Seguridad en Aplicaciones. Políticas de Seguridad Informática
Enviado por andres felipe devia romero • 19 de Septiembre de 2022 • Tarea • 2.770 Palabras (12 Páginas) • 83 Visitas
[pic 1]
Seguridad en Aplicaciones
Políticas de Seguridad Informática
[pic 2]
Alumnos:
Garvín Alexander Rojas
Andres Felipe Devia Romero
Docente:
Raúl Bareño Gutiérrez
Fundación Universitaria del Área Andina
Facultad de Ingeniería de Sistemas
2022
- Nombre del taller: Políticas de Seguridad Informática
- Objetivo de aprendizaje:
Aplicar conocimientos adquiridos con relación a la creación y la interpretación de políticas de seguridad informática.
- Descripción del taller:
Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:
• Seguridad física.
• Seguridad de red.
• Seguridad humana.
• Seguridad en sistemas operativos.
• Seguridad en aplicaciones.
• Seguridad en SGBD.
• Leer la unidad requerimientos de seguridad y seguridad en sistemas.
• Apoyarse en la norma ISO/IEC 17799.
• Aplicar los conceptos adecuados.
Introducción
Actualmente con el rápido desarrollo o avance de Internet y la implementación de aplicaciones que nos permiten simplificar las transacciones bancarias, pagos de facturas, compras en línea y más. Somos atacados por ciberdelincuentes que quieren robar nuestra información, cometer fraude, engañarnos, borrar datos o hackear. Según Gartner, Inc., "Hoy en día, más del 70 por ciento de los ataques contra sitios web corporativos o aplicaciones web están dirigidos a la 'capa de aplicación' en lugar de la red o sistema".
Es por esto por lo que es imperativo implementar una política de seguridad informática con las medidas apropiadas para lograr sus objetivos y proporcionar un marco apropiado para el desarrollo o implementación de aplicaciones.
Una vez leídas y analizadas las respectivas lecturas del eje pensamiento correspondiente a este eje y teniendo en cuenta las normas ISO/IEC 17799 que contempla básicamente el proceso de gestión de riesgos que tiene tres etapas: Establecimiento del contexto, evaluación de riesgos y tratamiento de estos.
Con el presente trabajo nuestro grupo de trabajo nos proponemos crear una política de seguridad que abarque los temas más importantes como: seguridad física, de redes, humana, en sistemas operativos, en aplicaciones y en SGBD.
Desarrollo
Palabras clave:
- Amenaza: Suceso desfavorable en que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
- Vulnerabilidad: Está íntimamente relacionado con el riesgo y la amenaza y se puede definir como la debilidad o grado de exposición.
- Ataque: intento organizado e intencionado causada por una o más personas para causar daño o problemas a un sistema o red.
- Riesgo: probabilidad de que ocurra un hecho que produzca ciertos efectos, la combinación de la probabilidad de la ocurrencia de un evento y la magnitud del impacto que puede causar, así mismo es la incertidumbre frente a la ocurrencia de eventos y situaciones que afecten los beneficios de una actividad.
- Activo: Cualquier cosa que tenga valor para la organización.
Políticas de seguridad informáticas Seguridad Física
A través de esta política, buscamos evitar el acceso físico no autorizado, el daño y la interferencia con la información y las instalaciones de una organización. Las instalaciones de procesamiento de información crítica o confidencial se ubicarán en áreas seguras, protegidas por límites de seguridad definidos, con barreras de seguridad y controles de acceso apropiados. Deben estar físicamente protegidos contra accesos no autorizados, daños e interferencias.
1.1 Control del perímetro
• Se hace indispensable establecer acceso con seguridad, como lo rejas y puertas de acceso controladas por tarjetas de acceso, sistemas biométricos o recepcionista.
• Los accesos de seguridad deben ser definidos de forma clara, su ubicación y robustez dependerá de los requerimientos de seguridad de los activos que allí se encuentren.
• La ubicación donde se encuentra la data center debe ser sólido y no tener accesos o áreas donde pueda haber un ingreso no autorizado y de igual forma debe estar con sus respectivos sistemas de alerta y seguridad.
• Se debe contar con un área de recepción que permita saber e identificar el personal que ingresa al edificio.
• Si es posible se deben implementar barreras físicas que eviten el ingreso de personal no autorizado y de contaminación ambiental.
• Se debe contar con los adecuados sistemas de detección de intrusos y sus respectivas alarmas.
1.2 Control de acceso físico
•Se debe controlar adecuadamente la entrada y salida de visitantes, teniendo en cuenta la fecha y hora de entrada y salida.
• Todo acceso de visitantes deberá estar debidamente autorizado y acompañado en todo momento por la persona que autorice el ingreso a las instalaciones.
• El acceso a las áreas y centros de datos donde se procesa información confidencial debe ser controlado y restringido únicamente al personal autorizado.
• Para ingresar a diferentes zonas, se debe implementar un sistema de autenticación, es decir. tarjetas de acceso o sensores biométricos.
• Todos los empleados directos, contratistas y visitantes deben estar obligados a usar alguna forma de identificación visible y notificar a las áreas seguras si el visitante no está identificado o no está acompañado.
...