Políticas de seguridad a crear:

• Control físico y lógico.
• Físico: 
• Datacenter aislado solo para personal autorizado.
• Ingreso a datacenter debe ser solo con tarjetas de proximidad, de no tener la tarjeta la puerta permanecerá bloqueada.
• Lógico:
• Control en base a Active Directory.
• Acceso a información controlado por perfiles de usuarios y departamentos.
• Los usuarios deben logearse atraves de certificados digitales entregados por la empresa para cada usuario.
• Cada servidor debe tener su propio dominio.
• En caso de necesitar que servidores se comuniquen entre si debe ser atraves de un relación de confianza.
• Se debe generar un registro de quien tiene acceso la información y en que momento.
• En caso de necesitar acceso a informacion de manera externa esta debe ser solicitada atravez de un WebServices WCF con la información encriptrada y protegida por claves asincronas.
• perfiles de usuario.
• Al crear la cuenta de usuario esta debe caducar al primer inicio de sesión para que el usuario deba cambiar su clave inmediatamente.
• Las claves deben ir encriptadas en SHA-128.
• Se deben generar perfiles de acceso a la información.
• respaldos de información.
• Se realizara un respaldo a la base de datos de operaciones diario a las 18:00 Hrs(horario de finalización de actividades de la empresa).
• Se realizara un respaldo a la base de datos, excepto de operaciones, diario a las 23.30 Hrs

Seguridad de sistemas informáticos

aprendizajes esperados:

• Conocer estándares internacionales de seguridad.
• Crear normas y políticas de seguridad para una red corporativa

que es la seguridad?

ausencia de riego o confianza en algo o alguien.

• Amenaza
• Riego: probabilidad de que alguien o algo sufra algún perjuicio sobre su información.

unidad 1: normas y políticas de seguridad:

• Los datos se mantengan sin modificaciones ni cambios, íntegros en su totalidad.
• Normas y procedimientos a seguir dentro de la empresa.
• Disponibilidad: los datos debes estar disponibles, en el momento que se solicite
• Confidencialidad: información solo para la persona que corresponde.
• Normas: define y estructura la forma en que yo realizare un procedimiento o proceso. define medidas a tomar para proteger la seguridad de la información
• ISO/IEC 27000: Conjunto de estándares que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, empresa publica, privada, grandes o pequeñas empresas.
• ISO/IEC 27001: Certificación obligatoria para empresas y especifica los requisitos para la implementan de la SGSI, es la norma mas importante dentro de la familia, propone la mejora permanente de los procesos.
• Políticas de seguridad deben estar orientadas a satisfacer la triada CIA(Confidencialidad, Integridad y Disponibilidad).
• Cualquier política ha de contemplar:
• Integridad
• Disponibilidad
• Privacidad
• Control
• Autenticidad
• Utilidad

Que es una política de seguridad?

• don las directrices y objetivos generales de una empresa relativos a la seguridad, expresados por la dirección general.
• debe ser aprobada por los altos mandos.
• es un documento auditable.

unidad 2:Fundamentos y sistemas criptograficos de seguridad.
unidad 3: Protección de infraestructura

PAM (Pluggable Authentication Module):, se puede ejecutar en Unix, soporta:

• Claves de un solo uso
• Control biometrico
• Tarjetas inteligentes

Kerberos: Se puede autentificar e identificar identidad del usuario tanto como del servidor atravez de una red insegura, se puede encriptar mas que el login toda la informacion en el momento en que se identifica el usuario o el servidor, con criptografia metrica y asimetrica.

Soporta Mac, Unix, Solaris, Windows.

Se compone de tres partes:

• Cliente
• Servidor
• Alguien de comfianza

LDAP: Funciona con clusters y una Ip virtual.