ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

PROGRAMA ADMINISTRACIÓN DE RIESGOS, SEGURIDAD Y SALUD EN EL TRABAJO


Enviado por   •  24 de Febrero de 2022  •  Biografía  •  1.708 Palabras (7 Páginas)  •  103 Visitas

Página 1 de 7

ACTIVIDAD 1[pic 1]

DIAGNÓSTICO SEGURIDAD DE

LA INFORMACIÓN

STEPHANY RODRÍGUEZ MORALES

Cód. d0700877

JAIME EDUARDO PORRAS FLORIAN

Docente Seguridad Informática

UNIVERSIDAD MILITAR NUEVA GRANADA

PROGRAMA ADMINISTRACIÓN DE RIESGOS, SEGURIDAD Y SALUD EN EL TRABAJO

TURBO, ANTIOQUIA

2021

INTRODUCCIÓN

Este trabajo pretende realizar un diagnóstico de la seguridad a nivel informático del laboratorio UNLab 4.0 de la Universidad Nacional de Colombia, esta organización se dedica a adelantar procesos de investigación y desarrollo de habilidades para innovar en diferentes regiones del país. La iniciativa que se lleva a cabo como parte de la estrategia del gobierno nacional para jóvenes a los cuales se les guía a vivir experiencias que permitan desarrollar habilidades para innovar y emprender.

El equipo de UNLAB 4.0, en consideración a la importancia de manejar los riesgos que pudieran potencialmente impactar el logro de las metas organizacionales adopta las políticas, procedimientos y protocolos de la Universidad Nacional de Colombia en materia de seguridad de la información.  

Mediante el diagnóstico de la seguridad de la información se puede determinar qué es lo más importante que UNLAB 4.0 y sus procesos poseen (sean bases de datos, unos archivos, servidores web o aplicaciones claves para que pueda prestar sus servicios). Así UNLAB 4.0 puede saber qué es lo que debe proteger para garantizar tanto su funcionamiento interno como su funcionamiento de cara a los usuarios, aumentando así su confianza en el uso del entorno digital.

UNLAB 4.0  DE LA UNIVERSIDAD NACIONAL DE COLOMBIA

  1. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA

APLICACIÓN

Política General

Preservar la confidencialidad, integridad y disponibilidad de la información misional de acuerdo a las disposiciones legales, técnicas y a sus responsabilidades contra amenazas internas y externas.

Se definen las responsabilidades dentro de cada rol de los empleados y contratistas del proyecto. Se realiza un contrato de confidencialidad, aceptación y compromiso de cumplimiento de las políticas de seguridad de la información.

Políticas Específicas

Proteger la información generada, procesada o resguardada por los procesos y activos de información que hacen parte de los mismos.

Se define, estructura y recomienda, hacer

seguimiento y mejorar el SGSI de la

organización.

Proteger la información creada, procesada, transmitida o resguardada por sus procesos, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta.

Para ello se realizan controles de acuerdo con la clasificación de la información de su propiedad o en custodia de los contratistas.

Proteger las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

Se definen controles de seguridad y accesos a las redes locales y a la red de transmisión de datos

Fortalecer la cultura de seguridad de la

información en los funcionarios y terceros,

que tengan relación con UNLab

Se realizan planes de sensibilización y capacitación sobre el manejo adecuado de la información, protección de equipos desde el hogar y visitas programadas para verificación de seguridad.

  1. PLAN DE SEGURIDAD:

 Identificación de los Procesos Críticos:

  • GESTIÓN DE ACTIVOS: Se deben identificar los activos de información, sus respectivos propietarios y su ubicación, a fin de elaborar y mantener un inventario actualizado mínimo cada año.
  • CLASIFICACIÓN DE LA INFORMACIÓN: Los responsables de la información deben realizar la clasificación y control de activos de información con el objetivo de garantizar que reciban un apropiado nivel de protección, clasificación de la información e identificación de su sensibilidad, criticidad, definiendo los niveles de protección y medidas de tratamiento conforme al procedimiento de Inventario y Clasificación de Activos de Información.
  • CONTROL DE ACCESO: Los sistemas de información y dispositivos de procesamiento, seguridad informática y comunicaciones contarán con mecanismos de identificación de usuarios y procedimientos para el control de acceso a los mismos. Esto se manejará conforme al procedimiento autorización de ingreso a los servicios de los recursos informáticos y de comunicaciones.
  • SISTEMAS DE GESTIÓN DE CONTRASEÑAS: El empleado debe recibir un usuario y una contraseña para acceder a los recursos informáticos de la organización. Dicha contraseña debe tener una longitud mínima de 8 (ocho) caracteres alfanuméricos, diferentes a nombres propios o cualquier otra palabra de fácil identificación.
  • CONTROLES DE ACCESO FÍSICOS:  Se evaluarán las necesidades de capacitación e implementación de los procedimientos y controles necesarios para garantizar la integridad, disponibilidad y confidencialidad de los activos de información.
  • COPIAS DE RESPALDO: Se debe hacer copias de respaldo de la información, software e imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con las políticas de seguridad.
  • TRANSFERENCIA DE INFORMACIÓN: El intercambio de información y de software con otras entidades, se realiza previa realización de convenio interadministrativo en el que se establecen cláusulas de responsabilidad, deberes y derechos.

  1. ACTIVOS DE INFRAESTRUCTURA TECNOLÓGICA CRÍTICOS

  • ACCESO A REDES Y A SERVICIOS EN RED: Cualquier usuario interno o externo que requiera acceso remoto a la red o a la infraestructura de procesamiento o seguridad informática del proyecto deberá estar autorizado por el gerente de Gestión del Riesgo.
  • CONTROL DE ACCESO A SISTEMAS Y APLICACIONES: El acceso a la información y a las funciones de los sistemas de las aplicaciones se restringe de acuerdo con la política de control de acceso.
  • UBICACIÓN Y PROTECCIÓN DE LOS EQUIPOS: Los equipos que hacen parte de la infraestructura tecnológica deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. Los equipos tales como máquinas de copiado, impresoras y máquinas de fax deben estar ubicados en zonas de acceso restringido y deben contar con control de código para su uso.
  • SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES: Los equipos de cómputo o activos de información que por razones de la actual situación sanitaria requieran de su retiro de las instalaciones de la organización, deberán contener únicamente la información estricta y necesaria para el cumplimiento de su misión, así mismo, se deshabilitarán los recursos que no se requieren o puedan poner en riesgo la información que contiene, adicionalmente la información debe estar cifrada.
  1. RIESGOS Y VULNERABILIADADES DENTRO DE LA INFRAESTRUCTURA TECNOLÓGICA.

RIESGOS:

  1. Factores ambientales como incendios, inundaciones, sismos y humedad.
  2. Divulgación indebida de información sensible o confidencial, de forma accidental o bien, sin autorización.
  3. Pérdida de la confidencialidad.
  4. Inadecuado tratamiento de los datos personales de clientes, contratistas y empleados.
  5. Acceso a personal no autorizado a la información clasificada.
  6. Fraudes, falsificación y venta de la información.
  7. Fraudes.

VULNERABILIDADES:

  1. Desconocimiento y falta de sensibilización de los usuarios y de los responsables de información.
  2. Acceso deliberado de cualquier persona a los computadores debido al teletrabajo.
  3. Falta de inhabilitación de los puertos USB.
  4. Falta de protección de las bases de datos de clientes y contratistas debido al teletrabajo.
  5. Falta de restricción en el acceso de personal no autorizado al centro de cómputo.
  6. Susceptibilidad de los equipos de cómputo.
  7. Falta de antivirus para el análisis de los computadores.
  8. Mala configuración de los sistemas informáticos.

Aplicaciones para diagnóstico tecnológico

OWASP ZAP

Tipo de licencia: Licencia Apache

Plataformas sobre las que funciona: máquina virtual Java

principales características:  Herramienta totalmente gratuita y de código abierto, deja la posibilidad de lanzar varios ataques a la vez. Posibilidad de asignar un sistema de prioridades. Análisis de sistemas de autenticación.

Wireshark

Tipo de licencia: GPLv2

Plataformas sobre las que funciona: Windows, Linux, macOS, Solaris, FreeBSD, NetBSD y muchos otros 

principales características: Inspección profunda de cientos de protocolos,   Captura en vivo y análisis fuera de línea, Los archivos de captura comprimidos con gzip se pueden descomprimir sobre la marcha

 

...

Descargar como (para miembros actualizados) txt (12 Kb) pdf (256 Kb) docx (187 Kb)
Leer 6 páginas más »
Disponible sólo en Clubensayos.com