Universidad Catlica de Salta

Facultad de Ingeniera e Informtica

Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
1


Descripcin de la Organizacin
Nuestra Misin
Ser un Banco Lder que a travs de actividades ticas, sensitivas y rentables provea a nuestros empleados de
un ambiente de trabajo en el que puedan desarrollarse, brindando un servicio inmejorable para nuestros
clientes y un sentido de responsabilidad compartida junto a nuestra comunidad; respetando los intereses de los
accionistas minoritarios.
Nuestra Filosofa

Crecimiento: Apostamos al pas y creemos que el crecimiento rentable es vital para nuestra
organizacin

Innovacin: Detectamos tempranamente las oportunidades que siempre ofrecen los mercados e
inmediatamente respondemos con productos y servicios.

Actitud de servicio: Estamos convencidos de que el conocimiento de nuestros clientes, el trato
personalizado y nuestra velocidad de respuesta, son y sern, nuestras caractersticas distintivas.

Organizacin: Nos proponemos trabajar con una estructura organizativa flexible y eficiente,
soportando los procesos con la tecnologa adecuada. Respondiendo gilmente a las presiones y
cambios del entorno, sin perder el equilibrio. El foco del control deber estar en la prevencin, sin
coartar el dinamismo de nuestra organizacin.

Ambiente de trabajo: Promovemos un ambiente de trabajo donde se estimule la responsabilidad, la
ejecutividad, el compromiso, los resultados, la lealtad, la honestidad, la buena comunicacin y el
trabajo en equipo.

Nuestra Visin
A corto plazo: Ser el Banco reconocido por la excelencia en la calidad de sus servicios, la integridad de su
gente y por su contribucin al desarrollo nacional.
A largo plazo: Ser reconocido como uno de los mejores bancos del mundo por su excelencia en calidad de
servicios y confiabilidad.
Funcionamiento
Banco Macro es una empresa lder en el rubro financiero, destacada desde hace varios aos por su excelencia
corporativa, su cordialidad hacia sus clientes y su alta confiabilidad en prestacin de servicios, entre los
cuales se encuentran: cuenta corriente, caja de ahorro, cobro de impuestos, plazo fijo, administracin de
tarjeta de crdito y debito, seguros bancarios, etc.
El departamento de seguridad informtica se encarga de :
Administrar la red: brindar una conexin segura, administrando el firewall y reduciendo
considerablemente el acceso a la red por parte de personal no autorizado

Administracin y seguridad de base de datos: proteger y resguardar la integridad y confidencialidad
de los datos, garantizando la obtencin de informacin confiable, oportuna y precisa

Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
2



Back-up: garantizar el respaldo y resguardo de datos realizando buck-ups de los mismos pactados en
forma peridica e incluyendo copias de seguridad completas e incrementales. Este resguardo es
almacenado en cintas inventariadas.

Registro de usuarios: ser solicitado por el gerente de cada sector, indicando para cada usuario los
datos tipo de usuario requerido. Una vez aprobada la solicitud se registran los datos del usuario y se
le otorgan su respectivo nombre y contrasea de acceso, como as tambin los permisos necesarios,
el acceso a Internet y los das junto con el horario de acceso a la red.

Analisis y manenimiento de sistema: se tiene en cuenta el mantenimiento perfectivo y adaptativo del
sistema, en la continua bsqueda de las nuevas funcionalidades requeridas por el mismo. Cuando es
necesario incorporar una nueva funcionalidad al sistema se realiza un estudio de factibilidad y se
presentan los resultados a la alta direccin informado su presupuesto y tiempo de implementacin
para que se se tome una decisin

Plan de capacitacin
Actividad de la empresa: Banco macro es una organizacin orientada al rubro financiero y la prestacin de
servicios de esta ndole.
Justificacion: El recurso mas importante de la organizacin lo forma su recurso humano implicado en las
actividades laborales.Esto es de vital importancia en una organizacin que presta servicios, en la cual la
conducta y rendimiento de los individuos influye directamente en la calidad y optimizacin de los servicios
prestados.Un personal motivado y trabajando en equipo, son los pilares fundamentales en los que las
organizaciones exitosas sustentan sus logros. En tal sentido se plante el presente plan de capacitacin
trimestral con el con el objetivo de mejorar la calidad de atencin al cliente.
Alcance: El presente plan de capacitacin abarca a todo el personal que trabaja en Banco Macro.
Los usuarios del sistema recibirn una capacitacin de 5 horas semanales con la finalidad de que
aprendan a interactuar con el sistema informtico de Banco Macro. Este curso tendr una duracin
de 90 das

Se capacitara a los usuarios en el uso de programas y aplicaciones de entorno web con una duracin
de 4 horas semanales. Este curso tendr una duracin de 90 dias.

Se realizaran pruebas de manejo y operacin de PC, office 2007 y Windows XP Professional
Edittion, con el objetivo de determinar el nivel de cada usuario

Se le brindara a cada usuario en cada curso su correspondiente manual de usuario.

De acuerdo a los resultados obtenidos se los incluir a los usuarios en distintos planes de
capacitacin para el uso y administracin de Windows y office. Aquellos que presenten un bajo nivel
de conocimiento en estas herramientas sern incluidos en un plan de capacitacin de 6 horas
semanales, aquellos con un nivel intermedio sern incluidos en un plan de 4 horas semanales,
mientras que aquellos usuarios avanzados sern incluidos en un plan de dos horas semanales.Esta
capacitacin ser llevada a cabo durante un periodo de 90 dias



Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
3


Se evaluaran los resultados obtenidos de los empleados determinando de esta manera si el plan de
capacitacin fue efectivo o no.

Fines: siendo su objetivo general impulsar la eficacia organizacional, la capacitacin se lleva a cabo para
contribuir a:

Elevar el nivel de rendimiento de los colaboradores y con ello al incremento de la productividad y
rendimiento de la empresa.

Satisfacer de manera ms rpida requerimientos futuros de la empresa en materia de personal. Sobre
la base de planeacin de recursos humanos

Generar conductas positivas y mejoras en el clima laboral, la productividad y la calidad y con ello
elevar la moral de trabajo

Objetivos:

Generales:

o Preparar al personal para la ejecucin eficiente de sus responsabilidades que asuman en sus
puestos
o Brindar oportunidades de desarrollo personal en los cargos actuales y para otros puestos
para los que el colaborador puede ser considerado
o Modificar actitudes para contribuir a crear un clima de trabajo satisfactorio,incrementar la
motivacin del trabajador y hacerlo mas receptivo a las tareas de gestios

Especificos:

o Proporcionar informacin y orientacin relativa a los objetivos de la empresa, su
organizacin, funcionamiento, normas y polticas
o Proveer conocimientos y desarrollar habilidades que cubran la totalidad de requerimientos
para el desempeo de puestos especficos
o Actualizar y ampliar los conocimientos requeridos en areas especializadas de actividad
o Contribuir a elevar y mantener un buen nivel de eficiencia individual y rendimiento
colectivo
o Ayudar en la preparacin de personal calificado, acorde con los planes ,objetivos y
requerimientos de la empresa
o Apoyar la continuidad y crecimiento institucional














Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
4


Organigrama


Polticas de seguridad
Anlisis de riesgos realizados en forma peridica
Su finalidad es identificar todos los riesgos que podran llegar a afectar a la organizacin encontrando as
todas las posibles soluciones para hacerles frente y reducir sus posibilidades de ocurrencia.
1. Construir un perfil de las amenazas que est basado en el activo ms importante de la organizacin, que es
la informacin
2. Identificacin y clasificacin de la informacin de la organizacin.
3. Identificar las amenazas de cada uno de los activos listados.
4. Conocer las prcticas actuales de seguridad

5. Identificar las vulnerabilidades en infraestructura informtica de la organizacin.
6. Identificar los requerimientos de seguridad de la organizacin.
7. Identificacin de las vulnerabilidades dentro de la infraestructura tecnolgica.
8. Deteccin de los componentes claves
9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:

Riesgo para los activos crticos
Medidas de riesgos
Estrategias de proteccin
Planes para reducir los riesgos.

Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
5


Estas actividades sern llevadas a cabo por el personal del departamento de riesgos conjuntamente con
personal designado del departamento de seguridad informtica. Cualquier empleado que entorpezca dicha
investigacin ser sancionado con medidas que van desde suspensiones hasta despido segn lo acredite la
gravedad del hecho.
Red y Firewall
Su finalidad es lograr el balance optimo entre seguridad y accesibilidad, buscando obtener todas las
ventajas que ofrece el libre manejo de informacin sabiendo que esta se encuentra completamente
protegida
El gerente del departamento de sistemas de informacin se encargara de designar un administrador
de red, quien estar a cargo de configurar y administrar el firewall, sus funciones sern:
1. Prevenir que usuarios no autorizados obtengan acceso a la red : implementacin de cortafuegos, sistema de
deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Se busca mantener los
sistemas de informacin con las actualizaciones que ms impacten en la seguridad.

2. Proveer acceso transparente a la red a los usuarios habilitados: solo los usuarios registrados podrn acceder
a la red, para ello deben contar con su correspondiente usuario y contrasea
3. Asegurar que los datos privados sean transferidos en forma segura por la red pblica: usar encriptacin de
datos, lo cual permitir modifica un mensaje original mediante una o varias claves, de manera que resulte
totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente
para descifrar el mensaje. Junto con la firma digital y las marcas de aguas digitales
4. buscar y reparar problemas de seguridad: verificar que todas las medidas de seguridad se cumplen logrando
as un correcto funcionamiento y mantenimiento de la red.

5. Proveer un amplio sistema de alarmas advirtiendo intentos de intromisin a la red: se busca evitar robos y
alteracin de informacin protegiendo as su integridad y confidencialidad.

Cualquier empleado que viole las normas mencionadas ser sancionado con suspensin o despido segn lo
acredite la gravedad del hecho. Se iniciaran acciones legales contra cualquier persona que acceda al sistema si
autorizacin del administrador.


Base de datos
Apuntamos a proteger informacin acerca de nuestras listas de clientes y registros de
accionistas, transacciones comerciales y material de marketing, estrategias de comercializacin y
diseo de productos.
El gerente del departamento de sistemas de informacin designara un administrador de base de datos, sus
funciones sern:

1.Administrar la estructura de la Base de Datos: participar en el diseo inicial de la base de datos y su puesta
en prctica as como controlar, y administrar sus requerimientos, ayudando a evaluar alternativas, incluyendo
los DBMS a utilizar y ayudando en el diseo general de la bases de datos.
2. Administrar la actividad de los datos: debe proporcionar estndares, guas de accin, procedimientos de
control y la documentacin necesaria para garantizar que los usuarios trabajen en forma cooperativa y
complementaria al procesar datos en la bases de datos.

Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
6


3. Administrar el Sistema Manejador de Base de Datos: . La concurrencia de mltiples usuarios requiere la
estandarizacin de los procesos de operacin; el DBA es responsable de stas especificaciones y de
asegurarse que estas lleguen a quienes concierne.
4. Establecer el Diccionario de Datos: Cuando se definen estndares sobre la estructura de la base de datos, se
deben de registrarse en una seccin del diccionario de datos a la que todos aquellos usuarios relacionados con
ese tipo de proceso pueden acceder. Este metadato debe precisar informacin que nos indique con claridad el
tipo de datos que sern utilizados, sus mbitos de influencia y sus limitantes de seguridad.
5. Asegurar la confiabilidad de la Base de Datos: garantizar que el sistema de base de datos sea capaz de
recuperarse frente a errores o usos inadecuados. Se deben utilizar gestores con las herramientas necesarias
para la reparacin de los posibles errores que las bases de datos pueden sufrir

6. Confirmar la seguridad de la Base de Datos:
Restringir el acceso a los procedimientos para ciertos usuarios.
Restringir al acceso a los datos para ciertos usuarios procedimientos y/o datos.
Evitar la coincidencia de horarios para usuarios que comparten.
7. Mantener la Integridad de los Dato proteger la base de datos de accidentes tales como los errores en la
entrada de los datos o en la programacin, del uso mal intencionado y de los fallos del hardware o del
software que corrompen los datos.
8. Mantener la Seguridad de los Datos: Proteger la base de datos del uso malintencionado o no autorizado,
limitando a los usuarios a ejecutar nicamente las operaciones permitidas.
9.Mantener la Disponibilidad de los Datos: proporcionar medios para el restablecimiento de las bases de datos
que se hayan corrompido por desperfectos del sistema, a un estado uniforme.
Se iniciaran acciones legales contra cualquier persona que acceda a la base de datos sin permiso del
administrador, cualquier empleado que viole las normas de seguridad mencionadas ser sancionado con
medidas disciplinarias que abarcan desde la suspensin hasta despido segn lo acredite la gravedad del hecho

Tipos de usuarios y permisos
El gerente del departamento de seguridad informtica ser quien se encargara de definir los distintos perfiles
de usuario:
1.Clasificacion de la informacin: la informacin ser analizada y clasificada de acuerdo a su nivel de
confidencialidad
2.De acuerdo a la clasificacin de la informacin se establecern niveles de acceso para los usuarios
determinando permisos de lectura, escritura a y actualizacin de la misma para cada usuario

3.Se notificara a cada usuario cuales son los permisos asignados

4.Se verificara peridicamente que cada usuario no viole los permisos asignados.
Cualquier empleado que viole las normas de seguridad mencionada ser sancionado con medidas
disciplinarias que van desde la suspensin al despido segn lo acredite la gravedad del hecho.


Verificacin de usuarios

Cada usuario podr acceder al sistema atraves de su nombre de usuario y contrasea, se busca permitir que
solo puedan acceder al sistema solo aquellas personas autorizadas a hacerlo.
El nombre de usuario es brindado por el gerente del departamento de seguridad informtica siendo el mismo
de conocimiento publico y la contrasea de carcter confidencial dando al usuario la posibilidad de elegirla
siguiendo las siguientes reglas:
Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
7


1. La contrasea debe tener una longitud de 8 caracteres como mnimo.

2. La contrasea debe Contener una combinacin de letras, nmeros y smbolos.
No es una palabra que pueda encontrarse en el diccionario.

3. No puede llevar el nombre de un comando.

4. No puede ser el nombre de una persona.

5. No puede ser el nombre de un usuario.

6. No puede ser el nombre de un equipo.

7. Debe presentar diferencias notables con respecto a contraseas anteriores.

8. Caducidad de contraseas: las contraseas tendrn una caducidad los usuarios debern cambiar sus
contraseas cada 6 meses, el sistema les recordara cuando este por cumplirse el plazo

9. Es de uso nico e intransferible

Cualquier empleado que utilice la contrasea de acceso de algn otro empleado o viole las normas de
seguridad mencionadas ser sancionado con medidas disciplinarias que van desde sanciones a despido. Se
iniciaran acciones legales contra cualquier persona que utilice las contraseas o nombre de usuario registrados
en el sistema en forma no autorizada


Respaldo de informacin

Estar a cargo del gerente del departamento de seguridad informtica con la colaboracin del Dba. Se
determinaran polticas de copias y seguridad y buck-ups, incluyendo copias de seguridad completas e
incrementales.
El sistema de respaldo de datos comteplara los siguientes aspectos:

1. Continuo: El respaldo de datos debe ser completamente automtico y continuo. Debe funcionar de forma
transparente, sin intervenir en las tareas que se encuentra realizando el usuario.
2. Seguro: incluir encriptacin de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes
del envo de la informacin.
3. Remoto: Los datos deben quedar alojados en dependencias alejadas de la empresa.

4. Mantencin de versiones anteriores de los datos :Se debe contar con un sistema que permita la recuperacin
de versiones diarias, semanales y mensuales de los datos.

Cualquier empleado que viole las normas de seguridad mencionadas ser sancionado con medidas
disciplinarias que van desde suspensiones hasta despido segn lo acredite la gravedad del hecho. Se iniciaran
acciones legales contra cualquier persona que atente contra la seguridad e integridad de los datos de la
organizacion






Universidad Catlica de Salta
Facultad de Ingeniera e Informtica
Ctedra: Seguridad en sistemas de informacin
Alumno: Santilln Pablo
8


Porque implementar todas estas polticas de seguridad?
Garantizar que los recursos informticos de la empresa estn disponibles para cumplir sus propsitos, es decir,
que no esten daados o alterados por circunstancias o factores externos.
Debido a la existencia de personas ajenas a la informacin, que buscan tener acceso a la red empresarial para
modificar, sustraer o borrar datos dejando como resultado la violacin de los sistemas, provocando la prdida
o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles
o millones de dlares.
La vulnerabilidad antes los riesgos nos hace observar que en el rea de informtica, existen varios muchos de
ellos tales como: ataque de virus, cdigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con
la adopcin de Internet como instrumento de comunicacin y colaboracin, los riesgos han evolucionado y,
ahora, las empresas deben enfrentar ataques de negacin de servicio y amenazas combinadas; es decir, la
integracin de herramientas automticas de "hackeo", accesos no autorizados a los sistemas y capacidad de
identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para daar los recursos
informticos.
La adopcin de las polticas mencionadas con anterioridad permitir desplegar una arquitectura de seguridad
basada en soluciones tecnolgicas, as como el desarrollo de un plan de accin para el manejo de incidentes y
recuperacin para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y
datos a proteger.