jueves, 4 de septiembre de 2008
Seguridad en redes es mantener bajo protección los recursos y lainformación con que se cuenta en la red, a través de procedimientos basadosen una política de seguridad.
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
PROYECTO
POLITICAS DE SEGURIDAD
Hospital San Roque de CuritiSe hace necesario cada día que se implementen nuevos sistemas que optimicen la red regularmente, por cualquiera de ellas circulan todo tipo de datos, entre ellos muchos que se podrían catalogar como confidenciales (nominas, expedientes, historias clínicas, presupuesto)
Objetivos
- Evaluar y manejar los riesgos de seguridad
- Enfocar los esfuerzos en la protección de los activos
- Identificar los activos de la organización
- Identificar las amenazas a los activos
- Conocer las prácticas actuales de seguridad
- Identificar las vulnerabilidades organizacionales
- Identificar las vulnerabilidades de la infraestructura
1- Análisis de riesgos
Se deben tener en cuenta algunos parámetros que nos pueden ayudar a prevenir posibles alteraciones a la información.
Organizar a cada uno de los empleados con diferentes claves de acceso y permisos establecidos en cada uno de los sistemas que se manejen en la organización
Asegurarse de que los operadores puedan trabajar pero que no puedan modificar los datos, programas sin la debida supervisión del Administrador de red.
Restringir el acceso a personas que no estén autorizadas a programas o archivos.
2- Análisis de requerimientos y establecimiento de políticas de seguridad informática
La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. de seguridad de la información, que contengan, (virus, caballos de Troya, hackers)
Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad.
La recopilación de las preocupaciones sobre seguridad de parte de los usuarios, y ejecutivos de la empresa debe basarse en lo siguiente:
Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.
Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo.
Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.
Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria.
Por eso nuestra organización se base en tres aspectos importantes paro lograr que la información que se maneja no sea alterada.
La Confidencialidad, en esta organización es muy importante ya que se manejan nominas de empleados, historias clínicas, documentos internos de la institución etc. Por eso se hace necesario el uso de técnicas de control de acceso a los sistemas, el cifrado de la información confidencial y las comunicaciones, proporcionando así la verificación del origen de los datos.
La Disponibilidad en esta institución significa que tanto el software, hardware se mantengan en constante funcionamiento, Una de negación de servicio significa que no se puede obtener del sistema los recursos deseados, El ordenador puede estar maltratado o haber una caída del SO, en caso de que se presente esto se pueda recuperar la información allí almacenada con ayuda del administrador de red de dicha institución.
La Integridad significa que toda la información que se maneje en esta institución solo pueda ser modificada o cambiada por personas que estén a cargo de la misma, que los empleados tengan sus propias contraseñas o códigos de acceso de esta manera se evita que personas ajenas puedan tener conocimiento de la información que se maneja allí.
Esto se debe implementar en esta institución, primero poniendo en conocimiento a todos los funcionarios de la parte administrativa sobre dicho software y su funcionamiento, teniendo en cuenta el uso de las claves o códigos para acceder a este software.
5- Aseguramiento componentes de Hardware
La calidad de los componentes de Hardware en una institución como esta debe ser óptima, se debe probar el funcionamiento de los diferentes componentes del sistema verificando la comunicación entre ellos.
Comprobar que las actualizaciones y correcciones software no afectan el correcto funcionamiento de los equipos
Verifican el comportamiento del sistema y aplicaciones frente a los requerimientos de seguridad en la institución.
Estas pruebas pueden ser ejecutadas de forma automática mediante una suite especial de pruebas de regresión previamente preparada. Este tipo de pruebas se realizan con la finalidad de asegurar que todos los componentes y opciones funcionales instalados en una configuración hardware/software particular funcionen apropiadamente.
Las pruebas permiten conocer si los sistemas cumplen los requisitos de recuperación frente a los distintos fallos que pueden producirse Estas pruebas determinan cuales son los niveles de crecimiento que puede soportar el sistema, con los cuellos de botella a encontrar en los distintos niveles de carga que se pueden simular.
Aseguran que los diferentes métodos de acceso a la base de datos y procesos funcionan apropiadamente y sin corrupción de datos.
6- Aseguramiento Componente Humano
7- Aseguramiento de Componentes de Interconectividad
8- Aseguramiento de Infraestructura Física
Cumpliendo con lo anterior se debe hacer mantenimiento preventivo de la red en general, hardware, software, actualización de sistema operativo, actualizaciones de aplicaciones, seguimiento rendimiento y funcionamiento de la red, buscando siempre la confidencialidad y la integridad de la información.
9- Administración de la seguridad informática
Los funcionarios no deben suministrar cualquier información de la entidad a ningún ente externo sin las autorizaciones respectivas.Todo funcionario que utilice los Recursos informáticos, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está protegida y clasificada como confidencial
Los funcionarios, deben firmar y renovar cada año, un acuerdo de cumplimiento de la seguridad de la información, la confidencialidad, el buen manejo de la información. Después de que el trabajador deja de prestar sus servicios a la entidad, se compromete a entregar toda la información respectiva de su trabajo. Como regla general, la información de políticas, normas y procedimientos de seguridad se deben revelar únicamente a funcionarios y entes externos que lo requieran, de acuerdo con su competencia y actividades a desarrollar según el caso respectivamente.
El Administrador de la seguridad informática debe proveer material para recordar regularmente a los empleados, temporales y consultores acerca de sus obligaciones con respecto a la seguridad de los recursos informáticos.
Administración de usuarios: Establece como deben ser utilizadas las claves de ingreso a los recursos informáticos. Establece parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras.
Las palabras claves o contraseñas de acceso a los recursos informáticos, que designe el administrador de red son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona.Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales.Se prohíbe tener identificaciones de usuario genéricos basados en sus funciones de trabajo. Las identificaciones de usuario deben únicamente identificar individuos específicos.Todo sistema debe tener definidos los perfiles de usuario de acuerdo con la función y cargo de los usuarios que acceden a el.
Siguiendo estos parámetros se puede decir que se podrá optimizar la red y la información que se maneja en esta institución no podrá ser vulnerada con la ayuda de los funcionarios de esta entidad.
0 Comments:
Post a Comment