UNIVERSIDAD NACIONAL DE INGENIERA

Facultad de ciencias y sistemas

UNI-IES

Auditoria de Sistemas
Caso de Estudio
Autores:

Luis Carlos Lpez Colomer.

Juan Carlos Gadea Brenes.
Luis Javier Alvarez Conrado.
Alfredo Benjamn Rojas McDonald.

Docente:
Ing. Juan Jos Cruz.

16 de Mayo del 2016.

a)

El planteamiento del caso en donde se define el objetivo

y propsito del proyecto, las consideraciones de negocios,
la visin del proyecto, etc.

Empresa de alquiler de contenedores de transporte que radica en Veracruz y

brinda sus servicios a empresas consignatarias, Dicha empresa tiene sedes en
20 ciudades portuarias adems de reparar y dar mantenimiento a contenedores
de las empresas q tienen propios de ellos.
Esta empresa avoco por que se le hiciera una auditoria estratgica de la
seguridad y as mejorar la gestin de la seguridad informtica.
Objetivo.
Identificar y prevenir los posibles riesgos que se pueden presentar tanto
en el hardware como en los softwares que presenta la empresa para su
actividad diaria y brindar recomendaciones para minimizar dichos
riesgos.
Propsito del Proyecto
Desarrollar un plan para implantar la funcin de la seguridad informtica
dentro de la empresa de alquiler y mantenimiento de trasporte.
Consideraciones del Negocio.
Esta empresa que se dedica al alquiler y mantenimiento de contenedores de
transporte posee dos actividades:

Alquiler de contenedores: brindan el servicio de alquiler de contenedores

de transporte a empresas consignatarias.

Subcontratacin de reparacin de contenedores gestionada atreves de
agentes locales.

Procesos de negocio

Proceso 1: Recepcin de pedidos y reparaciones mediante correo

electrnico.

Proceso 2: Carga de datos de pedidos y reparaciones de agentes,

informe semanales de estado.

Proceso 3: Facturacin y emisin de cargo/abonos, previsin de

tesorera y pliza de crdito.

Proceso 4: Contratos y nminas.
Proceso 5: Contabilidad.
Proceso 6: Copias de seguridad semanal y mensual en cinta de: gestin,
contabilidad y nmina.

Misin de la empresa
Nuestra misin es ofrecer contenedores de transporte de alta calidad,
seguridad, funcionalidad y presentacin satisfaciendo las necesidades
de empresa consignatarias y ofrecer el servicio de reparacin y
mantenimiento de contenedores de forma oportuna y eficiente,
comprometidos con el desarrollo y bienestar social de la regin.
Visin de la empresa
Ser la empresa lder en el mercado internacin en el alquiler de
contenedores de transporte y subcontratacin de reparacin de
contenedores, proporcionando soluciones innovadoras, de alta calidad y
oportunas para cada cliente.
b)

La propuesta de un organigrama con roles y responsabilidades de

los involucrados.

Estructura Organizativa, formada por:

2 socios (General y Comercial)

1 Director Financiero y de Compra
1 Directo de rea Legal y Recursos Humanos
1 Responsable Administracin de facturacin y Reparaciones
5 Administradores que gestionan los pedidos de alquiler y reparacin.

Propuesta de Organigrama.

Manual de Funciones de los Involucrados.

Director General.

Nombre del
Puesto

Director General.

Funciones del
Cargo

Nivel Acadmico
Requerido

Experiencia
Profesional
Habilidades y
Competencias

Planificar los objetivos generales y

especficos de la empresa a corto y largo
plazo.
Organizar la estructura de la empresa
actual y a futuro; como tambin de las
funciones y los cargos.
Dirigir la empresa, tomar decisiones,
supervisar y ser un lder dentro de sta.
Controlar las actividades planificadas
comparndolas con lo realizado y detectar
las desviaciones o diferencias.
Coordinar con el Ejecutivo de Venta y la
Secretaria las reuniones, aumentar el
nmero y calidad de clientes, realizar las
compras de materiales, resolver sobre las
reparaciones o desperfectos en la empresa.
Decidir respecto de contratar, seleccionar,
capacitar y ubicar el personal adecuado
para cada cargo.
Analizar los problemas de la empresa en el
aspecto financiero, administrativo, personal,
contable entre otros.

Idioma: Ingls.
Estudios superiores: Universitarios y/o
Tcnicos.
Ttulos: Ingeniero Comercial, Ingeniero en
Administracin de Empresas.
Estudios complementarios: Computacin,
administracin, finanzas, contabilidad,
comercializacin y ventas.
2 aos de experiencia como mnimo en
cargos similares.
Trabajo en Equipo y Liderazgo.
Excelente Presentacin.
Amabilidad y discrecin
Capacidad de Anlisis.
Trabajo bajo presin.
Director Comercial.

Nombre del
Puesto

Director Comercial.
Crear, definir e implementar junto con la

Funciones del
Cargo

Nivel Acadmico
Requerido

Experiencia
Profesional
Habilidades y
Competencias

Direccin General, la estrategia comercial

de la compaa.
Elaborar argumentaros de venta,
rutas/zonas comerciales, poltica de
incentivos, poltica de precios.
Gestin, control, supervisin y motivacin
del equipo bajo su responsabilidad.
Supervisin y accin directa sobre los
principales clientes de la compaa.
Gestin y optimizacin del presupuesto
asignado.
Analizar y conocer el mercado y la
competencia existente o potencial,
definiendo acciones que permitan aumentar
la cuota de mercado y el posicionamiento
de la compaa.
Idioma: Ingls.
Estudios superiores: Universitarios y/o
Tcnicos.
Ttulos: Marketing, Administracin de
Empresas.
Estudios complementarios: Computacin,
administracin, finanzas, contabilidad,
comercializacin y ventas.
5 aos de experiencia como mnimo en
cargos similares.
Trabajo en Equipo y Liderazgo.
Excelente Presentacin.
Amabilidad y discrecin
Capacidad de Anlisis.
Trabajo bajo presin.

Director Financiero.
Nombre del
Puesto

Director Financiero.

Funciones del
Cargo

Nivel Acadmico
Requerido

Experiencia
Profesional
Habilidades y
Competencias

Crear, definir e implementar junto con la

Direccin General, la estrategia comercial
de la compaa.
Elaborar argumentaros de venta,
rutas/zonas comerciales, poltica de
incentivos, poltica de precios.
Gestin, control, supervisin y motivacin
del equipo bajo su responsabilidad.
Supervisin y accin directa sobre los
principales clientes de la compaa.
Gestin y optimizacin del presupuesto
asignado.
Analizar y conocer el mercado y la
competencia existente o potencial,
definiendo acciones que permitan aumentar
la cuota de mercado y el posicionamiento
de la compaa.
Idioma: Ingls.
Estudios superiores: Universitarios y/o
Tcnicos.
Ttulos: Marketing, Administracin de
Empresas,
Estudios complementarios: Computacin,
administracin, finanzas, contabilidad,
comercializacin y ventas.
4 aos de experiencia como mnimo en
cargos similares.
Trabajo en Equipo y Liderazgo.
Excelente Presentacin.
Amabilidad y discrecin
Capacidad de Anlisis.
Trabajo bajo presin.
Dinmico
Honrado

Director Recursos Humanos y Legal.

Nombre del

Director Recursos Humanos y Legal

Puesto

Funciones del
Cargo

Nivel Acadmico
Requerido

Experiencia
Profesional
Habilidades y
Competencias

Asesorar y proponer al Directorio, la

Gerencia General y otras reas del
Organismo normas y reglamentaciones en
materia de Gestin de Recursos Humanos,
Salud Ocupacional, Relaciones Laborales y
Sindicales y su posterior implementacin.
Asesorar al Directorio, la Gerencia General
y otras reas del Organismo que
corresponda, en materia de polticas,
prcticas, proyectos, planes y programas de
Gestin de Recursos Humanos.
Asesorar al Directorio, la Gerencia General
y otras reas del Organismo que
corresponda, en la elaboracin de polticas
y en la implementacin de los cambios
relativos a estructuras funcionales y
organizativas, y orientar la ejecucin de
programas y estudios de racionalizacin en
aspectos de su competencia.
Dirigir, controlar y gestionar la formulacin
de polticas y posibles modificaciones
referidas a la estructura de Cargos y a las
prcticas de Anlisis y Descripcin de
Cargos que sean aprobadas por las
autoridades, y desarrollar y controlar su
posterior implementacin.
Dirigir, controlar y gestionar la formulacin
de polticas, proyectos, planes y programas
relativos al Reclutamiento, Bsqueda y
Seleccin e Induccin, para proveer de
Recursos Humanos en la cantidad y calidad
necesaria para el logro de los objetivos del
Organismo y su posterior implementacin.
Estudiar y analizar problemas jurdicos a
peticin del Gerente General o el Directorio.

Idioma: Ingls.
Requiere de estudios profesionales
preferentemente en Administracin de
Recursos Humanos, Administracin de
Empresas, Psicologa u otras disciplinas
afines. con la Administracin de Personal.
3 aos de experiencia como mnimo en
cargos similares.
Trabajo en Equipo y Liderazgo.
Excelente Presentacin.
Amabilidad y discrecin

Capacidad de Anlisis.
Disposicin a Investigar.
Trabajo bajo presin.
Dinmico
Honrado

Administrador de Facturacin y Reparaciones.

Nombre del
Puesto

Administrador de Facturacin y Reparaciones

Funciones del
Cargo

Coordinar y Asegurar la facturacin

correcta y precisa de todos los
servicios prestados por la empresa
Asegurar la entrega de las facturas a
los clientes en tiempo y forma.
Asegurar que los gastos extras por
maniobras, demoras o estancias
sean cargados a la cuenta
correspondiente.
Asegurar y cotejar q las maniobras
estn previamente pagadas, para la
realizacin del servicio.
Asegurar que la facturacin del
servicio este al da con corte de caja.
Atencin del conmutador con calidad
y servicio.
Entregar los reportes e indicadores
en el tiempo indicado.

Planifica las actividades del personal

a su cargo.

Asigna las actividades al personal a

su cargo.

Supervisa el mantenimiento de las

instalaciones.

Ordena y supervisa la reparacin de

equipos.

Estima el tiempo y los materiales

necesarios para realizar las labores
de mantenimiento y reparaciones.

Elabora notas de pedidos de

materiales y repuestos.
Nivel Acadmico
Requerido

Licenciado en Administracin de Empresas.

Office Avanzado. L
Contabilidad Bsica. Administracin de
Personal.

Experiencia
Profesional
Habilidades y
Competencias

1 aos de experiencia como facturista y 2

como mantenimiento (Reparaciones)
Trabajo en Equipo y Liderazgo.
Excelente Presentacin.
Comunicacin Efectiva
Responsabilidad
Honrado
Disposicin a Investigar.
Trabajo bajo presin.

Administrador de Pedidos de Alquiler y Reparacin.

Administrador de Pedidos de Alquiler y
Reparacin.

Nombre del
Puesto

Elabora notas de pedidos de Alquiler.

Funciones del
Cargo

Analizar lista de pedidos.

Coordinar con gerencia pedidos.
Analizar equipos para su reparacin.

Realizacin de trabajos de
Mantenimiento.

Nivel Acadmico
Requerido

Ronda de inspeccin y control de

Instalaciones.
Licenciado en Administracin de Empresas.
Tcnico en Relaciones. Administracin de
Personal.

Experiencia
Profesional
Habilidades y
Competencias

1 aos de experiencia

Trabajo en Equipo y Liderazgo.

Excelente Presentacin.
Comunicacin Efectiva
Responsabilidad

c)

Honrado
Disposicin a Investigar.
Trabajo bajo presin.

Esquema de clasificacin de la informacin.

Cantidad
1

Nombre
Descripcin
Servidor Servidor web y Es una aplicacin de
de correo

red

computadora

ubicada en un servidor
de internet para prestar
servicio de aplicaciones
1

Servidor de Aplicaiones

y web
Es un servidor en una
rad de aplicaciones que
ejecuta

cierta

aplicaciones,
usualmente se trata de
un

dispositivo

software

de
que

proporciona servicio a
10

Ordenadores

los clientes
Ordenadores
personales conectados
en red local con sistema
opertico
office

Concentrador

Windows,

profesional

correo electrnico
de Es un elemento

de

comunicaciones

hardware que permite

concentrar el trfico de
red que proviene de
mltiples

Host

regenera

la

y
seal,

contiene varios puesto,

7

Lneas telefnicas

nivel 1 de modelo osci

Encargadas
de
la
comunicacin entre los
clientes y la empresa
as

como

la

comunicacin interna de
1

Router
comunicaciones

la empresa
de Es un dispositivo de red
que

permite

enrutamiento
redes

el
entre

independiente,

opera en la capa 3 del

Impresora

modelo osci
Es un tipo de impresora
que

realiza

sus

impresiones de grficos
y textos a una gran

10 MB

Acceso ADSL

velocidad y calidad
Es una tcnica

de

transmisin de datos a
alta

velocidad, ofrece

una mayor capacidad

de

transmisin

apropiadas para acceso

internet
1

basadas

en

sistemas web
Ocupan
ADSL/RDSI/RTB
establecen

canales

Ordenador
conectado

personal independientes sobre la

a

internet misma lnea telefnica

con ADSL/RDSI/RTB

estndar, dos canales

de alta velocidad 1 para
recibir

mandar
tercer

otro
datos

canal

para
y

para

un
la

comunicacin normal de
voz.
El

ordenador

cuenta

con sistema operativo

Windows,
profesional

office
y

correo

electrnico

d)

Exponer y explicar la normatividad que aplica para la

organizacin (Interna legal y regulatoria nacional y
extrajera).

Los desarrollos de sistemas, tanto internos como externos, debern respetar

los lineamientos y estndares definidos. El rea de informtica y la empresa
externa debern entregar al rea solicitante: los programas fuentes y
ejecutables, documentacin tcnica, manual de instalacin y manual del
usuario.
Las normas pueden servir de base tcnica para el comercio en los productos
finales y servicios entre compradores y vendedores, o como un medio para
facilitar la conformidad con las reglamentaciones tcnicas. Son desarrolladas a
travs de un proceso transparente, abierto y de consenso que involucra a las
partes interesadas, y definen la aptitud para su uso en el caso de las normas
relativas a productos, y de buenas prcticas para el caso de procesos o
servicios. Las normas para sistemas de gestin ayudan a las organizaciones en

el manejo de sus actividades. El amplio uso de las normas es un precursor

necesario para la evolucin de una cultura de la calidad en la sociedad.
El centro de cmputo no cuenta con una infraestructura que resguarde la
seguridad de los equipos de cmputo (router, hub, maquina servidor,
batera (UPS)).
No se cuenta con un firewall fsico.
No se cuenta con un plano de red.
No se cuenta con una planificacin para la realizacin de mantenimiento
preventivo a los equipos de cmputo de la red.
No existen revisiones peridicas de la red por tanto se presentan errores
y/o daos a la misma.
Los ordenadores no cuentan con antivirus
No utilizan tcnicas de respaldo (RAID, ALMACENAMIENTO EN LAS
NUBES)
No Cumple con las siguientes normas ISO:
ISO 27001 es una norma adecuada para cualquier organizacin, grande o
pequea, de cualquier sector o parte del mundo. La norma es particularmente
interesante si la proteccin de la informacin es crtica, como en finanzas,
sanidad sector pblico y tecnologa de la informacin (TI).

Seguridad en Recursos Humanos

La norma ISO27001 establece que se debe asegurar que los trabajadores,
subcontratas y terceras personas que tengan relacin con la organizacin
sepan cules son sus responsabilidades, con esto se puede reducir el riesgo
de hurto, fraude o mal utilizacin de las instalaciones de la empresa.

Las responsabilidades de seguridad se tienen que tratar antes realizar el

trabajo y debe tener perfectamente descritos los trminos y condiciones de
dicho trabajo. Los diferentes candidatos al puesto de trabajo, las subcontratas y
terceras personas tienen que estar adecuadamente seleccionados y para poder
utilizar las instalaciones deben firmar un acuerdo de confidencialidad.

Las funciones y las responsabilidades que tienen los trabajadores tienen que
estar definidos y documentadas de forma lineal con la poltica de seguridad
establecida por la ISO-27001.

Las funciones de seguridad y las responsabilidades tienen que encontrase

incluidas en los siguientes requisitos:

Implementadas y realizas segn la poltica de seguridad que establece

la norma ISO27001.

Tienen que proteger los diferentes activos de informacin de una

intrusin no autorizada, modificacin, destruccin, etc.

Realizar procesos particulares

Asegurar que la responsabilidad se asigna al individuo por tomar

decisiones.

Enviar eventos de seguridad para incrementar la concienciacin.

Las funciones de seguridad y la responsabilidad tienen que estar definidas
y ser comunicadas de forma clara a los posibles trabajadores durante el
proceso de seleccin.
Las descripciones de trabajo pueden ser utilizadas para documentar las
diferentes funciones de seguridad y los responsables. Todas las funciones de
seguridad y los responsables que no se encuentran relacionados con el
proceso de seleccin de la empresa, como pueden ser los que estn
contratados por la organizacin y son externo, tambin tienen que tener
perfectamente definidas y comunicadas las funciones de seguridad.

La norma ISO 17799 ofrece recomendacin para la gestin de la seguridad de

la informacin enfocada en el inicio, implantacin o mantenimiento de la

seguridad en una organizacin, la seguridad de la informacin se define como

la preservacin de:

Confidencialidad: aseguracin de la privacidad de la informacin de la

organizacin.
Integridad: garanta del estado original de los datos.
Disponibilidad: Acceso cuando sea requerido por los usuarios.
No repudio: Estadsticas de la acciones realizadas por el personal
autorizado el objetivo de la norma ISO 17799 es proporcionar una base
para desarrollar normas de seguridad dentro de las organizaciones y ser
una prctica eficaz de la gestin de la seguridad.

La ISO 14000 trata principalmente sobre gestin ambiental. Esto es lo que la

organizacin hace para minimizar los efectos nocivos que sus actividades
causan en el ambiente, y mejorar continuamente su desempeo ambiental.
Cuando la empresa hace uso del servicio de reparacin de contenedores.
Capacitacin efectiva segn la Norma ISO 9001 2000 para el buen uso de
correos electrnico.

Estar calificado versus Ser competente.

Capacitar solamente versus Evaluar la efectividad de la capacitacin.

Capacitar a aquellas personas que lo requieran.

Evaluar la efectividad de la capacitacin.

Identificacin de los contenedores: Los contenedores se identifican de acuerdo

con lo que establece la norma ISO 6346, mediante:

Un sistema de identificacin con un cdigo alfabtico de tres letras que

indica el propietario y una letra para el tipo de equipamiento, y un cdigo
con el nmero de serie asignado por el propietario y un dgito de

comprobacin.
Un cdigo de 4 dgitos que indica las medidas y el tipo de contenedor. El
primero ser refiere a la longitud del contenedor, el segundo a la altura y a
la presencia o no de tnel en cuello de cisne, mientras que los otros 2

son alfabticos e indican el tipo de contenedor.

Un cdigo de pas (norma ISO 3166)
Marcas de operacin con informacin para la manipulacin del
contenedor: peso, altura superior a la estndar, riesgo elctrico.

Los contratos deben incluir las siguientes especificaciones:

e)

Precio del alquiler.

Duracin del contrato.
Perodo de tiempo de arriendo.
Coste de la entrega y devolucin de los contenedores.
Condiciones de pago.
Condiciones de intercambio de los contenedores con terceras partes.
Condiciones de devolucin del equipo por fin de contrato.
Condiciones para las inspecciones de contenedores.
Condiciones de mantenimiento.
Valor depreciado y prdida total.

Definir 3 polticas, 3 estndares para cada poltica y

procedimientos para cada estndar.

Las polticas y estndares de seguridad informtica tienen por objeto establecer

medidas y patrones tcnicos de administracin y organizacin de las
Tecnologas de Informacin y Comunicaciones TICs de todo el personal
comprometido en el uso de los servicios informticos. Facilitando una mayor
integridad, confidencialidad y confiabilidad de la informacin generada por la
Empresa de alquiler de contenedores de transporte al personal, al manejo de
los datos, al uso de los bienes informticos tanto de hardware como de
software disponible, minimizando los riesgos en el uso de las tecnologas de
informacin.
Evaluacin de las polticas
Las polticas tendrn una revisin peridica se recomienda que sea semestral
para

realizar actualizaciones, modificaciones y ajustes basados en

las

recomendaciones y sugerencias.
Beneficios
Las polticas y estndares de seguridad informtica establecidas en el presente
documento

son

la

base

fundamental

para

la

proteccin

de

los

activos informticos y de toda la informacin de las Tecnologas de

Informacin y Comunicaciones en la Empresa.
Seguridad Institucional
Poltica: Toda persona que ingresa como usuario nuevo

a la Empresa de

alquiler de contenedores de transporte para manejar equipos de cmputo y

hacer uso de servicios informticos debe aceptar las condiciones de
confidencialidad, de uso adecuado de los bienes informticos y de la
informacin, as como cumplir y respetar al pie de la letra las directrices
impartidas

en

el

Manual

de

Polticas

Estndares

de

Seguridad

Informtica para Usuarios.

Usuarios Nuevos: Todo el personal nuevo de la Institucin, deber ser

notificado, para asignarle los derechos correspondientes (Equipo de Cmputo,
Creacin de Usuario para la Red (Perfil de usuario en el Directorio Activo) o en
caso de retiro del funcionario, anular y cancelar los derechos otorgados como
usuario informtico.
Obligaciones de los usuarios: Es responsabilidad de los usuarios de bienes y
servicios informticos cumplir las Polticas y Estndares de

Seguridad

Informtica para Usuarios del presente Manual.

Capacitacin en Seguridad Informtica: Todo servidor o funcionario nuevo
en Empresa de alquiler de contenedores de transporte deber contar con la
induccin sobre las Polticas y Estndares de Seguridad Informtica Manual
de Usuarios, donde se den a conocer las obligaciones para los usuarios y las
sanciones en que pueden incurrir en caso de incumplimiento.
Sanciones: Se consideran violaciones graves el robo, dao, divulgacin
de informacin reservada o confidencial de esta dependencia, o de que se le
declare culpable de un delito informtico.

Administracin de operaciones
Poltica: Los usuarios y funcionarios debern proteger la informacin utilizada
en la infraestructura tecnolgica de Empresa de alquiler de contendores de
transporte. De igual forma, debern proteger la informacin reservada o
confidencial

que por

necesidades

institucionales

deba

ser guardada,

almacenada o transmitida, ya sea dentro de la red interna institucional a otras

dependencias de sedes alternas o redes externas como internet. Los usuarios
y funcionarios de Empresa de alquiler de contenedores de transporte que
hagan uso de equipos de cmputos, deben conocer y aplicar las medidas para
la prevencin de cdigo malicioso como pueden ser virus, caballos de
Troya o gusanos de red.

Adquisicin del Software: Los usuarios y funcionarios que requieran la

instalacin de software que o sea

propiedad

de Empresa de alquiler de

contendores de transporte, debern justificar su uso y solicitar su autorizacin

con el visto bueno de su Jefe inmediato, indicando el equipo de cmputo
donde se instalar el software y el perodo de tiempo que ser usado. Se
considera una falta grave el que los usuarios o funcionarios instalen cualquier
tipo de programa (software) en sus computadoras, estaciones de trabajo,
servidores, o cualquier equipo conectado a la red que no est autorizado.
Seguridad de la Red: Ser considerado como un ataque a la seguridad
informtica y una falta grave, cualquier actividad no autorizada, en la cual los
usuarios o funcionarios realicen la exploracin de los recursos informticos
en la red de Empresa de alquiler de contendores de transporte, as como de
las aplicaciones que sobre dicha red operan, con fines de detectar y explotar
una posible vulnerabilidad.
Uso del Correo Electrnico: Los usuarios y funcionarios no deben usar
cuentas de correo electrnico asignadas a otras personas, ni recibir mensajes
en cuentas de otros. Si fuera necesario leer el correo de alguien ms
(mientras esta persona se encuentre fuera o de vacaciones) el usuario
ausente debe re- direccionar el correo a otra cuenta de correo

interno,

quedando prohibido hacerlo a una direccin de correo electrnico externa

a Empresa de alquiler de contendores de transporte, a menos que cuente con
la autorizacin. Los usuarios y funcionarios deben tratar los mensajes de
correo electrnico y archivos adjuntos como informacin de propiedad de la
empresa. Los mensajes de correo electrnico deben ser manejados como una
comunicacin privada y directa entre emisor y receptor. Los usuarios podrn
enviar informacin reservada y/o confidencial va correo electrnico siempre
y cuando

vayan

de

manera

encriptado

y destinada exclusivamente a

personas autorizadas y en el ejercicio estricto de sus funciones y

responsabilidades. Queda prohibido falsificar, esconder, suprimir o sustituir la
identidad de un usuario de correo electrnico.
Controles contra virus o software malicioso: Para prevenir infecciones por
virus informtico, los usuarios de la Empresa no deben hacer uso de software
que no hayan sido proporcionado y validad. Descargar Y Instalar NOD32 en y
revisar si se actualiza correctamente. Los usuarios de la empresa deben
verificar que la informacin y los medios de almacenamiento, estn libres de
cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software
antivirus autorizado. Todos los archivos de computadoras que sean
proporcionados

por personal externo o interno considerando al menos

programas de software, bases de datos, documentos y hojas de clculo que

tengan que ser descomprimidos, el usuario debe verificar que estn libres de
virus utilizando el software antivirus autorizado antes de ejecutarse. Ningn
usuario, funcionario, empleado o personal externo, podr bajar o descargar
software de sistemas, boletines electrnicos, sistemas de correo electrnico,
de mensajera instantnea y redes de comunicaciones externas, sin la debida
autorizacin. Cualquier usuario que sospeche de alguna

infeccin por virus

de computadora, deber dejar de usar inmediatamente el equipo y notifica.

Seguridad Fsica y del Medio Ambiente
Poltica: Para el acceso a los sitios y reas restringidas se debe notificar para la
autorizacin correspondiente, y as proteger la informacin y los bienes
informticos.

Mantenimiento de Equipos: nicamente el personal autorizado podr llevar

a cabo los servicios y reparaciones al equipo informtico. Los usuarios debern
asegurarse de respaldar en copias de respaldo o backups la informacin que
consideren relevante cuando el equipo sea enviado a reparacin y borrar
aquella informacin sensible que se encuentre en el equipo, previendo as la
prdida involuntaria de informacin, derivada del proceso de reparacin.
Dao del Equipo: El equipo de cmputo, perifrico o accesorio de tecnologa
de informacin que sufra algn desperfecto, dao por maltrato, descuido o
negligencia por parte del usuario responsable, se le levantara un reporte de
incumplimiento de polticas de seguridad.
Proteccin Y Ubicacin de los equipos: Los usuarios no deben mover o
reubicar los equipos de cmputo o de comunicaciones, instalar o desinstalar
dispositivos, ni retirar sellos de los mismos sin autorizacin, en caso de requerir
este servicio deber solicitarlo. Ser responsabilidad del usuario solicitar la
capacitacin necesaria para el manejo de las herramientas informticas que se
utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al
mximo las mismas. Es responsabilidad de los usuarios almacenar su
informacin nicamente en la particin del disco duro diferente destinada para
archivos de programas y sistemas operativos, generalmente c:\. Mientras se
opera el equipo de cmputo, no se debern consumir alimentos o ingerir
lquidos. Se debe mantener el equipo informtico en un lugar limpio y sin
humedad. El usuario debe asegurarse que los cables de conexin no sean
pisados al colocar otros objetos encima o contra ellos en caso de que no se
cumpla solicitar un reubicacin de cables con el personal. Cuando se requiera
realizar cambios mltiples de los equipo de cmputo derivado de reubicacin
de lugares fsicos de trabajo o cambios locativos, stos debern

ser

notificados con tres das de anticipacin a travs de un plan detallado.

Controles de acceso fsico: Las computadoras personales, las computadoras
porttiles, y cualquier activo de tecnologa de informacin, podr ser retirado
de las instalaciones de la empresa nicamente con la autorizacin de salida del
rea de Inventarios, anexando el comunicado de autorizacin del equipo
debidamente firmado por los Directores. Cualquier

persona

que

tenga

acceso a las instalaciones deber registrar al momento de su entrada, el

equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad de la entidad, en el rea de recepcin o
portera, el cual podrn retirar el mismo da. En caso contrario deber tramitar
la autorizacin de salida correspondiente.

f)

Anlisis de Riesgos.
Identificacin de Amenazas y Vulnerabilidades.
Servidores
1.
Existe falta de comunicacin entre las reas, lo cual puede
provocar que en caso de que ocurra un incidente no se siga un
solo procedimiento para resolverlo y se pueden duplicar
actividades en lugar de trabajar conjuntamente para resolverlo.
2.

El servidor no se encuentra en un lugar restringido.

3.

No hay una sealizacin adecuada en el lugar de trabajo que

permita a los miembros de la empresa tomar precauciones al
ingresar al rea de servidores.

4.

No se cuenta con clima controlado especial para un rea de

servidores.

5.

No se cuenta con un extintor en el rea donde est situado el

servidor web y de bases de datos.

6.

No se le da mantenimiento al servidor web y bases de datos, es

decir, no se revisan los registros, las bitcoras y aquellas
aplicaciones o servicios que hacen vulnerable al mismo, as como

la probabilidad de ser atacado. Los responsables de cmputo no

hacen respaldos de los archivos de configuracin de la
informacin.
7.

El

servidor

no

es

seguro,

ya

que

presenta

diversas

vulnerabilidades que podran ser explotadas y as comprometer la

informacin de los usuarios.
8.
9.

No se hacen las actualizaciones de seguridad de los sistemas.

Los desarrolladores no hacen aplicaciones seguras porque no
tienen

una

metodologa

de

desarrollo

que

considere

la

programacin de aplicaciones de manera segura.

10.

Los usuarios no utilizan protocolos seguros para el intercambio

de la informacin en los sistemas, que en algunos casos, puede
provocar una prdida de informacin importante.

Red, DNS, Ordenadores, Comunicaciones.

1. La primera generacin: Ataque Fsico Ataques que se centraban
en los componentes electrnicos como ordenadores, dispositivos
y cables.
2. La segunda generacin: Ataque Sintctico Las pasadas dcadas
se han caracterizado por ataques contra la lgica operativa de los
ordenadores y las redes, es decir, pretendan explotar las
vulnerabilidades 91 de los programas, de los algoritmos de cifrado
y de los protocolos, as como permitir la denegacin del servicio
prestado.
3. La tercera generacin: Ataque Semntico Se basan en la manera
en que los humanos asocian significado a un contenido. El inicio
de este tipo de ataques surgi con la colocacin de informacin
falsa en boletines informativos o e-mails, por ejemplo, para
beneficiarse de las inversiones dentro de la bolsa financiera.
Tambin pueden llevarse a cabo modificando informacin caduca.

Esta generacin de ataques se lleva a su extremo si se modifica

el contenido de los datos de los programas, que son incapaces de
sospechar de su veracidad.
4. Cdigos Maliciosos Los cdigos maliciosos o Malware son
programas que causan algn tipo de dao en el sistema
informtico. Los tipos de Malware ms comnmente conocidos
son

los

troyanos,

gusanos,

virus

informticos,

spyware,

BackDoors, rootkits, Keyloggers, entre otros.

5. Contraseas Las contraseas representan un elemento de
seguridad clave para los atacantes o intrusos, pues la mayora de
sistemas informticos requieren de una autenticacin a los
usuarios por medio de contraseas. El uso de contraseas para
mantener la confidencialidad y la seguridad de los diferentes
usuarios en la red, es una prctica de seguridad antigua pero an
hoy en da se mantiene vigente por su efectividad.
6. Configuraciones

Predeterminadas

Las

configuraciones

predeterminadas son un factor de fcil vulneracin por parte de

los intrusos y atacantes, puesto que los cdigos maliciosos e
intrusiones, son hechos pensando inicialmente en que el equipo o
sistema

atacar

se

encuentra

configurado

de

forma

predeterminada.
7. Usuarios autentificados, al menos a parte de la red, como por
ejemplo empleados internos o colaboradores externos con acceso
a sistemas dentro de la red de la empresa.
8. Suplantacin de identidad por nombre de dominio. Se trata del
falseamiento de una relacin "Nombre de dominio-IP" ante una
consulta de resolucin de nombre, es decir, resolver con una
direccin IP falsa un cierto nombre DNS o viceversa.

9. Acceso a internet no autorizado.

Para valorar los elementos de informacin, se consider la siguiente escala

Escala
1

Baja

No causa ningn tipo de impacto o dao a la

organizacin. (Ninguno en caso de que elemento sea

2
3

Media
Alta

inexistente)
Causa dao aislado, que no perjudica a ningn
componente de la organizacin.
Provoca la desarticulacin de un componente de la
organizacin. Si no se atiende a tiempo, a largo plazo
puede provocar la desarticulacin de la organizacin.

Calificacin o niveles de las amenazas

CALIFICACION

COMPORTAMIENTO

DEL EVENTO
Es aquel fenmeno que puede
Bajo (1 - 5)

suceder porque no existen

razones histricas para decir
que esto no suceder.
Es aquel fenmeno esperado,

Medio ( 6 - 11)

del cual existen razones para

creer que si suceder.
Es aquel fenmeno esperado
que tiene Alta probabilidad de

Alto (12 - 20)

ocurrir debido a que no existen

condiciones
externas

que

internas
impidan

ocurrencia del evento.

y
la

Matriz de Riesgo
Nombre de la Amenaza
Falta de cuidado del

Alto

Calificacin

equipo de computo
Confianza entre otras

Alto

personas
Controles de acceso

Alto

inseguros para
administrador servidores
Fuga de Informacin
Dao fsico a la

Alto
Medio

infraestructura de red
Inexistencia de controles

Medio

de seguridad
Control de acceso dbil

Bajo

en aplicaciones
Falta de corriente

Medio

elctrica regulada
Cableado de red

Medio

expuesto
Uso de protocolos de red

Alto

inseguros
Inexistencias de

Medio

auditoria
Limitantes de espacio en

Alto

disco duros de
Servidores
Inexistencias de cifrado

Medio

en discos duros
Descuido en el manejo

Bajo

del hardware
Inundaciones
Errores humanos
Virus informtico
Robo fsico de

Bajo
Bajo
Alto
Medio

ordenadores

g)

Plantear la realizacin la realizacin de un proceso de

concientizacin de la seguridad en su organizacin.

h)

Plan de trabajo con Calendario.

i)

Las recomendaciones a la junta directiva de la empresa

que est analizando.
1. Elaboracin de anlisis de riesgos peridicamente, basndose en
estudios realizados anteriormente.
2. Revisin y actualizacin de polticas de seguridad.
3. Implementacin de plantas de energa elctrica.
4. Realizar una instalacin de cable de red estructurado.

5. Respaldo de base de datos en los servidores.

6. Colocar cmaras de seguridad en las reas donde se encuentren las
estaciones de trabajo, ya que de sta manera se evitar que intenten
acceder a la bases de datos del sistema.
7. Hacer uso de contraseas seguras (alfanumrico).
8. Cambiar las contraseas cada 90 das.
9. Contar con un firewall fsico que permita la obstruccin de intrusos
externos al sistema.
10.Establecer una normativa dentro de la empresa que restrinja el
intercambio de contraseas, entre los usuarios del sistema.
11. Reforzar la seguridad por medio de cmaras con sensores de
movimientos, para prevenir la saturacin de la memoria.
12.Implementar una poltica de la empresa que estipule que: Si se pierde un
equipo informtico u otro dispositivo, el costo del equipo ser asumido
por los empleados del rea en cuestin.
13.Dar a conocer las polticas de uso de equipos, red y seguridad de red.
14.Realizar mantenimiento preventivo peridicamente.
15.Limpiar frecuentemente el polvo acumulado en los equipos de cmputo.
16.Mantener los equipos de cmputo en una temperatura no menos de 26
grados Celsius.
17. Reducir o limitar el ancho de banda.
18. Bitcoras del trfico que pasa por la red.