Académique Documents
Professionnel Documents
Culture Documents
SEGURIDA
INFORMATICA
NDICE
INTRODUCCIN
PLAN ESTATGICO DE SEGURIDAD INFORMATICA
CONCEPTOS
OBJETIVOS GENERAL
OBJETIVOS ESPECFICOS
ALCANCE
VIGENCIA
AUTORIDAD EMISORA
DESARROLLO
I. SEGURIDAD FSICA
A. EQUIPAMIENTO
B. CONTROL DE ACCESO FSICO AL SERVIDOR PRINCIPAL
C. CONTROL DE ACCESO A EQUIPOS
D.EQUIPAMIENTO AUXILIAR
E. ESTRUCTURA DEL EDIFICIO
F. CABLEADO ESTRUCTURADO
II. SEGURIDAD LGICA
6
A. IDENTIFICADORES IDS
B. AUTENTICACIN
C. PASSWORD
D. SEGREGACIN DE FUNCIONES
III. SEGURIDAD EN REDES
A. TOPOLOGA DE RED
B. CONEXIONES EXTERNAS
C. CONFIGURACIN LGICA DE RED
D. MAIL
E. ANTIVIRUS
F. FIREWALL
G. PROTECCIN DE LA RED
IV. PLANIFICACIN DE SEGURIDAD
A. CHEQUEOS DEL SISTEMA
B. RESPONSABILIDADES DE LOS ENCARGADOS DE SEGURIDAD
C. AUDITORAS DE CONTROL DE ACCESO
D. AUDITORAS DE REDES
V. SEGURIDAD EN LOS RECURSOS HUMANOS
A. ADMINISTRACIN DEL PERSONAL DE LA EMPRESA
B. CAPACITACIN
C. BACKUP
D. DOCUMENTACIN
VI. SEGURIDAD EN EL OUTSOURCING
A. CONTRATO DE MANTENIMIENTO
B. ACUERDO DE CONFIDENCIALIDAD
VII. PLAN DE CONTINGENCIAS
A. PLAN DE ADMINISTRACIN DE INCIDENTES
B. BACKUP DE EQUIPAMIENTO
C. ESTRATEGIAS DE RECUPERACIN DE DESASTRES
CONCLUSIONES
ANEXOS
I. INVENTARIOS (ANEXOA Y ANEXO B)
II. OUTSOURSING
III. CUESTIONARIOS (ANEXOS 1 AL 13)
IV. VULNERABILIDADES (ANEXO 14)
V. FACTORES DE RIESGO (ANEXO 15)
VI. PONDERACION DE LOS FACTORES DE RIESGO (ANEXO 16)
VII. VALORACIN DE RIESGOS (ANEXO 17)
VIII. VALORACIN DE ACTIVOS CRTICOS (ANEXO 18)
IX. MATRIZ DESCRIPTIVA (ANEXO 19)
X. MATRIZ PONDERADA (ANEXO 20)
XI.MATRIZ CATEGORIZADA (ANEXO 21)
XII.POLITICAS DE SEGURIDAD (ANEXO 22)
XIII. CONCLUSIN FINALES
INTRODUCCIN
Las tecnologas de la informacin actualmente son elementos fundamentales
para la superacin y desarrollo de un pas , y particularmente para el desarrollo y
crecimiento de cualquier empresa en el siglo 21. Efecto de aquello, es la
creciente necesidad de resguardar la informacin, no slo como un bien crtico
de cualquier entidad pblico o privada, sino tambin, generar en razn de ello,
estructuras orgnicas e infraestructuras que eviten prdida de de la misma o su
mal utilizacin que conlleve dao directo a estas entidades. As la generacin de
Polticas y Planes Estratgicos de Seguridad fsico-lgica se vuelve fundamental,
y elaborar dichas estrategias junto a la experiencia de una empresa consagrada
en el Mercado Tecnolgico como NowSecurity es sinnimo de xito en este
cometido.
Estos objetivos sern realizados por la empresa dentro del perodo de un ao.
Cada objetivo est formado por los puntos que la empresa desea implementar,
CONCEPTOS
Para iniciar el tema de seguridad informtica debemos tener claros los conceptos
de informacin, riesgo, amenaza, vulnerabilidad, incidente de seguridad, etc., ya
que estos trminos son muy utilizados a lo largo del desarrollo de este tema.
Amenaza: Conjunto de agentes capaces de explotar los fallos de seguridad,
que denominamos puntos dbiles y, como consecuencia de ello, causar
prdidas o daos a los activos de una empresa, afectando a sus negocios.
Anlisis de riesgo: Procedimiento de Anlisis de vulnerabilidades o
factores de riesgo que resulta Fundamental para la elaboracin de un plan
estratgico, dado que considera las vulnerabilidades de la red identificadas en
su evaluacin de seguridad ms reciente.
Backup: proceso de copiar los elementos de informacin recibidos,
transmitidos, almacenados, procesados y/o generados por el sistema.
Evaluacin del riesgo: proceso por el cual se identificaron las
vulnerabilidades de la seguridad, permitiendo identificar las causas de los
riesgos potenciales, en toda la organizacin o parte de ella, tanto a los
sistemas de informacin individuales, componentes especficos de sistemas o
servicios donde sea factible y cuantificarlos.
Factores de riesgos: Son los distintas reas de impacto que pueden
presentar vulnerabilidades. Entre ellos se encuentran, Sistemas de Control,
Nivel de Sensibilidad, Complejidad, Materialidad, Imagen, Auditoras Previas y
Plan de Contingencia.
Firewall: Software o hardware que ejerce control preventivo y detectivo
sobre intrusiones no deseadas a los sistemas.
Informacin: conjunto organizado de datos procesados, que constituyen
un mensaje que cambia el estado de conocimiento del sujeto o sistema que
recibe dicho mensaje.
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin
previo aviso y producir numerosas prdidas para las empresas. Los riesgos
mas perjudiciales son a las tecnologas de informacin y comunicaciones.
OBJETIVOS GENERAL
El objetivo general consiste en la realizacin de un Plan Estratgico de Seguridad
de la Informacin para la empresa CORPESCA S.A., en donde se definen los
lineamientos para promover la planificacin, el diseo e implantacin de un
modelo de seguridad en dicha empresa con el fin de establecer una cultura de la
seguridad en la organizacin y proteger los recursos informticos y asegurar la
viabilidad de las operaciones de la empresa.
OBJETIVOS ESPECFICOS
Implantar un modelo de seguridad en base a normas, procedimientos y
estndares informticos con el objetivo de crear una cultura de seguridad en la
organizacin.
Redactar sus propios procedimientos de seguridad, los cuales deben estar
acordes a este plan con el objeto de salvaguardar la integridad y confidencialidad
de la informacin procesada mantenindola disponible en todo momento.
ALCANCE
El diseo de este plan estratgico cubre los objetivos para los que la empresa
est capacitada de llevar a cabo y debe ser aplicada a todos los empleados de la
empresa, as como a los proveedores y personal externo que desempee labores
o proporcione algn tipo de servicio o producto.
VIGENCIA
El presente Plan Estratgico de Seguridad de la Informacin se aplicara a partir
del 1 de Octubre de 2015 y deber ser revisado y actualizado en el perodo de un
ao.
AUTORIDAD EMISORA
El presente documento es emitido por la empresa NowSecurity, a peticin de la
Gerencia General de la empresa CORPESCA S.A.
DESARROLLO
I. SEGURIDAD FSICA
A) EQUIPAMIENTO
Alarmas contra intrusos: debern contar con una alarma que se active en
horarios no comerciales. sta deber poder activarse manualmente en
horarios laborales ante una emergencia.
F) CABLEADO ESTRUCTURADO
1. El cableado debe seguir las normas del cableado estructurado, que
garantizan el funcionamiento eficiente de la red.
2. Si el tendido del cableado se terceriza, la empresa encargada debe prestar
garantas escritas sobre su trabajo.
3. Se deber documentar en planos los canales de tendidos de cables y las
bocas de red existentes.
4. Debe existir tendido de cableado redundante para futuros puestos de
trabajo. Estos cables no deben tener bocas de red instaladas.
5. En el caso de ocurrir esta contingencia con la continuidad del servicio de
red, deber existir un sistema informtico off line para los sectores crticos
de la empresa.
II.
SEGURIDAD LGICA
B).AUTENTICACIN
o
C).PASSWORD
10
D).
III.
SEGREGACIN DE FUNCIONES
Debe existir una adecuada y documentada separacin de funciones
dentro del centro de cmputos.
Deber realizarse una rotacin en las tareas del personal del sala de
servidores para controlar el desempeo que los empleados han tenido
durante un perodo de tiempo. Para esto se debern establecer
perodos de vacaciones anuales obligatorios para el personal del rea,
entre otras medidas.
SEGURIDAD EN REDES
A).TOPOLOGA DE RED:
La topologa de red se define como el mapa fsico o lgico de una red para
intercambiar datos. En otras palabras, es la forma en que est diseada la red,
sea en el plano fsico o lgico. El concepto de red puede definirse como "conjunto
de nodos interconectados".
B).CONEXIONES EXTERNAS:
C).CONFIGURACIN LGICA DE RED:
Deber existir un encargado de llevar a cabo el mantenimiento preventivo el
equipamiento informtico de la empresa, monitorizando, chequeando y
auditando las PCs y dems dispositivos que conforman la red.
D).
MAIL:
Con respecto a la utilizacin del correo electrnico deben almacenarse datos
sobre:
correo entrante y saliente,
hora de envo,
contenido del mail,
asunto del mail,
archivos adjuntos,
reporte de virus de cada parte del mail,
direcciones de mquina destino y fuente,
tamao del mensaje.
E). ANTIVIRUS:
Un antivirus es un programa informtico que tiene el propsito de detectar y
eliminar virus y otros programas perjudiciales antes o despus de que ingresen al
sistema.
Los virus, gusanos, troyanos, spyware son tipos de programas informticos que
suelen ejecutarse sin el consentimiento (e incluso, conocimiento) del usuario o
propietario de un ordenador y que cumplen diversas funciones dainas para el
11
PROTECCIN DE LA RED:
i. Debe asegurarse que la totalidad del trfico entrante y saliente de la
red interna, sea filtrado y controlado por un firewall prohibiendo el
pasaje de todo el trfico que no se encuentre expresamente
autorizado.
ii. Todas las conexiones a Internet de la empresa deben traspasar un
servidor Proxy una vez que han traspasado el firewall.
iii. Deben documentarse los servicios provistos a travs de Internet y
definirse las responsabilidades en cuanto a su administracin. No se
publicarn en Internet datos referidos a las cuentas de correo de los
empleados, debern exhibir cuentas especiales asignadas a cada
rea de la empresa.
iv. Cada vez que se establezca una va de comunicacin con terceros
(personal de mantenimiento externo, fbricas, proveedor de servicios
de Internet, etc.), los mecanismos de transmisin y las
responsabilidades de las partes debern fijarse por escrito.
v. La informacin enviada a travs de equipos de comunicaciones de la
empresa se considera privada. Cabe aclarar que la informacin no es
pblica, a menos que en forma expresa se indique lo contrario.
vi. El uso de Internet debe ser monitoreado peridicamente. Si existe
alguna razn para creer que la seguridad est siendo violada, la
compaa puede revisar el contenido de las comunicaciones de
Internet.
vii. El acceso casual a los mensajes de correo electrnico por los
administradores y similares, se considera una violacin a la poltica de
seguridad de la informacin. Sin embargo, la Gerencia tiene el
derecho de examinar cualquier informacin, sin previo
consentimiento o notificacin del empleado, en caso que se considere
que se est utilizando inadecuadamente el equipamiento de la
compaa.
viii. El riesgo aumenta con el nmero de conexiones a redes externas; por
lo tanto, la conectividad debe ser la mnima necesaria para cumplir
con los objetivos de la empresa.
ix. El esquema de direcciones de la red interna no debe ser visible ante
las conexiones externas.
x. Deber asegurarse que la direccin IP de la empresa sea un nmero
variable y confidencial.
12
IV.
PLANIFICACIN DE SEGURIDAD
A).
B).
C).
D).
AUDITORAS DE REDES:
13
TELCOMNORTE
Contrato de mantenimiento
En la ciudad de Antofagasta, a 01 das del mes de Abril de 2002, se
celebra el presente contrato entre el Vicepresidente Ejecutivo de
AGROPESCA S.A. y en calidad de Gerente de Ventas y Mantenimiento y
TELECOMNORTE, a quienes ms adelante se les denominara
contratante y contratista respectivamente, convienen en firmar este
documento al tenor de las siguientes clusulas:
PRIMERA: El contratista se compromete y obliga a efectuar el servicio de
mantenimiento preventivo y correctivo de los siguientes computadores e
impresoras:
Antofagasta
14
29 Computadores
6 Impresoras Matriciales
2 Impresoras Laser
1 Impresora Trmica
4 Impresoras de Inyeccin de Tinta
1 Unidad Resp. Cinta USBDAT160
1 Router Sisco 2500
1 Hub Encore 10 Base T
1 Hub 3Com 50 Base T
1 Transceiver Avia 10 Base T
2 Modem USRobotic 56 Kbps
1 CD-Writer Backpack
1 Scanner
1 Disk Optico Backpak
SEGUNDA:
El mantenimiento preventivo y correctivo de los equipos segn el
contrato se refiere a:
Mantenimiento Preventivo
* Chequeo de computadores personales mediante software de
diagnstico. * Optimizacin y configuracin de PS. * Limpieza interior y
exterior de los equipos. * Depuracin de archivos temporales. * Chequeo
y pruebas de impresin matricial, tinta y laser. * Induccin al usuario
acerca del uso y solucin de fallas (instructivos). * Lubricacin completa
de piezas mviles de impresoras.
Mantenimiento Correctivo
15
Vice_Presidente Ejecutivo
AGROPESCA S.A.
B. ACUERDO DE CONFIDENCIALIDAD:
1. Mantenimiento externo:
Como Empresa ligada al rubro de la agricultura hay servicios que no
desarrolla entre eso los de mantencin y arriendo de equipos
computacionales
2. Documentacin de la aplicacin y actividades.
a. Disminuye los costos de reclutamiento, seleccin y capacitacin,
entre otros, ya que corren por cuenta de la empresa que se
dedica a conseguir al personal.
b. Reduce el nmero de tareas que no benefician a la organizacin,
pues se les trasladan a estos servicios.
c. La empresa que contrata estos servicios se puede dedicar a
realizar sus competencias clave y estratgicas, lo cual debe
redituar en una mayor rentabilidad.
16
17
18
CONCLUSIONES PARCIALES
A lo largo del presente trabajo se puede comprender que la seguridad de la
informacin es un conjunto de recursos destinados a lograr que sta y los activos de
una organizacin mantengan su confidencialidad, integridad y disponibles para
todos sus usuarios,
19
ANEXOS
I.
INVENTARIOS
INVENTARIO ANEXO A
INVENTARIO DE COMPUTADORES
20
21
INVENTARIO ANEXO B
INVENTARIO DE EQUIPOS DE COMUNICACINES Y RED
OTROS EQUIPOS
N
rea
Sistemas
Sistemas
Sistemas
II.
4
III.
5
Sistemas
Ubicacin
Departamento
Cantid
OBSERVACI
Hardware
ad
N
1
1
1
OUTSURSING
Financiero y
Gerencia General
1
Administrativo
CUESTIONARIO
(ANEXO1 AL 12)
Compras
e 1
ANEXO
Importaciones
CDRewriter
Sin novedad
Disk Optico Sin novedad
Resp. Cinta
Externo
Sin novedad
USBDAT16
0
Scaner
Sin novedad
Scaner
Sin novedad
22
23
24
Asistente de Sistemas:
25
Auxiliar de Sistemas:
Soporte de Usuarios
Realizar Inventarios
Chequear las Conexiones de datos
ESTRELLA.
3. Qu equipos de conectividad usan?
Si
Observacin: ENTEL S.A A TRAVES DE TELCOMNORTE
B. Hardware
1. Con qu equipos cuenta el departamento?
Se cuenta con 29 computadores distribuidos en los ocho reas
Observacin:
Financiero y Administrativo, Compras e Importaciones, Contabilidad, Bodega, Re
envase, Ventas, Recursos Humanos, Legal
26
4.1.
Modulo de Seguridad.
Utilitarios:
. Office XP
. Outlook Express
. Mira scan
. Epson scan
. Microsoft SQL Server 6.5
27
.
.
.
Acrobat reader
CCT (software de control de consumo telefnico)
Nero
Antivirus: AVG, Norton 2005, Antivirus.
ANEXO 3
EVALUACIN SEGURIDAD FSICA
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo: JEFE DEL DEPARTAMENTO DE SISTEMAS
1. Existe un manual documentado de polticas y procedimientos de seguridad
fsica?
Si ( )
No (X)
2. Existe uno de estos mtodos para controlar el acceso a personas ajenas a la
organizacin?
Si
No
Guardias de seguridad
(X )
( )
Detectores de Metales
(X )
( )
Sistemas Biomtricos
( )
(X)
Seguridad con Animales
( )
(X)
Proteccin Electrnica
( )
(X)
3. Con el mtodo anterior cul es el control que se lleva?
Para que una persona ajena a la empresa ingrese el guardia solicita la cedula de
esta persona y la anuncia con el empleado al cual busca y este da el permiso
para que ingrese.
4. Existe uno de estos mtodos para controlar el acceso a
Si
Puerta con cerradura
Puerta de combinacin
(
Puerta electrnica
(
Puertas sensoriales
(
28
Registros de entrada
Videocmaras
Escolta controladora para el acceso de visitantes
Puertas dobles
Alarmas
( )
(X)
(X)
( )
( )
( )
( )
(X)
(X)
(X)
29
elctricas?
No
( )
(X)
( )
( )
( )
(X)
30
31
Si (X)
No ( )
40.Se realiza una revisin completa a discos duros de equipos daados para
verificar si deberan ser destruidos o reparados?
Si (X)
No ( )
41.Se han tomado medidas para minimizar las posibilidades de fuego como:
Si
Evitando artculos inflamables en el Departamento
( )
Prohibiendo fumar a los empleados dentro del departamento
( )
Vigilando y manteniendo el sistema Elctrico
( )
No
(X)
(X)
(X)
Manuales (X)
32
Si (X)
No ( )
33
34
ANEXO 4
EVALUACIN SEGURIDAD FSICA
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo:
ASISTENTE DE SISTEMAS
67.Existe un manual documentado de polticas y procedimientos de seguridad
fsica?
Si ( )
No (X)
68.Existe uno de estos mtodos para controlar el acceso a personas ajenas a la
organizacin?
Si
No
Guardias de seguridad
(X )
( )
Detectores de Metales
(X)
( )
Sistemas Biomtricos
( )
(X)
Seguridad con Animales
( )
(X)
Proteccin Electrnica
( )
(X)
69.Con el mtodo anterior cul es el control que se lleva?
Para que una persona ajena a la empresa ingrese el guardia solicita la cedula de
esta persona y la anuncia con el empleado al cual busca y este da el permiso
para que ingrese.
70.Existe uno de estos mtodos para controlar el acceso a personas ajenas al rea?
Si
No
Puerta con cerradura
(X)
( )
Puerta de combinacin
( )
(X)
Puerta electrnica
( )
(X)
Puertas sensoriales
( )
(X)
Registros de entrada
( )
(X)
Videocmaras
(X)
( )
Escolta controladora para el acceso de visitantes
( )
(X)
Puertas dobles
( )
(X)
Alarmas
( )
(X)
71.El personal de la organizacin cuenta con alguna identificacin que los
diferencie de los visitantes?
Si ( )
No (X)
72.El departamento est ubicado en un lugar de alto trfico de personas?
Si (X)
No ( )
73.El departamento mantiene sus puertas cerradas con seguro?
Si (X)
No ( )
Observacin:
35
elctricas?
No
( )
(X)
( )
( )
( )
(X)
36
101.
37
108.
111.
112.
113.
Manuales (X)
38
Si (X)
No ( )
114.
115.
116.
120.
121. Existen respaldos de los archivos (programas fuentes, objetos y datos) fuera
de la empresa?
Si ( )
No (X)
122.
125.
126.
Existe algn control o bloqueo para las impresoras cuando no son utilizadas?
Si ( )
No (X)
127.
128. Existe alguna clave en las copiadoras que impida el acceso al personal ajeno
de la empresa o a quienes cuya funcin les es innecesario el uso de este equipo?
Si ( )
No (X)
39
131.
132. Alguno de los servicios del departamento es manejado por una compaa o
contratista externo (terceros)?
Si (X)
No ( )
40
ANEXO 5
PLANO FSICO DE LA EMPRESA AGROPESCA S.A.
41
ANEXO 6
EVALUACIN SEGURIDAD LGICA
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo:
Jefe Departamento Sistemas
133. Cuentan con una poltica documentada para la gestin de las claves de
acceso?
Si (X)
No ( )
134.
135.
136.
137.
Observacin:
Primero el jefe de sistemas le crea una clave al usuario, donde la
identificacin ser: la inicial del nombre, seguido del apellido y el password se
lo asigna. Luego el usuario deber ingresar al sistema y este le pedir
cambiar el password.
138.
139.
140. Se verifica que el empleado tenga autorizacin de gerencia para el uso del
sistema antes de asignarle una clave?
Si (X)
No ( )
Observacin:
Se verifica que tenga autorizacin del jefe de su rea.
141.
42
142. Los permisos (lectura, escritura, ejecucin, eliminacin, todos los anteriores)
son asignados de acuerdo a las funciones del usuario?
Si (X)
No ( )
143. Se lleva un registro de los cambios de privilegios en el sistema actualizados
en el caso de que el usuario cambie de funcin dentro de la organizacin?
Si ( )
No (X)
144. Se bloquea el equipo despus de un nmero limitado de ingresos de claves
incorrectas?
Si ( )
No (X)
145.
151.
152.
153.
43
ANEXO 7
EVALUACIN SEGURIDAD LGICA
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo:
Asistente de sistemas
157. Cuentan con una poltica documentada para la gestin de las claves de
acceso?
Si (X)
No ( )
158.
159.
160.
161.
162.
163.
164. Se verifica que el empleado tenga autorizacin de gerencia para el uso del
sistema antes de asignarle una clave?
Si (X)
No ( )
44
165.
166. Los permisos (lectura, escritura, ejecucin, eliminacin, todos los anteriores)
son asignados de acuerdo a las funciones del usuario?
Si (X)
No ( )
167. Se lleva un registro de los cambios de privilegios en el sistema actualizados
en el caso de que el usuario cambie de funcin dentro de la organizacin?
Si ( )
No (X)
168. Se bloquea el equipo despus de un nmero limitado de ingresos de claves
incorrectas?
Si ( )
No (X)
169.
175.
176.
177.
45
ANEXO 15
EVALUACIN SEGURIDAD DEL SISTEMA APLICATIVO
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo:
Jefe del departamento
1. Existe un mapa orgnico de los puestos y funciones del departamento que
administra el sistema?
Si ( )
No ( )
2. Existe un manual de sistemas y procedimientos para las actividades de la
empresa?
Si ( )
No ( )
3. Est documentado?
Si ( )
No ( )
4. Est actualizado?
Si ( )
No ( )
46
No ( )
No ( )
47
Si ( )
No ( )
ANEXO 9
EVALUACIN SEGURIDAD DEL SISTEMA APLICATIVO
DEPARTAMENTO DE SISTEMAS
Empresa: AGROPESCA S.A.
Persona entrevistada:
Cargo:
Asistente de sistemas
No ( )
26.Est actualizado?
Si ( )
No ( X )
48
No ( X )
49
Si ( )
No ( x )
50
3. Se examinan los servicios de internet que los usuarios necesitan para darles el
respectivo acceso?
Si ( x )
No ( )
Observacin:
Los gerentes tienen un acceso total y el personal acceso limitado a correo y paginas
especificas.
4. Se permiten slo los servicios que se comprenden o se tiene experiencia, que se
pueden proporcionar con seguridad y para los cuales existen una necesidad
legtima?
Si ( x )
No ( )
Observacin:
Bancos, servicio de impuestos internos (SII), pginas de instituciones pblicas.
5. Se generan registros de los intentos de accesos no autorizados?
Si ( )
No ( x )
6. Es lo suficientemente rpido para que no demore a los usuarios en sus intentos
por acceder a la red?
Si ( x )
No ( )
ANTIVIRUS
1. Existen controles contra el uso de software malicioso (virus)?
Si ( x )
No ( )
2. Todo el trfico originado por una red no confiable es chequeada por el antivirus
dentro de la organizacin? Ejemplo: Comprobar si hay virus en el email, los
archivos adjuntos del email y en la web?
Si ( x )
No ( )
Observacin:
Se elimina cualquier virus de los correos, archivos adjuntos y archivos bajados de la
Web y medios de almacenamiento mediante un escaneo por parte del encargado de
sistemas
3. Hay un antivirus instalado en cada equipo (incluidos los servidores) o hay un
solo antivirus en toda la red?
Antivirus instalado en los servidores y en los equipos.
4. El software antivirus est instalado en los equipos para que cheque, aisl o
remueva cualquier virus de la computadora o medios de almacenamiento?
Si ( x )
No ( )
5. Qu procedimiento siguen en el caso de una infeccin con un virus?
Se trata de eliminar el virus, de no lograrse esto, se formatea el disco duro del
equipo infectado.
51
Si.
6. El escaneo de las mquinas se realiza por cuenta de cada usuario o lo realiza el
encargado de sistemas?
El escaneo lo realiza el Asistente de sistemas.
7. Cada cunto tiempo se hace un escaneo total de virus en los servidores y en
los equipos de los usuarios?
Cada tres meses.
8. Quin se encarga?
El asistente de sistemas.
9. Se hacen chequeos ocasionales para ver si se han actualizado los antivirus?
Si ( x )
No ( )
52
ANEXO 11
53
ANTIVIRUS
10.Existen controles contra el uso de software malicioso (virus)?
Si ( x )
No ( )
11.Todo el trfico originado por una red no confiable es chequeada por el antivirus
dentro de la organizacin? Ejemplo: Comprobar si hay virus en el email, los
archivos adjuntos del email y en la web?
Si ( x )
No ( )
Observacin:
Se elimina cualquier virus de los correos, archivos adjuntos y archivos bajados de la
Web y medios de almacenamiento mediante un escaneo por parte del encargado de
sistemas
12.Hay un antivirus instalado en cada equipo (incluidos los servidores) o hay un
solo antivirus en toda la red?
Antivirus instalado en los servidores y en los equipos.
13.El software antivirus est instalado en los equipos para que cheque, aisl o
remueva cualquier virus de la computadora o medios de almacenamiento?
Si ( x )
No ( )
14.Qu procedimiento siguen en el caso de una infeccin con un virus?
Se trata de eliminar el virus, de no lograrse esto, se formatea el disco duro del
equipo infectado.
Si.
15.El escaneo de las mquinas se realiza por cuenta de cada usuario o lo realiza el
encargado de sistemas?
El escaneo lo realiza el Asistente de sistemas.
16.Cada cunto tiempo se hace un escaneo total de virus en los servidores y en
los equipos de los usuarios?
Cada tres meses.
17.Quin se encarga?
El asistente de sistemas.
18.Se hacen chequeos ocasionales para ver si se han actualizado los antivirus?
Si ( x )
No ( )
54
55
ANEXO 12
EVALUACIN SEGURIDAD EN LOS RECURSOS HUMANOS
DEPARTAMENTO DE RECURSOS HUMANOS
Empresa: AGROPESCA S.A.
Persona Entrevistada:
Cargo:
Jefe de recursos Humanos
181. Se verifican los antecedentes del posible empleado antes de ser contratado?
Si ( )
No ( X )
Observacin: Algunos de los candidatos son enviados por empresas
subcontratistas que evalan y verifican previamente sus datos.
182. Existe una clusula de confidencialidad en el contrato de trabajo para los
empleados, especialmente si son postulantes para algn cargo en el
departamento de sistemas?
Si ( )
No ( x )
183. Este contrato es firmado y ledo por el empleado antes de que ingrese a
laborar en la empresa?
Si ( x )
No ( )
184. Todos los empleados de la organizacin reciben el entrenamiento apropiado
en materia de seguridad de la informacin y actualizaciones regulares en
polticas y procedimientos de la organizacin?
Si
No
Al iniciar su labor en la organizacin
(x) ( )
Durante su vida laboral en la empresa
( )
(x)
185. Se evala peridicamente el comportamiento del personal, especialmente si
estos tienen privilegios dentro de la organizacin?
Si ( )
No ( x )
186. Existe una adecuada separacin de funciones de los empleados dentro de la
organizacin, especialmente de los que forman el departamento de sistemas?
Si ( )
No ( x )
187. Existe un adecuado procedimiento para dar de baja a los empleados cuando
estos se ausentan definitivamente de la empresa?
Si ( )
No ( x )
56
57
(ANEXO 14 Y 15 )
VULNERABILIDADY FACTORES DE RIESGO
SISTEMAS DE CONTROL
FALLAS:
No existen polticas de seguridad.
Falta personal especialista en seguridad de la informacin.
No se bloquea el equipo por ingresar una clave incorrecta.
Falta registro de acceso a la base de datos.
No hay un lmite de intentos fallidos en el sistema al ingresar una clave errnea.
Manual y un procedimiento de configuracin los cuales estn obsoletos de los
sistemas .
No existen evaluaciones de la seguridad al sistema.
No se cuenta con poltica para la gestin de claves.
Generacin de reportes del sistema sin documentar.
No existe un registro del cambio de privilegios en el sistema, en caso de que el
usuario cambie de funcin dentro de la organizacin.
58
NIVEL DE SENSIBILIDAD
FALLAS:
Mala ubicacin del servidor de produccin.
No existen extintores de incendio en el departamento de Sistemas.
No estn habilitados los protectores de pantalla .
Falta de un lugar para efectuar el mantenimiento de equipos.
Los cables de red estn a la intemperie sin proteccin.
La sala de Lubricantes posee acceso a travs de la oficina donde se encuentran
los servidores por medio de una puerta interna.
No existen medidas de ningn tipo para evitar las posibilidades de amago de
incendio (faltan extintores, aspersores de agua, etc.), no existen alarmas de
incendio.
Las Fotocopiadoras funcionan sin clave, es decir cualquier persona ajena a la
empresa o a quien cuya funcin no le corresponde utilizarla, puede hacer uso de
esta.
OMPLEJIDAD
FALLAS:
Falta de seguridad para los respaldos.
No cuenta con un contrato de Outsourcing que proteja la seguridad de los
equipos e informacin.
Falta de restricciones en el horario para ingresar al sistema
No se bloquea el equipo por ingresar una clave incorrecta
Los equipos inactivos no cuentan con un bloqueo de seguridad para proteger los
datos
Las impresoras no se bloquean cuando no estn en actividades
Falta de proteccin de los equipos con cubierta plsticas o de otro material
Faltan respaldos de ventilacin para los equipos
No se cuentan con personal para los mantenimientos de los equipos
No existe un control de registro de acceso no autorizado, autorizado y fallidos
Falta de seguridad cuando intentan varias veces en forma incorrectas ingresar al
sistema
59
MATERIALIDAD
FALLAS:
Falta de restricciones en el horario para ingresar al sistema.
Establecer un tiempo lmite de conexin a la base de datos y el sistema.
Falta un mtodo nico control de revisin de los equipos.
Establecer procedimientos de revisin de los trabajos de la empresa externa que
est a cargo de los equipos.
No se dispone de equipos de respaldo.
Establecer una cantidad a determinar de Notebooks adaptados para el uso
inmediato en caso de falla de una estacin de trabajo.
No se registran los cambios en las aplicaciones.
No hay procedimientos para baja de equipos.
Generar evaluacin de equipos para reventa o reciclaje.
No Existen revisiones del sistema elctrico de la empresa.
Realizar una revisin semestral del sistema elctrico por parte de un tcnico.
No existe un plan de backup o respaldos.
Implementar un sistema de respaldos automtico.
No se lleva ninguna revisin ni control sobre las cuentas de los usuarios
Crear un registro de cuentas, conexiones y bloqueos.
60
IMAGEN
FALLAS:
Falta personal especialista en seguridad de la informacin
Contratar un especialista o capacitar a un empleado.
Riesgo de confidencialidad por manejo externo de los equipos que guardan la
informacin.
Comprar y administrar los servidores en la empresa.
Falta de seguridad para los respaldos.
Asignar dos trabajadores para la realizacin de respaldos.
Falta de equipos de respaldo en caso de contingencia
Habilitar PCs para contingencias y sistemas de energas alternas como
generadores.
Desactualizacin del manual de usuario del sistema.
Generar un nuevo manual de usuario de sistemas.
AUDITORAS PREVIAS
Situacin Actual
Se desprende de las entrevistas realizadas y de los antecedentes previos
recabados y entregados por la empresa que no se han realizado auditoras de
seguridad ya sea a modo general, como tambin en modo particular al rea
de Tecnologa.
61
Situacin Actual
AGROPESCA, y en particular su Departamento de Tecnologa cuenta con
algunos procedimientos bsicos que determinan el protocolo a seguir en caso
de falla o desastre.
62
(ANEXO16)
PONDERACIN DE LOS FACTORES DE RIESGO
FACTOR DE RIESGO
POND.
Sistemas de Control
25%
Nivel de Sensibilidad
10%
Complejidad
20%
Materialidad
15%
Imagen
15%
Auditoras Previas
Plan de Contingencia
5%
10%
TOTAL
100%
63
(ANEXO 17)
VALORACIN DE RIESGO
MTRICAS DE FACTORES DE RIESGO
N Factor de
Riesgo
Mtricas
SISTEMAS
DE
CONTROL
NIVEL
DE
SENSIBILIDAD
COMPLEJIDAD
Pond.
Bajo
Medio
Alto
MATERIALIDAD
Importancia Baja
Importancia Media
Importancia Alta
IMAGEN
AUDITORIAS
PREVIAS
Hace 1 ao
Entre ms de 1 y 2 aos
Hace ms de 2 aos
No se ejecutaron auditoras
PLAN
Existen planes de contingencia
DE
CONTINGENCIA No existen planes de contingencia
64
(ANEXO 18)
VALORACION DE ACTIVOS CRITICOS
N
1
2
3
4
5
1. ACTIVOS DE INFORMACION
UBICACIN
ACTIVO CRITICO O RECURSO
INFORMATICO
REA
DEPTO.
ENCARGA
DO
Jefe
BASE DE DATOS DE LA
SISTEMAS SISTEMAS
Sistemas
EMPRESA
Jefe
SISTEMAS SISTEMAS
PLAN TECNOLOGICO
Sistemas
Jefe
SISTEMAS SISTEMAS
ARCHIVOS DE BACKUP
Sistemas
SISTEMAS SISTEMAS
ASISTENT
Y
Y
E
INVENTARIOS
CONTABILI CONTABILI
SISTEMAS
DAD
DAD
JEFE
MANUAL DE
SISTEMAS SISTEMAS
SISTEMAS
SISTEMAS(OBSOLETO)
REA
SISTEMA
S
SISTEMA
S
4
5
SISTEMA
S
SISTEMA
S
REA
Sistemas
Sistemas
3
4
5
6
7
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
2. ACTIVOS DE SOFTWARE
UBICACIN
ACTIVO CRITICO
DEPTO.
ENCARGAD
O
SISTEMA
Jefe de
Software de sistemas SAFI
S
sistemas
Asistente
SISTEMA
de
Sistema Operativos
S
Sistemas
SISTEMA
JEFE
FIREWALL
S
SISTEMAS
SISTEMA
ASISTENTE
DESARROLLO DE SOFTWARE
S
3. ACTIVOS FSICOS
UBICACIN
ACTIVO CRITICO
DEPTO.
ENCARGADO
Jefe de
Sistemas
Servidor de Base de Datos
sistemas
Jefe de
Sistemas
Recursos del rea
sistemas
SISTEMA
JEFE
COMPUTADOR
S
SISTEMAS
SISTEMA
ASISTENTE
COMPUTADOR
S
SISTEMA
AUXILIAR
COMPUTADOR
S
SISTEMA
JEFE
SWITCH, HUB Y 2 MODEMS
S
SISTEMAS
TELCOMNORT
EXTERNO
SERVIDORES
E
65
4. SERVICIOS
N
REA
Sistemas
SISTEMA
S
SISTEMA
S
4
5
6
SISTEMA
S
SISTEMA
S
SISTEMA
S
UBICACIN
DEPTO.
ENCARGADO
Jefe de
Sistemas
siste6mas
SISTEMA
JEFE
S
DEPARTAMENTO
JEFE
EXTERNO DEPARATAMENT
O
SISTEMA
ASISTENTE
S
SISTEMA
AUXILIAR
S
SISTEMA
AUXILIAR
S
ACTIVO CRITICO
Servicio de Internet
SERVICIO DE TRATAMIENTO
Y COMUNICACIONES
RED LAN INTERNET
ENTEL.S.A A TRAVES DE
TELCOMNORTE.
SOPORTE TECNICO A
USUARIOS
SOPORTE A USUARIOS
CHEQUEO CONEXIN A BD
66
5. PERSONAS
UBICACIN
DEPTO.
REA
GERENCIA
FINANCIERA
DEPARTAMEN
TO SISTEMAS
3
4
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
SISTEMAS
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
6.
REA
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
ACTIVO CRITICO
ENCARGAD
O
GERENTE
FINANZAS
JEFE
DERTAME
NTO
JEFE DE FINANAZAS
JEFE DEPARTAMENTO
(ADMINISTRADOR)
ASISTENTE
ASISTENTE (SOPORTEPROGRAMADOR)
AUXILIAR
AUXILIAR. (SOPORTE)
OTROS
UBICACIN
DEPTO.
ENCARGADO
SISTEMA
ASISTENTE
S
JEFE
SISTEMA
DEPARATAME
S
NTO
JEFE
SISTEMA
DEPARATAME
S
NTO
JEFE
SISTEMA
DEPARTAMEN
S
TO
ACTIVO CRITICO
MEJORAR PLATAFORMA
TECNOLOGICA
MANTENER DISPONIBILIDAD
DE LA INFORMACION
GENERAR INFORMACION
ESTADISTICA
MINIMIZAR COSTOS
OPERATIVOS Y DE LOS
SERVICIOS.
67
(ANEXO 19)
MATRIZ DESCRIPTIVA
68
(ANEXO 20)
MATRIZ PODERADA
69
(ANEXO 21)
MATRIZ CATEGORIA
70
(ANEXO22)
POLITICAS DE SEGURIDAD
INTRODUCCIN EJECUTIVO
Sres. AGROPESCA S.A,
El presente informe analizar y propondr las medidas adecuadas sobre las
polticas de seguridad donde vamos a ver estas, tanto fsica, lgicas, recursos
humanos etc. vulnerabilidades y fallas de seguridad detectadas durante la revisin
solicitada por vuestra empresa. Tambin se indicarn las estrategias necesarias para
Proteger los recursos de informacin de la Empresa y la tecnologa requerida para su
procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales,
con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la informacin.
Se realiza este documento para su conocimiento.
71
INFORME:
POLTICAS DE SEGURIDAD NFORMTICA
I.
Justificacin
Los activos de informacin y los equipos informticos son recursos
importantes y vitales de toda compaa y el asegurar la disponibilidad y
funcionamiento efectivo de ellos se hace una tarea crtica para el
funcionamiento de cualquier empresa. Por ello las polticas de seguridad
informtica tienen por objeto establecer las medidas de ndole tcnica y de
organizacin, necesarias para garantizar la seguridad de las tecnologas de
informacin (equipos de cmputo, sistemas de informacin, redes (Voz y Datos))
y personas que interactan haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de la empresa.
II.
Generalidades
Est poltica debe corresponder a los fines buscados por la empresa que
permita asegurar los datos y sistemas informticos involucrados.
Objetivo
Proveer lineamientos y procedimientos generales para efectiva proteccin de
los datos y activo fijo informtico de AgroPesca S.A.
Alcance
Este documento comprende todo el equipamiento informtico, medios de
almacenamientos y respaldos y equipos de comunicaciones propios y/o arrendados
por Agropesca S.A., en Casa matriz, sucursales y Centros de Datos asociados a
Agropesca S.A. En relacin a las responsabilidades generadas, comprende al
Departamento de Tecnologa.
Responsabilidades
Los siguientes encargados son responsables, en distintos grados, de la
seguridad en la compaa:
1. Gerente de Tecnologa: Es responsable de validar el cumplimiento cabal de
las polticas de seguridad mencionadas en este documento, como as tambin
definir las responsabilidades generales asociadas.
2. Jefe de Sistemas y Seguridad TI: Es el encargado de definir los roles y
responsabilidades individuales en el cumplimiento de las Polticas de
Seguridad descritas. Adems, es el responsable de revisar el cumplimiento
concreto de estas medidas y generar informes sobre su estado actual de
cumplimiento.
72
73
74
11.
El Centro de Datos debe estar monitoreado por un Sistema de Video vigilancia
o similar para mantener un registro de los accesos a dicha dependencia.
Adicionalmente, se debe mantener un registro de los accesos al Centro de Datos, ya
sea por el registro del sistema de autenticacin de acceso, o el uso de un cuaderno
o libro de registro.
75
POLTICA DE SEGURIDAD
LOGICA
Propsito
Tiene como propsito controlar el acceso a la informacin y los procesos del
negocio.
Alcance
Aplica a todas aquellas medidas establecidas por la administracin -usuarios y
administradores de recursos de tecnologa de informacin- para minimizar los
riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando la tecnologa de informacin, como por ejemplo:
Restringir el acceso a los programas y archivos
Asegurar que se estn utilizando los datos, archivos y programas correctos en y por
el procedimiento correcto.
Controles generales
Cuentas
1. Se debe crear un documento en donde el empleado declare conocer las polticas y
procedimientos de seguridad y se haga responsable del uso de su cuenta de
usuario.
2. Solo el administrador puede crear modificar o eliminar cuentas.
3. Las cuentas deben dividirse segn el tipo de cuentas para otorgarles privilegio
segn corresponda.
4. Las cuentas deben ser otorgadas exclusivamente a usuarios legtimos.
5. El administrador no debe utilizar la cuenta de mayores privilegios para sus
actividades diarias que no necesitan accesos especiales.
6. Eliminar los usuarios que se van generando innecesariamente como duplicados, de
prueba etc.
7. Toda cuenta queda automticamente suspendida despus de un cierto periodo de
inactividad. El periodo recomendado es de 30 das.
8. Las cuentas temporales quedarn desactivadas automticamente en la fecha de
vencimiento que se les asign.
Contraseas
1.
La contrasea es personal e intransferible.
2.
La longitud de la contrasea sern de mnimo 8 caracteres y mximo
10.
3.
Cada contrasea debe tener nmeros y letras combinados.
4.
Las contraseas deben expirar cada 30 das.
5.
Est prohibido que los usuarios construyan contraseas compuestas de
algunos caracteres constantes y otros que cambien de manera predecible y sean
fciles de adivinar.
6.
Las contraseas no deben tener espacio ni caracteres extraos.
76
7.
Las contraseas al momento de renovarla no debe ser igual a la
antigua.
8.
La contrasea debe tener al menos un carcter en mayscula.
1.
2.
3.
4.
5.
Control de acceso
Todos los usuarios debern acceder al sistema contable utilizando algn programa
que permita una comunicacin segura y encriptada.
Se debe guardar el registro de todos los usuarios que ingresan al sistema.
La capacidad de tener acceso al sistema no constituye la autorizacin a tal acceso.
Los usuarios deben desloguearse cada vez que salgan del sistema.
Se deben establecer das y horas de trabajo para los usuarios dentro del sistema
contable.
Aplicaciones
1. Los usuarios solo podrn acceder a las aplicaciones autorizadas.
2. Las aplicaciones deben estar definidas a que servicios y/o servidores se conectan.
3. Se deben generar registros del uso de las aplicaciones que contengan:
Tiempos de conexin.
1.
2.
3.
4.
77
POLTICA DE SEGURIDAD
EN REDES
Propsito
El principal propsito es impedir que intrusos acceden o modifiquen la informacin y
en su dado caso hagan mal uso de ella. Objetivos: Proteger la confidencialidad,
Mantener la integridad, Asegurar la disponibilidad.
Alcance
Esta poltica se aplica a todos los empleados, y personal temporal de la compaa.
Controles generales
1.
2.
3.
4.
5.
6.
78
POLTICA DE SEGURIDAD
EN LOS RECURSOS HUMANOS
Propsito
El propsito de esta poltica es establecer las directrices, los procedimientos y los
requisitos para reducir los riesgos de error humano, robo, fraude o uso inadecuado
de las instalaciones.
Alcance
Esta poltica se aplica para desarrollar y ejecutar de manera correcta las acciones,
actividades, labores y tareas que deben realizarse y que han sido solicitadas a
dichas persona.
1.
2.
3.
4.
5.
6.
7.
Controles generales
Se deben verificar las recomendaciones y antecedentes de los postulantes a
ingresar a la empresa.
Capacitar a las personas que son parte de la empresa para desempear mejor sus
funciones
Inducir a los empleados que se incorporen a la empresa que se sientan bienvenidos
y puedan rendir en sus puesto
un buen clima de trabajo ayuda a mejorar la productividad, reducir el ausentismo,
reducir los conflictos y aumentar la satisfaccin de todos
Debe existir una adecuada separacin funciones entre los empleados,
especialmente los integrantes del rea de sistemas.
Realizar una evaluacin al desempeo de cada persona
En caso necesario llevar a cabo retroalimentacin
79
POLTICA DE SEGURIDAD
EN EL OUTSOURCING
Propsito
El propsito de esta poltica es aumentar la rentabilidad de a travs de la mejora en
los niveles de productividad con mayor flexibilidad interna y maximizando la
administracin del tiempo. Tambin reducir los riesgos asociados a la seguridad de
informacin.
Alcance
Ests polticas son aplicables para todo tipo de servicio externo que la empresa
solicite.
Controles generales
1.
2.
3.
4.
80
POLTICA DE PLANIFICACIN
DE SEGURIDAD INFORMTICA
Propsito
Regular la proyeccin realizada por el departamento informtico o comit los pasos
a seguir en el desarrollo o actualizacin de los procedimientos de seguridad que se
usan o que se pueden implementar.
Alcance
Esta poltica se aplica a toda la organizacin.
Controles generales
1.
Implementar un plan de acuerdo a las necesidades de las tecnologas
2.
El plan de seguridad informtica debe mantenerse actualizado.
3. Las adquisiciones de hardware, software u otros servicios informticos, deben
responder a los objetivos incluidos en el plan de seguridad informtica de la
organizacin. Las situaciones de excepcin deben ser autorizadas por la
Gerencia de la organizacin.
4.
Se debe corroborar el acceso al manual de seguridad.
5.
Controlar la ejecucin del manual de seguridad.
6.
Generar reportes de fallas y ataques que permitan planificar cambios
en el manual de seguridad.
7. Analizar la tendencia del desarrollo de los software de uso de la empresa y de
las nuevas tecnologas que sean de inters de la empresa.
8. Actualizar el listado de programas nocivos para la empresa que no deben ser
utilizados ni instalados en los computadores de la empresa.
81
Propsito
Garantizar la continuidad de las operaciones de negocio de la compaa y limitar el
impacto econmico/financiero e intangible en el negocio en caso que se detecte un
evento inesperado que ocasione la interrupcin de las operaciones de la compaa.
Alcance
Puede abarcar toda la empresa o solo una parte de esta misma, o una sucursal ya
que una problemtica de carcter fsica, de conectividad, de compatibilidad o
energtica puede darse en cualquier momento y lugar.
Controles generales
1. La recuperacin de la informacin despus de un siniestro o ataque debe
seguir las polticas de seguridad lgica.
2. Se debe conformar un informe de cada suceso de amenaza o siniestros
siguiendo los protocolos de seguridad y las polticas de seguridad fsica.
3. Deben ponerse a prueba tales planes en un intervalo de seis meses. Las
actividades de planificacin de contingencia deben ser coordinadas y
administradas en forma centralizada.
4. Las copias de resguardo de los sistemas principales, los datos de registros
esenciales y la documentacin de Tecnologa Informtica, deben ser
almacenadas teniendo en cuenta las polticas de seguridad fsica.
5. La actualizacin o modificacin de las polticas deben estar autorizadas por el
gerente de sistemas
6. Dichos planes deben ser revisados y actualizados cada seis meses.
7. Se debe disear un plan de contingencia que abarque las amenazas ms
importantes.
8. Al presentarse un evento se debe tener conocimiento del plan de
contingencia y el encargado de rea debe ejecutar el plan de contingencia
correspondiente.
9. Se debe determinar en el plan de contingencia los tipos de eventos para su
fcil identificacin, de no ser as, generar un registro del evento y de la
solucin empleada.
10.
La recuperacin de desastre debe ser evaluada luego de su ejecucin y
de la normalizacin de las actividades de la empresa, para determinar la
efectividad de la recuperacin.
82
CONCLUSINES FINALES
AGROPESCA, es una empresa consolidada en el mercado, su trayectoria
nacional e internacional la posicionan como lder en su rubro y con un gran margen
de crecimiento hacia el futuro. Este este mismo crecimiento es el que hace
necesario y obligatorio el poner como prioridad de alcance crtico el tema de la
Seguridad, a modo general y en especial respecto de las Tecnologas de Informacin.
83