el disco externo de 1 Terabite en resguardo de Hugo Lara Se tiene un espejo del servidor No se realiza ningún respaldo Dando de baja el servidor y haciendo una copia manual Dando de baja el servidor y haciendo una copia manual Ninguno En el mismo servidor y se solicita al administrador de WWW copie el contenido en una unidad externa. Se almacena el documento TXT en el documento TELECOMUNICACIONE S ubicado en el foro domino titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 Terabite en resguardo de Hugo Lara En el disco externo de 1 Terabite en resguardo de Hugo Lara En un Servidor virtual Ninguno Se respalda dentro de la unidad C:\archivos de programas. La carpeta llamada sametime Se respalda dentro de la unidad C:\archivos de programas. La carpeta llamada Quickr Ninguno Se realizan los respaldos una vez al mes Siempre que se realiza un cambio sustantivo en la configuración de los equipos Una vez al año o al cambio de un sistema operativo. Ninguno Ninguno Una vez al mes Una vez al mes

10 Página 10 de 20 Tarificador Se realiza el respaldo en caliente FTP Posgrado No se realiza respaldo Calendario Se realiza el Videoconferencias respaldo en caliente Posgrado No es responsabilidad de No es responsabilidad de Vinculación No es responsabilidad de Biblioteca-1 No es responsabilidad de Biblioteca-2 No es responsabilidad de Biblioteca-3 No es responsabilidad de Desarrollo No es Institucional responsabilidad de LAIGE No es responsabilidad de Administración No es responsabilidad de Se respalda toda la unidad C:\archivos de programadas. La carpeta llamada INTERTEL Ninguno c:\appserv No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de No es responsabilidad de Cada 3 meses Ninguno Se realizan los respaldos una vez al mes No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de No es responsabilida d de Desarrollo de aplicaciones y bases de datos. Una base de datos o Aplicación es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso, todas las

11 Página 11 de 20 aplicaciones a excepción del correo electrónico, se están estandarizando a MySQL y PHP Estas aplicaciones son con las que se cuentan en el departamento de informática para realizar tareas específicas, son de mucha importancia para el trabajo cotidiano en el departamento de informática de El Colegio de la Frontera Sur Servidores MAILSCLC WWW Control de inventario Bitácora Generación de Id para el correo electrónico Digitalización de formatos MAAGTIC Descripción Base de datos que se genera atreves del correo institucional de ECOSUR Página Web institucional que contiene una base de datos en MySQL y Joomla Aplicaciones para el control de equipos de nuevo ingreso a el colegio de la frontera sur Base de datos generada en MySQL y PHP para las solicitudes que necesita el usuario para el servicio de soporte técnico de equipos Aplicaciones generada en MySQL y PHP para generar Id s para almacenar el password de el correo electrónico Base de datos que contendrá los archivos digitales de el MAAGCTIC Telefonía. Garantizar el servicio de telefonía digital e IP en las cinco unidades de ECOSUR, verificando su adecuado desempeño y seguridad, ofertando con éstas acciones, un servicio de calidad. Infraestructura Seguridad de la información Servicios Instalación y Configuración de conmutadores. Verificar de forma constante el estado físico de los conmutadores. Usuarios ECOSUR visitantes. de y Verificar el aterrizaje correcto de los conmutadores. Garantizar servicio. el Verificar Logs Respaldos

12 Página 12 de 20 Instalación y Configuración de tecnología IP. Verificar de forma constante el estado físico de los dispositivos IP. Verificar configuración adecuada. Respaldos. Usuarios de ecosur y visitantes. Garantizar servicio. el Instalación y Configuración de Sistemas Tarificadores Verificar configuración adecuada. Respaldos. Usuarios ECOSUR visitantes. de y Garantizar servicio. el Redes Institucionales. Garantizar una óptima transmisión, conectividad, rendimiento y confidencialidad en los datos transportados en la red institucional en cada una de las sedes, monitoreando de forma constante y continua los datos transmitidos desde fuera y dentro de la red para detectar cualquier anomalía, sospecha de posibles intrusiones o saturación de la red ya sea de forma remota o interna. Infraestructura Seguridad de la información servicios Firewall Verificar de forma constante intentos de conexión a la red interna. Verificar de forma constante intentos de conexión a equipos externos sospechosos. Usuarios ECOSUR visitantes Garantizar servicio de y el Instalación y configuración de sistemas de monitoreo Monitorear de forma constante la red interna en busca de componentes de red defectuosos o lentos. Usuarios ECOSUR visitantes de y

13 Página 13 de 20 de red Monitorear de forma constante la red en busca de amenazas del exterior o interior de la red. Garantizar servicio el Instalación y configuración de sistemas detectores de intrusos. Configurar y administrar los switches para un mejor performance en la red. Usuarios ECOSUR visitantes Garantizar servicio de y el Configuración de Switches Usuarios ECOSUR visitantes de y Garantizar servicio el Medidas Preventivas. Control de Acceso. a) Acceso físico de personas no autorizadas. Con la finalidad de evitar cualquier fallo por personal ajeno al departamento de informática, el acceso físico al sitio de servidores, cuartos de comunicación y oficinas que lo conforman será restringido. b) Acceso a Servidores. El acceso a los servidores, se encontrará bajo responsabilidad de los administradores de los mismos (Informática, Administración, Difusión, SIBE, Seguimiento Académico y LAIGE), como medida preventiva, se solicita el cambio de la contraseña de acceso de forma periódica. c) Acceso restringido a las librerías, programas, y datos. El acceso a programas, librerías o a ciertas carpetas dentro de los servidores, será restringido mediante niveles de acceso, otorgados por los administradores de los mismos. Respaldos. Esta importante medida preventiva, es descrita en el apartado correspondiente. Previsión de Desastres. La previsión de desastres se puede realizar bajo la expectativa de minimizar los riesgos innecesarios en los sitios que conforman el Sistema de Telecomunicaciones

14 Página 14 de 20 de ECOSUR, previendo que no haya situaciones que generen la interrupción del proceso de operación normal y de respaldo. Se debe tener claro los lugares de resguardo, vías de escape y ubicaciones de los archivos y dispositivos con información vital para el funcionamiento de la institución. Adecuado Soporte de Utilitarios. Las fallas de los equipos de procesamiento de información pueden minimizarse mediante el uso de otros equipos, mismos que deben ser verificados periódicamente para constatar su buen funcionamiento, tales como: a) Unidades de Respaldo de Energía.- Estos equipos deberán recibir cuando menos 1 servicio de mantenimiento preventivo al año, por la empresa contratada para realizar dicho servicio, dejando reporte o bitácora del mismo. b) Pilas.- Estos equipos deberán recibir cuando menos 1 servicio de mantenimiento preventivo al año, por la empresa contratada para realizar dicho servicio, dejando reporte o bitácora del mismo. Seguridad de la. La información contenida en los diversos sistemas y aplicaciones deberá está protegida por claves de acceso; así como un adecuado seguimiento al plan de respaldo. III. Implantar Sistema de Gestión de Seguridad de la (SGSI). Plan de Respaldo. Como parte importante de un Programa de Contingencia Informático se encuentra el Plan de Respaldo, que indica el proceso para la generación de los diferentes respaldos, ya sea de bases de datos, aplicaciones o configuraciones y proporcionará el impacto de pérdida de información relevante en la continuidad de operación de los sistemas con información institucional. Area o Departamento Nombre Aplicación Proceso de Respaldo Informática Servidores Institucionales Informática Conmutadoras Servidor Método de Respaldo MAILSCLC Se baja el servicio DOMINO, se copia la carpeta Lotus, se compacta y se Lugar donde se ubica el Respaldo En el mismo servidor y en el disco externo de 1 Terabite en resguardo de Hugo Lara Periodicidad del Respaldo Dos veces al año. En época de vacaciones de semana santa y navidad

15 Página 15 de 20 importa a un servidor FTP. De ahí se copia en el disco de 1 Terabite. MAILSMTP Idem Idem Idem WWW Se detiene el servicio MySQL. Se copian las carpetas WWW y MySQL y se depositan en otra sección del mismo servidor DNS Se copia la configuración a un archivo TXT Personal área TELECOM del de Telecomunicaciones. Se copian todos los documentos en el disco externo de 1 Terabite en resguardo de Hugo Lara En el mismo servidor y se solicita al administrador de WWW copie el contenido en una unidad externa. Se almacena el documento TXT en el documento TELECOMUNICACIONES ubicado en el foro domino titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 Terabite en resguardo de Hugo Lara En el disco externo de 1 Terabite en resguardo de Hugo Lara Ultimo viernes de cada mes. Siempre que se realiza un cambio sustantivo en la configuración de los equipos Una vez al año o al cambio de un sistema operativo. RUTEADOR WAN SCLC MÉTODO DE RESPALDO Se copia en forma de texto la configuración del ruteador en formato TXT y almacena el documento TXT en el LUGAR EN DONDE SE UBICA EL RESPALDO Se almacena el documento TXT en el documento TELECOMUNICACIONES ubicado en el foro domino PERIOCIDA D DEL RESPALDO Siempre que se realiza un cambio sustantivo en la

16 Página 16 de 20 documento TELECOMUNICACION ES ubicado en el foro domino titulado TELECOM titulado TELECOM. Se ubica otra copia en el equipo personal del TELECOM, disco externo de 1 terabite en resguardo de Hugo Lara configuración de los equipos Debido a la importancia de los sistemas y aplicaciones institucionales, es necesario realizar un proceso de respaldo que asegure, en caso de contingencia, su restauración. NOTA: Cabe mencionar que los respaldos de los archivos de sistemas o aplicaciones ocurren con menor frecuencia debido a que estos, no sufren modificaciones constantes. IV. Generar Informes de evaluación del Sistema de Gestión de Seguridad de la (SGSI) Bitácoras de Respaldos. Respaldo de Datos Sistema/Aplicación Servidor Plan de Mantenimiento Base Programación Dns, Correo, Web Server, DHCP, etc. Servidor Virtual Cada 3 meses Manual Respaldo de Archivos de Sistema o Aplicación Sistema/Aplicación Servidor Tarea Programación Linux Virtual Respaldo de Imágenes Windows Virtual Respaldo de imágenes 1 al año Manual 1 al año Manual

17 Página 17 de 20 Respaldo Fuera de Sitio. Se guardará un respaldo no mayor a 3 meses de anterioridad en un sitio alterno fuera de la Institución a fin de tener forma de restaurar la operación en caso de ser necesario fuera de sitio. Este respaldo se encontrará en las instalaciones ó área responsable, en la caja con el código definido y resguardado por el. Plan de Recuperación. Objetivos. Los objetivos del plan de recuperación son: Determinar los procedimientos adecuados para respaldar las aplicaciones y datos Planificar la reactivación de la operación interrumpida producida por un desastre de los sistemas prioritarios Mantener el mantenimiento y supervisión permanente de los servicios, sistemas y aplicaciones Establecer una disciplina de acciones a realizar para garantizar una rápida y oportuna respuesta frente a un desastre. Alcance. El objetivo es restablecer en el menor tiempo posible el nivel de operación normal de los sitios de cómputo y telecomunicaciones, basándose en los planes de emergencia y de respaldo. La responsabilidad sobre el Plan de Recuperación es la Dirección de Administración, la cual debe considerar la combinación de todo su personal, equipos, datos, comunicaciones y suministros. Activación. Decisión Queda a juicio de la Dirección de Desarrollo Institucional determinar la activación del Plan de Contingencia. Duración estimada Dependiendo de la situación, se determinará la duración estimada de la interrupción del servicio. Responsables Orden de Ejecución del Plan Supervisión General del Plan Supervisión del Plan de Recuperación Dirección de Desarrollo Institucional Area de Seguridad

18 Página 18 de 20 Tareas de Respaldo y Recuperación Personal áreas responsables Consideraciones Adicionales. El plan debe ser revisado anualmente, para retroalimentación y su respectiva actualización o modificación en caso de así considerarse pertinente. El plan de contingencia deberá ser de conocimiento de toda la comunidad ECOSUR Se deberá almacenar una copia de este plan fuera de sitio, junto con los respaldos. El departamento de informática contará con información de los contratos realizados, un padrón de proveedores con información de los servicios que brinden relacionados con los considerados prioritarios. La aplicación de este Plan se aplicará en caso de suspensión del servicio por más de 24 hrs. Acciones de recuperación. Las acciones de recuperación serán diseñadas para cada uno de los impactos mostrados anteriormente, definiendo asimismo los responsables de dichas actividades. Falla en Comunicación a Internet. Acciones Enlaces Institucionales Ruteador Internet Firewall Externo Responsabilidad Area Telecomunicaciones Area Telecomunicaciones Area Telecomunicaciones Firewall Interno Area Red Local/ Jefatura Informática Unidad

19 Página 19 de 20 Falta de Conectividad entre edificios. Acciones Responsabilidad Equipos de Comunicación (Switchs) Area Red Local/Jefatura Informática Unidad Concentrador Fibra Optica Area Red Local/Jefatura Informática Unidad Fibra Optica Area Red Local/Jefatura Informática Unidad Falla en Comunicación de voz. Acciones Conmutador alarmado Falla Interna Proveedor de Telefonía Comunicación de voz entre edificios Responsabilidad Area de Telefonía y Servidores Area de Telefonía y Servidores Area de Telefonía y Servidores Area de Telefonía y Servidores Falla en el suministro de Energía. Acciones Falta energía eléctrica Unidad de respaldo de energía en operación. Tiempo de respaldo. Falla en el hardware y/o software de los servidores. Acciones Correo Electrónico Responsabilidad Area Redes Locales Area Redes Locales Area de Telefonía y Servidores Responsabilidad Área Servidores y Soporte técnico.

20 Página 20 de 20 SMTP IMSS DHCP DNS Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Área Servidores y Soporte técnico. Falla en aplicaciones. Correo Electrónico SMTP IMSS DHCP DNS Acciones Responsabilidad Área Servidores. Área Servidores. Área Servidores. Área Servidores. Área Servidores. Virus Informático. Acciones Responsabilidad Pérdida de datos Área local de soporte técnico. Saturación de la red Sttaf y área local Daño en software de equipos de cómputo y servidores Soporte técnico