Seguridad Web
Páginas: 17 (4148 palabras)
Publicado: 22 de febrero de 2013
Instituto Tecnológico de Villahermosa
Seguridad en Aplicaciones y Servidores Web
(10:00 – 11:00 Hrs. )
Catedrático:
LI. Manuel Vergel Escamilla
Políticas y Procedimientos de Seguridad
Ingeniería en Sistemas Computacionales
Equipo No. 1
Políticas y Procedimientos de Seguridad
Podemos definir una política de seguridad como una “declaración de intenciones de alto nivel quecubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran” (RFCs 1244 y 2196).
Un plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos.
Un procedimiento de seguridad esla definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar las políticas de seguridad que han sido aprobadas por la organización.
En la siguiente se representa la jerarquía de conceptos manejados al hablar de las políticas, planes y procedimientos de seguridad:
CIA
Políticas
PlanesProcedimientos
Tareas/Operaciones
Registros/Evidencias
Figura 2.1: Políticas, Planes y Procedimiento de Seguridad
Los procedimientos de seguridad permiten implementar las políticas de seguridad definidas, describiendo cuales son las actividades que se tienen que realizar en el sistema, en que momento o lugar, quienes eran los responsables de su ejecución y cuáles serían los controlesaplicables para supervisar su correcta ejecución.
En este sentido, las políticas definen qué se debe de proteger en el sistema, mientras que los procedimientos de seguridad describen cómo se debe conseguir dicha protección. En definitiva, si comparamos las políticas de seguridad con las leyes en un estado de derecho, los procedimientos serian el equivalente a los reglamentos aprobados paradesarrollar y poder aplicar las leyes.
En la siguiente tabla se presenta un ejemplo de la relación entre una determinada directriz o política de seguridad, los procedimientos que de ella se derivan y las tareas concretas que debería realizar el personal de la organización.
Política | Procedimiento | Tareas a realizar |
Protección del servidor Web de la organización contra accesos noautorizados. | Actualización del software del servidor Web. | * Revisión diaria de los parches fabricados por el fabricante. * Seguimiento de las noticias sobre posibles fallos de seguridad. |
| Revisión de los registros de actividad en el servidor. | * Revisión semanal de los “logs” del servidor para detectar situaciones anómalas. * Configuración de alertas de seguridad que permitanreaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. |
Características deseables de las políticas de seguridad
* Las políticas de seguridad deberían poder ser implementadas a través de determinados procedimientos administrativos y la publicación de unas guías de uso aceptable del sistema por parte del personal, así como mediante la instalación,configuración y mantenimiento de determinados dispositivos y herramientas de hardware y software que implanten servicios de seguridad.
* Deben de definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos, analistas y programadores, usuarios finales, directivos, personal externo a la organización…
* Deben de cumplir con las exigencias del entorno legal(Protección de Datos Personales –LOPD-, Protección de la Propiedad Intelectual, Código Penal…).
* Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de la organización y del entorno tecnológico y legal.
* Las políticas de seguridad no deben de limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros (clientes,...
Seguridad en Aplicaciones y Servidores Web
(10:00 – 11:00 Hrs. )
Catedrático:
LI. Manuel Vergel Escamilla
Políticas y Procedimientos de Seguridad
Ingeniería en Sistemas Computacionales
Equipo No. 1
Políticas y Procedimientos de Seguridad
Podemos definir una política de seguridad como una “declaración de intenciones de alto nivel quecubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran” (RFCs 1244 y 2196).
Un plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos.
Un procedimiento de seguridad esla definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar las políticas de seguridad que han sido aprobadas por la organización.
En la siguiente se representa la jerarquía de conceptos manejados al hablar de las políticas, planes y procedimientos de seguridad:
CIA
Políticas
PlanesProcedimientos
Tareas/Operaciones
Registros/Evidencias
Figura 2.1: Políticas, Planes y Procedimiento de Seguridad
Los procedimientos de seguridad permiten implementar las políticas de seguridad definidas, describiendo cuales son las actividades que se tienen que realizar en el sistema, en que momento o lugar, quienes eran los responsables de su ejecución y cuáles serían los controlesaplicables para supervisar su correcta ejecución.
En este sentido, las políticas definen qué se debe de proteger en el sistema, mientras que los procedimientos de seguridad describen cómo se debe conseguir dicha protección. En definitiva, si comparamos las políticas de seguridad con las leyes en un estado de derecho, los procedimientos serian el equivalente a los reglamentos aprobados paradesarrollar y poder aplicar las leyes.
En la siguiente tabla se presenta un ejemplo de la relación entre una determinada directriz o política de seguridad, los procedimientos que de ella se derivan y las tareas concretas que debería realizar el personal de la organización.
Política | Procedimiento | Tareas a realizar |
Protección del servidor Web de la organización contra accesos noautorizados. | Actualización del software del servidor Web. | * Revisión diaria de los parches fabricados por el fabricante. * Seguimiento de las noticias sobre posibles fallos de seguridad. |
| Revisión de los registros de actividad en el servidor. | * Revisión semanal de los “logs” del servidor para detectar situaciones anómalas. * Configuración de alertas de seguridad que permitanreaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. |
Características deseables de las políticas de seguridad
* Las políticas de seguridad deberían poder ser implementadas a través de determinados procedimientos administrativos y la publicación de unas guías de uso aceptable del sistema por parte del personal, así como mediante la instalación,configuración y mantenimiento de determinados dispositivos y herramientas de hardware y software que implanten servicios de seguridad.
* Deben de definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos, analistas y programadores, usuarios finales, directivos, personal externo a la organización…
* Deben de cumplir con las exigencias del entorno legal(Protección de Datos Personales –LOPD-, Protección de la Propiedad Intelectual, Código Penal…).
* Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de la organización y del entorno tecnológico y legal.
* Las políticas de seguridad no deben de limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros (clientes,...
Leer documento completo
Regístrate para leer el documento completo.