Académique Documents
Professionnel Documents
Culture Documents
FEDERICO VILLARREAL
Facultad de Ingeniera
Industrial y Sistemas
Escuela de Ingeniera de Sistemas
Curso
Docente
Alumnos
Angel
Cdigo
: 2007234674
Ao
: 5to
Pgina 1 de 72
Lima Per
NDICE
INTRODUCCIN................................................................................................... 3
Parte I: INFORMACIN DE LA EMPRESA..............................................................4
1.
2.
3.
Justificacin e Importancia............................................................................. 6
2.
3.
4.
5.
Plan de Accin........................................................................................... 41
2.
Procedimientos y normativas........................................................................50
3.
Auditoras y Revisiones............................................................................... 58
4.
Plan de Contingencias................................................................................. 61
5.
Plan de recuperacin.................................................................................. 64
6.
Plan de respaldos....................................................................................... 66
7.
CONCLUSIONES................................................................................................. 69
RECOMENDACIONES......................................................................................... 70
ANEXO............................................................................................................... 71
BIBLIOGRAFA.................................................................................................... 72
Pgina 2 de 72
INTRODUCCIN
Pgina 3 de 72
La empresa a analizar es Alternativa Tecnolgica SAC, ubicada en Av. Jos Glvez Barrenechea
No. 134 Crpac.
1. Datos Generales de la Empresa
Formada en 1998, con el concurso de algunos de los Profesionales de ms experiencia en el
medio a fin de dedicarse a Soluciones, Servicio Tcnico y Mantenimiento de equipos de cmputo,
Alternativa Tecnolgica SAC, ha conseguido en estos ltimos aos convertirse en una de las
empresas en Tecnologa de Informacin de ms prestigio en el mercado de las computadoras
personales.
Los proyectos en los que participa ATSAC estn basados en la experiencia desarrollada en
contratos de mantenimiento y soporte.
Entre los clientes de la empresa se tiene:
Banco de Crdito
Banco Interbank
British American Tobacco
Grupo Glencore
Grupo Santo Domingo
Messer Gases
Nextel
Panificadora Bimbo
Ripley
Saga Falabella
Pgina 4 de 72
Shell
Supermercados Peruanos
Universidad Ricardo Palma
Establecer un plan de seguridad de informacin que otorgan los instrumentos para aprovechar el
mejor uso de las destrezas tecnolgicas e implementan las medidas de proteccin adecuadas para
resguardar la privacidad e integridad de la informacin contenida en los diferentes medios de
Tecnologa de Informacin con los que cuenta ALTERNATIVA TECNOLOGICA SAC.
Objetivos Especficos:
ALCANCE
Asegurar la informacin y los bienes informticos tanto de hardware como de software,
contra posibles intrusos internos o externos.
Comprometer a todas las autoridades y funcionarios de la empresa para difundir las
Pgina 5 de 72
3. Justificacin e Importancia
Disponer de la normativa y regulaciones que permitan prevenir acciones que vayan contra la
confidencialidad, integridad y disponibilidad de los activos informativos de la Institucin, sumada a
una nueva infraestructura fsica y nuevos recursos tecnolgicos como conexiones a Internet,
cableado estructurado y nuevos requerimientos de comunicacin de la informacin han creado la
necesidad imperiosa para la Institucin, de implementar un Plan de Seguridad Informtica.
ESQUEMA DE SISTEMA DE SEGURIDAD INFORMTICA
Pgina 6 de 72
Data Center
Caractersticas fsicas:
Puerta de seguridad.
Piso falso.
Cielo raso.
Detectores de humo.
Inicio automtico de sistemas de extincin mediante sistemas de expulsin de gas FE-13
Sistema de alarmas y cmaras de vigilancia.
Extintor.
Equipamiento:
diesel
cinticos
se
desempea
como
servidor Aplicaciones
contiene
las
siguientes
caractersticas tcnicas:
Servidor-2: Servidor HP ProLiant serie DL160 G6, adquirido a fines del ao 2010. El
servidor se desempea como servidor antivirus, de actualizaciones, de dominio y file
server, contiene las siguientes caractersticas tcnicas:
Pgina 7 de 72
Servidor-3: Servidor HP ProLiant serie DL160 G6, adquirido a fines del ao 2010. El
servidor se desempea como servidor de base de datos y contiene las siguientes
caractersticas:
1 procesador Intel Xeon E5620 4 ncleos, 2,40 GHz.
1 Fuente de poder 500 W salida mltiple de alta eficacia
8 GB de memoria RAM.
1 Smart Array P410 SAS/SATA RAID; con dos discos de un Tera de capacidad
Sistema operativo Linux - Red Hat 5.
Servidor-4: Servidor HP ProLiant serie DL160 G6, adquirido a inicio del ao 2012. El
servidor se desempea como servidor de correo, servidor de impresin y contiene las
siguientes caractersticas:
1 procesador Intel Xeon E5620 4 ncleos, 2,40 GHz.
1 Fuente de poder 500 W salida mltiple de alta eficacia
4 GB de memoria RAM.
1 Smart Array P410 SAS/SATA RAID; con dos discos de un Tera de capacidad
Sistema operativo Linux - Red Hat 5.
1.1.2 Estaciones de Trabajo
ALTERNATIVA TECNOLOGICA SAC posee en sus instalaciones:
50 desktop
- 20 HP 6000 Pro Desktop SFF Intel Core 2 Duo PC E8400 3.0GHz/2GB de
-
RAM / 500 GB
30 HP Compaq 6300Pro SFF Core i3-3220 (3.3-GHz, 3MB L2 cache) 4GB
(1x4GB) DDR3-1600 - 500GB HDD
1.1.3
Impresoras
Pgina 8 de 72
La data center se encuentra ubicado en el segundo piso del almacn, los nicos que tienen acceso
permitido son el personal de la jefatura de tecnologa de informacin y las llaves en poder del
administrador de redes y seguridad perimetral.
En caso de que cualquier persona ajena a la Institucin necesite realizar una tarea de
mantenimiento relativa al data center, deber coordinar con la jefatura de tecnologa de
informacin.
Luego un personal del rea ser el encargado de escoltarlo y acompaarlo durante el transcurso
de su tarea, hasta que sea concluida.
1.3. Acceso Fsico a Equipos
En
lo
referente
las
estaciones
de
trabajo,
los
equipos
son
entregados
individualmente a cada usuario mediante actas de asignacin de bienes esto es coordinado con las
jefaturas y con el rea de patrimonio. Por lo tanto son los nicos autorizados a utilizarlos.
Los equipos son revisados ante fallas reportadas por los usuarios y se realizan controles
peridicos.
Un 100% de los equipos de la Institucin disponen lectoras de CD y DVD. Estos dispositivos as
como USB estn deshabilitados por directivas de grupo. En cuanto se refiere a dispositivos y
perifricos que posee ALTERNATIVA TECNOLOGICA SAC todos
se
encuentran
fuera
del
Pgina 9 de 72
1.5.
Dispositivos de soporte
Pgina 10 de 72
de
TI,
generando
los
informes
de
gerencia
correspondientes.
8) Dirigir la evaluacin de adquisiciones y/o contrataciones de bienes o servicios relacionados
a equipos y servicios de cmputo, asesoras externas y otros conexos.
9) Evaluar en forma continua el uso adecuado de los sistemas de informacin del grupo,
efectuando las recomendaciones pertinentes y/o ejecutando las mejoras correspondientes.
10) Desarrollar polticas y procedimientos internos orientados a mejorar los procedimientos de
trabajo y calidad de servicios
11) Revisar las habilidades del personal de TI y desarrollar los planes de desarrollo adecuados.
12) Autorizar los gastos originados por las unidades integrantes del rea en general, as como
por los servicios y/o productos contratados o adquiridos para las dems unidades de la
empresa.
13) Cumplir con otras funciones asignadas por su jefe inmediato superior.
Cargo: Administrador de Base de Datos
Jefe inmediato: Gerente de TI
Funciones Especficas:
1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.
2) Realiza la instalacin y configuracin de las Bases de Datos Oracle sobre Linux en los
ambientes de Produccin, Desarrollo y pruebas
3) Realiza el proceso de migracin de base de datos Produccin, Desarrollo y pruebas.
4) Realiza la instalacin de nuevas versiones y parches para el motor de Base De Datos.
5) Administra, Monitorea el espacio lgico y fsico y realiza el ajuste de los parmetros de la
Base De Datos.
6) Realiza el respaldo, recuperacin y validacin de los respaldo de los datos utilizando Rman
7)
8)
9)
10)
11)
12)
13)
y Export e Import.
Realiza la evaluacin y planificacin de crecimiento de la Base De Datos.
Gestiona y administra los accesos a los diferentes servidores de la Base De Datos.
Gestiona el almacenamiento en discos de los servidores de la Base De Datos.
Realiza el mantenimiento y optimizacin de la Base De Datos.
Realiza la optimizacin de las consultas de la Base De Datos.
Realiza la implementacin de Seguridad y Auditoria de Base De Datos.
Efecta el mantenimiento de los servicios del sistema operativo de la Base De Datos.
Pgina 11 de 72
Informacin.
Coordinar las actividades semanales de la Gerencia.
Realizar el seguimiento, control e informar el estado de los proyectos.
Apoyar en la unificacin de procesos.
Analizar y sustentar las compras de equipos, softwares necesarios para la operacin
principal y de soporte.
7) Mantener comunicado los avances a la Gerencia General.
8) Servir de apoyo en la definicin de nuevos proyectos.
9) Verificar y aprobar el tiempo de respuesta e integridad de la informacin de los
mantenimientos o aplicaciones desarrolladas.
10) Difundir las polticas, lineamientos y dems disposiciones que sean necesarias para el
funcionamiento de la jefatura.
11) Cumplir con otras funciones asignadas por su jefe inmediato superior.
Cargo: Analista Programador
Jefe Inmediato: Jefe de Sistemas
Funciones Especficas:
1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.
2) Analizar, disear y desarrollar sistemas de informacin segn necesidad requerida por la
organizacin.
3) Mantener durante todo el desarrollo de proyectos, los estndares para el anlisis, diseo,
programacin e implantacin de los sistemas de informacin.
4) Efectuar estudios y cambios necesarios, considerando previamente la evaluacin, el
mantenimiento y/o actualizacin del sistema, corrigiendo deficiencias e implantando
mejoras solicitadas.
5) Disear los registros, reportes y archivos necesarios para el sistema de acuerdo a los
estndares y procedimientos establecidos.
6) Servir de soporte post-produccin de las aplicaciones durante las etapas del proyecto.
7) Registrar, realizar seguimiento y levantar incidencias que se presenten en el Sistema Web
de Suministros.
Pgina 12 de 72
8)
9)
10)
11)
12)
13)
14)
15)
16)
organizacin.
Colaborar con el seguimiento y estimacin de las pruebas.
Documentar las pruebas realizadas.
Reportar mejoras y errores detectados, y dar seguimiento a los mismos.
Administracin y monitoreo del registro de incidencias hasta la correccin de las mismas.
Realizar capacitaciones a usuarios en el uso de las aplicaciones.
Realizar tareas de relevamiento, anlisis segn necesidad del proyecto.
Utilizar herramientas para el modelado del negocio.
Redactar Manuales de Usuario.
Cumplir con otras funciones asignadas por su jefe inmediato superior.
Pgina 13 de 72
Center.
Generacin de polticas en el dominio, Administracin de perfiles, cuentas, contraseas.
Ejecutar los planes de respaldo y recuperacin de los servidores.
Optimizar el uso de los recursos del sistema.
Velar por la adecuada utilizacin, seguridad y conservacin del software, hardware e
Pgina 14 de 72
y unidades de apoyo.
12) Investigar nuevas tendencias tecnolgicas, evaluar y probar nuevos productos de
hardware, software y servicios para considerar su posible aplicacin en la compaa.
13) Administrar las herramientas de distribucin de software, toma de inventario y control
remoto.
14) Revisar y actualizar las versiones y releases de los sistemas operativos, utilitarios, y
teleproceso de la plataforma del Computador Central y Servidores para garantizar una
continuidad operativa.
15) Ejecutar y/o supervisar los mantenimientos preventivos y correctivos de los equipos de
cmputo, servidores y/o PDAs.
16) Cumplir con otras funciones asignadas por su jefe inmediato superior.
2.1.2. Planes de tecnologia e infraestrucctura
Pgina 15 de 72
Para fines 2014 estn programados estos puntos en el Plan Estratgico de tecnologia e
infraestrucctura:
Establecer procedimientos.
Implementar polticas de seguridad.
Implementar mesa de ayuda para los usuarios.
establecer un programa de informacin gerencial como soporte para la toma de
decisiones en las principales reas.
Pgina 16 de 72
Los instaladores de uso ms frecuente como versiones de Windows, antivirus y otras aplicaciones
se ejecutan desde copias de los CDs originales o estn en file server, para evitar posibles daos o
prdidas de los medios originales.
2.1.6. Licencias
Como se enunci anteriormente en ALTERNATIVA TECNOLOGICA SAC se encuentran las
licencias de los programas instalados en las estaciones de trabajo y servidores como son:
Pgina 17 de 72
2.4.2 Manuales
Los siguientes manuales estn almacenados en el file server de la gerencia de TI que todos los
integrantes del rea tiene acceso a el:
Manuales de equipamiento como impresoras, servidores, estaciones de trabajo,
UPS, etc.
Manuales tcnicos de software.
Manuales con estndares para el desarrollo de aplicaciones.
Manuales de usuario de las aplicaciones desarrolladas en la Institucin.
Pgina 18 de 72
OBJETIVO
Evaluar la seguridad de las aplicaciones utilizadas, la consistencia de sus datos de entrada y la
exactitud de sus datos de salida, la integridad de las bases de datos y la existencia y el uso de la
documentacin necesaria para su funcionamiento.
3.1. Software
La Institucin cuenta con servidores de plataforma Windows, los servidores 1 y 2 con Sistema
operativo Windows Server 2008 R2 Standard y los servidores 3 y 4 con sistema operativo Linux
Red Hat 5.
Los servidores 1 y 2 se ha mantenido con la plataforma Windows por las siguientes razones:
como
se
explic
Pgina 19 de 72
servicios y posee todos los privilegios y permisos que el sistema operativo les brinda, en cambio
la cuenta de usuario es usada por el colaborador a cargo y es una cuenta limitada, en el
sentido principalmente de no poder instalar software alguno, aunque con los suficientes permisos
para usar todo el software instalado y para almacenar y modificar su propia informacin.
A la par de realizar estas configuraciones, se evalu cada equipo con la finalidad de que cada uno
cuente con el software original y nicamente con el software licenciado que le pertenece a la
institucin.
No existen estndares definidos, no hay procedimientos a seguir ni tampoco documentacin
respecto a la instalacin y actualizacin de la configuracin de las estaciones de trabajo. Sin
embargo, en todos los computadores se encuentran instalados, el sistema operativo que
viene preinstalado de fbrica.
Microsoft Office,
los
sistemas
adquiridos
Administrador de Redes y
Seguridad Perimtrica o el que haga a sus veces, deben contar con los recursos informticos
necesarios para efectuar las copias de respaldo y resguardo de la informacin bajo su mbito.
3.4. Control de datos en las aplicaciones
Quienes utilizan las aplicaciones desarrolladas o adquiridas tienen exclusivos permisos para
el ingreso, modificacin e impresin de la informacin nicamente del sistema sobre el cual tienen
autorizacin.
3.5 Ciclo de vida de las aplicaciones
La Institucin cuenta con pocas aplicaciones propias desarrolladas por jefatura de sistemas.
Este desarrollo sigue una metodologa estndar basada en estndares IEEE 830.
Anlisis: el procedimiento es iniciar con una entrevista con el usuario final, recabando la
informacin necesaria para obtener los requerimientos iniciales y luego proceder con el
desarrollo de la aplicacin que se requiera.
Pgina 20 de 72
Desarrollo: la implementacin de las aplicaciones se las realiza en Microsoft Visual studio 2008.
Prueba: para probar las aplicaciones se generan casos de prueba, donde se definen tablas con
valores de entrada y de salida a las aplicaciones. Cuando se hagan modificaciones en los
programas fuente, los casos de prueba que se usen sobre el software modificado debern ser los
mismos que se usaron antes, de manera de comprobar que los valores obtenidos en las ltimas
pruebas sean los mismos que los que surgieron de las primeras.
Instalacin y modificacin: Una vez hecha la instalacin, las nicas modificaciones que
se realizan son a pedido del usuario final a travs de su jefe de unidad. Se lleva a cabo un control
de versiones y gestin de configuracin de las modificaciones.
Documentacin: cada aplicacin posee un manual de usuario. Si la Institucin adquiriese
aplicaciones, en este caso la empresa contratada se encarga de dar la capacitacin a los
usuarios finales y del soporte que se requiera en el momento que se solicite. Adicionalmente
las empresas contratadas deben realizar la instalacin del software adquirido en las estaciones de
trabajo y en el servidor de aplicaciones.
OBJETIVO
Evaluar los controles de acceso de los usuarios a los recursos informticos y a los datos que se
producen en las aplicaciones desarrolladas, con el fin de sealar las irregularidades que
obstaculicen la confidencialidad, exactitud y disponibilidad de la informacin.
4.1 Identificacin de usuarios
4.1.1
Pgina 21 de 72
Las cuentas de los usuarios que no se utilizan no son eliminadas del sistema, solo son
deshabilitadas. De esta forma se mantiene un registro de todas las cuentas de los usuarios.
No hay ningn procedimiento formal para dar de baja a un usuario del sistema.
4.1.3
No existe considerable traslado de personal entre diferentes reas, siempre se realiza esta funcin
con la coordinacin de RRHH y la jefatura inmediata a la que pertenece el usuario.
No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento
de las cuentas de los usuarios, ni sobre los permisos que tienen asignados a menos que lo solicite
en jefe del rea previa coordinacin con la jefatura de TI.
4.1.4
Si las cuentas de usuarios permanecen varios das sin actividad, por licencia o por vacaciones del
usuario, estas no pasan a un estado de suspensin.
4.1.6
Cuentas de usuario
En algunas de las reas, los usuarios no son identificados en forma personal, permitiendo que
varios usuarios utilicen el mismo nombre de usuario y contrasea para ingresar a la red.
Las cuentas de usuarios que vienen por default en el sistema operativo de las estaciones
de trabajo, como son las cuentas Guest, permanecen inactivas en el sistema sin ser utilizadas.
4.2 Autenticacin de los usuarios
En la pantalla de ingreso a la red (login) de los sistemas operativos se muestran los siguientes
datos:
Nombre de usuario.
Pgina 22 de 72
edad mxima
de
la
contrasea
es
de
treinta
das,
esto es
controlado
automticamente por el sistema operativo del servidor-2 a travs de una poltica de grupo. Una
vez cumplidos 30 das desde el ltimo cambio de contrasea sta caduca y el sistema obliga
a los usuarios a ingresar una nueva contrasea para ingresar a la red.
4.3 Segregacin de funciones
Se est intentado implantar un plan de separacin de funciones, con el propsito especialmente
de que no todos los usuarios tengan los mismos permisos para realizar la totalidad de las
funciones de administracin.
En lo relativo a la administracin y soporte a los usuarios, todos los analistas conocen de
todo, esto se aprovecha como una gran ventaja, ya que si un analista sale de vacaciones otro
puede cubrir sus tareas.
Pgina 23 de 72
Evaluar la seguridad de las comunicaciones, los datos transmitidos, los dispositivos usados durante
la transmisin, la documentacin necesaria para la realizacin eficiente e ininterrumpida de
esta transmisin, y los sistemas usados para la transmisin de datos de un entorno a otro.
5.1 topologa de red
5.1.1
componentes de red
5.1.2
descripcin de la red
ALMACN CENTRAL
UTP en conexiones internas: el tendido horizontal y vertical esta realizado con cable UTP CAT 6a.
Los switch estn conectados en modo trank
El diseo del sistema de cableado estructurado, posee todo el equipamiento y equipos
activos (switch y swtich RF) en el data center, ubicado en la segunda planta.
El diseo del sistema de cableado estructurado, posee todo el equipamiento y equipos
activos (switchs, servidores, etc.) en el data center.
5.1.3
cableado estructurado
Pgina 24 de 72
Este subsistema de cableado est conformado por los elementos terminales en el lado de la
estacin de trabajo. Se tienen las siguientes caractersticas:
En las estaciones de trabajo se encuentran conectores (jacks) montados sobre un
cajetn rectangular. Los jacks se han colocado sobre la parte superior de la canaleta
de acceso y/o al final de la misma. Se ha realizado una diferenciacin por color para los
puntos de voz (rojo) y datos (azul).
Los jacks se han conectado bajo la caracterstica de la Norma 568B, se puede utilizar
indiferentemente cada punto como servicio de voz o datos.
La misma norma es cumplida por los cables de enlace (patch cord).
SUBSISTEMA DE EQUIPOS
Este subsistema es el rea utilizada para el uso exclusivo de equipo asociado con el sistema de
cableado de telecomunicaciones. El subsistema de Equipos se encuentra ubicado en el Centro
de Cmputo. En esta rea se encuentran los racks de telecomunicaciones principales, desde
el cual se alimentan a los gabinetes.
El data center posee instalaciones elctricas exclusivas para los equipos de telecomunicaciones,
as tambin alimentadas por un UPS, en caso de cortes de energa.
SUBSISTEMA DE ADMINISTRACIN
Est formado por los equipos y elementos utilizados en la administracin de la red que realizan el
enlace entre el Centro de Cmputo y los Gabinetes distribuidos.
SUBSISTEMA DE BACKBONE
Est conformado por fibra ptica multimodo de 62,5 / 125 micrones a 4 hilos.
SUBSISTEMA HORIZONTAL
Implica el cableado existente entre el Centro de Cmputo y los puntos terminales (subsistema de
trabajo) y entre los Gabinetes de Administracin y los puntos terminales. El cableado realiza
su recorrido mediante
recorrido mediante tubera PVC para los sitios con cielo falso.
5.1.4
Pgina 25 de 72
5.1.5
Cuando hay un corte de luz, en caso de poseer un UPS conectado a la estacin de trabajo, se
graban los trabajos que se estn ejecutando y se apaga el computador hasta que el generador
principal entre en funcionamiento.
5.2 conexiones externas
Conexin entre los dos edificios: para conectarse entre los dos edificios se posee una
configuracin de POP3, esta conexin es utilizada nicamente para la transmisin del correo
electrnico.
Hosting: se tiene contratado un espacio de 10 Mb, en nuestro proveedor de Internet para
almacenar la pgina web de la Institucin. El contenido de la pgina WEB que se almacena en el
espacio contratado es actualizado en forma remota por un analista comunicaciones, cada vez
que es requerido.
5.3 Configuracin lgica de red
5.3.1
Interoperatividad windows
La plataforma Windows que se posee permite, la comunicacin entre todos los usuarios de la red,
facilitando as las comunicaciones y el acceso a recursos y servicios que brinda la red.
Servidor-2: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Windows
Server 2008 R2 Standard permite:
5.3.2
Pgina 26 de 72
Servidor-2: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Windows
Server 2008 R2 Standard permite que se compartan todas las carpetas de las aplicaciones que son
utilizadas por los usuarios de las distintas unidades.
Servidor-4: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Linux RED HAT
5 se encuentran instaladas y compartidas todas las impresoras de red.
5.4 Mail
Todo funcionario que se encuentra conectado a la red, posee una cuenta de correo electrnico,
este medio de comunicacin es interno y externo. La administracin de las cuentas de correo
electrnico se lleva a cabo mediante Zymbra, instalado en el servidor-4.
Para que cada funcionario pueda acceder a sus mensajes de correo electrnico en cada una de las
estaciones de trabajo se ha instalado cliente Zymbra. Los mensajes de correo electrnico, no
son considerados ni utilizados como documentos formales, as tampoco se ha manifestado a los
usuarios que se deben respetar todos los lineamientos referentes al uso inapropiado de este
medio de comunicacin.
No existe ningn tipo de configuracin respecto ha la encriptacin de los mensajes. Cada buzn
tiene asignado una capacidad fija de almacenamiento de 100 Mb por cuenta de correo electrnico.
5.5 Antivirus
En la Institucin se posee una versin corporativa de karpesky antivirus, en versin de servidor y
en cada una de las estaciones de trabajo una versin cliente.
Una versin corporativa de esta naturaleza enlaza el servidor con cada una de las estaciones de
trabajo permitiendo:
Instalacin remota, se puede realizar instalaciones remotas del antivirus en estaciones de
trabajo que poseen versiones de sistema operativo Windows 7, control de desinstalacin del
antivirus, la desinstalacin del antivirus de cada una de las estaciones de trabajo, puede llevarse a
cabo si se conoce la clave de acceso.
Actualizacin automtica, se tiene programada la tarea de actualizacin de las definiciones de
virus en cada uno de los servidores por la noche, permitiendo realizar las actualizaciones
va Internet. Una vez que las definiciones han sido actualizadas en los servidores, las
estaciones de trabajo son actualizadas en forma automtica.
Bsqueda de virus, se pueden realizar bsquedas de virus localmente en cada estacin de
trabajo, como tambin se puede realizar una bsqueda desde el servidor por medio de nmeros de
IP o por el nombre de la estacin de trabajo.
Contenido de mensajes de correo, esta herramienta tiene la capacidad de verificar el contenido de
cada uno de los mensajes de correo electrnico sean entrantes o salientes.
Pgina 27 de 72
5.6 Firewall
Los firewalls que existen en la Institucin estn configurados de tal manera que se habilitan
aquellos requeridos por las actividades de cada unidad y se han restringido los que prestan
riesgos a la seguridad del sistema.
Como poltica de aplicacin de los firewalls, se verifica todo tipo de trfico, entrante, saliente y en
trnsito, de esta manera se protegen las redes.
Pgina 28 de 72
los
Pgina 29 de 72
ASIGNACIN DE RESPONSABILIDADES
Se asignan responsabilidades pero no hay procedimientos para cada empleado del rea tecnologa
e infraestructura.
CONSECUENCIA: El no asignar responsabilidades puntuales, permitira la generacin de
malas interpretaciones respecto a las tareas a desarrollar.
FALTA DE PLANES FORMALES DE LA DIRECCIN DE INFORMTICA
No se han desarrollado planes formales por parte del rea de tecnologa e infraestructura.
CONSECUENCIA: La falta de planes recae directamente en la ausencia de administracin de
tiempo, y recursos tanto humanos como tecnolgicos.
CONCIENCIA DE LA SEGURIDAD
Aun los funcionarios han tomado paulatinamente conciencia sobre el tema de seguridad y su
importancia an no hay penalidades establecidas ni polticas de seguridad.
CONSECUENCIA: El no adquirir una cultura de seguridad impedir llegar a cumplir con las normas
y procedimientos de seguridad implementados.
INVENTARIO DE LOS SISTEMAS
No existe un inventario exhaustivo de los sistemas de informacin y sus caractersticas
principales.
CONSECUENCIA: Generar un inventario exacto permitir designar los posibles responsables de
la informacin que maneja cada sistema, como tambin las reas en las que interviene y la
prioridad en caso de emergencia.
INVENTARIOS DE HARDWARE
No existe un nico y completo inventario de hardware de los equipos.
CONSECUENCIA: El mantener esta informacin actualizada facilita las actividades de
mantenimiento y las actividades del plan de contingencias.
PUBLICACIN DE LAS NORMAS
Se debe realizar un procedimiento para publicar y dar a conocer las nuevas normas de seguridad
que se estn implementando.
Pgina 30 de 72
Pgina 31 de 72
sistema.
CONSECUENCIA: Es posible que funcionarios prximos a salir de la Institucin, realicen acciones
de sabotaje o vandalismo, por rechazo o insatisfaccin con las decisiones tomadas por las
autoridades.
5. vulnerabilidad en la seguridad de las comunicaciones
USO DEL MAIL
El uso del mail no solo se emplea para funciones laborales, sino tambin con fines personales.
CONSECUENCIA: El utilizar el servicio de mail indiscriminadamente puede bajar el rendimiento de
la red y se puede incrementar el riesgo de infeccin con virus.
ASIGNACIN AUTOMTICA DE IP A CUALQUIER EQUIPO QUE SE CONECTE A LA RED
Cualquier equipo que se conecte a la red automticamente se le asigna un nmero de IP, y podra
ingresar a la red o acceder a los servicios que sta brinda.
CONSECUENCIA: Puede provocar el acceso a la red de posibles atacantes.
Pgina 32 de 72
2. Fores de riesgo
Los factores de riesgo son las amenazas que pueden afectar a los activos, se ha realizado un
estudio de los posibles riesgos a los cuales se les ha calificado, indicando la probabilidad de
que estas contingencias ocurran, en una escala del 1 al 3. Esta probabilidad fue evaluada teniendo
en cuenta las medidas de seguridad existentes en la organizacin y acontecimientos ocurridos.
Pgina 33 de 72
Pgina 34 de 72
Pgina 35 de 72
4.
Pgina 36 de 72
1-4
Servidor 1
Servidor 2
Servidor 3
Servidor 4
Nivel de
importancia
10
Factor de Riesgo
Acceso fsico no
autorizado
Virus, gusanos y caballos
de Troya
Acceso a datos no
autorizado
UPS del centro de
cmputo
descargado
Errores de configuracin y
operacin
Mantenimiento mal
realizado en el
equipamiento informtico
30
2
29
26
28
Probabilidad
de ocurrencia
3
3
2
2
1
1
Pgina 37 de 72
1. Objetivo
Establecer las polticas de seguridad informtica que otorgan los instrumentos para aprovechar el
mejor uso de las destrezas tecnolgicas e implementan las medidas de proteccin adecuadas para
resguardar la privacidad e integridad de la informacin contenida en los diferentes medios de
Tecnologa de Informacin con los que cuenta ATSAC.
2. Finalidad
Disponer de la normativa y regulaciones que permitan prevenir acciones contra la confidencialidad,
integridad y disponibilidad de los activos informativos de la Institucin.
3. Alcance
Personal Involucrado: Esta poltica se aplica a todas las personas que laboran para ATSAC,
incluyendo personal contratado, temporal, contratistas, consultores, y terceros que acceden a
cualquiera de nuestros recursos informticos.
Sistemas involucrados: Esta poltica se aplica a todos los sistemas y equipos informticos y de
comunicacin de datos pertenecientes a ATSAC, El presente documento cubre -solo informacin
manejada por cualquier medio tecnolgico informtico.
4.
Responsabilidad
Pgina 38 de 72
Pgina 39 de 72
deseadas.
Disponibilidad, la informacin debe estar en el lugar, en el momento y en la forma quo es
requerida por el usuario autorizado.
1. Plan de Accin
CAPITULO I: Gestin de las Polticas de Seguridad
las polticas deben reflejar las expectativas de la organizacin en materia de seguridad, asimismo
debe establecer los criterios de proteccin en el mbito de la empresa y servir de gua para la
creacin de las Normas de Seguridad.
Pgina 40 de 72
Pgina 41 de 72
Pgina 42 de 72
Las polticas de personal en los procesos de seleccin desarrollados a nivel nacional y a cargo de
la gerencia de recursos humanos y capacitacin, deben asegurar que la persona
contratada
Pgina 43 de 72
extintores, entre otros) que Identifiquen y/o neutralicen la posibilidad perdida de datos por incendio,
inundacin, explosin o ms formas de desastres naturales o provocados.
Los centros de cmputo deben tenor habilitado ambientes que cumplan las funciones de centro de
almacenamiento interno y externo.
Las reas de carga y descarga de insumos y suministros de cmputo, deben ser espacios aislados
de los recursos de tratamiento de informacin para evitar accesos no autorizados.
El personal debe abstenerse de fumar, beber y comer cerca de los equipos de tratamiento de
informacin.
Los equipos informticos y de comunicadores deben estar sujetos a mantenimiento preventivo,
conforme a las recomendaciones y especificaciones tcnicas de los mismos.
El Sistema Elctrico debe cumplir los estndares sealados en el Cdigo Nacional de Electricidad.
El centro de cmputo de la sede central, adems del suministro elctrico principal debe contar con
medios alternativas y Grupo Electrgeno) quo aseguren su continuidad ante una eventualidad en el
fluido elctrico.
El centro de cmputo, adems del suministre elctrico regular deben contar como mnimo con
U.P.S. y estabilizadores de voltaje (en caso el fluido elctrico no se encuentre estabilizado) para la
proteccin de los equipos.
El sistema de cableado de la red de dates debe cumplir los estndares ElA/TIA
Telecomunicaciones Industry Association / Electronic Industries Alliance y debe considerar rutas o
medios de transmisin alterativos ante eventuales fallas.
El sistema de cableado de la red de datos debe cumplir con la norma NFPA70 (barreras contra
fuego y/o proteccin contra fuego).
La mejora o habilitacin o construccin de cualquier centro asistencial debe considerar el
cumplimiento de las polticas de seguridad respectivas.
CAPITULO VI: Gestin de Comunicaciones y Operaciones
Pgina 44 de 72
Considera los temas relacionados a las conexiones internas y externas a travs de los distintos
medios de comunicacin: Internet, intranet, correo electrnico, entre otros. As como las ternas
asociadas a las labores de operacin de todos los recursos comprendidos en el tratamiento de la
informacin.
Las labores operativas deben sustentarse en procedimientos documentados que instruyan la
ejecucin detallada de las tareas operativas, del uso y funcionamiento de los medios de
comunicacin del arranque y cierre de las computadoras y servidores, de los datos de respaldo, del
mantenimiento de equipos, entre otros.
Los cambios en la configuracin de los sistemas operativos y en los equipos de comunicaciones,
deben regularse a travs de procedimientos claros y sencillos quo aseguren la continuidad de los
procesos operativos.
La gestin de incidencias debe contar con medios de registros rpidos, accesibles, y
aprovechables en anlisis estadsticos que permitan estimar posibles -ocurrencias y tomar las
acciones preventivas que lo neutralicen o minimicen sus efectos.
Los ambientes de desarrollo, prueba y produccin deben mantenerse separados para reducir el
riesgo del mal uso accidental ha deliberado de la informacin.
Las jefaturas encargadas de supervisar las labores contratadas de proveedores externos deben
velar para que dicho personal exterior cumpla las polticas, normas y procedimientos sobre
seguridad informtica, para evitar la posibilidad de dao, perdida a mal uso de los recursos
informticos.
Deben efectuarse labores de planificacin de la capacidad de procesamiento y de almacenamiento;
que permitan estimar las proyecciones de los requisitos futuros de capacidad, para reducir los
riesgos de sobrecarga del sistema.
La aceptacin de nuevas sistemas de informacin y versiones nuevas o mejoradas antes de su
puesta en produccin debe estar sujeta, 3 pruebas y validaciones intermedias, con la participacin
de los propietarios y usuarios para asegurar la satisfaccin de los cambios y su correcto
funcionamiento.
Para evitar el ingreso de software malicioso, la red de datos debe contar con medidas de
prevencin y deteccin que impidan su riesgo y funcionamiento.
Pgina 45 de 72
Los datos sensibles que circulan por las redes pblicas deben contener medidas de seguridad que
eviten su captura, alteracin a robo.
Los medios de almacenamiento, los datos de entrada a salida y la documentacin de los sistemas
deben estar sujetos a controles y procedimientos operativos, para protegerlos de dao, robo y
acceso no autorizado que afecten la integridad de la informacin.
Los intercambios de informacin y software con entidades externas deben ser autorizados para sus
propietarios y estos sujetos a medidas de seguridad apropiadas que eviten su captura, alteracin,
dao robo.
CAPITULO VII: Control de Accesos
Considera los temas relacionados con el acceso a los sistemas, a las bases de datos, las
facultades o privilegios asignados a los usuarios y la informacin a ser auditada.
La informacin contenida en los sistemas de informacin, y la facilidad a los servicios informticos
deben tener un propietario designado.
El otorgamiento y mantenimiento de los accesos a los sistemas de informacin y/o a los servicios
informticos, para cada usuario o grupo de usuarios deben estar regulados mediante
procedimientos que dejen constancia de la facultad de facilidades provistas por el propietario.
Los usuarios son responsables en el uso correcto y adecuado de los accesos provistos a los
aplicativos y/o servidores, principalmente en el uso de las contraseitas y en el resguardo del
material puesto a su disposicin.
Los accesos entregados a los usuarios sobre las redes y sus servicios no deben comprometer la
seguridad de dichos servicios.
La seguridad lgica de los sistemas de informacin debe contar con las siguientes facilidades:
definicin y mantenimiento de usuarios, roles y perfiles, administracin de contrasees, registro de
acceso regular y fallido entre otras bondades,
La administracin de los accesos a los servidores debe estar regulado par procedimientos estrictos
que identifiquen los niveles de autorizacin, las razones que lo posibilitan, el registro, de la
evidencia mediante un formato y las acciones efectuadas.
Pgina 46 de 72
Todo usuario deber contar con una contrasea de arranque en la PC a su cargo. Dicha
contrasea ser de acuerdo a la estructura establecida para la elaboracin de contraseas.
Asimismo es obligatorio el uso .de protector de pantalla con contrasea.
Todos los accesos a la red, servidores, aplicativos, cuenta de correo y otros, que fueran brindados
al personal que dela de laborar en la institucin, sern dados de baja como mxima en los
prximos siete (7) das calendarlos de su termino de funciones asimismo dicho personal entregara
la(s) contrasea(s) al jefe inmediato superior como parte de la resolucin de cargo, quien
inmediatamente proceder al cambio de dicha(s) contrasea(s).
Todo personal que se ausente vatios das par vacaciones u otras razones, debera cambiar la cave
de arranque de la PC a su cargo y entregarla al Jefe inmediato superior en un sobre lacrado.
CAPITULO VIII: Desarrollo y Mantenimiento de sistemas
Comprende las definiciones y controles para el desarrollo y/o adquisicin di software as coma las
modificaciones a los sistemas de Produccin.
Los propietarios de los sistemas de informacin deben entregar a la Gerencia de tecnologa e
infraestructura, las especificaciones funcionales y operativas debidamente detalladas como base y
sustento a la formulacin tcnica a emplearse en el desarrollo o adquisicin de los mismos.
Los sistemas informticos deben ser desarrollados' y mantenidos sobre la base de una
metodologa, considerndose dentro de los mismos la elaboracin y actualizacin de los manuales
tcnicos y de usuario.
El desarrollo de los sistemas de informacin debe incluir en sus definiciones los requisitos y los
controles de seguridad a considerarse en el producto final. Asimismo los sistemas con informacin
crtica y sensible deberan contener obligatoriamente pistas de auditoria.
Los nuevos desarrollos y las modificaciones de los sistemas de informacin emplearan en la
conformacin de nombres de sus programas, reportes, objetos, tablas, procedimientos
almacenados, triggers, entre otros los estndares aprobados por la Gerencia de Produccin y la
Gerencia de Desarrollo de Sistemas.
Las modificaciones y los nuevos desarrollos de sistemas de informacin previos a su puesto en
produccin deben ser validados y confirmados segn procedimientos de control de cambios.
Pgina 47 de 72
Los propietarios de los sistemas de informacin deben formar parte del proceso de validado y
confinacin tanto en las etapas previas a su puesta en produccin como en la implantacin de las
mismas.
Los sistemas de informacin deben proveer segn corresponda controles iniciales, intermedios y
finales que aseguren el procesamiento correcto en el ambiente de produccin.
Todo software que se utilice para el desarrollo, mantenimiento, instalacin y explotacin de un
aplicativo o sistema en la Institucin, debe contar con sus respectivas licencias o permisos de uso.
CAPITULO IX: Gestin de Continuidad del Negocio
Considera los temas relacionados sobre las acciones a realizar de presentarse una ocurrencia
inesperada causada por desastres y fallas de seguridad, asegurando la continuidad de los
procesos de negocio a niveles de servicio aceptables por ATSAC.
Los custodios son los responsables de la elaboracin, mantenimiento y comprobacin peridica de
los planes de contingencia de las tecnologas de informacin.
Los custodios en coordinacin con los propietarios, deben definir la informacin a protegerse
mediante copias de respaldo.
Los custodios son responsables de general- las copias de respaldo de la informacin a su cargo,
garantizando su recuperacin a travs de pruebas. Para las aplicaciones y bases de datos
multiusuarios, el administrador de dicho sistema es responsable de rearmar las copias peridicas.
Todos los planes de contingencia deben ser revisados, probados y actualizados para demostrar su
habilidad de mantener la continuidad de los procesos crticos, mnimo una vez al ao.
CAPITULO X: Cumplimiento
Comprende los temas relacionados sobre las obligaciones legales, reglamentarias regulatorias u
de obligacin contractual que sustentan la existencia de los sistemas de informacin.
Los sistemas de informacin sujetos a dispositivos legales, regulatorios y contractuales deben
contener en su funcionalidad las medidas y controles quo aseguren el cumplimiento de las
responsabilidades especficas.
El personal debe cumplir las restricciones legales sobre el uso de material protegido por derechos
de propiedad intelectual y licencia de uso de software propietario.
Pgina 48 de 72
Los activos informticos asignados al personal deben ser empleados nica y exclusivamente para
los fines propios quo la institucin lo seale.
2. Procedimientos y normativas
Las disposiciones aqu enmarcadas, entraran en vigor a partir del da siguiente de su difusin.
Las normas y polticas objeto de este documento, podrn ser modificadas o adecuadas conforme a
las necesidades quo se vayan presentando; una vez aprobadas dichas modificaciones o
adecuaciones, se establecer su vigencia.
Las disposiciones sobre las medidas de seguridad de las computadoras y los sistemas de la red,
son confidenciales y no deben ser reveladas fuera de la institucin.
El personal quo cometa infracciones en materia de seguridad informticos estar sujeto a las
sanciones administrativas que determine la autoridad competente de acuerdo al nivel del
involucrado y al rgimen laboral al que pertenezca de conformidad con las normas legales e
institucionales vigentes.
El desconocimiento de las prcticas y normas aqu descritas par parte del personal, no lo libera de
las sanciones y/o penalidades por el incumplimiento de las mismas.
Todas las sospechas de violaciones de la poltica, intrusiones al sistema, y otras condiciones que
pondran en riesgo la informacin a los activos informticos, deben inmediatamente ser reportados
a: SOPORTE.TECNICO@ATSAC.COM.PE
NORMAS PARA BRINDAR SEGURIDAD A LOS SERVIDORES
OBJETIVOS:
Establecer las normas para el servicio y proteccin de los servidores.
FINALIDAD:
Uniformizar los criterios para minimizar los riesgos de acceso al informacin almacenad en los
servidores de la institucin.
Definir las responsabilidades del manejo y control de los servidores.
ALCANCE:
Pgina 49 de 72
Pgina 50 de 72
El Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces, ser responsable
de asignar un usuario y contrasea inicial a la persona autorizada a tener acceso a los aplicativos
corporativos, siempre y cuando cuente con el sustento formal y escrito por la gerencia o jefatura
correspondiente.
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, ser responsable de coordinar con el jefe de recursos humanos respectivo a
fin de controlar y verificar que los usuarios con acceso a los aplicativos corporativos se encuentran
laborando en la institucin.
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, debe comunicarse por escrito al usuario correspondiente que:
El usuario y contrasea asignada es exclusivamente de uso personal y bajo ninguna circunstancia
o motivo deber de revelar a otra persona, bajo responsabilidad.
La longitud de la contrasea de acceso al servidor, tendr como mximo una longitud de 6
caracteres y en su conformacin, se usara combinacin de nmeros y letras maysculas y
minsculas, y sin usar palabras de diccionario. Ejemplo de una contrasea: 4t54c.
Debera de cambiar la contrasea cada 15 das o en tiempo menor cuando el caso lo ameritara.
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, haga uso de sus vacaciones o se encuentra en descanso mdico o en
comisin de servicio en otra localidad, ser responsable de bloquear su acceso al servidor hasta
que se reincorpore al trabajo; debiendo generar un nuevo usuario y contrasea para la persona
que lo reemplace.
NORMAS PARA LAS COPIAS Y RESPALDO Y RESGUARDO DE LA INFORMACIN
PROCESADA DE ATSAC
OBJETIVO:
Establecer la normatividad que regule los procedimientos que permitan efectuar las copias de
respaldo y resguardo de la informacin en los centros de cmputo.
FINALIDAD:
Uniformizar los criterios para la ejecucin delas copias de respaldo y resguardo de la informacin
procesada en ATSAC.
Pgina 51 de 72
ALCANCE:
Esta directiva es de aplicacin inmediata en todos los centros de cmputo.
RESPONSABILIDAD:
EL Jefe de Infraestructura de Tecnologa.
El Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces.
DISPOSICIONES GENERALES
DE LOS RECURSOS PARA LAS COPIAS DE RESPALDO
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, deben contar con los recursos informticos necesarios para efectuar las
copias de respaldo y resguardo de la informacin bajo su mbito.
DEL HORARIO DE LAS COPIAS DE RESGUARDO
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, deber coordinar con la gerencia de Operaciones.
DE LA ESTRUCTURA DE IDENTIFICACIN Y DE LA ETIQUETA
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, cuenta con Discos Duros Externo IOMEGA de 1 Tera de capacidad de no
contar con este; Los medios de almacenamiento a usar en las copias de respaldo deben estar en
lugar visible y actualizarlo lo ms antes posible en el Disco Duro Externo, este archivo o dispositivo
debe contar con un cdigo de identificacin nica (ID), con el siguiente formato:
XX-99999
DONDE:
XX: identifica el tipo de medio almacenamiento usado, por ejemplo:
DD = disco duro externo.
US = Universal Serial Bus USB.
DV = Digital Video Disc DVD.
99999: es el nmero correlativo que empieza en 00001, por cada tipo de medio de
almacenamiento.
Enviar un correo a los jefes inmediatos y al gerente de tecnologa e infraestructura con asunto:
backup-fecha un ejemplo backup-04/04/2011con los siguientes datos:
Pgina 52 de 72
Pgina 53 de 72
OBJETIVO
Dar los lineamientos para el uso correcto del servicio de correo electrnico como herramienta
oficial de comunicacin interna a nivel institucional, as como, lograr una adecuada administracin y
control de los servicios de internet en ATSAC.
FINALIDAD
Normar el uso, procedimiento de gestin y principales controles internos para los servicios de
correo electrnico oficial y del internet que brinda la Institucin a fin de mejorar la administracin de
estos servicios en ATSAC.
ALCANCE
Esta directiva es de aplicacin inmediata en todas las unidades orgnicas de ATSAC.
RESPONSABILIDAD
La difusin y control de la presente Directiva, es responsabilidad de todas las Jefaturas de ATSAC
dentro de sus mbitos correspondientes, as como su cumplimiento es responsabilidad de todos los
trabajadores que utilizan los servicios del correo electrnico oficial y del internet que brinda la
Institucin.
DISPOSICIONES GENERALES.
El servicio de correo electrnico que brinda la Institucin, es una herramienta de comunicacin e
intercambio de informacin oficial e interna entre todas las unidades orgnicas y trabajadores de
ATSAC, y no debe ser utilizado como una herramienta de difusin indiscriminada de informacin.
El correo electrnico oficial, dentro del trmite documentario actual, debe de ser comprendido como
un tipo de documento interno de ATSAC, con las caractersticas de una esquela o nota informativa,
a fin de comunicar algo de manera urgente y/o necesaria.
El tener una cuenta de correo institucional compromete y obliga a cada trabajador a aceptar las
normas establecidas por ATSAC y a supeditarse a ellas.
El trabajador es responsable de todas las actividades que realiza con su cuenta de correo
electrnico brindado por ATSAC. El trabajador que deje su cuenta de correo abierta es responsable
de todo aquello que se realice desde dicha cuenta.
Las cuentas de correo electrnico oficial de los trabajadores deben ser nicas, y ser usadas en
actividades que se relacionen con el cumplimiento de sus funciones y responsabilidades en la
institucin.
La institucin, a travs de la GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, garantiza el
derecho a la privacidad y confidencialidad de la informacin contenida en los correos electrnicos
Pgina 54 de 72
de todos los trabajadores. Solo de establecerse, de acuerdo a las normas vigentes, que un
trabajador ha cometido falta grave por medio de su cuenta de correo, se le cancelara dicha cuenta.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, a travs de la administracin de redes
y seguridad perimtrica, es responsable de establecer los procedimientos de administracin,
racionalizacin, configuracin, instalacin, desinstalacin y soporte de los servicios del correo
electrnico; as como, de elaborar los lineamientos en el mbito nacional para mantener copias de
respaldo de la informacin contenida en los correos electrnicos, que permitan prever su
recuperacin en caso de contingencias.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, centralizara todos los requerimientos
de las unidades orgnicas que autoricen a su personal contar con los servicios del correo
electrnico oficial y/o del internet; para lo cual, las dependencias de ATSAC, en el mbito nacional,
seguirn el procedimiento establecido de la presente Directiva.
Mantendrn una nica cuenta de correo electrnico y/o sern usuarios de internet:
Todo funcionario de confianza de ATSAC.
El trabajador que por la naturaleza de su trabajo y especialidad de sus funciones lo amerite, para
ello deber de contar con la autorizacin de su Jefatura correspondiente.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA nombrara, entre su personal, al
Administrador de red y seguridad perimtrica en el mbito institucional; quien asumir la direccin
de correo electrnico admincorreo@ATSAC.com.pe, y tendr las principales funciones de:
vigentes.
Mantener actualizado el inventario general de Usuarios de correo electrnico e internet en
el mbito nacional.
Activar o desactivar a los usuarios de ATSAC con los servicios de correo electrnico e
Pgina 55 de 72
respectivas jefaturas.
La Gerencia de Recursos Humanos y de capacitacin en un plazo no mayo de 48 horas,
es responsable de remitir va correo electrnico al administrador del correo electrnico en
internet, la relacin del personal que ha dejado de pertenecer a ATSAC, a nivel nacional, a
electrnico.
Enviar mensajes a varios usuarios a la vez sin la autorizacin de su Gerencia y sobre
religiosas, como tambin, imgenes, lenguaje o material ofensivo y/o prohibido por la ley.
Enviar mensajes a foros de discusin (listas de distribucin y/o newsgroups) que
comprometan la informacin de la institucin o violen las leyes del Estado Peruano.
Pgina 56 de 72
Utilizar el servicio para copiar o extraer informacin, cuyo contenido pueda causar
por ley.
El usuario del servicio de correo electrnico, tiene la obligacin de modificar su contrasea
de correo cada 30 das como mnimo, a fin de otorgar una mayor seguridad a su
informacin, as como, revisar en forma constante su computadora para evitar remitir virus
3. Auditoras y Revisiones
CHEQUEOS DEL SISTEMA
Se deben registrar, mediante logs de auditora, aquellos eventos relacionados con la seguridad de
la informacin. Dichos registros debern contener como mnimo:
Se deben registrar como mnimo los siguientes eventos respecto a los servidores:
Pgina 57 de 72
los
AUDITORAS DE REDES
Debe generarse un archivo de log cuando se produzca el bloqueo de un usuario. Debe generarse
un plan de monitorizacin de red utilizando alguna herramienta destinada para ello.
Con respecto a las conexiones a Internet deben almacenarse datos sobre:
Pgina 58 de 72
Servicios utilizados,
Aplicaciones utilizadas.
Con respecto a la utilizacin del correo electrnico deben almacenarse datos sobre:
4. Plan de Contingencias
INTRODUCCIN
La funcin primordial del Plan de Contingencias informtico garantizar la continuidad de las
funciones primordiales de la Institucin durante el perodo de recuperacin de desastres.
Pgina 59 de 72
Pgina 60 de 72
Debern definirse las funciones o servicios crticos de la Institucin, junto con los recursos
mnimos necesarios para su funcionamiento, asignndoles una prioridad en el plan de
contingencia.
Deber conformarse un plan de emergencias, determinando los procedimientos a llevar a
cabo para cada contingencia identificada, considerando los distintos escenarios
posibles. Cada procedimiento deber estar claramente definido, y tener asignado un
responsable para su ejecucin.
Para el desarrollo del plan de contingencias deben contemplarse las siguientes
pautas:
PLAN DE EMERGENCIAS
4.1.1.
Pgina 61 de 72
Todo el personal forma parte de la organizacin ante contingencias. Esta organizacin debe
mantener coordinacin con las entidades o instituciones de apoyo externo como son la Polica
Nacional, cuerpo de Bomberos y otras Instituciones
Pueden presentarse situaciones de emergencia en dos escenarios:
Durante el horario normal de trabajo, en el cual se dispone de todo el personal para
construir y activar la organizacin del plan de contingencias.
Fuera del horario normal de trabajo, durante el cual la deteccin y
comunicacin de la contingencia y eventualmente la toma de acciones iniciales estar a
cargo de los Policas Nacionales de turno, hasta que el responsable y coordinadores
puedan llegar al sitio de la emergencia.
4.2.
5.
Plan de recuperacin
Si una emergencia se presenta en el almacn central, el centro de cmputo alternativo ser el del
que se encuentra en global crusing.
El centro de cmputo alternativo iniciar sus nuevas funciones, slo si la emergencia lo amerita,
como por ejemplo la prdida de equipamiento de comunicaciones, prdida de servidores, o
cualquier falla que imposibilite un funcionamiento confiable para los sistemas y un ambiente
seguro de trabajo para los funcionarios.
5.1.2.
Pgina 62 de 72
Las responsabilidades
continuacin.
se detalla a
autoridades
de
la
Institucin
para
poner
en
Una vez determinada una emergencia, los siguientes coordinadores deben trasladarse al centro de
cmputo alternativo.
Pgina 63 de 72
El Coordinador General.
El responsable de la administracin de los sistemas (Coordinador 1).
El custodio de los respaldos (Coordinador 2).
Una vez que los sistemas estn en funcionamiento, los coordinadores de apoyo deben
trasladarse al centro de cmputo alternativo para verificar el correcto funcionamiento de los
sistemas crticos.
6. Plan de respaldos
El plan de respaldos comprende:
Instalacin de los sistemas crticos de la Institucin en el servidor del centro de cmputo
alternativo.
Restauracin de las bases de datos de los sistemas crticos de la Institucin.
Otorgar permisos a las cuentas de usuario dependiendo de sus requerimientos.
Prueba y puesta en funcionamiento de los sistemas crticos.
6.1.
6.1.1.
Brigada de emergencia
Brigada de logstica
Pgina 64 de 72
Pgina 65 de 72
Nombre:
Cargo:
Lugar donde se encuentran distribuidas las copias de respaldo del Plan de
Contingencias.
Entidad:
Edificio:
Lugar Fsico:
Direccin:
Fecha de ltima modificacin del Plan de Contingencias.
Fecha de ltima simulacin del Plan de Contingencias.
Resultados de la ltima simulacin realizada al Plan de Contingencias.
Cul es la ltima emergencia que se present.
Acciones tomadas para la retroalimentacin del Plan de Contingencias despus de la
ltima emergencia.
SISTEMAS CRITICOS
Los sistemas considerados crticos para su puesta en funcionamiento en una emergencia son:
El sistema que lleva el control de denuncias del rea de prevencin y seguridad.
El sistema de contabilidad y presupuesto.
Dependiendo del tipo de emergencia los siguientes sistemas deben ser considerados
El sistema de remuneraciones.
El sistema de control de asistencia.
El sistema de control de bienes.
El sistema de recaudaciones.
El sistema legal.
Pgina 66 de 72
Pgina 67 de 72
CONCLUSIONES
Un trmino a tomar en cuenta en el rea de la seguridad de la informacin es su
Gobierno dentro de alguna organizacin empezando por determinar los riesgos que le
ataen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable
mediante el establecimiento de un programa amplio y conciso en seguridad de la
informacin y el uso efectivo de recursos cuya gua principal sean los objetivos del
negocio, es decir, un programa que asegure una direccin estratgica enfocada a los
objetivos de una organizacin y la proteccin de su informacin.
No existe un esquema de seguridad informtica que cubra en su totalidad todos los
posibles riesgos.
Cul es el verdadero problema? La respuesta es simple, se ha dejado de pensar en
el eslabn ms dbil de la cadena de la seguridad informtica: el usuario final. La
organizacion han ignorado por completo los problemas serios que estn sufriendo los
usuarios que poseen un conocimiento escaso de la seguridad informtica es por ello
que este trabajo se hace hincapi en que todo el personal de tecnologa e informtica,
debe ser instruido en el conocimiento de las normas jurdicas relativas a Propiedad
Intelectual, seguridad de la informacin, documento electrnico, mensajes de datos e
infracciones electrnicas para impulsar el correcto uso de la tecnologa informtica y
los datos.
Tambin se evidencia el fenmeno llamado consumerizacin, en el que los
trabajadores manejan datos de su empresa desde sus propios dispositivos, que
necesariamente no tienen por qu estar preparados en trminos de seguridad para
ello, por lo que pueden poner en peligro la seguridad de la compaa. Esta tendencia,
cada vez mayor, es una de las mayores preocupaciones para los responsables de
seguridad TI de las empresas.
RECOMENDACIONES
Pgina 68 de 72
En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los
recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el
mbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informticos son ms
latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamao, forma y
variedad. Los principales delitos hechos por computadora o por medio de computadoras son:
Fraudes
Falsificacin
Venta de informacin
Pgina 69 de 72
ANEXO
Dentro de la monografa se menciona a los mecanismos y el factor humano dentro del
relevamiento de informacin (Entorno), as mismo los controles son mencionados dentro del Plan
Maestro de Seguridad, plan de accin como tambin dentro de procedimientos y normativas. El
registro de eventos se menciona dentro del Plan de Accin. As como se detalla en grfico adjunto.
4.
5.
6.
7.
Plan de Contingencias
Plan de recuperacin
Plan de respaldos
Simulacin del Plan de Contingencias
Pgina 71 de 72
BIBLIOGRAFA
http://www.exevi.com/blog/seguridad-de-informacion/
http://www.inteco.es/
Pgina 72 de 72