ESPECIALIZACIÓN GESTIÓN Y SEGURIDAD DE BASE DE DATOS ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD. FICHA 1651502
APRENDIZ SERGIO EDUARDO ESTEVEZ MONSALVE CC. 1116776549
INSTRUCTOR DIANA MARIA DE JESUS RICO MESA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL SENA – ANTIOQUIA ANTIOQUIA 2018
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
TABLA DE CONTENIDO 1.
ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD. ......................................... 3 1.1. Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema. .................................................................................................. 3 Normas Para Establecer un Política de Seguridad. ......................................................................... 3 Protocolo a Seguir para proteger la seguridad del sistema ............................................................ 3 1.2.
Delimitación de responsabilidades para las actuaciones técnicas y organizativas............. 5
1.3. Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control, Autenticación y Utilidad. ................................................................................................................. 6
2
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
1. ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD. 1.1. Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguri dad del sistema. Normas Para E stablecer un P olítica de Seguridad.
Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada. Fase de implementación: en esta fase la política es comunicada y acatada (o no cumplida por alguna excepción). Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). Fase de eliminación: La política se retira cuando no se requiera más. Protocolo a Segui r para proteger la seguridad del si stema
Separación de tareas. El principio de separación de tareas debe ser aplicado para determinar la responsabilidad de una etapa en particular para garantizar que los chequeos y ajustes necesarios sean aplicados. Para proveer una perspectiva más amplia y diferente, un directivo, o un grupo que sea independiente del proponente, debe revisar la política y una directiva, superior al proponente, debe encargarse de aprobar la política. O, para disminuir los posibles conflictos de intereses, la función auditoria (o control interno), como oficina independiente dentro de la organización, debe ser encargada del monitoreo del cumplimiento de la política, en tanto que grupos u organizaciones de auditoria externos deben ser invitados a realizar una evaluación independiente del cumplimiento de las políticas para ser consistentes con el principio de separación de tareas. Eficiencia. Adicionalmente, por razones de eficiencia, dependencias diferentes a la proponente deben tener alguna responsabilidad para la realización de ciertas etapas del ciclo de vida del desarrollo de una política. Por ejemplo, la difusión y la comunicación de la política sería mejor realizada si se encomendara a la dependencia encargada de estas funciones dentro de la organización (por ejemplo, la Secretaría General, las Secretarías de las sedes o UNIMEDIOS). Por otra parte, basados en la eficiencia, los esfuerzos de concienciación serían asignados a la función capacitación de la universidad (en este momento se encuentra en la Dirección Nacional de Personal y las oficinas de personal de las sedes) aun cuando puede ocurrir que el personal de capacitación no esté entrenado específicamente en la labor de la concienciación de la política de seguridad-. En este último caso, sería mejor que la desarrollara la función de seguridad informática. 3
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
Alcance del control. Límites en el alcance del control que la dependencia proponente puede ejercer tiene impacto sobre quién debe ser el ponente de una política específica. Normalmente, el proponente sólo puede jugar un papel limitado en el monitoreo y en la garantía del cumplimiento de la política debido a que él no puede estar en todos los sitios, en todo momento, donde ésta debe ser implementada. Autoridad. Límites en la autoridad que un individuo o una dependencia ejerce, puede determinar la habilidad para desarrollar exitosamente una etapa del ciclo de vida de una política. La efectividad de una política, a menudo. La efectividad de una política, en muchos casos, depende de la autoridad en la cual la política se soporta. Para que una política tenga un soporte en toda la organización, el directivo que la aprueba debe tener un reconocido grado de autoridad. Normalmente, la función de seguridad informática de la organización no goza del nivel de reconocimiento ideal a través de toda la organización y requiere el soporte de directivas de nivel superior para cumplir con su misión. En consecuencia, la aceptación y el cumplimiento de las políticas de seguridad informática tienen mayor probabilidad de darse cuando la autoridad que la aprueba es de nivel superior. Conocimiento. El empleo de un comité que realice la evaluación de políticas puede ofrecer un entendimiento más amplio de las operaciones que afectará la política. Un organismo de este tipo puede ayudar a garantizar que la política sea escrita con el fin de promover su aceptación y su implementación exitosa y puede ser útil para prever problemas de implementación y para evaluar efectivamente situaciones donde las excepciones a la política pueden ser justificadas. De acuerdo con el alcance de la política, la labor de evaluación puede ser realizada por el comité nacional de informática o los comités de informática de las sedes. Aplicabilidad. Finalmente, la aplicabilidad de la política también afecta la responsabilidad en las etapas de desarrollo del ciclo de vida de la política. ¿La política aplica a una sola dependencia, sólo a los usuarios de una tecnología en particular o a toda la empresa? Si la aplicabilidad de una política está limitada a una sola dependencia, entonces la jefatura de la dependencia debe tener su propia política. Sin embargo, si la política es aplicable a toda la empresa, entonces una dependencia de alto nivel debe asumir la responsabilidad en relación con la política. POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN La información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad. Consciente de las necesidades actuales la Alcaldía de San Antonio del SENA, implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción 4
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes. Los funcionarios, personal externo, proveedores y todos aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de la Alcaldía de San Antonio del SENA, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información. La Política Global de Seguridad de la Información de la Alcaldía de San Antonio del SENA, se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información. Adicionalmente, se establecerán políticas específicas de seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del Anexo de la norma internacional ISO 27001:2013. El Comité de Seguridad tendrá la potestad de modificar la Política Global o las Políticas Específicas de Seguridad de la Información de acuerdo con las necesidades de revisión establecidas periódicamente o a la aplicabilidad de las mismas.
1.2. Delimitación de responsabilidades para las actuaciones técnicas y organizativas. COMPROMISO DE LA DIRECCION La Junta Directiva de la Alcaldía de San Antonio del SENA, aprueba esta Política de Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de la entidad. La Junta Directiva y la Alta Dirección de la entidad demuestran su compromiso a través de: La revisión y aprobación de las Políticas de Seguridad de la Información contenidas en este documento. La promoción activa de una cultura de seguridad. Facilitar la divulgación de este manual a todos los funcionarios de la entidad. El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información. La verificación del cumplimiento de las políticas aquí mencionadas.
SANCIONES PARA LAS VIOLACIONES A LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de seguridad de la información entre los funcionarios, personal externo y proveedores de la 5
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
Alcaldía de San Antonio del SENA, por tal razón, es necesario que las violaciones a las Políticas Seguridad de la Información sean clasificadas, con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos y mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.
POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN La Alcaldía de San Antonio del SENA, establecerá un esquema de seguridad de la información en donde existan roles y responsabilidades definidos que consideren actividades de administración, operación y gestión de la seguridad de la información.
POLITICA PARA USO DE CONEXIONES REMOTAS La Alcaldía de San Antonio del SENA, establecerá las circunstancias y requisitos para el establecimiento de conexiones remotas a la plataforma tecnológica; así mismo, suministrará las herramientas y controles necesarios para que dichas conexiones se realicen de manera segura.
POLÍTICAS DE GESTIÓN DE ACTIVOS DE INFORMACIÓN La Alcaldía de San Antonio del SENA, como propietario de la información física, así como de la información generada, procesada, almacenada y transmitida con su plataforma tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información, asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma. La información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos y fases, entre otros) propiedad de la Alcaldía de San Antonio del SENA, son activos de la institución y se proporcionan a los funcionarios y terceros autorizados, para cumplir con los propósitos del negocio. 1.3. E lementos claves como: I ntegridad, D isponibilidad, Privacidad y aspectos de Control, Autenticación y Utilidad.
Confidentiality (Confidencialidad): Indica que la información solo es revelada a usuarios autorizados en tiempos precisos, es decir SOLO en horarios asignados. Integrity (Integridad): Se refiere a la modificación de la información, para ello se debe identificar muy bien los roles de los usuarios y así definir los niveles de acceso para la manipulación de los datos Availability (Disponibilidad): Se refiere a la disponibilidad de la información. Para este proceso, desde el área técnica, se deben establecer medidas de seguridad, cuyo objetivo 6
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
fundamental es reducir cualquier riesgo asociado, algunas de estas medidas de seguridad pueden ser: • Identificación y autenticación de usuarios. • Control de flujo de información. • Confidencialidad. • Integridad. • No Autorización.
Estas medidas de seguridad se ponen en práctica mediante mecanismos de protección como:
Autenticación: Este término se refiere a la verificación que se realiza a la identidad del usuario; este proceso generalmente se lleva a cabo cuando se ingresa al sistema, a la red o a cualquier base de datos. Confidencialidad: La contraseña solo la debe manejar el usuario, no puede ser conocida por nadie más. Un error muy común, es que los usuarios se prestan las contraseñas o que las escriben en un papel y éste lo dejan pegado en el escritorio, lo que permite que cualquier otro usuario conozca la contraseña, comprometiendo a la empresa y al propio dueño. Control de Acceso: Todos los sistemas que no sean de libre acceso deberán contar con control de acceso basado en roles. La autorización deberá realizarse sobre el mismo sujeto que se autentica o también podrá requerirse mayor información que permita obtener la autorización con granularidad más fina, lo que implica que se adquieren muchos recursos para administrar el bloqueo, pero se asegura la consistencia de los datos. Cifrado de Datos: Mediante la evaluación de riesgos se identificará el nivel requerido de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a utilizar. Firma Digital: Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los documentos electrónicos. Se implementan mediante el uso de una técnica criptográfica sobre la base de dos claves relacionadas de manera única, donde una clave, denominada privada, se utiliza para crear una firma y la otra, denominada pública, para verificarla. Controles Criptográficos: Se utilizarán sistemas y técnicas criptográficas para la protección de la información en base a un análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad. Servicios de No Repudio: Estos servicios se utilizarán cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar 7
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
herramientas para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado.
8
Especialización Gestión y Seguridad de Base de Datos
Fecha: 15-03-2018
Ficha: 1651502
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL ANTIOQUIA
BIBLIOGRAFIA Consulta Pagina Web, 2018. https://es.scribd.com/doc/303015500/AA12-3-Politicas-de-Seguridad https://edoc.site/aa12-ev3-definicion-de-las-politicas-de-seguridad-san-antonio-delsenagrupo3-pdf-free.html https://docs.microsoft.com/en-us/sql/ssms/tutorials/scripting-ssms?view=sql-server-2017 https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/server-and-databaseroles-in-sql-server https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL https://pressroom.hostalia.com/white-papers/ataques-inyeccion-sql https://edoc.site/informe-aa11-2-pdf-free.html
9