Seguridad en Sistemas de Informacion

Universidad Nacional
FEDERICO VILLARREAL
Profesionales Formando Profesionales
Facultad de Ingeniera
Industrial y Sistemas
Escuela de Ingeniera de Sistemas
Curso
: SEGURIDAD EN REDES Y SISTEMAS

DE INFORMACIN
Docente
: Ing. Bertha Lpez Jurez
Alumnos
Angel
: Barrenechea Aparco Miguel
Cdigo
: 2007234674
Ao
: 5to
Pgina 1 de 72
Lima Per
NDICE
INTRODUCCIN................................................................................................... 3
Parte I: INFORMACIN DE LA EMPRESA..............................................................4
1.
Datos Generales de la Empresa.....................................................................4
2.
Sistema de Seguridad de Informacin..............................................................5
3.
Justificacin e Importancia............................................................................. 6
Parte II: RELEVAMIENTO DE INFORMACIN (ENTORNO)......................................7

1.
Relevamiento de la Seguridad Fsica...............................................................7
2.
Relevamiento de la Administracin del Data Center.........................................11
3.
Levantamiento de la Seguridad de las Aplicaciones.........................................20
4.
Levantamiento de la Seguridad Lgica...........................................................22
5.
Levantamiento de la Seguridad de las Comunicaciones...................................25
Parte III: AMENAZAS Y CONSECUENCIAS...........................................................30

Parte IV: ANLISIS DE RIESGOS.........................................................................34
Parte V: PLAN MAESTRO DE SEGURIDAD...........................................................39
1.
Plan de Accin........................................................................................... 41
2.
Procedimientos y normativas........................................................................50
3.
Auditoras y Revisiones............................................................................... 58
4.
Plan de Contingencias................................................................................. 61
5.
Plan de recuperacin.................................................................................. 64
6.
Plan de respaldos....................................................................................... 66
7.
Simulacin del Plan de Contingencias...........................................................67
CONCLUSIONES................................................................................................. 69
RECOMENDACIONES......................................................................................... 70
ANEXO............................................................................................................... 71
BIBLIOGRAFA.................................................................................................... 72
Pgina 2 de 72
INTRODUCCIN
La prdida de la informacin almacenada en un ordenador puede tener graves

consecuencias para la empresa. Los factores que pueden provocar una prdida
de informacin son varios: un robo de datos, un fallo informtico, un "pirateo".
En este documento se presenta algunas herramientas o soluciones para
proteger la informacin. Asimismo, algunos criterios para escoger las
herramientas que se adapten ms a las necesidades de la empresa en anlisis.
Hoy en da la rpida evolucin del entorno tcnico requiere que las
organizaciones adopten un conjunto mnimo de controles de seguridad para
proteger su informacin y sistemas de informacin. El propsito del plan de
seguridad del sistema es proporcionar una visin general de los requisitos de
seguridad del sistema y se describen los controles en el lugar o los previstos
para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea
las responsabilidades y el comportamiento esperado de todos los individuos
que acceden al sistema. Debe reflejar las aportaciones de distintos gestores
con responsabilidades sobre el sistema, incluidos los propietarios de la
informacin, el propietario de la red, y el alto funcionario de la agencia de
informacin de seguridad
Pgina 3 de 72
Parte I: INFORMACIN DE LA EMPRESA
La empresa a analizar es Alternativa Tecnolgica SAC, ubicada en Av. Jos Glvez Barrenechea
No. 134 Crpac.
1. Datos Generales de la Empresa
Formada en 1998, con el concurso de algunos de los Profesionales de ms experiencia en el
medio a fin de dedicarse a Soluciones, Servicio Tcnico y Mantenimiento de equipos de cmputo,
Alternativa Tecnolgica SAC, ha conseguido en estos ltimos aos convertirse en una de las
empresas en Tecnologa de Informacin de ms prestigio en el mercado de las computadoras
personales.
Los proyectos en los que participa ATSAC estn basados en la experiencia desarrollada en
contratos de mantenimiento y soporte.
Entre los clientes de la empresa se tiene:
Banco de Crdito
Banco Interbank
British American Tobacco
Grupo Glencore
Grupo Santo Domingo
Messer Gases
Nextel
Panificadora Bimbo
Ripley
Saga Falabella
Pgina 4 de 72
Shell
Supermercados Peruanos
Universidad Ricardo Palma
2. Sistema de Seguridad de Informacin

Propsito:
El propsito de establecer sistema de seguridad de informacin para una organizacin, es
determinar la tecnologa que se requiere, los procesos que intervienen y el conocimiento que el
personal tcnico debe poseer, para proteger la informacin y los activos de la Institucin,
pretendiendo conseguir confidencialidad, integridad y disponibilidad de la informacin; como
tambin definir las responsabilidades que debe asumir cada uno de los funcionarios mientras
permanezcan en la Institucin.
Objetivo General:
Establecer un plan de seguridad de informacin que otorgan los instrumentos para aprovechar el
mejor uso de las destrezas tecnolgicas e implementan las medidas de proteccin adecuadas para
resguardar la privacidad e integridad de la informacin contenida en los diferentes medios de
Tecnologa de Informacin con los que cuenta ALTERNATIVA TECNOLOGICA SAC.
Objetivos Especficos:
ALCANCE
Asegurar la informacin y los bienes informticos tanto de hardware como de software,
contra posibles intrusos internos o externos.
Comprometer a todas las autoridades y funcionarios de la empresa para difundir las
normas que se establecern en los diferentes niveles jerrquicos.

Evitar accesos no autorizados.
Proteger la integridad de la informacin.
Eliminar la posibilidad de ataques a los distintos tipos de servidores.
Garantizar la continuidad del servicio de Internet.
Planificar las acciones y procedimientos destinados a mantener la continuidad de la
actividad de la Institucin en situaciones de desastre.

Recuperar en el menor tiempo y al menor costo posible, la continuidad de las actividades
en caso de que sean interrumpidas por una emergencia.
Evitar la prdida de informacin sensible o importante.
Pgina 5 de 72
3. Justificacin e Importancia
Disponer de la normativa y regulaciones que permitan prevenir acciones que vayan contra la
confidencialidad, integridad y disponibilidad de los activos informativos de la Institucin, sumada a
una nueva infraestructura fsica y nuevos recursos tecnolgicos como conexiones a Internet,
cableado estructurado y nuevos requerimientos de comunicacin de la informacin han creado la
necesidad imperiosa para la Institucin, de implementar un Plan de Seguridad Informtica.
ESQUEMA DE SISTEMA DE SEGURIDAD INFORMTICA
Pgina 6 de 72
Parte II: RELEVAMIENTO DE INFORMACIN (ENTORNO)

1. Relevamiento de la Seguridad Fsica
Objetivo
Evaluar el centro de cmputo, los equipos, los dispositivos, los medios de almacenamientos y las
personas que conforman el rea de Tecnologa e infraestructura, as como lo relativo a la
infraestructura fsica y al mantenimiento de los recursos de la organizacin.
1.1. Equipamiento
1.1.1.
Data Center
Caractersticas fsicas:
Puerta de seguridad.
Piso falso.
Cielo raso.
Detectores de humo.
Inicio automtico de sistemas de extincin mediante sistemas de expulsin de gas FE-13
Sistema de alarmas y cmaras de vigilancia.
Extintor.
Equipamiento:
Rack de voz y datos.

Sistema de precisin de aire acondicionado.
UPS, capaz de soportar todo el equipamiento del backbone.
El almacn central
dispone adicionalmente de generadores
diesel
cinticos
dimensionados para soportar todo el edificio e infraestructuras, con combustible suficiente

para funcionar de forma interrumpida a plena potencia por ms de 24 horas.
Servidor-1: Servidor HP ProLiant serie DL160 G6, adquirido a fines del ao 2010. El
servidor
se
desempea
como
servidor Aplicaciones
contiene
las
siguientes
caractersticas tcnicas:
1 procesador Intel Xeon E5620 4 ncleos, 2,40 GHz.

1 Fuente de poder 500 W salida mltiple de alta eficacia
8 GB de memoria RAM.
1 Smart Array P410 SAS/SATA RAID; con dos discos de un Tera de capacidad
Sistema operativo Windows Server 2008 R2 Standard.
servidor se desempea como servidor antivirus, de actualizaciones, de dominio y file
server, contiene las siguientes caractersticas tcnicas:
Pgina 7 de 72

Sistema operativo Windows Server 2008 R2 Standard.
servidor se desempea como servidor de base de datos y contiene las siguientes
caractersticas:
Sistema operativo Linux - Red Hat 5.
Servidor-4: Servidor HP ProLiant serie DL160 G6, adquirido a inicio del ao 2012. El
servidor se desempea como servidor de correo, servidor de impresin y contiene las
siguientes caractersticas:
Sistema operativo Linux - Red Hat 5.
1.1.2 Estaciones de Trabajo
ALTERNATIVA TECNOLOGICA SAC posee en sus instalaciones:
50 desktop
- 20 HP 6000 Pro Desktop SFF Intel Core 2 Duo PC E8400 3.0GHz/2GB de
-
RAM / 500 GB
30 HP Compaq 6300Pro SFF Core i3-3220 (3.3-GHz, 3MB L2 cache) 4GB
(1x4GB) DDR3-1600 - 500GB HDD
1.1.3
8 Laptops Lenovo Think Client T430S

15 PDA Motorola Symbol Motorola MC3100 ubicados en el almacn central.
Impresoras
En total cuentan 20 impresoras, entre multifuncin, impresoras lser e impresoras ZEBRAS

distribuidos entre los distintos locales, estas son:
5 impresoras multifuncionales HP 4555

11 impresoras lser HP 3015 y
4 impresoras ZEBRA (TLP 2844 ZM 400). Distribuidos entre el almacn central
1.2. ACCESO FSICO AL DATA CENTER
Pgina 8 de 72
La data center se encuentra ubicado en el segundo piso del almacn, los nicos que tienen acceso
permitido son el personal de la jefatura de tecnologa de informacin y las llaves en poder del
administrador de redes y seguridad perimetral.
En caso de que cualquier persona ajena a la Institucin necesite realizar una tarea de
mantenimiento relativa al data center, deber coordinar con la jefatura de tecnologa de
informacin.
Luego un personal del rea ser el encargado de escoltarlo y acompaarlo durante el transcurso
de su tarea, hasta que sea concluida.
1.3. Acceso Fsico a Equipos
En
lo
referente
las
estaciones
de
trabajo,
los
equipos
son
entregados
individualmente a cada usuario mediante actas de asignacin de bienes esto es coordinado con las
jefaturas y con el rea de patrimonio. Por lo tanto son los nicos autorizados a utilizarlos.
Los equipos son revisados ante fallas reportadas por los usuarios y se realizan controles
peridicos.
Un 100% de los equipos de la Institucin disponen lectoras de CD y DVD. Estos dispositivos as
como USB estn deshabilitados por directivas de grupo. En cuanto se refiere a dispositivos y
perifricos que posee ALTERNATIVA TECNOLOGICA SAC todos
se
encuentran
fuera
del
alcance de cualquier otro usuario o personal de limpieza.

Los gabinetes donde se ubican los switch, estn cerrados con llave, para evitar que el personal
de limpieza o cualquier otra persona manipule los equipos. Las llaves de todos los gabinetes se
encuentran situados en la jefatura de tecnologa de informacin y en poder del personal de Soporte
en Comunicaciones.
1.4. Estructura y acceso a los edificios
El edificio cuenta con la siguiente estructura:
2 niveles, rea de despacho, recepcin y parqueadero.

En todos los 2 niveles existen divisiones modulares, para distribuir los espacios y
ordenar los puestos de trabajo.

Existe escalera peatonal.
Cuenta con dos puerta de emergencia para el almacn.
existen 2 escaleras exteriores para evacuar en caso de emergencia.
Existen extintores de incendio en puntos estratgicos del edificio.
Pgina 9 de 72
La seguridad es controlada por el rea de seguridad y prevencin, ubicados en el segundo nivel en

el centro de monitoreo y en la planta baja en garita, quienes vigilan nicamente el control del
ingreso a las oficinas.
El pblico tiene acceso limitado solo a las reas de visita; en horarios no laborables, y en fines
de semana o feriados, ningn funcionario de la Institucin puede ingresar a las instalaciones sin
autorizacin previa.
1.5.
Dispositivos de soporte
Disponen de los siguientes dispositivos para soporte del equipamiento informtico:

Generador de energa: cuando el flujo normal de energa falle cuenta con generadores
propios, para evitar que se paralicen las actividades por largos espacios de tiempo. Debido
a los escasos cortes de energa, pocas veces se han utilizado estos generadores.
UPS: en el centro de cmputo del edifico Roca, existe un UPS que permite mantener
funcionando todos los equipos de comunicaciones y servidores que se encuentran en el
data center y los dos gabinetes. El tiempo de respaldo es de aproximadamente de 30
minutos.
Descarga a tierra: se construy una malla en el rea de recepcin para descarga a tierra,
el circuito de instalaciones elctricas que sirve exclusivamente al equipo computacional
se conecta a esta malla para proteccin de los equipos.
2. Relevamiento de la Administracin del Data Center
2.1. Administracin Del Data Center
Responsabilidad:
EL Jefe de Sistemas.
El Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces.
El Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces es responsable de
la administracin del data center.
2.1.1. Responsabilidad del Personal de Tecnologa e Infraestructura
Cargo: Gerente de TI
Jefe inmediato: Gerencia General
Funciones Especficas:
Pgina 10 de 72
1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC

2) Liderar las actividades de seleccin, diseo, implementacin, integracin y soporte
continuo a todos los sistemas de informacin de la empresa.
3) Liderar la planificacin de las actividades de soporte y potenciamiento de los servicios e
infraestructura de voz, datos y comunicaciones, administracin de accesos y seguridad de
los recursos de comunicaciones y de los sistemas de informacin.
4) Dirigir las actividades de desarrollo y mantenimiento de estndares de tecnologa, polticas
y niveles de servicio en la empresa.
5) Elaborar el Plan Estratgico, el Plan Operativo de TI y el Plan de Contingencia del rea con
la finalidad de prevenir el uso indebido y/o prdida de informacin en los sistemas.
6) Ejecutar el Presupuesto de TI, gestionando que los fondos requeridos estn disponibles en
el momento requerido.
7) Realizar el control presupuestal
de
TI,
generando
los
informes
de
gerencia
correspondientes.
8) Dirigir la evaluacin de adquisiciones y/o contrataciones de bienes o servicios relacionados
a equipos y servicios de cmputo, asesoras externas y otros conexos.
9) Evaluar en forma continua el uso adecuado de los sistemas de informacin del grupo,
efectuando las recomendaciones pertinentes y/o ejecutando las mejoras correspondientes.
10) Desarrollar polticas y procedimientos internos orientados a mejorar los procedimientos de
trabajo y calidad de servicios
11) Revisar las habilidades del personal de TI y desarrollar los planes de desarrollo adecuados.
12) Autorizar los gastos originados por las unidades integrantes del rea en general, as como
por los servicios y/o productos contratados o adquiridos para las dems unidades de la
empresa.
13) Cumplir con otras funciones asignadas por su jefe inmediato superior.
Cargo: Administrador de Base de Datos
Jefe inmediato: Gerente de TI
1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.
2) Realiza la instalacin y configuracin de las Bases de Datos Oracle sobre Linux en los
ambientes de Produccin, Desarrollo y pruebas
3) Realiza el proceso de migracin de base de datos Produccin, Desarrollo y pruebas.
4) Realiza la instalacin de nuevas versiones y parches para el motor de Base De Datos.
5) Administra, Monitorea el espacio lgico y fsico y realiza el ajuste de los parmetros de la
Base De Datos.
6) Realiza el respaldo, recuperacin y validacin de los respaldo de los datos utilizando Rman
7)
8)
9)
10)
11)
12)
13)
y Export e Import.
Realiza la evaluacin y planificacin de crecimiento de la Base De Datos.
Gestiona y administra los accesos a los diferentes servidores de la Base De Datos.
Gestiona el almacenamiento en discos de los servidores de la Base De Datos.
Realiza el mantenimiento y optimizacin de la Base De Datos.
Realiza la optimizacin de las consultas de la Base De Datos.
Realiza la implementacin de Seguridad y Auditoria de Base De Datos.
Efecta el mantenimiento de los servicios del sistema operativo de la Base De Datos.
Pgina 11 de 72
14) Realiza el anlisis de rendimiento de servidores, instalacin y mantenimiento de parches,

administracin y configuracin de parmetros de sistema operativo.
15) Creacin de Informes diario, semanal y mensual de acceso, recurso, back-up y cualquier
otro informe que solicite la Gerencia TI.
Cargo: Jefe de Sistemas
Jefe Inmediato: Gerente de TI
2) Planificar, dirigir, ejecutar y controlar los desarrollos de los proyectos en Tecnologas de
3)
4)
5)
6)
Informacin.
Coordinar las actividades semanales de la Gerencia.
Realizar el seguimiento, control e informar el estado de los proyectos.
Apoyar en la unificacin de procesos.
Analizar y sustentar las compras de equipos, softwares necesarios para la operacin
principal y de soporte.
7) Mantener comunicado los avances a la Gerencia General.
8) Servir de apoyo en la definicin de nuevos proyectos.
9) Verificar y aprobar el tiempo de respuesta e integridad de la informacin de los
mantenimientos o aplicaciones desarrolladas.
10) Difundir las polticas, lineamientos y dems disposiciones que sean necesarias para el
funcionamiento de la jefatura.
Cargo: Analista Programador
Jefe Inmediato: Jefe de Sistemas
2) Analizar, disear y desarrollar sistemas de informacin segn necesidad requerida por la
organizacin.
3) Mantener durante todo el desarrollo de proyectos, los estndares para el anlisis, diseo,
programacin e implantacin de los sistemas de informacin.
4) Efectuar estudios y cambios necesarios, considerando previamente la evaluacin, el
mantenimiento y/o actualizacin del sistema, corrigiendo deficiencias e implantando
mejoras solicitadas.
5) Disear los registros, reportes y archivos necesarios para el sistema de acuerdo a los
estndares y procedimientos establecidos.
6) Servir de soporte post-produccin de las aplicaciones durante las etapas del proyecto.
7) Registrar, realizar seguimiento y levantar incidencias que se presenten en el Sistema Web
de Suministros.
Pgina 12 de 72
8) Ejecutar todas las pruebas necesarias al sistema de acuerdo a parmetros de evaluacin

preestablecida, con la finalidad de comprobar su buen funcionamiento y el cumplimiento de
los objetivos previstos para el sistema.
Cargo: Analista Funcional
Jefe inmediato: Jefe de Sistemas
1)
2)
3)
4)
Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.

Realizar el control de pruebas de los mdulos del sistema web de suministros.
Analizar y levantar de informacin de campo.
Registrar, realizar seguimiento y levantar incidencias que se presenten en el Sistema, tanto
en el ambiente de Pruebas QA como en Produccin.

5) Capacitar a los usuarios y supervisar el correcto uso del sistema ERP/CRM.
Cargo: Analista Control Calidad Aplicaciones
Jefe inmediato: Jefe de Sistemas
1)
2)
3)
4)
5)
6)
7)
Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.

Participar en la revisin de los requisitos del sistema.
Realizar la elaboracin del plan de pruebas.
Validacin funcional y tcnica de las aplicaciones.
Recopilar y administrar los datos de prueba.
Evaluar el resultado de cada ciclo de prueba
Asegurar la correspondencia entre las funcionalidades y las necesidades de la
8)
9)
10)
11)
12)
13)
14)
15)
16)
organizacin.
Colaborar con el seguimiento y estimacin de las pruebas.
Documentar las pruebas realizadas.
Reportar mejoras y errores detectados, y dar seguimiento a los mismos.
Administracin y monitoreo del registro de incidencias hasta la correccin de las mismas.
Realizar capacitaciones a usuarios en el uso de las aplicaciones.
Realizar tareas de relevamiento, anlisis segn necesidad del proyecto.
Utilizar herramientas para el modelado del negocio.
Redactar Manuales de Usuario.
Cumplir con otras funciones asignadas por su jefe inmediato superior.
Cargo: Jefe de Sistemas

Jefe inmediato: Gerente de TI
1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC).
2) Planear, organizar, dirigir, coordinar y controlar las actividades de infraestructura.
Pgina 13 de 72
3) Evaluar, planificar, disear y configurar la arquitectura de comunicaciones de los

computadores centrales, servidores corporativos, redes de voz, telefona y datos.
4) Planificar el crecimiento o expansin de la infraestructura de comunicaciones o telefona
que se requiera.
5) Supervisar los sistemas de monitoreo de la plataforma tecnolgica, a fin de garantizar su
adecuado funcionamiento.
6) Brindar el soporte especializado en infraestructura y comunicaciones o supervisar el
servicio de terceros en servicios de su competencia
7) Definir la arquitectura en infraestructura, comunicaciones y telefona asegurando su
integracin con los servicios informticos de la empresa.
8) Participar en la formulacin de los Planes de Tecnologa de Informacin y Presupuesto del
Departamento en relacin a equipos y software de la infraestructura de cmputo y
telefona, definiendo las especificaciones tcnicas de sus componentes.
9) Disear, implementar, administrar, dar soporte y mantenimiento del sistema de gestin de
redes de comunicacin y servicios garantizando la continuidad y correcta operatividad.
10) Participar en la evaluacin e instalacin de sistemas, equipos informticos y telefona
adquiridos por otras dependencias que requieran conexin a la red de comunicaciones.
11) Coordinar con los proveedores de servicios de transmisin de datos as como realizar las
coordinaciones para los mantenimientos preventivos y correctivos.
12) Coordinar, disear, evaluar e implementar la interconexin de equipos y redes.
13) Administrar el inventario de licencias de software y equipos de cmputo
Cargo: Administrador de Redes y Seguridad Perimtrica
Jefe inmediato: Jefe de Infraestructura
2) Supervisin y verificacin del buen uso la red. Administracin e implementacin de niveles
de seguridad en la Red.
3) Instalacin, Configuracin de Servidores.
4) Brindar soporte y mantenimiento de software como de hardware de los equipos de Data
5)
6)
7)
8)
Center.
Generacin de polticas en el dominio, Administracin de perfiles, cuentas, contraseas.
Ejecutar los planes de respaldo y recuperacin de los servidores.
Optimizar el uso de los recursos del sistema.
Velar por la adecuada utilizacin, seguridad y conservacin del software, hardware e
informacin de la empresa, proponiendo las polticas informticas correspondientes.

Cargo: Soporte en Comunicaciones
Jefe inmediato: Jefe de Infraestructura
Pgina 14 de 72

2) Formacin y ayuda en el uso de las aplicaciones corporativas actuales y de nuevo
despliegue a los usuarios.
3) Registra, gestiona y resuelve problemas e incidencias en el uso de las comunicaciones.
4) Registra, gestiona y resuelve pequeas mejoras que no se califican como proyectos.
Cargo: Analista de Servicios
Jefe inmediato: Jefe de Infraestructura de Tecnologa
2) Centralizar el seguimiento de los servicios prestados por los proveedores que atienden los
requerimientos de Tecnologa de Informacin.
3) Administrar el inventario de licencias de software y equipos de cmputo que la empresa
adquiera.
4) Brindar Soporte y asistencia tcnica a los usuarios de los diferentes locales dentro de la
red.
5) Supervisar la administracin de la Base de Datos en relacin a las cuentas de correo, y
dems permisos; disponiendo las medidas pertinentes para la estandarizacin, seguridad.
6) Ejecutar los planes de respaldo y recuperacin de comunicacin entre los diferentes
locales de nuestra VPN, as como garantizar la continuidad operativa de la plataforma
tecnolgica que soportan a los sistemas de informacin.
7) Supervisar el soporte, mantenimiento y monitoreo de la red Lan y Wan, circuitos elctricos
8)
9)
10)
11)
de todos los locales anexos a la red.

Realizar la configuracin de computadoras, impresoras y equipos de comunicaciones.
Realizar el soporte tcnico a los usuarios.
Elaborar un control de los inventarios de los equipos de cmputo.
Brindar apoyo en el procesamiento de la informacin generada en las unidades operativas
y unidades de apoyo.
12) Investigar nuevas tendencias tecnolgicas, evaluar y probar nuevos productos de
hardware, software y servicios para considerar su posible aplicacin en la compaa.
13) Administrar las herramientas de distribucin de software, toma de inventario y control
remoto.
14) Revisar y actualizar las versiones y releases de los sistemas operativos, utilitarios, y
teleproceso de la plataforma del Computador Central y Servidores para garantizar una
continuidad operativa.
15) Ejecutar y/o supervisar los mantenimientos preventivos y correctivos de los equipos de
cmputo, servidores y/o PDAs.
2.1.2. Planes de tecnologia e infraestrucctura
Pgina 15 de 72
Para fines 2014 estn programados estos puntos en el Plan Estratgico de tecnologia e
infraestrucctura:
Establecer procedimientos.
Implementar polticas de seguridad.
Implementar mesa de ayuda para los usuarios.
establecer un programa de informacin gerencial como soporte para la toma de
decisiones en las principales reas.
2.1.3. Importancia de la seguridad

Todo empleado tiene plena conciencia de la importancia de la seguridad en la empresa, esto
se hace de su conocimiento en la induccin y se remarca en el manual de trabajador.
2.1.4. Mantenimiento
Solicitud de mantenimiento: cada vez que un usuario requiere el asesoramiento o
ayuda se comunica telefnicamente con un analista de servicios que cumple la funcin de
coordinador el deriva a los dems analistas de servicios para atender esta solicitud, si es
posible se soluciona el problema va telefnica, caso contrario se acude al puesto de
trabajo.
Cada una de las peticiones de asistencia realizadas, son registradas en una hoja de
servicio. De esta manera queda constancia de las tareas desarrolladas por los analistas
de servicio. Este registro se podr utilizar adems para realizar estadsticas de atencin al
usuario, tipos de peticiones, tiempo de asistencia, etc.
Mantenimiento preventivo: por el momento no se realiza mantenimiento preventivo de las
estaciones de trabajo, pero si se realiza mantenimiento a ciertos dispositivos estratgicos
como impresoras y servidores.
Inventario: No existe un inventario completo de hardware ni de software con suficientes
detalles, como para determinar que software pertenece a cada equipo o determinar
estadsticamente el tipo de equipo, sistemas operativos, aplicaciones instaladas, tipos de
acceso, etc. Tampoco existe un procedimiento formal para rotular o identificar a cada
equipo.
2.1.5. Instaladores
Los instaladores de las aplicaciones utilizadas en la Institucin se encuentran en CDs originales
almacenados en un armario de la jefatura de tecnologa de infraestructura.
Pgina 16 de 72
Los instaladores de uso ms frecuente como versiones de Windows, antivirus y otras aplicaciones
se ejecutan desde copias de los CDs originales o estn en file server, para evitar posibles daos o
prdidas de los medios originales.
2.1.6. Licencias
Como se enunci anteriormente en ALTERNATIVA TECNOLOGICA SAC se encuentran las
licencias de los programas instalados en las estaciones de trabajo y servidores como son:
Windows en diferentes versiones.

Microsoft Office 2010.
Open office
Winzip.
Kaspersky Endpoint Security 8.
Entre otros.
Tambin se poseen aplicaciones propietarias y aplicaciones gratuitas que no requieren

licenciamiento.
2.2 Capacitacin de usuarios
La capacitacin de tecnologa e infraestructura hacia el resto de empleados ha sido muy pobre en
lo que se refiere a las polticas nuevas que se estn implementados, las polticas nicamente han
sido aplicadas y se han realizado breves explicaciones de los cambios.
2.3 Respaldo (BACKUP)
EL Jefe de Infraestructura, o el Administrador de Redes y Seguridad Perimtrica o el que haga a
sus veces, cuenta con Discos Duros Externos de Un Tera de capacidad de no contar con este; Los
medios de almacenamiento a usar en las copias de respaldo deben estar en lugar visible y
actualizarlo lo ms antes posible en el Disco Duro Externo, este archivo o dispositivo debe contar
con un cdigo de identificacin nica (ID).
RESPALDO DE LAS ESTACIONES DE TRABAJO: los usuarios han sido instruidos para que
almacenen todos los datos en la carpeta Mis Documentos los backup son realizados por los
analistas de servicio.
COPIAS DE RESPALDO DE LOS SISTEMAS OPERATIVOS: ante cualquier actualizacin de
versin al sistema operativo del servidor(es), generar una copia de respaldo del sistema operativo
del servidor antes y despus del proceso actualizacin del sistema operativo del servidor(es).
Pgina 17 de 72
COPIA DE RESPALDO DE LOS PROGRAMAS OBJETOS O EJECUTABLES: Ante de cualquier

modificacin a los programas de un aplicativo, generar una copia de respaldo de los programas
objetos o ejecutables antes y despus
del proceso de actualizacin para preservar las
caractersticas tcnicas de los programas objetos.

COPIAS DE RESPALDO DE LOS PROGRAMAS FUENTE: Ante la modificacin de algn
programa fuente de los aplicativos residentes en el(los) servidor(es), generar una copia de respaldo
de todos los programas fuentes residentes en el servidor antes y despus de la modificacin para
preservar las caractersticas tcnicas.
COPIAS DE RESPALDO DE LA INFORMACIN: La generacin de las copias de respaldo de la
informacin ser con frecuencias diaria, semanal. Mensual y anual.
Nota:
Si en una misma fecha coinciden efectuar las copias de respaldo en los servidores: diaria,
semanal, mensual y anual estas se efectan indefectiblemente el mismo da y si es
necesario continuar al da siguiente. Hasta el inicio de la atencin.
2.4 Documentacin
2.4. Documentacin del centro de cmputo
En el centro de cmputo se posee la siguiente documentacin:
Licencias del software.

Registro de red.
Planos del cableado estructurado y cableado elctrico.
Nmero de IP fijos, de impresoras de red, switches y lector biomtrico.
2.4.2 Manuales
Los siguientes manuales estn almacenados en el file server de la gerencia de TI que todos los
integrantes del rea tiene acceso a el:
Manuales de equipamiento como impresoras, servidores, estaciones de trabajo,
UPS, etc.
Manuales tcnicos de software.
Manuales con estndares para el desarrollo de aplicaciones.
Manuales de usuario de las aplicaciones desarrolladas en la Institucin.
Pgina 18 de 72
3. Levantamiento de la Seguridad de las Aplicaciones
OBJETIVO
Evaluar la seguridad de las aplicaciones utilizadas, la consistencia de sus datos de entrada y la
exactitud de sus datos de salida, la integridad de las bases de datos y la existencia y el uso de la
documentacin necesaria para su funcionamiento.
3.1. Software
La Institucin cuenta con servidores de plataforma Windows, los servidores 1 y 2 con Sistema
operativo Windows Server 2008 R2 Standard y los servidores 3 y 4 con sistema operativo Linux
Red Hat 5.
Los servidores 1 y 2 se ha mantenido con la plataforma Windows por las siguientes razones:
Alto grado de confiabilidad.

Interoperabilidad.
Compatibilidad con el resto de versiones de sistemas operativos Windows existentes.
Soporte tcnico y capacitacin especializada.
Los servidores 3 y 4 se ha migrado a Linux por un tema de licenciamiento.

3.2. Seguridad de bases de datos
La Institucin cuenta con aplicaciones desarrollas y adquiridas en Oracle . Existen controles
lgicos que restringen el acceso a las bases de datos, de esta manera obtienen acceso
exclusivamente los funcionarios que manejan los sistemas, adems
como
se
explic
anteriormente tambin existen controles de seguridad fsica a los servidores.

Los nicos funcionarios que tienen autorizacin de uso y modificacin de los archivos de las
bases de datos son los administrador de base de datos y programadores.
Se controla adems en las aplicaciones que los registros eliminados solo sean marcados
como borrados y no sean borrados fsicamente de los registros de las bases de datos.
3.3 Control de aplicaciones en estaciones de trabajo
Solamente los analistas de servicios son los encargados y autorizados de realizar instalaciones
de software en las estaciones de trabajo.
Se posee una cuenta de administrador y una cuenta de usuario, validadas por un nombre de
usuario y una contrasea. La cuenta de administrador es manejada por los analistas de
Pgina 19 de 72
servicios y posee todos los privilegios y permisos que el sistema operativo les brinda, en cambio
la cuenta de usuario es usada por el colaborador a cargo y es una cuenta limitada, en el
sentido principalmente de no poder instalar software alguno, aunque con los suficientes permisos
para usar todo el software instalado y para almacenar y modificar su propia informacin.
A la par de realizar estas configuraciones, se evalu cada equipo con la finalidad de que cada uno
cuente con el software original y nicamente con el software licenciado que le pertenece a la
institucin.
No existen estndares definidos, no hay procedimientos a seguir ni tampoco documentacin
respecto a la instalacin y actualizacin de la configuracin de las estaciones de trabajo. Sin
embargo, en todos los computadores se encuentran instalados, el sistema operativo que
viene preinstalado de fbrica.
Microsoft Office,
Kaspersky Endpoint Security 8 antivirus
los
sistemas
adquiridos
desarrollados por la institucin son administrados por los analistas de servicios.

En el caso de que una estacin de trabajo presente errores en su configuracin, se trata de reparar
a toda costa el sistema operativo, con las propias opciones que prestan las diferentes versiones. Si
el caso lo amerita se procede a formatear el disco duro y a reinstalar todos los programas.
Se realizan actualizaciones de software, especialmente del sistema operativo, del Microsoft Office y
todos los productos de Microsoft atreves de servidor WSUS.
En lo referente a los servidores, el Jefe de Infraestructura, o el
Administrador de Redes y
Seguridad Perimtrica o el que haga a sus veces, deben contar con los recursos informticos
necesarios para efectuar las copias de respaldo y resguardo de la informacin bajo su mbito.
3.4. Control de datos en las aplicaciones
Quienes utilizan las aplicaciones desarrolladas o adquiridas tienen exclusivos permisos para
el ingreso, modificacin e impresin de la informacin nicamente del sistema sobre el cual tienen
autorizacin.
3.5 Ciclo de vida de las aplicaciones
La Institucin cuenta con pocas aplicaciones propias desarrolladas por jefatura de sistemas.
Este desarrollo sigue una metodologa estndar basada en estndares IEEE 830.
Anlisis: el procedimiento es iniciar con una entrevista con el usuario final, recabando la
informacin necesaria para obtener los requerimientos iniciales y luego proceder con el
desarrollo de la aplicacin que se requiera.
Pgina 20 de 72
Desarrollo: la implementacin de las aplicaciones se las realiza en Microsoft Visual studio 2008.
Prueba: para probar las aplicaciones se generan casos de prueba, donde se definen tablas con
valores de entrada y de salida a las aplicaciones. Cuando se hagan modificaciones en los
programas fuente, los casos de prueba que se usen sobre el software modificado debern ser los
mismos que se usaron antes, de manera de comprobar que los valores obtenidos en las ltimas
pruebas sean los mismos que los que surgieron de las primeras.
Instalacin y modificacin: Una vez hecha la instalacin, las nicas modificaciones que
se realizan son a pedido del usuario final a travs de su jefe de unidad. Se lleva a cabo un control
de versiones y gestin de configuracin de las modificaciones.
Documentacin: cada aplicacin posee un manual de usuario. Si la Institucin adquiriese
aplicaciones, en este caso la empresa contratada se encarga de dar la capacitacin a los
usuarios finales y del soporte que se requiera en el momento que se solicite. Adicionalmente
las empresas contratadas deben realizar la instalacin del software adquirido en las estaciones de
trabajo y en el servidor de aplicaciones.
4. Levantamiento de la Seguridad Lgica
OBJETIVO
Evaluar los controles de acceso de los usuarios a los recursos informticos y a los datos que se
producen en las aplicaciones desarrolladas, con el fin de sealar las irregularidades que
obstaculicen la confidencialidad, exactitud y disponibilidad de la informacin.
4.1 Identificacin de usuarios
4.1.1
Ingreso de usuarios a la red (ALTAS)
La asignacin, creacin y modificacin de las cuentas de usuario de la red, es administrada por

el administrador de red y seguridad perimetral. La creacin o modificacin de las cuentas de
usuarios de la red, se basa en la necesidad de cada unidad operativa.
Cuando en una unidad a un usuario se le ha asignado una estacin de trabajo, el Jefe
departamental solicita el ingreso en la red del usuario a la jefatura de tecnologa de infraestructura,
donde se genera el alta en el sistema. Los datos que se requieren son nombres y apellidos y rea
a la que pertenece.
4.1.2
Salida de usuarios de la red (BAJAS)
Pgina 21 de 72
Las cuentas de los usuarios que no se utilizan no son eliminadas del sistema, solo son
deshabilitadas. De esta forma se mantiene un registro de todas las cuentas de los usuarios.
No hay ningn procedimiento formal para dar de baja a un usuario del sistema.
4.1.3
Mantenimiento de las cuentas de usuario
No existe considerable traslado de personal entre diferentes reas, siempre se realiza esta funcin
con la coordinacin de RRHH y la jefatura inmediata a la que pertenece el usuario.
No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento
de las cuentas de los usuarios, ni sobre los permisos que tienen asignados a menos que lo solicite
en jefe del rea previa coordinacin con la jefatura de TI.
4.1.4
Permisos asignados a las cuentas de usuario
El control de acceso a la red de la Institucin se basa en los perfiles de los usuarios.

La asignacin de permisos a los diferentes sistemas que se utilizan en la Institucin, se realiza de
acuerdo a las necesidades de cada rea operativa, la asignacin o negacin de permisos a
los usuarios son dados por las jefaturas. De esta manera, los usuarios solo pueden interactuar con
los sistemas y los datos a los que se les permiten acceder.
No se tiene en cuenta ninguna restriccin horaria para el uso de los recursos.
4.1.5
Inactividad de las cuentas de usuario
Si las cuentas de usuarios permanecen varios das sin actividad, por licencia o por vacaciones del
usuario, estas no pasan a un estado de suspensin.
4.1.6
Cuentas de usuario
En algunas de las reas, los usuarios no son identificados en forma personal, permitiendo que
varios usuarios utilicen el mismo nombre de usuario y contrasea para ingresar a la red.
Las cuentas de usuarios que vienen por default en el sistema operativo de las estaciones
de trabajo, como son las cuentas Guest, permanecen inactivas en el sistema sin ser utilizadas.
4.2 Autenticacin de los usuarios
En la pantalla de ingreso a la red (login) de los sistemas operativos se muestran los siguientes
datos:
Nombre de usuario.
Pgina 22 de 72
Contrasea (a completar por el usuario),

Dominio.
Cuando los usuarios ingresan su contrasea al sistema, solo se visualizan asteriscos en lugar del
dato ingresado. En cuanto a la configuracin de las estaciones de trabajo en el sistema BIOS,
existe una contrasea de administrador y una contrasea de usuario, con la contrasea de usuario
se permite el arranque del sistema, y no se tiene acceso a modificar las opciones de configuracin.
4.3. Contraseas
4.3.1 Generacin de contraseas
Las contraseas que existen en la Institucin son generadas por cada uno de los usuarios, sin
ningn procedimiento automtico de generacin.
Cuando se da de alta a un usuario en la red, se inicializa con una misma contrasea y con la
opcin de que el usuario cambie su contrasea la prxima vez que ingrese a la red.
4.3.2 Cambios de contrasea
La
edad mxima
de
la
contrasea
es
de
treinta
das,
esto es
controlado
automticamente por el sistema operativo del servidor-2 a travs de una poltica de grupo. Una
vez cumplidos 30 das desde el ltimo cambio de contrasea sta caduca y el sistema obliga
a los usuarios a ingresar una nueva contrasea para ingresar a la red.
4.3 Segregacin de funciones
Se est intentado implantar un plan de separacin de funciones, con el propsito especialmente
de que no todos los usuarios tengan los mismos permisos para realizar la totalidad de las
funciones de administracin.
En lo relativo a la administracin y soporte a los usuarios, todos los analistas conocen de
todo, esto se aprovecha como una gran ventaja, ya que si un analista sale de vacaciones otro
puede cubrir sus tareas.
5. Levantamiento de la Seguridad de las Comunicaciones

OBJETIVO
Pgina 23 de 72
Evaluar la seguridad de las comunicaciones, los datos transmitidos, los dispositivos usados durante
la transmisin, la documentacin necesaria para la realizacin eficiente e ininterrumpida de
esta transmisin, y los sistemas usados para la transmisin de datos de un entorno a otro.
5.1 topologa de red
5.1.1
componentes de red
La red informtica ALTERNATIVA TECNOLOGICA SAC cuenta con el siguiente equipamiento:

CENTRAL
Dos servidores, el primer servidor (servidor-1) es de Aplicaciones, el segundo servidor
(servidor-2) es servidor antivirus, de actualizaciones, de dominio y file server.

Aproximadamente 58 estaciones de trabajo.
Backbone de Fibra ptica.
Cableado horizontal UTP categora 6a.
3 switch alcatel-lucent omniswitch 6850 en modo trank.
3 patch panel de 24 puertos
5.1.2
descripcin de la red
ALMACN CENTRAL
UTP en conexiones internas: el tendido horizontal y vertical esta realizado con cable UTP CAT 6a.
Los switch estn conectados en modo trank
El diseo del sistema de cableado estructurado, posee todo el equipamiento y equipos
activos (switch y swtich RF) en el data center, ubicado en la segunda planta.
El diseo del sistema de cableado estructurado, posee todo el equipamiento y equipos
activos (switchs, servidores, etc.) en el data center.
5.1.3
cableado estructurado
El cableado estructurado contempla la integracin en una sola red de servicios integrados de

Voz y Datos, montada sobre una configuracin en estrella, ordenada y lo suficientemente flexible
para permitir una gil administracin del sistema. Este aspecto logra que la red estructurada sea de
arquitectura abierta, de modo que se adapte a los sistemas que a ella se conecten.
El cableado estructurado est configurado de tal manera que permite se centralice la ubicacin
de los sistemas de transmisin (Servidores, Switch, etc.) al mismo tiempo que se descentraliza
la aplicacin final de cada uno de ellos.
SUBSISTEMA DE TRABAJO
Pgina 24 de 72
Este subsistema de cableado est conformado por los elementos terminales en el lado de la
estacin de trabajo. Se tienen las siguientes caractersticas:
En las estaciones de trabajo se encuentran conectores (jacks) montados sobre un
cajetn rectangular. Los jacks se han colocado sobre la parte superior de la canaleta
de acceso y/o al final de la misma. Se ha realizado una diferenciacin por color para los
puntos de voz (rojo) y datos (azul).
Los jacks se han conectado bajo la caracterstica de la Norma 568B, se puede utilizar
indiferentemente cada punto como servicio de voz o datos.
La misma norma es cumplida por los cables de enlace (patch cord).
SUBSISTEMA DE EQUIPOS
Este subsistema es el rea utilizada para el uso exclusivo de equipo asociado con el sistema de
cableado de telecomunicaciones. El subsistema de Equipos se encuentra ubicado en el Centro
de Cmputo. En esta rea se encuentran los racks de telecomunicaciones principales, desde
el cual se alimentan a los gabinetes.
El data center posee instalaciones elctricas exclusivas para los equipos de telecomunicaciones,
as tambin alimentadas por un UPS, en caso de cortes de energa.
SUBSISTEMA DE ADMINISTRACIN
Est formado por los equipos y elementos utilizados en la administracin de la red que realizan el
enlace entre el Centro de Cmputo y los Gabinetes distribuidos.
SUBSISTEMA DE BACKBONE
Est conformado por fibra ptica multimodo de 62,5 / 125 micrones a 4 hilos.
SUBSISTEMA HORIZONTAL
Implica el cableado existente entre el Centro de Cmputo y los puntos terminales (subsistema de
trabajo) y entre los Gabinetes de Administracin y los puntos terminales. El cableado realiza
su recorrido mediante
canaletas en las reas en donde no existe cielo falso y se completa el
recorrido mediante tubera PVC para los sitios con cielo falso.
5.1.4
ancho de banda de la red
El cableado UTP soporta hasta 1Gb con su cable CAT5A.

El backbone central soporta hasta 2Mbs con su cable de fibra ptica.
Pgina 25 de 72
5.1.5
falla en la red elctrica
Cuando hay un corte de luz, en caso de poseer un UPS conectado a la estacin de trabajo, se
graban los trabajos que se estn ejecutando y se apaga el computador hasta que el generador
principal entre en funcionamiento.
5.2 conexiones externas
Conexin entre los dos edificios: para conectarse entre los dos edificios se posee una
configuracin de POP3, esta conexin es utilizada nicamente para la transmisin del correo
electrnico.
Hosting: se tiene contratado un espacio de 10 Mb, en nuestro proveedor de Internet para
almacenar la pgina web de la Institucin. El contenido de la pgina WEB que se almacena en el
espacio contratado es actualizado en forma remota por un analista comunicaciones, cada vez
que es requerido.
5.3 Configuracin lgica de red
5.3.1
Interoperatividad windows
La plataforma Windows que se posee permite, la comunicacin entre todos los usuarios de la red,
facilitando as las comunicaciones y el acceso a recursos y servicios que brinda la red.
Servidor-2: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Windows
Server 2008 R2 Standard permite:
5.3.2
Autenticacin de los usuarios.

Administracin de perfiles de usuarios.
Administracin de los recursos compartidos.
Administracin de los niveles de seguridad de los recursos de red.
Recursos compartidos
El entorno de red de cada una de las estaciones de trabajo se encuentra deshabilitado, el

personal que presta el soporte tcnico se encarga de realizar las configuraciones necesarias para
acceder a los recursos compartidos y los servicios de red que cada usuario debe acceder.
Ninguno de los usuarios puede compartir sus datos con otro usuario, solo los funcionarios
que brindan el soporte tcnico pueden ayudarlos a compartir sus archivos o recursos a travs
de su perfil de administrador en cada terminal.
Sobre los servidores 2 y 4 se tienen compartidas:
Pgina 26 de 72
Servidor-2: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Windows
Server 2008 R2 Standard permite que se compartan todas las carpetas de las aplicaciones que son
utilizadas por los usuarios de las distintas unidades.
Servidor-4: Servidor HP ProLiant serie DL160 G6, a travs de su sistema operativo Linux RED HAT
5 se encuentran instaladas y compartidas todas las impresoras de red.
5.4 Mail
Todo funcionario que se encuentra conectado a la red, posee una cuenta de correo electrnico,
este medio de comunicacin es interno y externo. La administracin de las cuentas de correo
electrnico se lleva a cabo mediante Zymbra, instalado en el servidor-4.
Para que cada funcionario pueda acceder a sus mensajes de correo electrnico en cada una de las
estaciones de trabajo se ha instalado cliente Zymbra. Los mensajes de correo electrnico, no
son considerados ni utilizados como documentos formales, as tampoco se ha manifestado a los
usuarios que se deben respetar todos los lineamientos referentes al uso inapropiado de este
medio de comunicacin.
No existe ningn tipo de configuracin respecto ha la encriptacin de los mensajes. Cada buzn
tiene asignado una capacidad fija de almacenamiento de 100 Mb por cuenta de correo electrnico.
5.5 Antivirus
En la Institucin se posee una versin corporativa de karpesky antivirus, en versin de servidor y
en cada una de las estaciones de trabajo una versin cliente.
Una versin corporativa de esta naturaleza enlaza el servidor con cada una de las estaciones de
trabajo permitiendo:
Instalacin remota, se puede realizar instalaciones remotas del antivirus en estaciones de
trabajo que poseen versiones de sistema operativo Windows 7, control de desinstalacin del
antivirus, la desinstalacin del antivirus de cada una de las estaciones de trabajo, puede llevarse a
cabo si se conoce la clave de acceso.
Actualizacin automtica, se tiene programada la tarea de actualizacin de las definiciones de
virus en cada uno de los servidores por la noche, permitiendo realizar las actualizaciones
va Internet. Una vez que las definiciones han sido actualizadas en los servidores, las
estaciones de trabajo son actualizadas en forma automtica.
Bsqueda de virus, se pueden realizar bsquedas de virus localmente en cada estacin de
trabajo, como tambin se puede realizar una bsqueda desde el servidor por medio de nmeros de
IP o por el nombre de la estacin de trabajo.
Contenido de mensajes de correo, esta herramienta tiene la capacidad de verificar el contenido de
cada uno de los mensajes de correo electrnico sean entrantes o salientes.
Pgina 27 de 72
5.6 Firewall
Los firewalls que existen en la Institucin estn configurados de tal manera que se habilitan
aquellos requeridos por las actividades de cada unidad y se han restringido los que prestan
riesgos a la seguridad del sistema.
Como poltica de aplicacin de los firewalls, se verifica todo tipo de trfico, entrante, saliente y en
trnsito, de esta manera se protegen las redes.
Pgina 28 de 72
Parte III: AMENAZAS Y CONSECUENCIAS

En este captulo se detallan las debilidades encontradas en el informe de relevamiento, siempre
con la premisa de crear y mantener un ambiente seguro para la informacin y los recursos. Este
estudio apoyar en el desarrollo del anlisis de riesgos.
1. vulnerabilidades de la seguridad fsica
EQUIPAMIENTO EN EL DATA CENTER
El extintor del que dispone en el data center se encuentra cargado, pero no se realizado un
cronograma de mantenimiento respectivo para la recarga del equipo ni quienes va ser
los
implicados para desarrollar esta tarea.

CONSECUENCIA: Si el fuego se hiciera presente en el centro de cmputo y como no se tiene un
cronograma de mantenimiento sera imposible detenerlo ya que el equipo extintor podra no tener
carga justo en ese instante.
DISPOSITIVOS INSTALADOS
se realizan controles sobre los dispositivos instalados en las estaciones de trabajo, CD, DVD,
USB, etc. Por medio de cuentas de usuarios.
Pero se pueden tener acceso por descuido del personal custodio del equipo.
CONSECUENCIA: Cualquier personal o visita podra poner, sacar o reemplazar informacin
pasando por desapercibido el cambio o modificacin realizada.
CONTROL DE ACCESO AL ALMACN CENTRAL
El control de la seguridad solo se realiza en la entrada al edificio, ya en el interior del edificio, el
pblico puede acceder a cualquier dependencia sin ninguna restriccin.
CONSECUENCIA: Podra cualquier persona aprovecharse de esta debilidad para acceder a
cualquier tipo de recurso o informacin.
2.
vulnerabilidades de la administracin del data center
Pgina 29 de 72
ASIGNACIN DE RESPONSABILIDADES
Se asignan responsabilidades pero no hay procedimientos para cada empleado del rea tecnologa
e infraestructura.
CONSECUENCIA: El no asignar responsabilidades puntuales, permitira la generacin de
malas interpretaciones respecto a las tareas a desarrollar.
FALTA DE PLANES FORMALES DE LA DIRECCIN DE INFORMTICA
No se han desarrollado planes formales por parte del rea de tecnologa e infraestructura.
CONSECUENCIA: La falta de planes recae directamente en la ausencia de administracin de
tiempo, y recursos tanto humanos como tecnolgicos.
CONCIENCIA DE LA SEGURIDAD
Aun los funcionarios han tomado paulatinamente conciencia sobre el tema de seguridad y su
importancia an no hay penalidades establecidas ni polticas de seguridad.
CONSECUENCIA: El no adquirir una cultura de seguridad impedir llegar a cumplir con las normas
y procedimientos de seguridad implementados.
INVENTARIO DE LOS SISTEMAS
No existe un inventario exhaustivo de los sistemas de informacin y sus caractersticas
principales.
CONSECUENCIA: Generar un inventario exacto permitir designar los posibles responsables de
la informacin que maneja cada sistema, como tambin las reas en las que interviene y la
prioridad en caso de emergencia.
INVENTARIOS DE HARDWARE
No existe un nico y completo inventario de hardware de los equipos.
CONSECUENCIA: El mantener esta informacin actualizada facilita las actividades de
mantenimiento y las actividades del plan de contingencias.
PUBLICACIN DE LAS NORMAS
Se debe realizar un procedimiento para publicar y dar a conocer las nuevas normas de seguridad
que se estn implementando.
Pgina 30 de 72
CONSECUENCIA: Se torna fundamental el difundir las normas de seguridad que se estn

implementando, con el fin de que cada colaborador tome conciencia sobre la importancia de la
seguridad.
3. vulnerabilidad de la seguridad de las aplicaciones
CLASIFICACIN DE LA INFORMACIN
Los datos de la Institucin no se clasifican formalmente de acuerdo a su importancia.
CONSECUENCIA: La clasificacin de la informacin permite asignar diferentes niveles de control
de seguridad. La falta de clasificacin permitira errar en la asignacin de accesos.
4. vulnerabilidades de la seguridad logica
ESTACIN DE TRABAJO ABANDONADA
Los usuarios luego de encender sus estaciones de trabajo por descuido pueden dejarlas
abandonadas.
CONSECUENCIA: Cualquier persona que tenga acceso fsico a la estacin de trabajo puede
apoderarse de la misma y hacer uso de la informacin o de los recursos en forma inadecuada.
RESTRICCIN DE HORARIO
No existe un control de acceso a las estaciones de trabajo, de acuerdo al horario de trabajo ni das
laborables.
CONSECUENCIA: Al no tener establecido una restriccin horaria, los usuarios pueden hacer uso
de los bienes y servicios sin ningn control, especialmente en horarios fuera de los
establecidos. Esta debilidad puede permitir que funcionarios ingresen a la red en horarios no
laborables y utilicen los recursos para beneficio propio.
SUSPENSIN DE CUENTAS DE USUARIO
Las cuentas de los usuarios que han permanecido inactivas por varios das no pasan a un estado
de suspensin.
CONSECUENCIA: Una persona no autorizada que conozca la contrasea de ingreso, puede
tener acceso a una cuenta de usuario que no le corresponde, permitindosele ver
informacin para la que no tiene autorizacin.
IDENTIFICACIN PERSONAL
Pgina 31 de 72
En algunos departamentos los usuarios no son identificados en forma personal, utilizando la

misma estacin de trabajo con el mismo nombre y contrasea de ingreso a la red.
CONSECUENCIA: Ante un posible robo, fraude o abuso, sera imposible identificar qu persona
fue la causante, por lo tanto no se puede rastrear las acciones de los usuarios en el
sistema. Adems no existe privacidad de la informacin.
BAJA DE USUARIOS DE LA RED
No existe un procedimiento para efectuar
las bajas de las cuentas de los usuarios del
sistema.
CONSECUENCIA: Es posible que funcionarios prximos a salir de la Institucin, realicen acciones
de sabotaje o vandalismo, por rechazo o insatisfaccin con las decisiones tomadas por las
autoridades.
5. vulnerabilidad en la seguridad de las comunicaciones
USO DEL MAIL
El uso del mail no solo se emplea para funciones laborales, sino tambin con fines personales.
CONSECUENCIA: El utilizar el servicio de mail indiscriminadamente puede bajar el rendimiento de
la red y se puede incrementar el riesgo de infeccin con virus.
ASIGNACIN AUTOMTICA DE IP A CUALQUIER EQUIPO QUE SE CONECTE A LA RED
Cualquier equipo que se conecte a la red automticamente se le asigna un nmero de IP, y podra
ingresar a la red o acceder a los servicios que sta brinda.
CONSECUENCIA: Puede provocar el acceso a la red de posibles atacantes.
Pgina 32 de 72
Parte IV: ANLISIS DE RIESGOS

1. Activos
La informacin, las funciones y actividades de la Institucin y la infraestructura tecnolgica
son elementos indiscutibles que se deben mantener y proteger, es por ello que se ha realizado un
listado de los distintos activos reconocidos, asignando un valor a la importancia que tienen en la
Institucin, ponderada en una escala del 1 al 10.
Esta importancia es un valor relativo que refleja el nivel de impacto que puede tener la
Institucin si un incidente afecta a los activos.
2. Fores de riesgo
Los factores de riesgo son las amenazas que pueden afectar a los activos, se ha realizado un
estudio de los posibles riesgos a los cuales se les ha calificado, indicando la probabilidad de
que estas contingencias ocurran, en una escala del 1 al 3. Esta probabilidad fue evaluada teniendo
en cuenta las medidas de seguridad existentes en la organizacin y acontecimientos ocurridos.
Pgina 33 de 72
3. Activos posibles consecuencias y medidas existentes

Se describe en los siguientes cuadros los activos de la Institucin, los factores de riesgo que los
afectara directamente y las consecuencias que puede acarrear la ocurrencia de esos factores. As
tambin se agrega informacin referida a las medidas que se han tomado para mitigar estas
consecuencias.
Las medidas tomadas han sido ponderadas en tres niveles indicando sin son efectivas (E),
mejorables (M) o deficientes (D).
Pgina 34 de 72
Pgina 35 de 72
4.
Activos y probabilidad de ocurrencia
En los siguientes cuadros se representa, el activo, el factor de riesgo y la probabilidad de

ocurrencia de estos riesgos.
Probabilidad de ocurrencia: representa la probabilidad de que ocurran los factores de riesgo
mencionados, en una escala del 1 al 3.
Los factores de riesgo cuya probabilidad de ocurrencia es de valor 3, son los factores de mayor
peligro por lo tanto sobre los cuales mayor atencin debemos poner y trabajar para disminuir su
incidencia sobre los activos.
Pgina 36 de 72
Nombre del activo
1-4
Servidor 1
Servidor 2
Servidor 3
Servidor 4
Nivel de
importancia
10
Factor de Riesgo
Acceso fsico no
autorizado
Virus, gusanos y caballos
de Troya
Acceso a datos no
autorizado
UPS del centro de
cmputo
descargado
Errores de configuracin y
operacin
Mantenimiento mal
realizado en el
equipamiento informtico
30
2
29
26
28
Probabilidad
de ocurrencia
3
3
2
2
1
1
Pgina 37 de 72
Parte V: PLAN MAESTRO DE SEGURIDAD
1. Objetivo
Establecer las polticas de seguridad informtica que otorgan los instrumentos para aprovechar el
mejor uso de las destrezas tecnolgicas e implementan las medidas de proteccin adecuadas para
resguardar la privacidad e integridad de la informacin contenida en los diferentes medios de
Tecnologa de Informacin con los que cuenta ATSAC.
2. Finalidad
Disponer de la normativa y regulaciones que permitan prevenir acciones contra la confidencialidad,
integridad y disponibilidad de los activos informativos de la Institucin.
3. Alcance
Personal Involucrado: Esta poltica se aplica a todas las personas que laboran para ATSAC,
incluyendo personal contratado, temporal, contratistas, consultores, y terceros que acceden a
cualquiera de nuestros recursos informticos.
Sistemas involucrados: Esta poltica se aplica a todos los sistemas y equipos informticos y de
comunicacin de datos pertenecientes a ATSAC, El presente documento cubre -solo informacin
manejada por cualquier medio tecnolgico informtico.
4.
Responsabilidad
La difusin y control de la presente directiva, es responsabilidad de todas las Gerencias y Jefaturas

de ATSAC dentro de sus mbitos correspondientes, as corno, su cumplimiento es responsabilidad
de todos los trabajadores que laboran en la Institucin.
5. Disposiciones
5.1. Disposiciones Generales
RESPONSABILIDADES FUNCIONALES
LA ADMINISTRACION DE RED Y SEGURIDAD PERIMETRICA, es responsable de gestionar la
seguridad informtica dentro de la organizacin. Correspondindole elaborar las normas y
directivas que permitan establecer los procesos, mtodos y procedimientos para una adecuada
Pgina 38 de 72
administracin, seguridad y gestin de los recursos informticos de ATSAC, y adems en

coordinacin con la Gerencia de tecnologa e infraestructura velar para su cumplimiento.
LOS ANALISTAS DE SISTEMAS, es responsable de implantar y velar por el cumplimiento de las
polticas, normas, pautas y procedimientos de la seguridad informtica en toda la Institucin.
Tambin es responsable de evaluar, adquirir e implantar productos que garanticen un ambiente
informtico seguro.
RESPONSABILIDADES DE USO
Propietarios, los propietarios de la informacin son los gerentes de las reas que producen dicha
informacin y/o tienen a su cargo la actualizacin y explotacin de la misma, siendo ellos o sus
representantes dentro de la organizacin quienes tienen la responsabilidad de autorizar los
accesos a las aplicaciones en produccin que procesan la informacin que les pertenece y definir
los niveles de proteccin para la misma. Todos los aplicativos en produccin deben tener un
propietario designado.
Custodios, los custodios de la informacin son aquellos que tienen la posesin fsica lgica de los
aplicativos y la informacin. Los custodios de los principales sistemas de informacin corporativos
y centralizados en el centro de cmputo de la Sede Central son miembros de la Gerencia de
tecnologa e infraestructura. Los custodios de los sistemas de informacin corporativos y
distribuidos son los encargados de administracin de red y seguridad perimtrica. Si la informacin
se maneja en el disco duro de una computadora personal, el usuario necesariamente ser el
custodio de la misma. Los custodios son los responsables de salvaguardar la informacin,
incluyendo implementar los sistemas de control de accesos para prevenir los accesos no
autorizados, mantener las copias de respaldo de la informacin crtica y velar por las mejores
condiciones de la seguridad fsica y ambiental.
Usuarios, los usuarios son aquellas personas que utilizan la informacin como parte de su trabajo
diario. Los usuarios son responsables de conocer y cumplir las polticas, procedimientos y normas
establecidas en seguridad informtica.
6. Disposiciones Especficas
POLTICAS GENERALES
La seguridad informtica debe vigilar el cumplimiento de las siguientes propiedades de la
informacin:
Confidencialidad, la informacin debe ser vista y manipulada Cnicamente por el personal

quo tiene derecho a la autoridad para hacerlo.
Pgina 39 de 72
Integridad, la informacin debe ser consistente, fiable y no propensa a alteraciones no
deseadas.
Disponibilidad, la informacin debe estar en el lugar, en el momento y en la forma quo es
requerida por el usuario autorizado.
La seguridad informtica debe proveer el conjunto de controles, representados por polticas,

buenas practicas, procedimientos, guas y funciones de software que minimicen los riesgos y
aseguren la continuidad del negocio.
METODOLOGA PARA FORMALIZAR EL PLAN DE SEGURIDAD INFORMTICA
Las polticas de seguridad informtica, sern materializadas a travs del desarrollo de diez (10)
captulos, definidos en la Norma Tcnica Peruana "NTP-150/1EC 17799-2004 EDI. Tecnologa de
la Informacin. Cdigo de Buenas Prcticas Para la Gestin de la Seguridad de la Informacin. 1a
Edicin, los cuales son:
Captulo I: Gestin de las Polticas de Seguridad

Capitulo II: Aspectos Organizativos para la Seguridad
Capitulo III: Clasificacin y control de Activos
Captulo IV: Seguridad Ligada al Personal
Captulo V: Seguridad Fsica y del Entorno
Captulo VI: Gestin de Comunicaciones y Operaciones
Capitulo VII: Control de Accesos
Captulo VIII: Desarrollo y Mantenimiento de Sistemas
Captulo IX: Gestin de Continuidad del Negocio
Capitulo X: Cumplimiento.
El desarrollo de los captulos mencionados en el punto anterior ser materializado mediante

Normas a elaborar por la administracin de red y seguridad perimetral, quo inducirn polticas
generales a ser cmodas y cumplidas por los propietarios, custodios y usuarios, y polticas
especficas dirigidas al personal de Informtica.
1. Plan de Accin
CAPITULO I: Gestin de las Polticas de Seguridad
las polticas deben reflejar las expectativas de la organizacin en materia de seguridad, asimismo
debe establecer los criterios de proteccin en el mbito de la empresa y servir de gua para la
creacin de las Normas de Seguridad.
Pgina 40 de 72
Todas las Gerencias deben manifestar su apoyo y compromiso a la seguridad de la informacin,

exigiendo su fiel cumplimiento y de no ser el caso aplicar las sanciones administrativas a
determinar para la autoridad competente.
La administracin de red y seguridad perimetral tiene entre sus fundones; El encargo de elaborar
las polticas y normas de seguridad, en las que se definir cual hay que proteger y el objeto
concreto de la proteccin.
La jefatura infraestructura de tecnologa; comunicara a todos los empleados mediante los medios
existentes, las directivas, normas, u otro documento relativo a las polticas de seguridad y afines.
Basndose en las polticas y normas de, seguridad, los custodios sern responsables de elaborar y
actualizar los procedimientos de seguridad, en los que se describir como proteger lo definido en
las normas y las personas o grupos responsables de la implantacin y seguimiento su nivel de
cumplimiento.
Los procedimientos deben ser revisados, aprobados y publicados por sus propietarios. La
administracin de red y seguridad perimetral debe programar revisiones peridicas para verificar el
cumplimiento, la efectividad, el impacto y los efectos de las polticas.
CAPITULO II: Aspectos Organizativos para la Seguridad
A La administracin de red y seguridad perimetral se le ha conferido la funcin de gestionar la
seguridad informtica dentro de la organizacin. Por lo que es importante el, compromiso, la
participacin y el apoyo visible de las Gerencias a las iniciativas de seguridad, a las
responsabilidades para la proteccin de los activos individuales y a la ejecucin de los procesos
especiales de seguridad en toda organizacin.
El personal debe asumir un comportamiento activo y participativo en la proteccin y salvaguarda de
los activos informticos.
Las polticas sienten de guas para la asignacin de las funciones y responsabilidades de
seguridad en la organizacin.
Al concretarse, acuerdos con terceros para acceder a los activos informticos de la organizacin,
por contratos correspondientes deben inducir el cumplimiento de las normas y polticas de
seguridad informtica as coma las penalidades por las faltas cometidas al respecto.
Al concretarse, acuerdos de OUTSOURCING en el tratamiento de funciones internas deber
considerarse las mismas indicaciones del punto anterior.
Pgina 41 de 72
Al formalizarse la contratacin de terceros se les proporcionara un documento que resume las

polticas y normas de seguridad informtica en ATSAC a cumplirse obligatoriamente por empresas
de terceros.
CAPITULO III: Clasificacin y control de Activos
Contar con un inventario de los activos informticos de la organizacin proporciona la base de
conocimiento para mantener un nivel adecuado de proteccin.
Las Jefaturas de las unidades orgnicas son responsables de mantener actualizado el inventario
de los activos informticos bajo su responsabilidad.
Todo activo informtico que no pertenezca a la Institucin y se desee emplear en alguna de sus
unidades orgnicas, deber contar con el permiso del responsable de dicha unidades debiendo ser
inventariado fsica y tcnicamente en su ingreso y salida, edemas previo a su instalado deber ser
evaluado y aceptado por la Gerencia general en su conjunto con la gerencia de tecnologa e
Informtica, de tal manera que no constituya un elemento que ponga en riesgo la seguridad
informtica en la Institucin.
El software instalado en los activos. Informticos debe contar con su respectiva licencia o permiso
de uso, lo que contravenga a este pc, ser de responsabilidad del usuarios.
El empleo de software libre, previo a su uso debe contar con la autorizacin de la Gerencia de
tecnologa e infraestructura en su conjunto con los analistas de servicios.
Los activos informticos deben clasificarse pare indicar la prioridad, grado de proteccin, impacto
en la institucin ante su carencia y riesgo.
Todos los activos informticos definidos coma importantes crticos deben tener un propietario
designado.
El traslado de los activos informticos est sujeto a la Directiva que regula las Normas para la
Asignacin de Bienes por el rea de Patrimonio de ATSAC.
CAPITULO IV: Seguridad ligada al Personal
Considera los temas relacionados a la capacitacin culture, tica y confianza del personal interno y
externo; pare una correcta interpretacin y aplicacin de las polticas de seguridad informtica.
Pgina 42 de 72
Las polticas de personal en los procesos de seleccin desarrollados a nivel nacional y a cargo de
la gerencia de recursos humanos y capacitacin, deben asegurar que la persona
contratada
cumpla con las exigencias de su cargo, as coma la comprobacin de sus antecedentes.

A travs de la Intranet Institucional los propietarios, custodios y usuarios recibirn informacin en el
uso correcto de los recursos informticos para minimizar los posibles riesgos en la seguridad.
Las Jefaturas son responsables de asegurarse que el personal a su cargo tenga conocimiento de
las disposiciones que regulan seguridad informtica.
El personal debe emplear los activos informticos asignados a su cargo, nico y exclusivamente
para el cumplimiento de sus funciones laborales.
Los procedimientos y/o normativa vigentes relacionados a la contratacin de personal en la
institucin y los contratos con terceros deben incluir clusulas de confidencialidad de la
informacin.
CAPITULO V: Seguridad Fsica y del Entorno
Comprende los temas referidos al acceso a las instalaciones de los equipos informticos, de la
ubicacin adecuada de los equipos y de los mecanismos de prevencin de peligro.
Los equipos informticos que administren informacin crtica y sensible deben estar ubicados en
espacios seguros, aislados y de difcil penetracin por personal no autorizado. Su acceso ser
posible solo mediante controles de entrada.
Los medios de respaldo deben resguardarse en dos ambientes, denominados Centro de
Almacenamiento. Uno de ellos, denominado Interno, debe encontrarse cerca del rea Segura
identificada coma Centro de computo, y el. segundo, denominado Externo en otro edificio no
contiguo.
Los centros de almacenamiento deben estar ubicados en espacios seguros, aislados y de difcil
penetracin par personal no autorizados. Su acceso ser posible solo mediante controles de
entrada.
Los centros de cmputo y los centros de almacenamiento deben tener instalado dispositivos de
seguridad (como: detectores de humo, sistemas de proteccin contra incendio, aire acondicionado,
Pgina 43 de 72
extintores, entre otros) que Identifiquen y/o neutralicen la posibilidad perdida de datos por incendio,
inundacin, explosin o ms formas de desastres naturales o provocados.
Los centros de cmputo deben tenor habilitado ambientes que cumplan las funciones de centro de
almacenamiento interno y externo.
Las reas de carga y descarga de insumos y suministros de cmputo, deben ser espacios aislados
de los recursos de tratamiento de informacin para evitar accesos no autorizados.
El personal debe abstenerse de fumar, beber y comer cerca de los equipos de tratamiento de
informacin.
Los equipos informticos y de comunicadores deben estar sujetos a mantenimiento preventivo,
conforme a las recomendaciones y especificaciones tcnicas de los mismos.
El Sistema Elctrico debe cumplir los estndares sealados en el Cdigo Nacional de Electricidad.
El centro de cmputo de la sede central, adems del suministro elctrico principal debe contar con
medios alternativas y Grupo Electrgeno) quo aseguren su continuidad ante una eventualidad en el
fluido elctrico.
El centro de cmputo, adems del suministre elctrico regular deben contar como mnimo con
U.P.S. y estabilizadores de voltaje (en caso el fluido elctrico no se encuentre estabilizado) para la
proteccin de los equipos.
El sistema de cableado de la red de dates debe cumplir los estndares ElA/TIA
Telecomunicaciones Industry Association / Electronic Industries Alliance y debe considerar rutas o
medios de transmisin alterativos ante eventuales fallas.
El sistema de cableado de la red de datos debe cumplir con la norma NFPA70 (barreras contra
fuego y/o proteccin contra fuego).
La mejora o habilitacin o construccin de cualquier centro asistencial debe considerar el
cumplimiento de las polticas de seguridad respectivas.
CAPITULO VI: Gestin de Comunicaciones y Operaciones
Pgina 44 de 72
Considera los temas relacionados a las conexiones internas y externas a travs de los distintos
medios de comunicacin: Internet, intranet, correo electrnico, entre otros. As como las ternas
asociadas a las labores de operacin de todos los recursos comprendidos en el tratamiento de la
informacin.
Las labores operativas deben sustentarse en procedimientos documentados que instruyan la
ejecucin detallada de las tareas operativas, del uso y funcionamiento de los medios de
comunicacin del arranque y cierre de las computadoras y servidores, de los datos de respaldo, del
mantenimiento de equipos, entre otros.
Los cambios en la configuracin de los sistemas operativos y en los equipos de comunicaciones,
deben regularse a travs de procedimientos claros y sencillos quo aseguren la continuidad de los
procesos operativos.
La gestin de incidencias debe contar con medios de registros rpidos, accesibles, y
aprovechables en anlisis estadsticos que permitan estimar posibles -ocurrencias y tomar las
acciones preventivas que lo neutralicen o minimicen sus efectos.
Los ambientes de desarrollo, prueba y produccin deben mantenerse separados para reducir el
riesgo del mal uso accidental ha deliberado de la informacin.
Las jefaturas encargadas de supervisar las labores contratadas de proveedores externos deben
velar para que dicho personal exterior cumpla las polticas, normas y procedimientos sobre
seguridad informtica, para evitar la posibilidad de dao, perdida a mal uso de los recursos
informticos.
Deben efectuarse labores de planificacin de la capacidad de procesamiento y de almacenamiento;
que permitan estimar las proyecciones de los requisitos futuros de capacidad, para reducir los
riesgos de sobrecarga del sistema.
La aceptacin de nuevas sistemas de informacin y versiones nuevas o mejoradas antes de su
puesta en produccin debe estar sujeta, 3 pruebas y validaciones intermedias, con la participacin
de los propietarios y usuarios para asegurar la satisfaccin de los cambios y su correcto
funcionamiento.
Para evitar el ingreso de software malicioso, la red de datos debe contar con medidas de
prevencin y deteccin que impidan su riesgo y funcionamiento.
Pgina 45 de 72
Los datos sensibles que circulan por las redes pblicas deben contener medidas de seguridad que
eviten su captura, alteracin a robo.
Los medios de almacenamiento, los datos de entrada a salida y la documentacin de los sistemas
deben estar sujetos a controles y procedimientos operativos, para protegerlos de dao, robo y
acceso no autorizado que afecten la integridad de la informacin.
Los intercambios de informacin y software con entidades externas deben ser autorizados para sus
propietarios y estos sujetos a medidas de seguridad apropiadas que eviten su captura, alteracin,
dao robo.
CAPITULO VII: Control de Accesos
Considera los temas relacionados con el acceso a los sistemas, a las bases de datos, las
facultades o privilegios asignados a los usuarios y la informacin a ser auditada.
La informacin contenida en los sistemas de informacin, y la facilidad a los servicios informticos
deben tener un propietario designado.
El otorgamiento y mantenimiento de los accesos a los sistemas de informacin y/o a los servicios
informticos, para cada usuario o grupo de usuarios deben estar regulados mediante
procedimientos que dejen constancia de la facultad de facilidades provistas por el propietario.
Los usuarios son responsables en el uso correcto y adecuado de los accesos provistos a los
aplicativos y/o servidores, principalmente en el uso de las contraseitas y en el resguardo del
material puesto a su disposicin.
Los accesos entregados a los usuarios sobre las redes y sus servicios no deben comprometer la
seguridad de dichos servicios.
La seguridad lgica de los sistemas de informacin debe contar con las siguientes facilidades:
definicin y mantenimiento de usuarios, roles y perfiles, administracin de contrasees, registro de
acceso regular y fallido entre otras bondades,
La administracin de los accesos a los servidores debe estar regulado par procedimientos estrictos
que identifiquen los niveles de autorizacin, las razones que lo posibilitan, el registro, de la
evidencia mediante un formato y las acciones efectuadas.
Pgina 46 de 72
Todo usuario deber contar con una contrasea de arranque en la PC a su cargo. Dicha
contrasea ser de acuerdo a la estructura establecida para la elaboracin de contraseas.
Asimismo es obligatorio el uso .de protector de pantalla con contrasea.
Todos los accesos a la red, servidores, aplicativos, cuenta de correo y otros, que fueran brindados
al personal que dela de laborar en la institucin, sern dados de baja como mxima en los
prximos siete (7) das calendarlos de su termino de funciones asimismo dicho personal entregara
la(s) contrasea(s) al jefe inmediato superior como parte de la resolucin de cargo, quien
inmediatamente proceder al cambio de dicha(s) contrasea(s).
Todo personal que se ausente vatios das par vacaciones u otras razones, debera cambiar la cave
de arranque de la PC a su cargo y entregarla al Jefe inmediato superior en un sobre lacrado.
CAPITULO VIII: Desarrollo y Mantenimiento de sistemas
Comprende las definiciones y controles para el desarrollo y/o adquisicin di software as coma las
modificaciones a los sistemas de Produccin.
Los propietarios de los sistemas de informacin deben entregar a la Gerencia de tecnologa e
infraestructura, las especificaciones funcionales y operativas debidamente detalladas como base y
sustento a la formulacin tcnica a emplearse en el desarrollo o adquisicin de los mismos.
Los sistemas informticos deben ser desarrollados' y mantenidos sobre la base de una
metodologa, considerndose dentro de los mismos la elaboracin y actualizacin de los manuales
tcnicos y de usuario.
El desarrollo de los sistemas de informacin debe incluir en sus definiciones los requisitos y los
controles de seguridad a considerarse en el producto final. Asimismo los sistemas con informacin
crtica y sensible deberan contener obligatoriamente pistas de auditoria.
Los nuevos desarrollos y las modificaciones de los sistemas de informacin emplearan en la
conformacin de nombres de sus programas, reportes, objetos, tablas, procedimientos
almacenados, triggers, entre otros los estndares aprobados por la Gerencia de Produccin y la
Gerencia de Desarrollo de Sistemas.
Las modificaciones y los nuevos desarrollos de sistemas de informacin previos a su puesto en
produccin deben ser validados y confirmados segn procedimientos de control de cambios.
Pgina 47 de 72
Los propietarios de los sistemas de informacin deben formar parte del proceso de validado y
confinacin tanto en las etapas previas a su puesta en produccin como en la implantacin de las
mismas.
Los sistemas de informacin deben proveer segn corresponda controles iniciales, intermedios y
finales que aseguren el procesamiento correcto en el ambiente de produccin.
Todo software que se utilice para el desarrollo, mantenimiento, instalacin y explotacin de un
aplicativo o sistema en la Institucin, debe contar con sus respectivas licencias o permisos de uso.
CAPITULO IX: Gestin de Continuidad del Negocio
Considera los temas relacionados sobre las acciones a realizar de presentarse una ocurrencia
inesperada causada por desastres y fallas de seguridad, asegurando la continuidad de los
procesos de negocio a niveles de servicio aceptables por ATSAC.
Los custodios son los responsables de la elaboracin, mantenimiento y comprobacin peridica de
los planes de contingencia de las tecnologas de informacin.
Los custodios en coordinacin con los propietarios, deben definir la informacin a protegerse
mediante copias de respaldo.
Los custodios son responsables de general- las copias de respaldo de la informacin a su cargo,
garantizando su recuperacin a travs de pruebas. Para las aplicaciones y bases de datos
multiusuarios, el administrador de dicho sistema es responsable de rearmar las copias peridicas.
Todos los planes de contingencia deben ser revisados, probados y actualizados para demostrar su
habilidad de mantener la continuidad de los procesos crticos, mnimo una vez al ao.
CAPITULO X: Cumplimiento
Comprende los temas relacionados sobre las obligaciones legales, reglamentarias regulatorias u
de obligacin contractual que sustentan la existencia de los sistemas de informacin.
Los sistemas de informacin sujetos a dispositivos legales, regulatorios y contractuales deben
contener en su funcionalidad las medidas y controles quo aseguren el cumplimiento de las
responsabilidades especficas.
El personal debe cumplir las restricciones legales sobre el uso de material protegido por derechos
de propiedad intelectual y licencia de uso de software propietario.
Pgina 48 de 72
Los activos informticos asignados al personal deben ser empleados nica y exclusivamente para
los fines propios quo la institucin lo seale.
2. Procedimientos y normativas
Las disposiciones aqu enmarcadas, entraran en vigor a partir del da siguiente de su difusin.
Las normas y polticas objeto de este documento, podrn ser modificadas o adecuadas conforme a
las necesidades quo se vayan presentando; una vez aprobadas dichas modificaciones o
adecuaciones, se establecer su vigencia.
Las disposiciones sobre las medidas de seguridad de las computadoras y los sistemas de la red,
son confidenciales y no deben ser reveladas fuera de la institucin.
El personal quo cometa infracciones en materia de seguridad informticos estar sujeto a las
sanciones administrativas que determine la autoridad competente de acuerdo al nivel del
involucrado y al rgimen laboral al que pertenezca de conformidad con las normas legales e
institucionales vigentes.
El desconocimiento de las prcticas y normas aqu descritas par parte del personal, no lo libera de
las sanciones y/o penalidades por el incumplimiento de las mismas.
Todas las sospechas de violaciones de la poltica, intrusiones al sistema, y otras condiciones que
pondran en riesgo la informacin a los activos informticos, deben inmediatamente ser reportados
a: SOPORTE.TECNICO@ATSAC.COM.PE
NORMAS PARA BRINDAR SEGURIDAD A LOS SERVIDORES
OBJETIVOS:
Establecer las normas para el servicio y proteccin de los servidores.
FINALIDAD:
Uniformizar los criterios para minimizar los riesgos de acceso al informacin almacenad en los
servidores de la institucin.
Definir las responsabilidades del manejo y control de los servidores.
ALCANCE:
Pgina 49 de 72
Esta norma es de aplicacin en el rgano central y
centros desconectados de ATSAC, que
cuenten con un centro de cmputo

RESPONSABILIDAD:
EL Jefe de Infraestructura de Tecnologa.
DISPOSICIONES SOBRE LA SEGURIDAD DE LOS SERVIDORES
ADMINISTRACIN DE LOS SERVIDORES:
Toda informacin almacenada en los servidores de la institucin es propiedad de ATSAC, salvo
aquello especficamente indicada en los acuerdos o contratos vigentes y dados a conocer.
El Administrador de Redes y Seguridad Perimtrica o el que haga sus veces, es el responsable de
la administracin de los servidores.
El Administrador de Redes y Seguridad Perimtrica o el que haga sus veces, es responsable de los
servidores a su cargo, estn ubicados dentro del centro de cmputo de su unidad orgnica.
Todo acceso a los servidores debe ser registrado en un archivo log, el cual estar bajo la
administracin del Jefe de Infraestructura de Tecnologa o el que haga a sus veces, asegurado las
copias de respaldo y procesos de recuperacin correspondiente.
EL Jefe de Infraestructura de Tecnologa, o el Administrador de Redes y Seguridad Perimtrica o el
que haga a sus veces, ser responsable de establecer los procedimientos tcnicos
complementarios que permitan que el acceso a los servidores debe realizarse desde estaciones y
usuarios debidamente autorizados.
que haga a sus veces, es la nica persona que podr hacer uso del administrador root o usuario
administrador y por seguridad cambiara su clave cada 15 das o en un tiempo menor, si el caso lo
amerita .
que haga a sus veces, es responsable de controlar y monitorear los servicios que se ejecuten en el
servidor informando a sus superiores y al Gerente de Tecnologa e Infraestructura, de alguna
anomala que se pudiera detectar.
DE LOS USUARIOS Y CONTRASEAS
Pgina 50 de 72
El Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces, ser responsable
de asignar un usuario y contrasea inicial a la persona autorizada a tener acceso a los aplicativos
corporativos, siempre y cuando cuente con el sustento formal y escrito por la gerencia o jefatura
correspondiente.
que haga a sus veces, ser responsable de coordinar con el jefe de recursos humanos respectivo a
fin de controlar y verificar que los usuarios con acceso a los aplicativos corporativos se encuentran
laborando en la institucin.
que haga a sus veces, debe comunicarse por escrito al usuario correspondiente que:
El usuario y contrasea asignada es exclusivamente de uso personal y bajo ninguna circunstancia
o motivo deber de revelar a otra persona, bajo responsabilidad.
La longitud de la contrasea de acceso al servidor, tendr como mximo una longitud de 6
caracteres y en su conformacin, se usara combinacin de nmeros y letras maysculas y
minsculas, y sin usar palabras de diccionario. Ejemplo de una contrasea: 4t54c.
Debera de cambiar la contrasea cada 15 das o en tiempo menor cuando el caso lo ameritara.
que haga a sus veces, haga uso de sus vacaciones o se encuentra en descanso mdico o en
comisin de servicio en otra localidad, ser responsable de bloquear su acceso al servidor hasta
que se reincorpore al trabajo; debiendo generar un nuevo usuario y contrasea para la persona
que lo reemplace.
NORMAS PARA LAS COPIAS Y RESPALDO Y RESGUARDO DE LA INFORMACIN
PROCESADA DE ATSAC
OBJETIVO:
Establecer la normatividad que regule los procedimientos que permitan efectuar las copias de
respaldo y resguardo de la informacin en los centros de cmputo.
FINALIDAD:
Uniformizar los criterios para la ejecucin delas copias de respaldo y resguardo de la informacin
procesada en ATSAC.
Pgina 51 de 72
ALCANCE:
Esta directiva es de aplicacin inmediata en todos los centros de cmputo.
RESPONSABILIDAD:
EL Jefe de Infraestructura de Tecnologa.
DISPOSICIONES GENERALES
DE LOS RECURSOS PARA LAS COPIAS DE RESPALDO
que haga a sus veces, deben contar con los recursos informticos necesarios para efectuar las
copias de respaldo y resguardo de la informacin bajo su mbito.
DEL HORARIO DE LAS COPIAS DE RESGUARDO
que haga a sus veces, deber coordinar con la gerencia de Operaciones.
DE LA ESTRUCTURA DE IDENTIFICACIN Y DE LA ETIQUETA
que haga a sus veces, cuenta con Discos Duros Externo IOMEGA de 1 Tera de capacidad de no
contar con este; Los medios de almacenamiento a usar en las copias de respaldo deben estar en
lugar visible y actualizarlo lo ms antes posible en el Disco Duro Externo, este archivo o dispositivo
debe contar con un cdigo de identificacin nica (ID), con el siguiente formato:
XX-99999
DONDE:
XX: identifica el tipo de medio almacenamiento usado, por ejemplo:
DD = disco duro externo.
US = Universal Serial Bus USB.
DV = Digital Video Disc DVD.
99999: es el nmero correlativo que empieza en 00001, por cada tipo de medio de
almacenamiento.
Enviar un correo a los jefes inmediatos y al gerente de tecnologa e infraestructura con asunto:
backup-fecha un ejemplo backup-04/04/2011con los siguientes datos:
Nombre del servidor.

Herramienta o software utilizado para generar la copia.
Fecha de la copia.
Pgina 52 de 72
Frecuencia de la copia (Diario /semanal/mensual/anual).

Identificacin del operador (Nombre del Jefe de Infraestructura de Tecnologa, o el
Administrador de Redes y Seguridad Perimtrica o el que haga a sus veces).

Nombre de la persona que realizo la copia.
DEL RESGUARDO FSICO DE LAS COPIAS DE RESPALDO HISTRICAS

La jefatura de infraestructura de tecnologa debern de administrar de un mobiliario ubicado en el
DATA CENTER donde se almacene estos dispositivos el cual debe cumplir con:
Mantener tres juegos de llaves para el acceso, a distribuir: una EL Jefe de Infraestructura de
Tecnologa, la segunda el Administrador de Redes y Seguridad Perimtrica o el que haga a sus
veces y la tercera la gerencia general.
PROCEDIMIENTOS
que haga a sus veces, son responsables de realizar:
COPIAS DE RESPALDO DE LOS SISTEMAS OPERATIVOS: ante cualquier actualizacin de
versin al sistema operativo del servidor(es), generar una copia de respaldo del sistema operativo
del servidor antes y despus del proceso actualizacin del sistema operativo del servidor(es).
COPIA DE RESPALDO DE LOS PROGRAMAS OBJETOS O EJECUTABLES: Ante de cualquier
modificacin a los programas de un aplicativo, generar una copia de respaldo de los programas
objetos o ejecutables antes y despus
del proceso de actualizacin para preservar las
caractersticas tcnicas de los programas objetos.

COPIAS DE RESPALDO DE LOS PROGRAMAS FUENTE: Ante la modificacin de algn
programa fuente de los aplicativos residentes en el(los) servidor(es), generar una copia de respaldo
de todos los programas fuentes residentes en el servidor antes y despus de la modificacin para
preservar las caractersticas tcnicas.
COPIAS DE RESPALDO DE LA INFORMACIN: La generacin de las copias de respaldo de la
informacin ser con frecuencias diaria, semanal. Mensual y anual.
Nota:
Si en una misma fecha coinciden efectuar las copias de respaldo: diaria, semanal, mensual y anual
estas se efectan indefectiblemente el mismo da y si es necesario continuar al da siguiente. Hasta
el inicio de la atencin.
NORMAS PARA LA ADMINISTRACION Y USOS DEL CORREO ELECTRONICO OFICIAL Y DE
LOS SERVICIOS DE INTERNET EN ATSAC
Pgina 53 de 72
OBJETIVO
Dar los lineamientos para el uso correcto del servicio de correo electrnico como herramienta
oficial de comunicacin interna a nivel institucional, as como, lograr una adecuada administracin y
control de los servicios de internet en ATSAC.
FINALIDAD
Normar el uso, procedimiento de gestin y principales controles internos para los servicios de
correo electrnico oficial y del internet que brinda la Institucin a fin de mejorar la administracin de
estos servicios en ATSAC.
ALCANCE
Esta directiva es de aplicacin inmediata en todas las unidades orgnicas de ATSAC.
RESPONSABILIDAD
La difusin y control de la presente Directiva, es responsabilidad de todas las Jefaturas de ATSAC
dentro de sus mbitos correspondientes, as como su cumplimiento es responsabilidad de todos los
trabajadores que utilizan los servicios del correo electrnico oficial y del internet que brinda la
Institucin.
DISPOSICIONES GENERALES.
El servicio de correo electrnico que brinda la Institucin, es una herramienta de comunicacin e
intercambio de informacin oficial e interna entre todas las unidades orgnicas y trabajadores de
ATSAC, y no debe ser utilizado como una herramienta de difusin indiscriminada de informacin.
El correo electrnico oficial, dentro del trmite documentario actual, debe de ser comprendido como
un tipo de documento interno de ATSAC, con las caractersticas de una esquela o nota informativa,
a fin de comunicar algo de manera urgente y/o necesaria.
El tener una cuenta de correo institucional compromete y obliga a cada trabajador a aceptar las
normas establecidas por ATSAC y a supeditarse a ellas.
El trabajador es responsable de todas las actividades que realiza con su cuenta de correo
electrnico brindado por ATSAC. El trabajador que deje su cuenta de correo abierta es responsable
de todo aquello que se realice desde dicha cuenta.
Las cuentas de correo electrnico oficial de los trabajadores deben ser nicas, y ser usadas en
actividades que se relacionen con el cumplimiento de sus funciones y responsabilidades en la
institucin.
La institucin, a travs de la GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, garantiza el
derecho a la privacidad y confidencialidad de la informacin contenida en los correos electrnicos
Pgina 54 de 72
de todos los trabajadores. Solo de establecerse, de acuerdo a las normas vigentes, que un
trabajador ha cometido falta grave por medio de su cuenta de correo, se le cancelara dicha cuenta.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, a travs de la administracin de redes
y seguridad perimtrica, es responsable de establecer los procedimientos de administracin,
racionalizacin, configuracin, instalacin, desinstalacin y soporte de los servicios del correo
electrnico; as como, de elaborar los lineamientos en el mbito nacional para mantener copias de
respaldo de la informacin contenida en los correos electrnicos, que permitan prever su
recuperacin en caso de contingencias.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA, centralizara todos los requerimientos
de las unidades orgnicas que autoricen a su personal contar con los servicios del correo
electrnico oficial y/o del internet; para lo cual, las dependencias de ATSAC, en el mbito nacional,
seguirn el procedimiento establecido de la presente Directiva.
Mantendrn una nica cuenta de correo electrnico y/o sern usuarios de internet:
Todo funcionario de confianza de ATSAC.
El trabajador que por la naturaleza de su trabajo y especialidad de sus funciones lo amerite, para
ello deber de contar con la autorizacin de su Jefatura correspondiente.
La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA nombrara, entre su personal, al
Administrador de red y seguridad perimtrica en el mbito institucional; quien asumir la direccin
de correo electrnico admincorreo@ATSAC.com.pe, y tendr las principales funciones de:
Velar por el cumplimiento de las disipaciones y procedimientos normados sobre los
servicios de correo electrnico e internet.

Establecer los lineamientos y polticas de seguridad, a nivel nacional, que garanticen el
derecho a la privacidad y confidencialidad de la informacin contenida en las cuentas de
correo electrnico de los trabajadores.

Establecer procedimientos que permitan una adecuada administracin y seguridad sobre
los servicios de correo electrnico e internet y sus plataformas y protocolos d
telecomunicaciones, en coordinacin con las reas competentes y acorde con las normas
vigentes.
Mantener actualizado el inventario general de Usuarios de correo electrnico e internet en
el mbito nacional.
Activar o desactivar a los usuarios de ATSAC con los servicios de correo electrnico e
internet, sustentado en autorizaciones de oficiales de las Jefaturas correspondientes.

Minimizar los accesos a servicios de chat, foros en lnea, y a software de comunicacin
que no estn autorizados por la Institucin.

Asignar las direcciones de correo electrnico e internet a los trabajadores autorizados por
las dependencias de ATSAC en el mbito nacional.
Pgina 55 de 72
Establecer los procedimientos que permitan implantar antivirus para servidores y
estaciones de trabajo usuarias.

El Administrador de red y seguridad perimtrica, en la Sede Central, es responsable de
instalar o inhabilitar los servicios de correo electrnico e internet con la aprobacin de las
respectivas jefaturas.
La Gerencia de Recursos Humanos y de capacitacin en un plazo no mayo de 48 horas,
es responsable de remitir va correo electrnico al administrador del correo electrnico en
internet, la relacin del personal que ha dejado de pertenecer a ATSAC, a nivel nacional, a
fin que estos servicios le sean inhabilitados.

Las Gerencias y Jefaturas de ATSAC deben informar oportunamente, va correo
electrnico al Administrador del correo electrnico e internet, cada vez que un trabajador
es reubicacin en otra dependencia de la institucin.

La GERENCIA DE TECNOLOGA E INFRAESTRUCTURA centralizaran y evaluaran, en
los casos que sean necesarios, la autorizacin para la contratacin del servicio de internet
y/o correo electrnico con terceros por lo tanto, queda terminantemente prohibido la
contratacin de estos servicios por otras dependencias de ATSAC.

Todas las Gerencias y dems Jefaturas de ATSAC, en el mbito nacional, son
responsables de prohibir el acceso y uso de los servicios del correo electrnico oficial y del
internet, a los proveedores y personal que no tiene vnculo laboral con ATSAC, aun cuando
presten servicios dentro de la institucin.

El trabajador autorizado a usar el correo electrnico de ATSAC est prohibido de.
Facilitar o permitir el acceso de personas no autorizadas a su cuenta y buzn de correo
electrnico.
Enviar mensajes a varios usuarios a la vez sin la autorizacin de su Gerencia y sobre
temas que no son de su competencia.

Enviar expresamente mensajes con virus, o abrir correos de dudosa procedencia que
puedan contener virus.

Enviar o difundir sin autorizacin informacin desde otras cuentas de correo electrnico.
Leer sin autorizacin informacin dirigida a otras cuentas de correo.
Enviar mensajes encadenados o participar en esquemas piramidales o similares.
Enviar mensajes con archivos anexos que no sean de utilidad para el rea.
Enviar informacin que incluya indebidas declaraciones polticas, raciales, sexuales o
religiosas, como tambin, imgenes, lenguaje o material ofensivo y/o prohibido por la ley.
Enviar mensajes a foros de discusin (listas de distribucin y/o newsgroups) que
comprometan la informacin de la institucin o violen las leyes del Estado Peruano.
El trabajador autorizado a usar los servicios de internet, est prohibido de:
Usar y modificar direcciones IP asignados a otros usuarios.

Permitir el uso del servicio a personal no autorizado.
Hacer uso de los servicios interfiriendo con el trabajo de otros empleados.
Revelar informacin interna sin autorizacin especfica para ello.
Pgina 56 de 72
Utilizar el servicio para copiar o extraer informacin, cuyo contenido pueda causar
demandas legales a ATSAC o daar su imagen.

Acceder, extraer y/o enviar informacin que incluya indebidas declaraciones raciales,
sexuales o religiosas, como tambin, imgenes, lenguaje o material ofensivo y/o prohibido
por ley.
El usuario del servicio de correo electrnico, tiene la obligacin de modificar su contrasea
de correo cada 30 das como mnimo, a fin de otorgar una mayor seguridad a su
informacin, as como, revisar en forma constante su computadora para evitar remitir virus
al momento de enviar documentos adjuntos.

Los usuarios que tienen asignada una cuenta de correo electrnico institucional, deben
mantener en lnea el software de correo electrnico (si lo tiene disponible todo el da), y
activada la opcin de avisar cuando lleguen un nuevo mensaje, o conectarse al correo
electrnico con la mayor frecuencia para leer sus mensajes.

El administrador de red y seguridad perimtrica es responsable de brindar oportuna
capacitacin y asesora a los analistas de sistemas y estos son encargados de retransmitir
a los trabajadores de la Sede Central y en los rganos Desconcentrados.
3. Auditoras y Revisiones
CHEQUEOS DEL SISTEMA
Se deben registrar, mediante logs de auditora, aquellos eventos relacionados con la seguridad de
la informacin. Dichos registros debern contener como mnimo:
Fecha y hora del evento,

Fuente (el componente que dispar el evento),
ID del evento (nmero nico que identifica el evento),
Equipo (mquina donde se gener el evento),
Usuario involucrado,
Descripcin (accin efectuada y datos asociados con el evento).
Se deben registrar como mnimo los siguientes eventos respecto a los servidores:
Los servicios de mail,

Servicios de red,
Configuracin de los servidores,
Reinicio de servidores.
Deben actualizarse continuamente las herramientas de anlisis de logs, asignndole la

responsabilidad de esta tarea a una persona en particular.
Pgina 57 de 72
Deber existir un proceso encargado de la rotacin y eliminacin de logs. Se deber

conservar esta informacin al menos durante tres meses.
Deben programarse auditoras peridicas y chequeos aleatorios, para controlar las reas o
funciones crticas con respecto a la seguridad de los datos de la Institucin, documentando la
ejecucin y los resultados de dichas pruebas.
Se debern analizar peridicamente los siguientes eventos especficos como mnimo:
Controles de acceso y permisos de los usuarios,

Uso de recursos informticos,
Operaciones de borrado o modificacin de objetos crticos,
Intentos de ingreso al sistema fallidos.
Se debern documentar las revisiones y controles efectuados, y comunicar las excepciones

encontradas a los responsables involucrados y al propietario de los datos afectados por las
anomalas, los que debern determinar la severidad del incidente, y las acciones a tomar que
sean necesarias para la proteccin y control de los datos.
RESPONSABILIDADES DE LOS ENCARGADOS DE SEGURIDAD
El encargado de auditoras, debe:
Determinar qu logs se generarn,

Determinar qu eventos de seguridad se auditarn,
Determinar qu datos se recogern de estas auditoras,
Administrar, desarrollar e implementar los procedimientos de auditora y revisin,
Monitorizar y reaccionar a los avisos (warnings) y reportes,
Chequear
aleatoriamente para
verificarel
cumplimiento de
requerimientos y procedimientos de seguridad,

Revisar los reportes de auditoras cuando es advertido de anomalas.
los
AUDITORAS DE REDES
Debe generarse un archivo de log cuando se produzca el bloqueo de un usuario. Debe generarse
un plan de monitorizacin de red utilizando alguna herramienta destinada para ello.
Con respecto a las conexiones a Internet deben almacenarse datos sobre:
Nmero IP de la mquina conectada,

Direccin de las pginas visitadas,
Cookies guardadas,
Archivos descargados,
Pgina 58 de 72
Servicios utilizados,
Aplicaciones utilizadas.
Con respecto a la utilizacin del correo electrnico deben almacenarse datos sobre:
Correo entrante y saliente,

Hora de envo,
Contenido del mail,
Asunto del mail,
Archivos adjuntos,
Reporte de virus del mail,
Direcciones de mquina destino y fuente,
Tamao del mensaje.
Con respecto a la utilizacin de la red informtica deben almacenarse datos sobre:
Ancho de banda utilizado y cuellos de botella en el trfico de red,

Trfico generado por las aplicaciones,
Recursos de los servidores que utilizan las aplicaciones,
Intentos de intrusin,
Uso de los protocolos.
Considerar para el futuro la contratacin de servicios de anlisis forense por empresas

externas que brinden este tipo de soporte y tengan la capacidad de:
Determinar el grado de afectacin del sistema.

Localizar cuando sea posible desde donde se realiz el ataque.
Determinar los procedimientos empleados en el ataque.
Si la contratacin de empresas que brindan servicios de anlisis forense no es posible debe

designarse y capacitarse a un funcionario para que se especialice en temas de seguridad
pudiendo manejar las herramientas que se utilizan en tcnicas de anlisis forense tales
como:
Respaldo de informacin y recuperacin de evidencias de discos duros.

Deteccin de virus Troyanos y Spyware.
Anlisis de servicios en la red y saber cmo se registran sus actividades.
Configuraciones de seguridad propias del sistema operativo.
4. Plan de Contingencias
INTRODUCCIN
La funcin primordial del Plan de Contingencias informtico garantizar la continuidad de las
funciones primordiales de la Institucin durante el perodo de recuperacin de desastres.
Pgina 59 de 72
La organizacin y establecimiento de grupos de trabajo y funciones que deben ser

desarrolladas ante la presencia de una emergencia, son parte importante y deben ser
descritas en el desarrollo del Plan de Contingencias.
Se deber asegurar la continuidad de la recoleccin de datos y su procesamiento ante cualquier
contingencia que afecte a los centros de procesamiento. Para ello se deber:
Generar procedimientos manuales de respaldo para cada una de las actividades
desarrolladas en la Institucin,
Preparar, probar y mantener actualizado un plan de contingencias, coordinando
el mismo con los procedimientos de copias de respaldo y almacenamiento externo.
Dicho plan deber ser desarrollado de forma tal que cubra las distintas reas de riesgo, o
definir y asignar claramente las responsabilidades de las tareas detalladas en el plan,
Prever un programa de entrenamiento para el personal involucrado en el plan de
contingencias.
Deber almacenarse una copia del plan de contingencias en el exterior de la Institucin o
en un medio seguro como en una caja fuerte, protegindola contra su divulgacin y actualizndola
permanentemente.
RESPALDO DE EQUIPAMIENTO
El equipamiento informtico de la Institucin debe contar con dispositivos de
respaldo, ante cualquier tipo de incidente.
Los mecanismos de recuperacin de los dispositivos de respaldo deben ser
probados peridicamente comprobando su buen funcionamiento.
El sistema informtico no deber verse afectado ante una contingencia en el centro de
cmputo, por lo que el equipamiento informtico debe distribuirse en lugares fsicos
diferentes, contando ambos con las medidas y condiciones de calidad y seguridad
especificadas en esta poltica.
ESTRATEGIAS DE RECUPERACIN DE DESASTRES
Debe conformarse un grupo de recuperacin encargado de concebir, probar e
implementar el plan de contingencias. Este tentativamente debe estar a cargo el Jefe de
Desarrollo de Sistemas, e integrado por los jefes de cada rea de la Institucin.
Debe asignarse un orden de importancia a los sistemas de informacin y a los equipos
de la red informtica, de acuerdo al anlisis de riesgo y al impacto que representara para
la Institucin su ausencia.
Los equipos debern estar sealizados o etiquetados de acuerdo a la importancia de su
contenido, para ser priorizados en caso de evacuacin.
Pgina 60 de 72
Debern definirse las funciones o servicios crticos de la Institucin, junto con los recursos
mnimos necesarios para su funcionamiento, asignndoles una prioridad en el plan de
contingencia.
Deber conformarse un plan de emergencias, determinando los procedimientos a llevar a
cabo para cada contingencia identificada, considerando los distintos escenarios
posibles. Cada procedimiento deber estar claramente definido, y tener asignado un
responsable para su ejecucin.
Para el desarrollo del plan de contingencias deben contemplarse las siguientes
pautas:
Deber estar documentado y probado antes de su puesta en prctica.

Deber basarse en un anlisis de riesgo, determinando que acciones
merecen estar incluidas.
Deber mantenerse actualizado de acuerdo a nuevos puestos de trabajos y
funciones.
Deber ser probado frecuentemente.
Debe definirse hasta cunto tiempo se aceptar estar en condicin de emergencia.

Debe documentarse la realizacin de las siguientes actividades despus de un
incidente:
Determinar la causa del dao,
Evaluar la magnitud del dao que se ha producido,

Que sistemas se han afectado,
Qu modificaciones de emergencia se han realizado,
Que equipos han quedado no operativos,
Cuales se pueden recuperar y en cuanto tiempo.

Cada una estas actividades debern ser reportadas al Coordinador General.
Deber retroalimentarse el plan luego de una contingencia, ajustando las directivas en
consecuencia.
Deben establecerse planes de prueba peridicos que incluyan simulacros de
siniestros para evaluar la eficacia y eficiencia del plan.
OBTETIVOS
El objetivo principal del plan es establecer lineamiento generales para determinar las
acciones de combate de emergencias con el objeto de minimizar sus efectos y
consecuencias y salvaguardar:
La integridad fsica o la vida de los funcionarios o de
instalaciones del Ministerio Pblico.
terceros presentes en las
La integridad fsica de los bienes de la Institucin.

4.1.
PLAN DE EMERGENCIAS
4.1.1.
ORGANIZACIN GENERAL ANTE EMERGENCIAS
Pgina 61 de 72
Todo el personal forma parte de la organizacin ante contingencias. Esta organizacin debe
mantener coordinacin con las entidades o instituciones de apoyo externo como son la Polica
Nacional, cuerpo de Bomberos y otras Instituciones
Pueden presentarse situaciones de emergencia en dos escenarios:
Durante el horario normal de trabajo, en el cual se dispone de todo el personal para
construir y activar la organizacin del plan de contingencias.
Fuera del horario normal de trabajo, durante el cual la deteccin y
comunicacin de la contingencia y eventualmente la toma de acciones iniciales estar a
cargo de los Policas Nacionales de turno, hasta que el responsable y coordinadores
puedan llegar al sitio de la emergencia.
4.2.
5.
ORGANIZACIN DEL SISTEMA DE CONTROL DE EMERGENCIAS
Plan de recuperacin
El plan de recuperacin es la capacidad de responder y recuperar la informacin de los sistemas

crticos que posee la Institucin. El equipo y las funciones del equipo de recuperacin se
detallan a continuacin.
5.1.1.
CENTROS DE CMPUTO ALTERNATIVOS
Si una emergencia se presenta en el almacn central, el centro de cmputo alternativo ser el del
que se encuentra en global crusing.
El centro de cmputo alternativo iniciar sus nuevas funciones, slo si la emergencia lo amerita,
como por ejemplo la prdida de equipamiento de comunicaciones, prdida de servidores, o
cualquier falla que imposibilite un funcionamiento confiable para los sistemas y un ambiente
seguro de trabajo para los funcionarios.
5.1.2.
FUNCIONES DE LOS MIEMBROS DE LA ORGANIZACIN PARA LAS

CONTINGENCIAS
Pgina 62 de 72
Las responsabilidades
continuacin.
de cada miembro del grupo de contingencias
se detalla a
Coordinador General (Encargado del plan de contingencias)

Es el encargado de:
Llevar a cabo la declaratoria de emergencia.
Comunicarse con las mximas
conocimiento la emergencia.
autoridades
de
la
Institucin
para
poner
en
Coordinar con las Instituciones externas de apoyo (Polica, Bomberos).

Dirigir a los coordinadores especializados en cada rea.
Poner en funcionamiento los sistemas crticos, junto con todos los coordinadores.
Coordinador 1 (Custodio de los respaldos)
Su responsabilidad es transportar al centro de cmputo alternativo, los respaldos en forma segura
y oportuna, inmediatamente despus de haberse declarado la emergencia. Una vez trasladados los
respaldos debe poner en accin el plan de respaldos.
Coordinador 2 (Responsable de la administracin de los sistemas)
Su responsabilidad es transportar al centro de cmputo alternativo, toda la documentacin
pertinente a
la administracin de los sistemas crticos, si fuera necesario deber
comunicarse con los proveedores de los sistemas adquiridos para recibir el soporte
necesario.
Coordinador de apoyo (Usuario final de cada sistema crtico)
Son cada uno de los usuarios finales que conoce a cabalidad el funcionamiento de los sistemas
crticos. Sus funciones son probar cada uno de los sistemas crticos una vez que han sido
instalados en el centro de cmputo alternativo.
Responsabilidades del personal de seguridad de turno
Control de puertas de acceso al ingreso del edificio.
Se encargar de comunicar de inmediato con el mayor detalle la emergencia al
Coordinador General de contingencias.
5.2.
ACCIONES A TOMAR EN EL CENTRO DE CMPUTO ALTERNATIVO
Una vez determinada una emergencia, los siguientes coordinadores deben trasladarse al centro de
cmputo alternativo.
Pgina 63 de 72
El Coordinador General.
El responsable de la administracin de los sistemas (Coordinador 1).
El custodio de los respaldos (Coordinador 2).
Una vez que los sistemas estn en funcionamiento, los coordinadores de apoyo deben
trasladarse al centro de cmputo alternativo para verificar el correcto funcionamiento de los
sistemas crticos.
6. Plan de respaldos
El plan de respaldos comprende:
Instalacin de los sistemas crticos de la Institucin en el servidor del centro de cmputo
alternativo.
Restauracin de las bases de datos de los sistemas crticos de la Institucin.
Otorgar permisos a las cuentas de usuario dependiendo de sus requerimientos.
Prueba y puesta en funcionamiento de los sistemas crticos.
6.1.
ACCIONES A TOMAR EN EL DATA CENTER DE LA EMERGENCIA
6.1.1.
Brigada de emergencia
Durante la emergencia sus funciones son:

Seguir las rdenes del coordinador General.
Revisar y asegurar la zona afectada para impedir mayores daos.
Interrumpir el fluido elctrico.
Control de incendio.
El salvamento de los bienes informticos para reducir prdidas.
6.1.2.
Brigada de logstica
Durante la emergencia sus funciones son:
Pgina 64 de 72
Ponerse a disposicin del Coordinador General.

Provee los recursos necesarios de transportacin, materiales, equipos, etc. necesarios
para el control y mitigacin de la emergencia.
Es la encargada de contabilidad de los recursos, manejo de seguros y contratos.
6.1.3.
Responsabilidades del personal de seguridad de turno
Control de puertas de acceso al ingreso del edificio.

Custodia de las oficinas afectadas.
2.6 SISTEMAS CRITICOS
Los sistemas considerados crticos para su puesta en funcionamiento en una emergencia son:
El sistema que lleva el control de denuncias del rea de prevencin y seguridad.
El sistema de contabilidad y presupuesto.
Dependiendo del tipo de emergencia los siguientes sistemas deben ser considerados
El sistema de remuneraciones.
El sistema de control de asistencia.
El sistema de control de bienes.
El sistema de recaudaciones.
El sistema legal.
7. Simulacin del Plan de Contingencias
La finalidad del Plan de Contingencias es detectar posibles estrategias de recuperacin ante un

estado de emergencia informtico. Es por ello que debe ponerse a prueba y realizar simulacros
peridicamente.
MANTENIMIENTO DEL PLAN DE CONTINGENCIAS
Con el propsito de mantener vigente el Plan de Contingencias se deben tomar la
siguientes decisiones y realizar las siguientes actividades.
Designar un responsable de actualizar el Plan de Contingencias.
Pgina 65 de 72
Nombre:
Cargo:
Lugar donde se encuentran distribuidas las copias de respaldo del Plan de
Contingencias.
Entidad:
Edificio:
Lugar Fsico:
Direccin:
Fecha de ltima modificacin del Plan de Contingencias.
Fecha de ltima simulacin del Plan de Contingencias.
Resultados de la ltima simulacin realizada al Plan de Contingencias.
Cul es la ltima emergencia que se present.
Acciones tomadas para la retroalimentacin del Plan de Contingencias despus de la
ltima emergencia.
SISTEMAS CRITICOS
Los sistemas considerados crticos para su puesta en funcionamiento en una emergencia son:
El sistema que lleva el control de denuncias del rea de prevencin y seguridad.
El sistema de contabilidad y presupuesto.
Dependiendo del tipo de emergencia los siguientes sistemas deben ser considerados
El sistema de remuneraciones.
El sistema de control de asistencia.
El sistema de control de bienes.
El sistema de recaudaciones.
El sistema legal.
Pgina 66 de 72
Pgina 67 de 72
CONCLUSIONES
Un trmino a tomar en cuenta en el rea de la seguridad de la informacin es su
Gobierno dentro de alguna organizacin empezando por determinar los riesgos que le
ataen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable
mediante el establecimiento de un programa amplio y conciso en seguridad de la
informacin y el uso efectivo de recursos cuya gua principal sean los objetivos del
negocio, es decir, un programa que asegure una direccin estratgica enfocada a los
objetivos de una organizacin y la proteccin de su informacin.
No existe un esquema de seguridad informtica que cubra en su totalidad todos los
posibles riesgos.
Cul es el verdadero problema? La respuesta es simple, se ha dejado de pensar en
el eslabn ms dbil de la cadena de la seguridad informtica: el usuario final. La
organizacion han ignorado por completo los problemas serios que estn sufriendo los
usuarios que poseen un conocimiento escaso de la seguridad informtica es por ello
que este trabajo se hace hincapi en que todo el personal de tecnologa e informtica,
debe ser instruido en el conocimiento de las normas jurdicas relativas a Propiedad
Intelectual, seguridad de la informacin, documento electrnico, mensajes de datos e
infracciones electrnicas para impulsar el correcto uso de la tecnologa informtica y
los datos.
Tambin se evidencia el fenmeno llamado consumerizacin, en el que los
trabajadores manejan datos de su empresa desde sus propios dispositivos, que
necesariamente no tienen por qu estar preparados en trminos de seguridad para
ello, por lo que pueden poner en peligro la seguridad de la compaa. Esta tendencia,
cada vez mayor, es una de las mayores preocupaciones para los responsables de
seguridad TI de las empresas.
RECOMENDACIONES
Pgina 68 de 72
En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los
recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el
mbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informticos son ms
latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamao, forma y
variedad. Los principales delitos hechos por computadora o por medio de computadoras son:
Fraudes
Falsificacin
Venta de informacin
Con el anlisis de riesgos de los activos de la Institucin desarrollado en el Captulo II, se

desprenden las siguientes observaciones para mejorar el control de la seguridad en los activos de
la Institucin:
El plan de seguridad informtica debe ser documentado y no debe ser de conocimiento de
una parte sino de todo los involucrados del ya sea de rea de tecnologa e infraestructura
sino tambin de otras reas que son afectadas con estos posibles riesgos. Se estima que el
82% de la prdida de datos sensibles de una compaa la producen los mismos empleados.
El 80% de los equipos porttiles que la organizacin asigna a su personal es compartido con
terceros, lo que abre la puerta al ingreso de virus y programas peligrosos para los sistemas
empresariales. El usuario es el eslabn ms dbil en la cadena de proteccin TI por ello se
plantea que peridicamente debe existir educacin y formacin en seguridad de la
informacin a todos los empleados de la organizacin.
El plan de seguridad debe tener fecha de validez y un perodo especfico de
aplicacin, por ende deber ser renovado cuando ese plazo se cumpla.
Se debe estar preparado y dispuesto a reaccionar con rapidez ante cualquier
contingente ya que las amenazas y los riesgos cambian con el paso del tiempo.
Pgina 69 de 72
ANEXO
Dentro de la monografa se menciona a los mecanismos y el factor humano dentro del
relevamiento de informacin (Entorno), as mismo los controles son mencionados dentro del Plan
Maestro de Seguridad, plan de accin como tambin dentro de procedimientos y normativas. El
registro de eventos se menciona dentro del Plan de Accin. As como se detalla en grfico adjunto.
Tomando en cuenta las ultimas correcciones:
Su sistema de seguridad para a informacin es bueno pero debe

ampliar su Modelo, tiene mucha Informacin buena para
integrarla al sistema de seguridad, hgalo para que el sistema
sea ms eficiente. Todos sus parmetros y entidades
mencionadas estn bien. Dele la estructura debida, ordene
mejor, ndice, faltan muchas conclusiones y recomendaciones,
bibliografa.
1.- Se reestructuro el trabajo sobre todo en el PLAN MAESTRO donde se refleja
el anlisis sobre la seguridad de la informacin.
PLAN MAESTRO DE SEGURIDAD
1. Plan de Accin
2. Procedimientos y normativas
3. Auditoras y Revisiones
Pgina 70 de 72
4.
5.
6.
7.
Plan de Contingencias
Plan de recuperacin
Plan de respaldos
Simulacin del Plan de Contingencias
2.- Se orden el trabajo segn lo solicitado.
Pgina 71 de 72
BIBLIOGRAFA
GMEZ VIEITES, LVARO (2007). Enciclopedia de la Seguridad Informtica.
http://www.exevi.com/blog/seguridad-de-informacion/
http://www.inteco.es/
Pgina 72 de 72

Seguridad en Sistemas de Informacion

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Seguridad en Sistemas de Informacion

Transféré par

Droits d'auteur :

Formats disponibles

Universidad Nacional

Profesionales Formando Profesionales

: SEGURIDAD EN REDES Y SISTEMAS

: Ing. Bertha Lpez Jurez

: Barrenechea Aparco Miguel

Datos Generales de la Empresa.....................................................................4

Sistema de Seguridad de Informacin..............................................................5

Parte II: RELEVAMIENTO DE INFORMACIN (ENTORNO)......................................7

Relevamiento de la Seguridad Fsica...............................................................7

Relevamiento de la Administracin del Data Center.........................................11

Levantamiento de la Seguridad de las Aplicaciones.........................................20

Levantamiento de la Seguridad Lgica...........................................................22

Levantamiento de la Seguridad de las Comunicaciones...................................25

Parte III: AMENAZAS Y CONSECUENCIAS...........................................................30

Simulacin del Plan de Contingencias...........................................................67

La prdida de la informacin almacenada en un ordenador puede tener graves

Parte I: INFORMACIN DE LA EMPRESA

2. Sistema de Seguridad de Informacin

normas que se establecern en los diferentes niveles jerrquicos.

actividad de la Institucin en situaciones de desastre.

Parte II: RELEVAMIENTO DE INFORMACIN (ENTORNO)

Rack de voz y datos.

dimensionados para soportar todo el edificio e infraestructuras, con combustible suficiente

1 procesador Intel Xeon E5620 4 ncleos, 2,40 GHz.

1 procesador Intel Xeon E5620 4 ncleos, 2,40 GHz.

8 Laptops Lenovo Think Client T430S

En total cuentan 20 impresoras, entre multifuncin, impresoras lser e impresoras ZEBRAS

5 impresoras multifuncionales HP 4555

1.2. ACCESO FSICO AL DATA CENTER

alcance de cualquier otro usuario o personal de limpieza.

2 niveles, rea de despacho, recepcin y parqueadero.

ordenar los puestos de trabajo.

La seguridad es controlada por el rea de seguridad y prevencin, ubicados en el segundo nivel en

Disponen de los siguientes dispositivos para soporte del equipamiento informtico:

1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC

14) Realiza el anlisis de rendimiento de servidores, instalacin y mantenimiento de parches,

8) Ejecutar todas las pruebas necesarias al sistema de acuerdo a parmetros de evaluacin

Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.

en el ambiente de Pruebas QA como en Produccin.

Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC.

Cargo: Jefe de Sistemas

3) Evaluar, planificar, disear y configurar la arquitectura de comunicaciones de los

informacin de la empresa, proponiendo las polticas informticas correspondientes.

1) Conocer y cumplir con los lineamientos de ALTERNATIVA TECNOLOGICA SAC

de todos los locales anexos a la red.

2.1.3. Importancia de la seguridad

Windows en diferentes versiones.

Tambin se poseen aplicaciones propietarias y aplicaciones gratuitas que no requieren

COPIA DE RESPALDO DE LOS PROGRAMAS OBJETOS O EJECUTABLES: Ante de cualquier

del proceso de actualizacin para preservar las

caractersticas tcnicas de los programas objetos.

Licencias del software.

3. Levantamiento de la Seguridad de las Aplicaciones

Alto grado de confiabilidad.

Los servidores 3 y 4 se ha migrado a Linux por un tema de licenciamiento.

anteriormente tambin existen controles de seguridad fsica a los servidores.

Kaspersky Endpoint Security 8 antivirus

desarrollados por la institucin son administrados por los analistas de servicios.

4. Levantamiento de la Seguridad Lgica

Ingreso de usuarios a la red (ALTAS)

La asignacin, creacin y modificacin de las cuentas de usuario de la red, es administrada por

Salida de usuarios de la red (BAJAS)

Mantenimiento de las cuentas de usuario

Permisos asignados a las cuentas de usuario