Plan de Seguridad Informativa

PLAN DE
SEGURIDA
INFORMATICA
NDICE
INTRODUCCIN
PLAN ESTATGICO DE SEGURIDAD INFORMATICA
CONCEPTOS
OBJETIVOS GENERAL
OBJETIVOS ESPECFICOS
ALCANCE
VIGENCIA
AUTORIDAD EMISORA
DESARROLLO
I. SEGURIDAD FSICA
A. EQUIPAMIENTO
B. CONTROL DE ACCESO FSICO AL SERVIDOR PRINCIPAL
C. CONTROL DE ACCESO A EQUIPOS
D.EQUIPAMIENTO AUXILIAR
E. ESTRUCTURA DEL EDIFICIO
F. CABLEADO ESTRUCTURADO
II. SEGURIDAD LGICA
6
A. IDENTIFICADORES IDS
B. AUTENTICACIN
C. PASSWORD
D. SEGREGACIN DE FUNCIONES
III. SEGURIDAD EN REDES
A. TOPOLOGA DE RED
B. CONEXIONES EXTERNAS
C. CONFIGURACIN LGICA DE RED
D. MAIL
E. ANTIVIRUS
F. FIREWALL
G. PROTECCIN DE LA RED
IV. PLANIFICACIN DE SEGURIDAD
A. CHEQUEOS DEL SISTEMA
B. RESPONSABILIDADES DE LOS ENCARGADOS DE SEGURIDAD
C. AUDITORAS DE CONTROL DE ACCESO
D. AUDITORAS DE REDES
V. SEGURIDAD EN LOS RECURSOS HUMANOS
A. ADMINISTRACIN DEL PERSONAL DE LA EMPRESA
B. CAPACITACIN
C. BACKUP
D. DOCUMENTACIN
VI. SEGURIDAD EN EL OUTSOURCING
A. CONTRATO DE MANTENIMIENTO
B. ACUERDO DE CONFIDENCIALIDAD
VII. PLAN DE CONTINGENCIAS
A. PLAN DE ADMINISTRACIN DE INCIDENTES
B. BACKUP DE EQUIPAMIENTO
C. ESTRATEGIAS DE RECUPERACIN DE DESASTRES
CONCLUSIONES
ANEXOS
I. INVENTARIOS (ANEXOA Y ANEXO B)
II. OUTSOURSING
III. CUESTIONARIOS (ANEXOS 1 AL 13)
IV. VULNERABILIDADES (ANEXO 14)
V. FACTORES DE RIESGO (ANEXO 15)
VI. PONDERACION DE LOS FACTORES DE RIESGO (ANEXO 16)
VII. VALORACIN DE RIESGOS (ANEXO 17)
VIII. VALORACIN DE ACTIVOS CRTICOS (ANEXO 18)
IX. MATRIZ DESCRIPTIVA (ANEXO 19)
X. MATRIZ PONDERADA (ANEXO 20)
XI.MATRIZ CATEGORIZADA (ANEXO 21)
XII.POLITICAS DE SEGURIDAD (ANEXO 22)
XIII. CONCLUSIN FINALES
INTRODUCCIN
Las tecnologas de la informacin actualmente son elementos fundamentales
para la superacin y desarrollo de un pas , y particularmente para el desarrollo y
crecimiento de cualquier empresa en el siglo 21. Efecto de aquello, es la
creciente necesidad de resguardar la informacin, no slo como un bien crtico
de cualquier entidad pblico o privada, sino tambin, generar en razn de ello,
estructuras orgnicas e infraestructuras que eviten prdida de de la misma o su
mal utilizacin que conlleve dao directo a estas entidades. As la generacin de
Polticas y Planes Estratgicos de Seguridad fsico-lgica se vuelve fundamental,
y elaborar dichas estrategias junto a la experiencia de una empresa consagrada
en el Mercado Tecnolgico como NowSecurity es sinnimo de xito en este
cometido.
PLAN ESTRATGICO DE SEGURIDAD

INFORMTICA
El presente documento mostrar el plan de seguridad informtica realizado a raz
de los resultados que de la evaluacin de riesgos llevada a cabo en la empresa
AGROPESCA S.A..
El plan estratgico de seguridad informtica es la culminacin, una vez que se
realiza el anlisis de riesgo y a raz de estos resultados se disean las polticas de
seguridad informtica que es la forma de mantener controlados los riesgos,
finalmente se procede a la elaboracin del plan. En este punto hay que dejar en
claro que sta parte es desarrollada por la empresa solicitante, ya que slo ella
sabr en que tiempo podr poner en prctica las polticas de seguridad antes
mencionadas.
Un Plan
1.
2.
3.
4.
5.
6.
7.
8.
de Seguridad cubre 8 objetivos:

Elaborar Polticas de seguridad informtica.
Implementar seguridades fsicas.
Mejorar la seguridad lgica.
Establecer seguridades en redes.
Fortalecer la seguridad en los Recursos Humanos.
Implantar medidas de seguridad en el Outsourcing.
Implementar estrategias de continuidad.
Revisar el cumplimiento de las polticas de seguridad informtica.
Estos objetivos sern realizados por la empresa dentro del perodo de un ao.
Cada objetivo est formado por los puntos que la empresa desea implementar,
adems de incluir a los responsables de efectuarlos, su alcance y la fecha de

realizacin de cada objetivo en la organizacin.
CONCEPTOS
Para iniciar el tema de seguridad informtica debemos tener claros los conceptos
de informacin, riesgo, amenaza, vulnerabilidad, incidente de seguridad, etc., ya
que estos trminos son muy utilizados a lo largo del desarrollo de este tema.
Amenaza: Conjunto de agentes capaces de explotar los fallos de seguridad,
que denominamos puntos dbiles y, como consecuencia de ello, causar
prdidas o daos a los activos de una empresa, afectando a sus negocios.
Anlisis de riesgo: Procedimiento de Anlisis de vulnerabilidades o
factores de riesgo que resulta Fundamental para la elaboracin de un plan
estratgico, dado que considera las vulnerabilidades de la red identificadas en
su evaluacin de seguridad ms reciente.
Backup: proceso de copiar los elementos de informacin recibidos,
transmitidos, almacenados, procesados y/o generados por el sistema.
Evaluacin del riesgo: proceso por el cual se identificaron las
vulnerabilidades de la seguridad, permitiendo identificar las causas de los
riesgos potenciales, en toda la organizacin o parte de ella, tanto a los
sistemas de informacin individuales, componentes especficos de sistemas o
servicios donde sea factible y cuantificarlos.
Factores de riesgos: Son los distintas reas de impacto que pueden
presentar vulnerabilidades. Entre ellos se encuentran, Sistemas de Control,
Nivel de Sensibilidad, Complejidad, Materialidad, Imagen, Auditoras Previas y
Plan de Contingencia.
Firewall: Software o hardware que ejerce control preventivo y detectivo
sobre intrusiones no deseadas a los sistemas.
Informacin: conjunto organizado de datos procesados, que constituyen
un mensaje que cambia el estado de conocimiento del sujeto o sistema que
recibe dicho mensaje.
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin
previo aviso y producir numerosas prdidas para las empresas. Los riesgos
mas perjudiciales son a las tecnologas de informacin y comunicaciones.
Seguridad de la Informacin: Es el conjunto de medidas preventivas y

reactivas de la organizacin y de los sistemas tecnolgicos que permitan
resguardar y proteger la informacin buscando mantener la confidencialidad,
disponibilidad e integridad de la misma.
Seguridad Informtica: se encarga de la seguridad en el medio
informtico.
Vulnerabilidad: Es el punto dbil identificado dentro de un ambiente de
tecnologa de la informacin.
OBJETIVOS GENERAL
El objetivo general consiste en la realizacin de un Plan Estratgico de Seguridad
de la Informacin para la empresa CORPESCA S.A., en donde se definen los
lineamientos para promover la planificacin, el diseo e implantacin de un
modelo de seguridad en dicha empresa con el fin de establecer una cultura de la
seguridad en la organizacin y proteger los recursos informticos y asegurar la
viabilidad de las operaciones de la empresa.
OBJETIVOS ESPECFICOS
Implantar un modelo de seguridad en base a normas, procedimientos y
estndares informticos con el objetivo de crear una cultura de seguridad en la
organizacin.
Redactar sus propios procedimientos de seguridad, los cuales deben estar
acordes a este plan con el objeto de salvaguardar la integridad y confidencialidad
de la informacin procesada mantenindola disponible en todo momento.
ALCANCE
El diseo de este plan estratgico cubre los objetivos para los que la empresa
est capacitada de llevar a cabo y debe ser aplicada a todos los empleados de la
empresa, as como a los proveedores y personal externo que desempee labores
o proporcione algn tipo de servicio o producto.
VIGENCIA
El presente Plan Estratgico de Seguridad de la Informacin se aplicara a partir
del 1 de Octubre de 2015 y deber ser revisado y actualizado en el perodo de un
ao.
AUTORIDAD EMISORA
El presente documento es emitido por la empresa NowSecurity, a peticin de la
Gerencia General de la empresa CORPESCA S.A.
DESARROLLO
El presente plan se desarroll apoyado en lo dispuesto en la normativa y

estndares de seguridad informtica, tales como COSO (Control Interno), COBIT
(Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas),
ISO 17799 (Recomendaciones para realizar la Gestin de la Seguridad de la
Informacin), ISO 27001 (Estndar para la Administracin de la Seguridad).
I. SEGURIDAD FSICA
A) EQUIPAMIENTO
La sala de servidores donde se encuentran los servidores, el Switch central

y dems equipamiento crtico solo debe tener permitido el acceso a los
administradores.
El acceso casual a los mensajes de correo electrnico por los

administradores y similares, se considera una violacin a la poltica de
seguridad de la informacin. Sin embargo, la Gerencia tiene el derecho de
examinar cualquier informacin, sin previo consentimiento o notificacin
del empleado, en caso que se considere que se est utilizando
inadecuadamente el equipamiento de la compaa.
Deber existir un encargado de llevar a cabo el mantenimiento preventivo

el equipamiento informtico de la empresa, monitorizando, chequeando y
auditando las PCs y dems dispositivos que conforman la red.
Debern existir procesos para rotular, manipular y dar de baja el

equipamiento informtico.
Deber desarrollarse documentacin detallada sobre el equipamiento

informtico, que consista en diagramas y distribucin fsica de las
instalaciones, inventarios de hardware y software, diagramas topolgicos
de las redes, tipos de vnculos y ubicacin de nodos. Esta documentacin
comprende tanto al centro de procesamiento de datos principal, como a
los secundarios y las redes departamentales.
El equipamiento informtico de la empresa debe contar con dispositivos de

respaldo, ante cualquier tipo de incidente.
El sistema informtico no deber verse afectado ante una contingencia en

el centro de cmputos, por lo que el equipamiento informtico debe
distribuirse en lugares fsicos diferentes, contando ambos con las medidas
y condiciones de calidad y seguridad especificadas en esta poltica,
distribuyendo de esta manera el equipamiento redundante.
B) CONTROL DE ACCESO FSICO AL SERVIDOR PRINCIPAL

El acceso a los Servidores de la empresa se gestionar de la siguiente forma:
La sala de servidores donde se encuentran los servidores, el Switch central

y dems equipamiento crtico solo debe tener permitido el acceso a los
administradores.
Cualquier persona ajena a la empresa que necesite ingresar al sala de

servidores deber anunciarse en la puerta de entrada, personal de
sistemas designado deber escoltarlo desde la puerta hacia el interior del
edificio, acompandolo durante el transcurso de su tarea, hasta que ste
concluya.
C) CONTROL DE ACCESO A EQUIPOS

1. Deben asignarse los permisos mnimos y necesarios para que cada usuario
desempee su tarea.
2. Debe existir una manera de auditar (lista de control de acceso) todos los
requerimientos de accesos y los datos que fueron modificados por cada
usuario, y si este tiene los permisos necesarios para hacerlo.
3. Deber restringirse el acceso al sistema o la utilizacin de recursos en un
rango horario definido, teniendo en cuenta que:
a. Las cuentas de los usuarios no deben poder acceder al sistema en
horarios no laborales, de acuerdo al grupo al que pertenezcan.
i. Durante las vacaciones
ii. Licencias las cuentas de usuarios deben desactivarse, en
das feriados las cuentas de usuarios administrativos, a
excepcin delos del departamento de ventas, deben
permanecer desactivadas.
4. Deben restringirse las conexiones de los usuarios slo a las estaciones
fsicas autorizadas.
5. El administrador debe poder logearse solamente desde las terminales que
se encuentren en el sala de servidores y en una terminal especfica y
habilitada en cada sucursal.
D) EQUIPAMIENTO AUXILIAR
Debern existir los siguientes equipos auxiliares en la empresa:
Aire acondicionado y Calefaccin: en la sala de servidores la temperatura

debe mantenerse entre 19 C y 20 C.
Extintores (matafuegos): debern ser dispositivos qumicos y manuales

que cumplan las especificaciones para extinguir incendios en equipos
elctricos de computacin. stos debern estar instalados en lugares
estratgicos de la empresa, y la sala de servidores deber contar con uno
propio ubicado en la habitacin de los servidores.
Alarmas contra intrusos: debern contar con una alarma que se active en
horarios no comerciales. sta deber poder activarse manualmente en
horarios laborales ante una emergencia.
Generador de energa: deber existir un generador de energa que se

pondr en marcha cada vez que haya problemas con el suministro de
energa elctrica o avisos de cortes de luz.
UPS: (Uninterruptible power supply) deber existir al menos un UPS en el

sala de servidores que atienda a los servidores, con tiempo suficiente para
que se apaguen de forma segura.
Luz de emergencia: deber existir una luz de emergencia que se active

automticamente ante una contingencia.
Estabilizador de tensin: deber existir al menos un estabilizador de

tensin que atienda la lnea de energa elctrica independiente del centro
de cmputos.
Descarga a tierra: debern existir mtodos de descarga a tierra para el

edificio y otra independiente para el centro de cmputos.
E) ESTRUCTURA DEL EDIFICIO

o
Deber existir una llave de corte de energa general en la salida de

emergencias del edificio.
La sala de servidores deber ubicarse en un piso superior del edificio.

Debe tener protecciones contra ruidos e interferencias electromagnticas
y visuales.
F) CABLEADO ESTRUCTURADO
1. El cableado debe seguir las normas del cableado estructurado, que
garantizan el funcionamiento eficiente de la red.
2. Si el tendido del cableado se terceriza, la empresa encargada debe prestar
garantas escritas sobre su trabajo.
3. Se deber documentar en planos los canales de tendidos de cables y las
bocas de red existentes.
4. Debe existir tendido de cableado redundante para futuros puestos de
trabajo. Estos cables no deben tener bocas de red instaladas.
5. En el caso de ocurrir esta contingencia con la continuidad del servicio de
red, deber existir un sistema informtico off line para los sectores crticos
de la empresa.
II.
SEGURIDAD LGICA
A). IDENTIFICADORES IDS
Para dar de alta un usuario al sistema debe existir un procedimiento

formal, por escrito, que regule y exija el ingreso de los siguientes datos:
Identificacin del usuario, deber ser nica e irrepetible,
Password, debe ser personal e ingresado por el usuario,
Nombre y apellido completo,
Sucursal de la empresa donde trabaja,
Grupo de usuarios al que pertenece,
Fecha de expiracin del password,
Fecha de anulacin de la cuenta,
Contador de intentos fallidos,
Autorizacin de imprimir,
Autorizacin de ingreso al rea de usados.
B).AUTENTICACIN
o
La pantalla de logeo del sistema deber mostrar los siguientes

datos:
nombre de usuario, password y opcin para cambiar la clave.
C).PASSWORD
Los PCs de la empresa debern tener un password de administrador

en el BIOS, que deber gestionar el administrador del sistema
La aplicacin para administrar los datos de usuarios solo deber

ejecutarse en mquinas designadas del centro de cmputos.
Debern encriptarse:
- la lista de control de accesos,
- los password y datos de las cuentas de usuarios,
- los datos de autenticacin de los usuarios mientras son
transmitidos a travs de la red.
Las password debern tener las siguientes caractersticas:
- conjunto de caracteres alfa-numrico,
- longitud mnima de 8 y mxima de 12 caracteres.
- La password deber inicializarse como expirado para obligar el
cambio.
La fecha de expiracin de la password deber ser de cuatro meses. El
sistema exigir automticamente el cambio, una vez cumplido el plazo.
La password no deber contener el nombre de la empresa, el nombre
del usuario, ni palabras reservadas.
Bloquear el perfil de todo usuario que haya intentado acceder al
sistema en forma fallida por ms de cinco veces consecutivas.
El usuario debe poder modificar su password cuantas veces considere
necesario, sin seguir ningn procedimiento formal de aviso.
Controlar que la password ingresado sea diferente a los ltimas cinco
utilizados.
La password deber tener un perodo de duracin mnimo de 5 das. El
sistema no permitir el cambio de password si este perodo no se ha
cumplido.Si un usuario olvida la password, la aplicacin no deber
mostrarle el password al administrador, y permitir que el usuario
ingrese uno nuevo desde su terminal, la prxima vez que intente
logearse.
10
D).
III.
SEGREGACIN DE FUNCIONES
Debe existir una adecuada y documentada separacin de funciones
dentro del centro de cmputos.
El rea de sistemas debe encontrarse ubicada en el organigrama de la

empresa en una posicin tal que garantice la independencia necesaria
respecto de las reas usuarias.
Deber realizarse una rotacin en las tareas del personal del sala de
servidores para controlar el desempeo que los empleados han tenido
durante un perodo de tiempo. Para esto se debern establecer
perodos de vacaciones anuales obligatorios para el personal del rea,
entre otras medidas.
SEGURIDAD EN REDES
A).TOPOLOGA DE RED:
La topologa de red se define como el mapa fsico o lgico de una red para
intercambiar datos. En otras palabras, es la forma en que est diseada la red,
sea en el plano fsico o lgico. El concepto de red puede definirse como "conjunto
de nodos interconectados".
B).CONEXIONES EXTERNAS:
C).CONFIGURACIN LGICA DE RED:
Deber existir un encargado de llevar a cabo el mantenimiento preventivo el
equipamiento informtico de la empresa, monitorizando, chequeando y
auditando las PCs y dems dispositivos que conforman la red.
D).
MAIL:
Con respecto a la utilizacin del correo electrnico deben almacenarse datos
sobre:
correo entrante y saliente,
hora de envo,
contenido del mail,
asunto del mail,
archivos adjuntos,
reporte de virus de cada parte del mail,
direcciones de mquina destino y fuente,
tamao del mensaje.
E). ANTIVIRUS:
Un antivirus es un programa informtico que tiene el propsito de detectar y
eliminar virus y otros programas perjudiciales antes o despus de que ingresen al
sistema.
Los virus, gusanos, troyanos, spyware son tipos de programas informticos que
suelen ejecutarse sin el consentimiento (e incluso, conocimiento) del usuario o
propietario de un ordenador y que cumplen diversas funciones dainas para el
11
sistema. Entre ellas, robo y prdida de informacin, alteracin del

funcionamiento, disrupcin del sistema y propagacin hacia otras computadoras.
F). FIREWALL:
Programa informtico que controla el acceso de una computadora a la red y de
elementos de la red a la computadora, por motivos de seguridad.
G).
PROTECCIN DE LA RED:
i. Debe asegurarse que la totalidad del trfico entrante y saliente de la
red interna, sea filtrado y controlado por un firewall prohibiendo el
pasaje de todo el trfico que no se encuentre expresamente
autorizado.
ii. Todas las conexiones a Internet de la empresa deben traspasar un
servidor Proxy una vez que han traspasado el firewall.
iii. Deben documentarse los servicios provistos a travs de Internet y
definirse las responsabilidades en cuanto a su administracin. No se
publicarn en Internet datos referidos a las cuentas de correo de los
empleados, debern exhibir cuentas especiales asignadas a cada
rea de la empresa.
iv. Cada vez que se establezca una va de comunicacin con terceros
(personal de mantenimiento externo, fbricas, proveedor de servicios
de Internet, etc.), los mecanismos de transmisin y las
responsabilidades de las partes debern fijarse por escrito.
v. La informacin enviada a travs de equipos de comunicaciones de la
empresa se considera privada. Cabe aclarar que la informacin no es
pblica, a menos que en forma expresa se indique lo contrario.
vi. El uso de Internet debe ser monitoreado peridicamente. Si existe
alguna razn para creer que la seguridad est siendo violada, la
compaa puede revisar el contenido de las comunicaciones de
Internet.
vii. El acceso casual a los mensajes de correo electrnico por los
administradores y similares, se considera una violacin a la poltica de
seguridad de la informacin. Sin embargo, la Gerencia tiene el
derecho de examinar cualquier informacin, sin previo
consentimiento o notificacin del empleado, en caso que se considere
que se est utilizando inadecuadamente el equipamiento de la
compaa.
viii. El riesgo aumenta con el nmero de conexiones a redes externas; por
lo tanto, la conectividad debe ser la mnima necesaria para cumplir
con los objetivos de la empresa.
ix. El esquema de direcciones de la red interna no debe ser visible ante
las conexiones externas.
x. Deber asegurarse que la direccin IP de la empresa sea un nmero
variable y confidencial.
12
xi. Los recursos lgicos o fsicos de los distintos puestos de trabajo no

deben ser visibles en el resto de la red informtica. Los recursos de
los servidores sern visibles solo en los casos necesarios y con las
medidas de seguridad correspondientes.
xii. Deben tomarse los recaudos necesarios para restringir todo tipo de
aplicaciones que no ayudan al cumplimiento de los objetivos de la
organizacin, tales como herramientas de chateo o file sharing.
xiii. Con respecto a la utilizacin de la red informtica deben almacenarse
datos sobre:
Ancho de banda utilizado y cuellos de botella en el trfico de red,
Trfico generado por las aplicaciones,
Recursos de los servidores que utilizan las aplicaciones,
El estado de cada aplicacin, (en cola, ejecutndose, esperando una
respuesta),
Intentos de intrusin,
Uso de los protocolos,
Solicitudes de impresin de datos de la empresa.
Deber desarrollarse documentacin detallada sobre el equipamiento
informtico, que consista en diagramas y distribucin fsica de las instalaciones,
inventarios de hardware y software, diagramas topolgicos de las redes, tipos de
vnculos y ubicacin de nodos. Esta documentacin comprende tanto al centro de
procesamiento de datos principal, como a los secundarios y las redes
departamentales.
IV.
PLANIFICACIN DE SEGURIDAD
A).
CHEQUEOS DEL SISTEMA:
B).
RESPONSABILIDADES DE LOS ENCARGADOS DE SEGURIDAD:
C).
AUDITORAS DE CONTROL DE ACCESO:
D).
AUDITORAS DE REDES:
13
V. SEGURIDAD EN LOS RECURSOS HUMANOS

A) ADMINISTRACIN DEL PERSONAL DE LA EMPRESA
B) CAPACITACIN
C) BACKUP
D) DOCUMENTACIN
E) AUDITORIAS
F) PROCEDIMIENTOS DE REVISIN
G) GUARDIAS DE SEGURIDAD
H) PERSONAL CAPACITADO EN SALA DE SERVIDORES
I) PROGRAMA DE ENTRENAMIENTO DE PERSONAL
.
VI. SEGURIDAD EN EL OUTSOURCING

A. CONTRATO DE MANTENIMIENTO:
TELCOMNORTE
Contrato de mantenimiento
En la ciudad de Antofagasta, a 01 das del mes de Abril de 2002, se
celebra el presente contrato entre el Vicepresidente Ejecutivo de
AGROPESCA S.A. y en calidad de Gerente de Ventas y Mantenimiento y
TELECOMNORTE, a quienes ms adelante se les denominara
contratante y contratista respectivamente, convienen en firmar este
documento al tenor de las siguientes clusulas:
PRIMERA: El contratista se compromete y obliga a efectuar el servicio de
mantenimiento preventivo y correctivo de los siguientes computadores e
impresoras:
Antofagasta
14
29 Computadores
6 Impresoras Matriciales
2 Impresoras Laser
1 Impresora Trmica
4 Impresoras de Inyeccin de Tinta
1 Unidad Resp. Cinta USBDAT160
1 Router Sisco 2500
1 Hub Encore 10 Base T
1 Hub 3Com 50 Base T
1 Transceiver Avia 10 Base T
2 Modem USRobotic 56 Kbps
1 CD-Writer Backpack
1 Scanner
1 Disk Optico Backpak
SEGUNDA:
El mantenimiento preventivo y correctivo de los equipos segn el
contrato se refiere a:
Mantenimiento Preventivo
* Chequeo de computadores personales mediante software de
diagnstico. * Optimizacin y configuracin de PS. * Limpieza interior y
exterior de los equipos. * Depuracin de archivos temporales. * Chequeo
y pruebas de impresin matricial, tinta y laser. * Induccin al usuario
acerca del uso y solucin de fallas (instructivos). * Lubricacin completa
de piezas mviles de impresoras.
Mantenimiento Correctivo
* Revisin, deteccin y solucin de fallas mecnicas y elctricas

(cambio y reparacin de piezas) en los equipos. * Recuperacin de
partes y piezas de PC. * Recuperacin de partes y piezas de
impresoras matriciales, inyeccin y lser. * Traslado de equipos PC
por reemplazo o desincorporacin.
TERCERA. Loa trabajos de mantenimiento preventivo se realizarn
tres veces en el ao (frecuencia cuatrimestral), adems de
establecer un sistema de llamada de soporte inmediato por evento
para el mantenimiento correctivo de los equipos que forman parte
del ya mencionado inventario.
El mantenimiento requerido por los equipos adquiridos a
TELCOMNORTE en el lapso de vigencia del contrato, no tendr
costo alguno.
Los trabajos por mantenimiento correctivo sern realizados en el
laboratorio tcnico del contratista, las partes y ms repuestos
utilizados en el mantenimiento correctivo sern facturados ms no
la mano de obra.
15
CUARTA: TELECOMNORTE no est obligado a restablecer o instalar

aplicaciones o programas que no hayan venido originalmente en
las maquinas, as como tampoco configurar dispositivos distintos a
los estndares de las mquinas.
QUINTA: El costo de mantenimiento de los antes mencionados
equipos de computacin es de US$ 114.000,00 (Ciento catorce mil
dlares) Mensuales.
Los gastos que incurran fuera de la ciudad de Antofagasta, tales
como: pasajes, viticos y dems costos necesarios para mantener
en buen estado los equipos amparados, corrern por cuenta del
contratante.
SEXTA. Este contrato tendr valides de doce meses siendo
indispensable para cada perodo firmar un nuevo contrato de
mantenimiento.
SEPTIMA: Las partes aceptan el contenido de todas y cada una de
las clusulas anteriores para lo cual firman el presente contrato en
original y copia.
Gerente de Ventas y Mantenimiento

TELECOMNORTE
Vice_Presidente Ejecutivo
AGROPESCA S.A.
B. ACUERDO DE CONFIDENCIALIDAD:
1. Mantenimiento externo:
Como Empresa ligada al rubro de la agricultura hay servicios que no
desarrolla entre eso los de mantencin y arriendo de equipos
computacionales
2. Documentacin de la aplicacin y actividades.
a. Disminuye los costos de reclutamiento, seleccin y capacitacin,
entre otros, ya que corren por cuenta de la empresa que se
dedica a conseguir al personal.
b. Reduce el nmero de tareas que no benefician a la organizacin,
pues se les trasladan a estos servicios.
c. La empresa que contrata estos servicios se puede dedicar a
realizar sus competencias clave y estratgicas, lo cual debe
redituar en una mayor rentabilidad.
16
17
VII. PLAN DE CONTINGENCIAS

A) PLAN DE ADMINISTRACIN DE INCIDENTES
B) BACKUP DE EQUIPAMIENTO
C) ESTRATEGIAS DE RECUPERACIN DE DESASTRES
D) INFORMAR TIEMPOS DE SUSPENSIN DEL SERVICIO
E) PERIODICIDAD EN LA GENERACIN DE LOS RESGUARDOS
F) CONTROL DE ACCESO DE LOS BACKUP
G) PROCEDIMIENTOS DE RECUPERACIN DE DATA.
H) COPIA DEL PLAN DE CONTINGENCIAS EN EL EXTERIOR DE LA EMPRESA
I) DISPOSITIVOS DE RESPALDO
J) EQUIPOS DEBERN ESTAR SEALIZADOS O ETIQUETADOS DE ACUERDO A
LA IMPORTANCIA DE
K) DEFINIR TIEMPOS DE ESTADO DE EMERGENCIA.
L) DOCUMENTAR LAS ACTIVIDADES REALIZADAS DESPUS DE ALGNA
CONTINGENCIA.
M) SU CONTENIDO, PARA SER PRIORIZADOS EN CASO DE EVACUACIN.
18
CONCLUSIONES PARCIALES
A lo largo del presente trabajo se puede comprender que la seguridad de la
informacin es un conjunto de recursos destinados a lograr que sta y los activos de
una organizacin mantengan su confidencialidad, integridad y disponibles para
todos sus usuarios,
19
ANEXOS
I.
INVENTARIOS
INVENTARIO ANEXO A
INVENTARIO DE COMPUTADORES
20
21
INVENTARIO ANEXO B
INVENTARIO DE EQUIPOS DE COMUNICACINES Y RED
OTROS EQUIPOS
N
rea
Sistemas
Sistemas
Sistemas
II.
4
III.
5
Sistemas
Ubicacin
Departamento
Cantid
OBSERVACI
Hardware
ad
N
1
1
1
OUTSURSING
Financiero y
Gerencia General
1
Administrativo
CUESTIONARIO
(ANEXO1 AL 12)
Compras
e 1
ANEXO
Importaciones
CDRewriter
Sin novedad
Disk Optico Sin novedad
Resp. Cinta
Externo
Sin novedad
USBDAT16
0
Scaner
Sin novedad
Scaner
Sin novedad
22
CUESTIONARIO DE VISITA PREVIA

A. Informacin general
Nombre de la entidad: AGROPESCA S.A.
rea: SISTEMAS
Direccin: AV. BARROSO 1045 ANTOFAGASTA
Telfono: (56) 25875483
Jefe responsable: Jefe del departamento
Colaborador:
B. Conocimiento del rea
1. Cules son los objetivos del rea?
Mejorar la plataforma tecnolgica con el fin de optimizar los procesos

operativos de la empresa.
Mantener la informacin disponible y generar nueva informacin
estadstica en base a la necesidad de la gerencia.
Mediante el uso de la tecnologa minimizar los costos operativos y de
los servicios.
Mantener el buen funcionamiento de los equipos de la red de datos y
el software utilizado.
2. Cul es la estructura orgnica de la Empresa?
3. Cul es la estructura orgnica del departamento?
23
4. Ha existido alguna modificacin en la estructura orgnica?

No
5. Existe un manual de las funciones?
Si
6. Existe un manual de polticas?
No
7. Existe un manual de procedimientos?
Si
8. Existe un manual de polticas y procedimientos de seguridad?
No
9. Existe una persona encargada de administrar la seguridad?
No
10.Cuenta el rea con asesoramiento en materia de seguridad?
No
11.Se ha evaluado la seguridad antes?
No
12.Qu esquemas de seguridad tiene su rea?
Procedimientos de respaldo en CD y disco duro.
Control de claves de acceso y permisos a usuarios.
Control de permisos en los servicios (internet, impresiones y uso del
telfono).
Inventario mensual de los equipos.
Escaneo planificado del antivirus y su correspondiente actualizacin.
13.Quines son los usuarios del rea?
24
Jefe de Sistemas, Programador de sistemas y asistente de sistemas.

14.Qu actividades lleva a cabo su rea?
Dar soporte tcnico a los usuarios.
Realizar los inventarios del hardware y equipos en conjunto con personal de
contabilidad.
Chequeo y mantencin de las conexin de datos con la sucursal y oficina
regional.
Ejecuta los distintos Backup que se llevan a cabo en el rea de Sistemas
Realizar correcciones de datos por errores de usuarios.
Tareas de programacin
Soporte de Usuarios
Realizar Inventarios
Chequear las Conexiones de datos
15.Cuntas personas conforman actualmente el departamento de sistemas?
Tres.
16.Qu funciones tienen?
Jefe de Sistemas:
Administrar los recursos del rea de sistemas.

Control y mantenimiento de la red y software que da servicio a la
empresa.
Gestionar las adquisiciones de hardware y equipos.
Control del mantenimiento de hardware y equipos.
Control de los Backup
Implementacin de nuevas tecnologas de software y aplicaciones
para el sistema.
Elaboracin de un plan tecnolgico.
Asistente de Sistemas:
Dar soporte tcnico a los usuarios.

Realizar los inventarios del hardware y equipos en conjunto con
personal de contabilidad.
Chequeo y mantencin de las conexin de datos con la sucursal y
oficina regional.
Ejecuta los distintos Backup que se llevan a cabo en el rea de
Sistemas
Realizar correcciones de datos por errores de usuarios.
Tareas de programacin.
25
Auxiliar de Sistemas:
Soporte de Usuarios
Realizar Inventarios
Chequear las Conexiones de datos
Firma del Entrevistador
Firma del Entrevistado

ANEXO 2
DESCRIPCIN DEL ENTORNO INFORMTICO

Empresa: Agropesca SA
rea: Sistemas
Nombre: NN.
Cargo:
A. Entorno de red
1. Qu tipo de red poseen?
LAN
2. Qu topologa tienen?
ESTRELLA.
3. Qu equipos de conectividad usan?
Ethernet 10/100 base T.

4. Cuentan con servicio de internet?
Si
Observacin: ENTEL S.A A TRAVES DE TELCOMNORTE
B. Hardware
1. Con qu equipos cuenta el departamento?
Se cuenta con 29 computadores distribuidos en los ocho reas
Observacin:
Financiero y Administrativo, Compras e Importaciones, Contabilidad, Bodega, Re
envase, Ventas, Recursos Humanos, Legal
26
2. Con qu equipos de conectividad, comunicacin y de red cuenta en el

departamento?
1 SWITCH, 2 HUB 10 base T, 2 HUB 50 BASE T Y 3 MODEM.
SERVIDORES.
C. Software
1 Qu lenguaje de programacin manejan?

SQL Server versin 6.5 y Power Builder versin 5.04.
2 Qu sistema aplicativo utilizan?

SISTEMA APLICATIVO FINANCIERO SAFI.
3 Qu mdulos tiene el sistema aplicativo?

Facturacin y Cuentas por Cobrar, Tesorera, Inventario, Contabilidad, Control de
Bodegas, Reportes Estadsticos, Seguridad
4 Algn modulo ha sido desarrollado por el rea?

Si
4.1.
Si la respuesta fue s, Qu modulo es?
Modulo de Seguridad.
5 Qu modulo ha sido modificado por su rea?

Facturacin y Cuentas por Cobrar
Tesorera
Inventario
Control de Bodegas
Reportes estadsticos
6 Qu software bsico y utilitario que poseen?

.
.
-
Windows 2000 Server, XP y 7

LINUX
Utilitarios:
. Office XP
. Outlook Express
. Mira scan
. Epson scan
. Microsoft SQL Server 6.5
27
.
.
.
Acrobat reader
CCT (software de control de consumo telefnico)
Nero
Antivirus: AVG, Norton 2005, Antivirus.
ANEXO 3
EVALUACIN SEGURIDAD FSICA
DEPARTAMENTO DE SISTEMAS
Empresa:
Persona entrevistada:
Cargo: JEFE DEL DEPARTAMENTO DE SISTEMAS
1. Existe un manual documentado de polticas y procedimientos de seguridad
fsica?
Si ( )
No (X)
2. Existe uno de estos mtodos para controlar el acceso a personas ajenas a la
organizacin?
Si
No
Guardias de seguridad
(X )
( )
Detectores de Metales
(X )
( )
Sistemas Biomtricos
( )
(X)
Seguridad con Animales
( )
(X)
Proteccin Electrnica
( )
(X)
3. Con el mtodo anterior cul es el control que se lleva?
Para que una persona ajena a la empresa ingrese el guardia solicita la cedula de
esta persona y la anuncia con el empleado al cual busca y este da el permiso
para que ingrese.
4. Existe uno de estos mtodos para controlar el acceso a
Si
Puerta con cerradura
Puerta de combinacin
(
Puerta electrnica
(
Puertas sensoriales
(
personas ajenas al rea?

No
(X)
( )
)
(X)
)
(X)
)
(X)
28
Registros de entrada
Videocmaras
Escolta controladora para el acceso de visitantes
Puertas dobles
Alarmas
( )
(X)
(X)
( )
( )
( )
( )
(X)
(X)
(X)
5. El personal de la organizacin cuenta con alguna identificacin que los

diferencie de los visitantes?
Si (X )
No ( )
6. El departamento est ubicado en un lugar de alto trfico de personas?
Si (X)
No ( )
7. El departamento mantiene sus puertas cerradas con seguro?

Si (X)
No ( )
Observacin:
Solo cuando no hay nadie en el departamento.
8. Las ventanas y puertas del departamento cuentan con proteccin que eviten el
fcil acceso?
Si (X)
No ( )
9. El departamento est alejado de almacenes de materiales peligrosos?
Si (X)
No ( )
10.Es lo suficiente el espacio fsico del departamento para el equipo y que el
personal realice sus funciones?
Si ( )
No (X)
Observacin:
Falta rea para reparar los equipos.
11.Est prohibido comer, fumar y beber dentro del departamento para evitar daos
en los equipos?
Si (X)
No ( )
12.Existe un inventario actualizado de los equipos donde se detalle su ubicacin y
la persona responsable del mismo?
Si(X)
No ( )
13.Los equipos permanecen libres de comida, limpios, sin cenizas, clips, entre otras
cosas?
Si (X)
No ( )
14.Los equipos son protegidos con cubiertas plsticas o de otro material?
Si ( )
No (X)
15.Los equipos inactivos en las reas pblicas estn configurados para despejar la
pantalla o apagarse automticamente luego de un determinado perodo de
inactividad?
Si ( )
No (X)
29
16.Posee el departamento aire acondicionado?

Si (X)
No ( )
17.Los equipos trabajan bajo la temperatura y humedad que recomienda el
proveedor?
Si (X)
No ( )
Observacin:
En lo posible se trata de seguir las recomendaciones del proveedor.
18.Se cuenta con algn equipo de ventilacin de respaldo en caso de que el
principal falle?
Si
No (X)
19.Qu medidas emplean para proteger a los equipos de fallas

Si
Reguladores
(X)
Sistema de energa no interrumpido (UPS)
Switch de emergencia
(X)
Protecciones generales (fuentes de energa alterna)
elctricas?
No
( )
(X)
( )
( )
( )
(X)
20.Se revisan regularmente estos equipos de suministro de energa?

Si ( )
No (X)
21.Los cables de red y de energa estn protegidos?
Si ( )
No (X)
22.Se tienen conectados a los contactos de los equipos otros equipos electrnicos?
Si (X)
No ( )
Observacin:
Solo ciertos usuarios mantienen celulares conectados a los equipos.
23.Los equipos reciben mantenimiento?
Si (X)
No ( )
24.El mantenimiento a los equipos es realizado por:
Compaa externa (X)
Personal de sistemas ( )
25.Es supervisado el tipo de trabajo realizado por los tcnicos sobre los equipos
durante el perodo de mantenimiento?
Si (X)
No ( )
26.Qu tipo de mantenimiento reciben los equipos?
Preventivo y correctivo
27.El intervalo de tiempo en que reciben mantenimiento los equipos es el
recomendado por el proveedor?
Si ( )
No (X )
Observacin:
30
Trimestralmente reciben mantenimiento excepto los equipos en garanta que son

propiedad de TELECOMNORTE.
28.Existe un registro de cada mantenimiento realizado a los equipos?
Si (X)
No ( )
Observacin:
Estos registros se llevan en mail y en un archivo en Excel.
29.Se dispone de equipos de respaldo que puedan utilizarse en caso de
contingencias?
Si ( )
No (X)
30.Existe un registro de los cambios de partes efectuados sobre los equipos?
Si (X)
No ( )
Observacin:
Toda bitcora de control se lo lleva en mail y en un archivo en Excel.
31.Existe un registro de las fallas que son reportadas por usuarios de los equipos?
Si (X)
No ( )
Observacin:
Estos registros se llevan en mail y en un archivo en Excel; son actualizados
semanalmente.
32.Se les da el respectivo seguimiento a estas fallas?
Si (X)
No ( )
33.Existe un registro de los equipos, software o informacin que entran y salen de
la empresa?
Si (X)
No ( )
Observacin:
Estos registros se llevan en mail y en un archivo en Excel.
34.Quin da la autorizacin para los permisos de salida de equipos desde la
empresa?
El jefe de sistemas y el gerente administrativo
35.Cul es el procedimiento para recibir esta autorizacin?
La persona solicitante deber presentar el requerimiento escrito dirigido a las
personas encargadas de dar esta autorizacin
36.Existen procedimientos para dar de baja los equipos?
Si ( )
No (X)
37.Son destruidos fsicamente los dispositivos de almacenamiento sensible (CD`s,
disquete) que ya no sern utilizados?
Si (X)
No ( )
38.En el caso de ser otra vez utilizados estos dispositivos de almacenamiento, se
aseguran de que sean correctamente borrados o formateados?
Si (X)
No ( )
39.Los discos duros antes de ser eliminados u otra vez usados, se comprueba que
hayan sido borrados?
31
Si (X)
No ( )
40.Se realiza una revisin completa a discos duros de equipos daados para
verificar si deberan ser destruidos o reparados?
Si (X)
No ( )
41.Se han tomado medidas para minimizar las posibilidades de fuego como:
Si
Evitando artculos inflamables en el Departamento
( )
Prohibiendo fumar a los empleados dentro del departamento
( )
Vigilando y manteniendo el sistema Elctrico
( )
No
(X)
(X)
(X)
42.Existen alarmas contra incendios?

Si ( )
No (X)
Si existen, se prueban estas alarmas peridicamente?
Si ( )
No ( )
43.El personal est capacitado para actuar en caso de emergencias como un
incendio?
Si (X)
No ( )
44.Existen extintores dentro del departamento de sistemas?
Si ( )
No (X)
45.Existen extintores en la organizacin?
Si (X)
No ( )
46.Estos extintores son:
Automticos ( )
Manuales (X)
47.El extintor es cargado peridicamente?

Si (X)
No ( )
48.El personal est capacitado en el uso de los extintores?
Si ( )
No (X)
Observacin:
Solo cierto personal est capacitado en el manejo de extintores.
49.Los extintores estn ubicados en un lugar visible y accesible?
Si ( )
No (X)
50.Se tienen identificadas y sealadas las salidas de emergencia?
Si (X)
No ( )
51.Se revisa frecuentemente que no est abierta o descompuesta la cerradura de
esta puerta?
Si (X)
No ( )
52.Existen respaldos o backups de los archivos en dispositivos externos (CD`s,
Cintas, medios magnticos, entre otros)?
32
Si (X)
No ( )
53.Cada cunto tiempo se hacen respaldos o backups de la informacin?

Mensualmente se realizan respaldos de la Base de datos en Cintas, CDs y
semanalmente en el disco duro.
54.Se almacenan los backups de la empresa en cajas de seguridad?
Si (X)
No ( )
55.Existen respaldos de los archivos (programas fuentes, objetos y datos) fuera de
la empresa?
Si (X)
No ( )
56.Quin es el responsable de los mismos?
El jefe de sistemas es el responsable, quin se los lleva a su domicilio en un porta
CD.
57.En caso de que existan respaldos fuera de la empresa, Estos se pueden
recuperar en un tiempo tal que no interrumpa las operaciones normales de la
empresa?
Si (X)
No ( )
58.Existen registros de los backups?
Si ( )
No (X)
59.Estn etiquetados los backups de acuerdo a su contenido?
Si (X)
No ( )
60.Existe algn control o bloqueo para las impresoras cuando no son utilizadas?
Si ( )
No (X)
61.Existe algn control para el fax?
Si ( )
No (X)
Observacin:
Dentro del rea de sistemas no hay fax y no se tiene control para el fax que se
encuentra en el rea administrativa.
62.Existe alguna clave en las copiadoras que impida el acceso al personal ajeno de
la empresa o a quienes cuya funcin les es innecesario el uso de este equipo?
Si ( )
No (X)
63.Es inmediatamente retirada la impresin que el usuario necesita de las
impresoras?
Si ( )
No (X)
64.El equipo est cubierto por el seguro?
Si (X)
No ( )
65.Los requisitos del seguro son satisfactorios para la empresa?
Si (X)
No ( )
33
66.Alguno de los servicios del departamento es manejado por una compaa o

contratista externo (terceros)?
Si (X)
No ( )
Observacin:
Mantenimiento de equipos de computacin.
34
ANEXO 4
EVALUACIN SEGURIDAD FSICA
Empresa:
Cargo:
ASISTENTE DE SISTEMAS
67.Existe un manual documentado de polticas y procedimientos de seguridad
fsica?
Si ( )
No (X)
68.Existe uno de estos mtodos para controlar el acceso a personas ajenas a la
organizacin?
Si
No
Guardias de seguridad
(X )
( )
Detectores de Metales
(X)
( )
Sistemas Biomtricos
( )
(X)
Seguridad con Animales
( )
(X)
Proteccin Electrnica
( )
(X)
69.Con el mtodo anterior cul es el control que se lleva?
Para que una persona ajena a la empresa ingrese el guardia solicita la cedula de
esta persona y la anuncia con el empleado al cual busca y este da el permiso
para que ingrese.
70.Existe uno de estos mtodos para controlar el acceso a personas ajenas al rea?
Si
No
Puerta con cerradura
(X)
( )
Puerta de combinacin
( )
(X)
Puerta electrnica
( )
(X)
Puertas sensoriales
( )
(X)
Registros de entrada
( )
(X)
Videocmaras
(X)
( )
Escolta controladora para el acceso de visitantes
( )
(X)
Puertas dobles
( )
(X)
Alarmas
( )
(X)
71.El personal de la organizacin cuenta con alguna identificacin que los
diferencie de los visitantes?
Si ( )
No (X)
72.El departamento est ubicado en un lugar de alto trfico de personas?
Si (X)
No ( )
73.El departamento mantiene sus puertas cerradas con seguro?
Si (X)
No ( )
Observacin:
35
Solo cuando no hay nadie en el departamento.

74.Las ventanas y puertas del departamento cuentan con proteccin que eviten el
fcil acceso?
Si (X)
No ( )
75.El departamento est alejado de almacenes de materiales peligrosos?
Si (X)
No ( )
76.Es lo suficiente el espacio fsico del departamento para el equipo y que el
personal realice sus funciones?
Si ( )
No (X)
77.Est prohibido comer, fumar y beber dentro del departamento para evitar daos
en los equipos?
Si (X)
No ( )
78.Existe un inventario actualizado de los equipos donde se detalle su ubicacin y
la persona responsable del mismo?
Si(X)
No ( )
79.Los equipos permanecen libres de comida, limpios, sin cenizas, clips, entre otras
cosas?
Si ( )
No (X)
80.Los equipos son protegidos con cubiertas plsticas o de otro material?
Si ( )
No (X)
81.Los equipos inactivos en las reas pblicas estn configurados para despejar la
pantalla o apagarse automticamente luego de un determinado perodo de
inactividad?
Si ( )
No (X)
82.Posee el departamento aire acondicionado?
Si (X)
No ( )
83.Los equipos trabajan bajo la temperatura y humedad que recomienda el
proveedor?
Si (X)
No ( )
84.Se cuenta con algn equipo de ventilacin de respaldo en caso de que el
principal falle?
Si ( )
No (X)
85.Qu medidas emplean para proteger a los equipos de fallas
Si
Reguladores
(X)
Sistema de energa no interrumpido (UPS)
Switch de emergencia
(X)
Protecciones generales (fuentes de energa alterna)
elctricas?
No
( )
(X)
( )
( )
( )
(X)
36
86.Se revisan regularmente estos equipos de suministro de energa?

Si ( )
No (X)
87.Los cables de red y de energa estn protegidos?

Si ( )
No (X)
88.Se tienen conectados a los contactos de los equipos otros equipos electrnicos?
Si (X)
No ( )
89.Los equipos reciben mantenimiento?
Si (X)
No ( )
90.El mantenimiento a los equipos es realizado por:
Compaa externa (X)
Personal de sistemas ( )
91.Es supervisado el tipo de trabajo realizado por los tcnicos sobre los equipos
durante el perodo de mantenimiento?
Si (X)
No ( )
92.Qu tipo de mantenimiento reciben los equipos?
Preventivo y correctivo
93.El intervalo de tiempo en que reciben mantenimiento los equipos es el
recomendado por el proveedor?
Si ( )
No (X)
94.Existe un registro de cada mantenimiento realizado a los equipos?
Si (X)
No ( )
95.Se dispone de equipos de respaldo que puedan utilizarse en caso de
contingencias?
Si ( )
No (X)
96.Existe un registro de los cambios de partes efectuados sobre los equipos?
Si (X)
No ( )
97.Existe un registro de las fallas que son reportadas por usuarios de los equipos?
Si (X)
No ( )
98.Se les da el respectivo seguimiento a estas fallas?
Si (X)
No ( )
99.Existe un registro de los equipos, software o informacin que entran y salen de
la empresa?
Si (X)
No ( )
100.
Quin da la autorizacin para estos permisos?

El jefe de sistemas y el jefe de recursos humanos o el gerente administrativo
101.
Cul es el procedimiento para recibir esta autorizacin?
37
Se crea un aviso de salida, se lo hace firmar por el jefe de sistemas y por la

persona solicitante, despus se pide la firma del gerente financiero
administrativo o jefe de recursos humanos y finalmente se saca una copia de
este permiso y se la entrega al guardia de la garita.
102.
Existen procedimientos para dar de baja los equipos?

Si (X)
No ( )
103. Son destruidos fsicamente los dispositivos de almacenamiento sensible

(CD`s, disquete) que ya no sern utilizados?
Si ( )
No (X)
104. En el caso de ser otra vez utilizados estos dispositivos de almacenamiento,
se aseguran de que sean correctamente borrados o formateados?
Si (X)
No ( )
105. Los discos duros antes de ser eliminados u otra vez usados, se comprueba
que hayan sido borrados?
Si (X)
No ( )
106. Se realiza una revisin completa a discos duros de equipos daados para
verificar si deberan ser destruidos o reparados?
Si (X)
No ( )
107.
Se han tomado medidas para minimizar las posibilidades de fuego como:

Si
No
Evitando artculos inflamables en el Departamento
(X)
( )
Prohibiendo fumar a los empleados dentro del departamento (X)
( )
Vigilando y manteniendo el sistema Elctrico
( )
(X)
108.
Existen alarmas contra incendios?

Si ( )
No (X)
Si existen, se prueban estas alarmas peridicamente?
Si ( )
No ( )
109. El personal est capacitado para actuar en caso de emergencias como un

incendio?
Si (X)
No ( )
110.
Existen extintores dentro del departamento de sistemas?

Si ( )
No (X)
111.
Existen extintores en la organizacin?

Si (X)
No ( )
112.
Estos extintores son:

Automticos ( )
113.
Manuales (X)
El extintor es cargado peridicamente?
38
Si (X)
No ( )
114.
El personal est capacitado en el uso de los extintores?

Si (X)
No ( )
115.
Los extintores estn ubicados en un lugar visible y accesible?

Si ( )
No (X)
116.
Se tienen identificadas y sealadas las salidas de emergencia?

Si ( )
No (X)
117. Se revisa frecuentemente que no est abierta o descompuesta la cerradura

de esta puerta?
Si ( )
No (X)
118. Existen respaldos o backups de los archivos en dispositivos externos (CD`s,
medios magnticos, entre otros)?
Si (X)
No ( )
119.
Cada cunto tiempo se hacen respaldos o backups de la informacin?

Diariamente.
120.
Se almacenan los backups de la empresa en cajas de seguridad?

Si (X)
No ( )
121. Existen respaldos de los archivos (programas fuentes, objetos y datos) fuera
de la empresa?
Si ( )
No (X)
122.
Quin es el responsable de los backups?

El jefe de sistemas es el responsable.
123. En caso de que existan respaldos fuera de la empresa, Estos se pueden

recuperar en un tiempo tal que no interrumpa las operaciones normales de la
empresa?
Si (X)
No ( )
124.
Existen registros de los backups?

Si ( )
No (X)
125.
Estn etiquetados los backups de acuerdo a su contenido?

Si (X)
No ( )
126.
Existe algn control o bloqueo para las impresoras cuando no son utilizadas?
Si ( )
No (X)
127.
Existe algn control para el fax?

Si ( )
No (X)
128. Existe alguna clave en las copiadoras que impida el acceso al personal ajeno
de la empresa o a quienes cuya funcin les es innecesario el uso de este equipo?
Si ( )
No (X)
39
129. Es inmediatamente retirada la impresin que el usuario necesita de las

impresoras?
Si (X)
No ( )
130.
El equipo est cubierto por el seguro?

Si (X)
No ( )
131.
Los requisitos del seguro son satisfactorios para la empresa?

Si (X)
No ( )
132. Alguno de los servicios del departamento es manejado por una compaa o
contratista externo (terceros)?
Si (X)
No ( )
40
ANEXO 5
PLANO FSICO DE LA EMPRESA AGROPESCA S.A.
41
ANEXO 6
EVALUACIN SEGURIDAD LGICA
Empresa:
Cargo:
Jefe Departamento Sistemas
133. Cuentan con una poltica documentada para la gestin de las claves de
acceso?
Si (X)
No ( )
134.
Quin es la persona encargada de administrar las claves?

Jefe de sistemas
135.
Cmo estn conformadas las claves de acceso?

Estn formadas por el nombre de usuario y una clave secreta.
136.
Qu caractersticas debe tener el password?

Debe tener caracteres alfanumricos, debe ser mnimo de seis caracteres.
137.
Qu mtodo emplean para generar las claves?

Software (X)
Elegida por el usuario (
Observacin:
Primero el jefe de sistemas le crea una clave al usuario, donde la
identificacin ser: la inicial del nombre, seguido del apellido y el password se
lo asigna. Luego el usuario deber ingresar al sistema y este le pedir
cambiar el password.
138.
Con qu periodicidad se actualizan las claves?

Cada treinta das
139.
Son utilizadas tcnicas de cifrado para proteger las claves?

Si (X)
No ( )
Observacin:
Se graban las llaves en la base de datos.
140. Se verifica que el empleado tenga autorizacin de gerencia para el uso del
sistema antes de asignarle una clave?
Si (X)
No ( )
Observacin:
Se verifica que tenga autorizacin del jefe de su rea.
141.
Las claves se asignan por grupo de usuarios o por cada usuario?

Por usuario
42
142. Los permisos (lectura, escritura, ejecucin, eliminacin, todos los anteriores)
son asignados de acuerdo a las funciones del usuario?
Si (X)
No ( )
143. Se lleva un registro de los cambios de privilegios en el sistema actualizados
en el caso de que el usuario cambie de funcin dentro de la organizacin?
Si ( )
No (X)
144. Se bloquea el equipo despus de un nmero limitado de ingresos de claves
incorrectas?
Si ( )
No (X)
145.
Cunto intentos fallidos permite el sistema antes de bloquear el equipo?

Es indefinido el nmero de intentos
146. El equipo espera un tiempo para mostrar nuevamente la ventana de ingreso

de contrasea?
Si ( )
No (X)
147. Existen registros de los intentos de aceptacin y rechazo de claves de
usuario en el sistema?
Si ( )
No (X)
148. Existe un registro que indique la hora, fecha y aplicacin que utilizo el
usuario?
Si (X)
No ( )
149. Se realizan seguimientos a los registros de accesos no autorizados,
autorizados y fallidos?
Si ( )
No (X)
150.
Existen registros de errores al ingresar datos por cada aplicacin?

Si (X)
No ( )
151.
Es limitado el tiempo de conexin a la red al horario de oficina?

Si ( )
No (X)
152.
Existen procedimientos para la eliminacin de claves?

Si (X)
No ( )
153.
Se llevan registros de las claves eliminadas?

Si ( )
No (X)
154. Estos procedimientos se realizan inmediatamente que el empleado sea

retirado de la organizacin?
Si (X)
No ( )
155. Qu procedimientos siguen en caso de que el usuario se encuentre dentro de
alguna de estas condiciones:
a. Vacaciones o Ausencia temporal
Ninguno
b. Olvido o Revelacin de la clave
43
Se inicializa la clave y se obliga al usuario a cambiarla de inmediato

c. Claves sin usar
Se eliminan
156.
Se llevan registros de estos procedimientos?

Si ( )
No (X)
ANEXO 7
EVALUACIN SEGURIDAD LGICA
Empresa:
Cargo:
Asistente de sistemas
157. Cuentan con una poltica documentada para la gestin de las claves de
acceso?
Si (X)
No ( )
158.
Quin es la persona encargada de administrar las claves?

Jefe de sistemas
159.
Cmo estn conformadas las claves de acceso?

Nombre de usuario y una clave secreta.
160.
Qu caractersticas debe tener el passwords?

Tienen caracteres alfanumricos y mnimo de seis caracteres.
161.
Qu mtodo emplean para generar las claves?

Software (X)
Elegida por el usuario (
)
Observacin:
Se crea la misma del usuario y luego el sistema le pide cambiarla
162.
Con qu periodicidad se actualizan las claves?

Cada vez que se lo programe o que el usuario cambie de puesto de trabajo.
163.
Son utilizadas tcnicas de cifrado para proteger las claves?

Si (X)
No ( )
164. Se verifica que el empleado tenga autorizacin de gerencia para el uso del
sistema antes de asignarle una clave?
Si (X)
No ( )
44
165.
Las claves se asignan por grupo de usuarios o por cada usuario?

Por usuario
166. Los permisos (lectura, escritura, ejecucin, eliminacin, todos los anteriores)
son asignados de acuerdo a las funciones del usuario?
Si (X)
No ( )
167. Se lleva un registro de los cambios de privilegios en el sistema actualizados
en el caso de que el usuario cambie de funcin dentro de la organizacin?
Si ( )
No (X)
168. Se bloquea el equipo despus de un nmero limitado de ingresos de claves
incorrectas?
Si ( )
No (X)
169.
Cunto intentos fallidos permite el sistema antes de bloquear el equipo?

No tiene lmite.
170. El equipo espera un tiempo para mostrar nuevamente la ventana de ingreso

de contrasea?
Si ( )
No (X)
171. Existen registros de los intentos de aceptacin y rechazo de claves de
usuario en el sistema?
Si ( )
No (X)
172. Existe un registro que indique la hora, fecha y aplicacin que utilizo el
usuario?
Si (X)
No ( )
173. Se realizan seguimientos a los registros de accesos no autorizados,
autorizados y fallidos?
Si ( )
No (X)
174.
Existen registros de errores al ingresar datos por cada aplicacin?

Si ( )
No (X)
175.
Es limitado el tiempo de conexin a la red al horario de oficina?

Si ( )
No (X)
176.
Existen procedimientos para la eliminacin de claves?

Si (X)
No ( )
177.
Se llevan registros de las claves eliminadas?

Si ( )
No (X)
178. Estos procedimientos se realizan inmediatamente que el empleado sea

retirado de la organizacin?
Si (X)
No ( )
179. Qu procedimientos siguen en caso de que el usuario se encuentre dentro de
alguna de estas condiciones:
45
a. Vacaciones o Ausencia temporal

Ninguna, se deja su clave y usuario como los dejo.
b. Olvido o Revelacin de la clave
Peticin por mail de cambio de clave dirigida al jefe de sistemas.
c. Claves sin usar
Se las mantiene hasta eliminarlas.
180.
Se llevan registros de estos procedimientos?

Si ( )
No (X)
ANEXO 15
EVALUACIN SEGURIDAD DEL SISTEMA APLICATIVO
Empresa:
Cargo:
Jefe del departamento
1. Existe un mapa orgnico de los puestos y funciones del departamento que
administra el sistema?
Si ( )
No ( )
2. Existe un manual de sistemas y procedimientos para las actividades de la
empresa?
Si ( )
No ( )
3. Est documentado?
Si ( )
No ( )
4. Est actualizado?
Si ( )
No ( )
5. Existe un manual documentado de usuario del sistema?

Si ( )
No ( )
Observacin:
46
6. Han existido evaluaciones de la seguridad anteriores del sistema?

Si ( )
No ( )
7. Existe un manual de los procedimientos para la configuracin del sistema?
Si ( )
No ( )
8. Est documentado?
Si ( )
No ( )
9. El diagrama entidad-relacin del sistema est debidamente actualizado y

documentado?
Si ( )
No ( )
10.Est documentado el diccionario de datos del sistema?

Si ( )
No ( )
11.Existe un plan para cambios futuros que se vayan a hacer al sistema??
Si ( )
No ( )
12.Si existe Est documentado?
Si ( )
No ( )
13.Existen manuales de los procedimientos para realizar los cambios en las
aplicaciones y generacin de reportes del sistema?
Si ( )
No (X )
14.Estn documentados?
Si ( X)
No ( )
15.Existen procedimientos para autorizar y aprobar los cambios en el sistema?

Si ( X )
No ( )
16.Existen registros de cambios en el sistema con las fechas de vigencia?
Si (X)
No ( )
17.Se documentan estos registros de cambios?
Si ( )
No (X )
18.Existen cambios recientes en algn modulo del sistema?
47
Si ( )
No ( )
19.Se realiza un seguimiento de seguridad a est aplicacin?

Si ( )
No ( )
20.Existen registros de los errores que ocurren en el sistema de aplicativo?
Si ( )
No ( )
21.Son documentados?
Si ( )
No ( )
22.Son revisados peridicamente estos registros de errores?
Si ( )
No (X )
ANEXO 9
EVALUACIN SEGURIDAD DEL SISTEMA APLICATIVO
Empresa: AGROPESCA S.A.
Cargo:
Asistente de sistemas
23.Existe un mapa orgnico de los puestos y funciones del departamento que

administra el sistema?
Si ( )
No ( X )
24.Existe un manual de sistemas y procedimientos para las actividades de la
empresa?
Si ( X )
No ( )
25.Est documentado?
Si ( X )
No ( )
26.Est actualizado?
Si ( )
No ( X )
48
27.Existe un manual documentado de usuario del sistema?

Si ( )
No ( X )
28.Han existido evaluaciones de la seguridad anteriores del sistema?
Si ( )
No ( X )
29.Existe un manual de los procedimientos para la configuracin del sistema?
Si ( )
No ( X )
30.Est documentado?
Si ( )
No ( X )
31.El diagrama entidad-relacin del sistema est debidamente actualizado y

documentado?
Si ( )
No ( X )
32.Est documentado el diccionario de datos del sistema?

Si ( )
No ( x )
33.Existe un plan de desarrollo, de mejora o modificacin del sistema?
Si ( x )
No ( )
34.Si existe Est documentado?
Si ( x )
No ( )
35.Existen manuales de los procedimientos para realizar los cambios en las
aplicaciones y generacin de reportes del sistema?
Si ( x )
No ( )
36.Estn documentados?
Si ( )
No ( x )
37.Existen procedimientos para autorizar y aprobar los cambios en el sistema?
Si ( x )
No ( )
38.Existen registros de cambios en el sistema con las fechas de vigencia?
Si ( x )
No ( )
39.Se documentan estos registros de cambios?
49
Si ( )
No ( x )
40.Existen cambios recientes en algn modulo del sistema?

Si ( )
No ( x )
41.Se realiza un seguimiento de seguridad a est aplicacin?
Si ( )
No ( x )
42.Existen registros de los errores que ocurren en el sistema de aplicativo?
Si ( x )
No ( )
43.Son documentados?
Si ( )
No ( x )
44.Son revisados peridicamente estos registros de errores?

Si ( x )
No ( )

ANEXO 10
EVALUACIN SEGURIDAD EN REDES

Cargo:
1. Existen adecuados y eficaces controles operacionales como por ejemplo: el
separar la administracin del sistema y de la red?
Si ( x )
No ( )
Observacin: Existen niveles de seguridad a nivel de aplicaciones y del sistema
operativo.
FIREWALL
2. Qu controles de acceso tiene el firewall?
Control de usuario, Segmentacin de acceso a internet.
50
3. Se examinan los servicios de internet que los usuarios necesitan para darles el
respectivo acceso?
Si ( x )
No ( )
Observacin:
Los gerentes tienen un acceso total y el personal acceso limitado a correo y paginas
especificas.
4. Se permiten slo los servicios que se comprenden o se tiene experiencia, que se
pueden proporcionar con seguridad y para los cuales existen una necesidad
legtima?
Si ( x )
No ( )
Observacin:
Bancos, servicio de impuestos internos (SII), pginas de instituciones pblicas.
5. Se generan registros de los intentos de accesos no autorizados?
Si ( )
No ( x )
6. Es lo suficientemente rpido para que no demore a los usuarios en sus intentos
por acceder a la red?
Si ( x )
No ( )
ANTIVIRUS
1. Existen controles contra el uso de software malicioso (virus)?
Si ( x )
No ( )
2. Todo el trfico originado por una red no confiable es chequeada por el antivirus
dentro de la organizacin? Ejemplo: Comprobar si hay virus en el email, los
archivos adjuntos del email y en la web?
Si ( x )
No ( )
Observacin:
Se elimina cualquier virus de los correos, archivos adjuntos y archivos bajados de la
Web y medios de almacenamiento mediante un escaneo por parte del encargado de
sistemas
3. Hay un antivirus instalado en cada equipo (incluidos los servidores) o hay un
solo antivirus en toda la red?
Antivirus instalado en los servidores y en los equipos.
4. El software antivirus est instalado en los equipos para que cheque, aisl o
remueva cualquier virus de la computadora o medios de almacenamiento?
Si ( x )
No ( )
5. Qu procedimiento siguen en el caso de una infeccin con un virus?
Se trata de eliminar el virus, de no lograrse esto, se formatea el disco duro del
equipo infectado.
51
Si.
6. El escaneo de las mquinas se realiza por cuenta de cada usuario o lo realiza el
encargado de sistemas?
El escaneo lo realiza el Asistente de sistemas.
7. Cada cunto tiempo se hace un escaneo total de virus en los servidores y en
los equipos de los usuarios?
Cada tres meses.
8. Quin se encarga?
El asistente de sistemas.
9. Se hacen chequeos ocasionales para ver si se han actualizado los antivirus?
Si ( x )
No ( )
52
ANEXO 11
EVALUACIN SEGURIDAD EN REDES

Cargo:
7. Existen adecuados y eficaces controles operacionales como por ejemplo: el
separar la administracin del sistema y de la red?
Si ( x )
No ( )
Observacin: Existen niveles de seguridad a nivel de aplicaciones y del sistema
operativo.
FIREWALL
8. Qu controles de acceso tiene el firewall?
Control de usuario, Segmentacin de acceso a internet.
9. Se examinan los servicios de internet que los usuarios necesitan para darles el
respectivo acceso?
Si ( x )
No ( )
Observacin:
Los gerentes tienen un acceso total y el personal acceso limitado a correo y paginas
especificas.
10.Se permiten slo los servicios que se comprenden o se tiene experiencia, que se
pueden proporcionar con seguridad y para los cuales existen una necesidad
legtima?
Si ( x )
No ( )
Observacin:
Bancos, servicio de impuestos internos (SII), pginas de instituciones pblicas.
11.Se generan registros de los intentos de accesos no autorizados?
Si ( )
No ( x )
12.Es lo suficientemente rpido para que no demore a los usuarios en sus intentos
por acceder a la red?
Si ( x )
No ( )
53
ANTIVIRUS
10.Existen controles contra el uso de software malicioso (virus)?
Si ( x )
No ( )
11.Todo el trfico originado por una red no confiable es chequeada por el antivirus
dentro de la organizacin? Ejemplo: Comprobar si hay virus en el email, los
archivos adjuntos del email y en la web?
Si ( x )
No ( )
Observacin:
Se elimina cualquier virus de los correos, archivos adjuntos y archivos bajados de la
Web y medios de almacenamiento mediante un escaneo por parte del encargado de
sistemas
12.Hay un antivirus instalado en cada equipo (incluidos los servidores) o hay un
solo antivirus en toda la red?
Antivirus instalado en los servidores y en los equipos.
13.El software antivirus est instalado en los equipos para que cheque, aisl o
remueva cualquier virus de la computadora o medios de almacenamiento?
Si ( x )
No ( )
14.Qu procedimiento siguen en el caso de una infeccin con un virus?
Se trata de eliminar el virus, de no lograrse esto, se formatea el disco duro del
equipo infectado.
Si.
15.El escaneo de las mquinas se realiza por cuenta de cada usuario o lo realiza el
encargado de sistemas?
El escaneo lo realiza el Asistente de sistemas.
16.Cada cunto tiempo se hace un escaneo total de virus en los servidores y en
los equipos de los usuarios?
Cada tres meses.
17.Quin se encarga?
El asistente de sistemas.
18.Se hacen chequeos ocasionales para ver si se han actualizado los antivirus?
Si ( x )
No ( )
54
55
ANEXO 12
EVALUACIN SEGURIDAD EN LOS RECURSOS HUMANOS
DEPARTAMENTO DE RECURSOS HUMANOS
Persona Entrevistada:
Cargo:
Jefe de recursos Humanos
181. Se verifican los antecedentes del posible empleado antes de ser contratado?
Si ( )
No ( X )
Observacin: Algunos de los candidatos son enviados por empresas
subcontratistas que evalan y verifican previamente sus datos.
182. Existe una clusula de confidencialidad en el contrato de trabajo para los
empleados, especialmente si son postulantes para algn cargo en el
departamento de sistemas?
Si ( )
No ( x )
183. Este contrato es firmado y ledo por el empleado antes de que ingrese a
laborar en la empresa?
Si ( x )
No ( )
184. Todos los empleados de la organizacin reciben el entrenamiento apropiado
en materia de seguridad de la informacin y actualizaciones regulares en
polticas y procedimientos de la organizacin?
Si
No
Al iniciar su labor en la organizacin
(x) ( )
Durante su vida laboral en la empresa
( )
(x)
185. Se evala peridicamente el comportamiento del personal, especialmente si
estos tienen privilegios dentro de la organizacin?
Si ( )
No ( x )
186. Existe una adecuada separacin de funciones de los empleados dentro de la
organizacin, especialmente de los que forman el departamento de sistemas?
Si ( )
No ( x )
187. Existe un adecuado procedimiento para dar de baja a los empleados cuando
estos se ausentan definitivamente de la empresa?
Si ( )
No ( x )
56
Observacin: A veces el departamento de RR.HH. notifica el despido de algn

empleado de forma verbal.
188. Comunican inmediatamente al departamento de sistemas que dicho
empleado no labora ms en la empresa para que esta rea elimine su clave del
sistema y no correr riesgos?
Si ( )
No ( x )
Observacin:
Existe una premura del tiempo y en ocasiones falta de personal.
57
(ANEXO 14 Y 15 )
VULNERABILIDADY FACTORES DE RIESGO
SISTEMAS DE CONTROL
FALLAS:
No existen polticas de seguridad.
Falta personal especialista en seguridad de la informacin.
No se bloquea el equipo por ingresar una clave incorrecta.
Falta registro de acceso a la base de datos.
No hay un lmite de intentos fallidos en el sistema al ingresar una clave errnea.
Manual y un procedimiento de configuracin los cuales estn obsoletos de los
sistemas .
No existen evaluaciones de la seguridad al sistema.
No se cuenta con poltica para la gestin de claves.
Generacin de reportes del sistema sin documentar.
No existe un registro del cambio de privilegios en el sistema, en caso de que el
usuario cambie de funcin dentro de la organizacin.
58
NIVEL DE SENSIBILIDAD
FALLAS:
Mala ubicacin del servidor de produccin.
No existen extintores de incendio en el departamento de Sistemas.
No estn habilitados los protectores de pantalla .
Falta de un lugar para efectuar el mantenimiento de equipos.
Los cables de red estn a la intemperie sin proteccin.
La sala de Lubricantes posee acceso a travs de la oficina donde se encuentran
los servidores por medio de una puerta interna.
No existen medidas de ningn tipo para evitar las posibilidades de amago de
incendio (faltan extintores, aspersores de agua, etc.), no existen alarmas de
incendio.
Las Fotocopiadoras funcionan sin clave, es decir cualquier persona ajena a la
empresa o a quien cuya funcin no le corresponde utilizarla, puede hacer uso de
esta.
OMPLEJIDAD
FALLAS:
Falta de seguridad para los respaldos.
No cuenta con un contrato de Outsourcing que proteja la seguridad de los
equipos e informacin.
Falta de restricciones en el horario para ingresar al sistema
No se bloquea el equipo por ingresar una clave incorrecta
Los equipos inactivos no cuentan con un bloqueo de seguridad para proteger los
datos
Las impresoras no se bloquean cuando no estn en actividades
Falta de proteccin de los equipos con cubierta plsticas o de otro material
Faltan respaldos de ventilacin para los equipos
No se cuentan con personal para los mantenimientos de los equipos
No existe un control de registro de acceso no autorizado, autorizado y fallidos
Falta de seguridad cuando intentan varias veces en forma incorrectas ingresar al
sistema
59
MATERIALIDAD
FALLAS:
Falta de restricciones en el horario para ingresar al sistema.
Establecer un tiempo lmite de conexin a la base de datos y el sistema.
Falta un mtodo nico control de revisin de los equipos.
Establecer procedimientos de revisin de los trabajos de la empresa externa que
est a cargo de los equipos.
No se dispone de equipos de respaldo.
Establecer una cantidad a determinar de Notebooks adaptados para el uso
inmediato en caso de falla de una estacin de trabajo.
No se registran los cambios en las aplicaciones.
No hay procedimientos para baja de equipos.
Generar evaluacin de equipos para reventa o reciclaje.
No Existen revisiones del sistema elctrico de la empresa.
Realizar una revisin semestral del sistema elctrico por parte de un tcnico.
No existe un plan de backup o respaldos.
Implementar un sistema de respaldos automtico.
No se lleva ninguna revisin ni control sobre las cuentas de los usuarios
Crear un registro de cuentas, conexiones y bloqueos.
60
IMAGEN
FALLAS:
Falta personal especialista en seguridad de la informacin
Contratar un especialista o capacitar a un empleado.
Riesgo de confidencialidad por manejo externo de los equipos que guardan la
informacin.
Comprar y administrar los servidores en la empresa.
Falta de seguridad para los respaldos.
Asignar dos trabajadores para la realizacin de respaldos.
Falta de equipos de respaldo en caso de contingencia
Habilitar PCs para contingencias y sistemas de energas alternas como
generadores.
Desactualizacin del manual de usuario del sistema.
Generar un nuevo manual de usuario de sistemas.
AUDITORAS PREVIAS
Situacin Actual
Se desprende de las entrevistas realizadas y de los antecedentes previos
recabados y entregados por la empresa que no se han realizado auditoras de
seguridad ya sea a modo general, como tambin en modo particular al rea
de Tecnologa.
RESPUESTA ANTE FALLAS
61
Situacin Actual
AGROPESCA, y en particular su Departamento de Tecnologa cuenta con
algunos procedimientos bsicos que determinan el protocolo a seguir en caso
de falla o desastre.
62
(ANEXO16)
PONDERACIN DE LOS FACTORES DE RIESGO
FACTOR DE RIESGO
POND.
Sistemas de Control
25%
Nivel de Sensibilidad
10%
Complejidad
20%
Materialidad
15%
Imagen
15%
Auditoras Previas
Plan de Contingencia
5%
10%
TOTAL
100%
63
(ANEXO 17)
VALORACIN DE RIESGO
MTRICAS DE FACTORES DE RIESGO
N Factor de
Riesgo
Mtricas
Protocolos de control implantado y documentado
SISTEMAS
DE
CONTROL
Procedimientos de control descritos

No existe Protocolo de control
NIVEL
DE
SENSIBILIDAD
COMPLEJIDAD
Ninguna amenaza de impacto de daos y fallas

Baja amenaza de impacto de daos y fallas
Alta amenaza de impacto de daos y fallas
Pond.
Bajo
Medio
Alto
MATERIALIDAD
Importancia Baja
Importancia Media
Importancia Alta
IMAGEN
Compromiso de Imagen Bajo

Compromiso de Imagen Medio
Compromiso de Imagen Alto
AUDITORIAS
PREVIAS
Hace 1 ao
Entre ms de 1 y 2 aos
Hace ms de 2 aos
No se ejecutaron auditoras
PLAN
Existen planes de contingencia
DE
CONTINGENCIA No existen planes de contingencia
64
(ANEXO 18)
VALORACION DE ACTIVOS CRITICOS
N
1
2
3
4
5
1. ACTIVOS DE INFORMACION
UBICACIN
ACTIVO CRITICO O RECURSO
INFORMATICO
REA
DEPTO.
ENCARGA
DO
Jefe
BASE DE DATOS DE LA
SISTEMAS SISTEMAS
Sistemas
EMPRESA
Jefe
SISTEMAS SISTEMAS
PLAN TECNOLOGICO
Sistemas
Jefe
SISTEMAS SISTEMAS
ARCHIVOS DE BACKUP
Sistemas
SISTEMAS SISTEMAS
ASISTENT
Y
Y
E
INVENTARIOS
CONTABILI CONTABILI
SISTEMAS
DAD
DAD
JEFE
MANUAL DE
SISTEMAS SISTEMAS
SISTEMAS
SISTEMAS(OBSOLETO)
REA
SISTEMA
S
SISTEMA
S
4
5
SISTEMA
S
SISTEMA
S
REA
Sistemas
Sistemas
3
4
5
6
7
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
2. ACTIVOS DE SOFTWARE
UBICACIN
ACTIVO CRITICO
DEPTO.
ENCARGAD
O
SISTEMA
Jefe de
Software de sistemas SAFI
S
sistemas
Asistente
SISTEMA
de
Sistema Operativos
S
Sistemas
SISTEMA
JEFE
FIREWALL
S
SISTEMAS
SISTEMA
ASISTENTE
DESARROLLO DE SOFTWARE
S
3. ACTIVOS FSICOS
UBICACIN
ACTIVO CRITICO
DEPTO.
ENCARGADO
Jefe de
Sistemas
Servidor de Base de Datos
sistemas
Jefe de
Sistemas
Recursos del rea
sistemas
SISTEMA
JEFE
COMPUTADOR
S
SISTEMAS
SISTEMA
ASISTENTE
COMPUTADOR
S
SISTEMA
AUXILIAR
COMPUTADOR
S
SISTEMA
JEFE
SWITCH, HUB Y 2 MODEMS
S
SISTEMAS
TELCOMNORT
EXTERNO
SERVIDORES
E
65
4. SERVICIOS
N
REA
Sistemas
SISTEMA
S
SISTEMA
S
4
5
6
SISTEMA
S
SISTEMA
S
SISTEMA
S
UBICACIN
DEPTO.
ENCARGADO
Jefe de
Sistemas
siste6mas
SISTEMA
JEFE
S
DEPARTAMENTO
JEFE
EXTERNO DEPARATAMENT
O
SISTEMA
ASISTENTE
S
SISTEMA
AUXILIAR
S
SISTEMA
AUXILIAR
S
ACTIVO CRITICO
Servicio de Internet
SERVICIO DE TRATAMIENTO
Y COMUNICACIONES
RED LAN INTERNET
ENTEL.S.A A TRAVES DE
TELCOMNORTE.
SOPORTE TECNICO A
USUARIOS
SOPORTE A USUARIOS
CHEQUEO CONEXIN A BD
66
5. PERSONAS
UBICACIN
DEPTO.
REA
GERENCIA
FINANCIERA
DEPARTAMEN
TO SISTEMAS
3
4
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
SISTEMAS
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
DEPARATAME
NTO
SISTEMAS
6.
REA
SISTEMA
S
SISTEMA
S
SISTEMA
S
SISTEMA
S
ACTIVO CRITICO
ENCARGAD
O
GERENTE
FINANZAS
JEFE
DERTAME
NTO
JEFE DE FINANAZAS
JEFE DEPARTAMENTO
(ADMINISTRADOR)
ASISTENTE
ASISTENTE (SOPORTEPROGRAMADOR)
AUXILIAR
AUXILIAR. (SOPORTE)
OTROS
UBICACIN
DEPTO.
ENCARGADO
SISTEMA
ASISTENTE
S
JEFE
SISTEMA
DEPARATAME
S
NTO
JEFE
SISTEMA
DEPARATAME
S
NTO
JEFE
SISTEMA
DEPARTAMEN
S
TO
ACTIVO CRITICO
MEJORAR PLATAFORMA
TECNOLOGICA
MANTENER DISPONIBILIDAD
DE LA INFORMACION
GENERAR INFORMACION
ESTADISTICA
MINIMIZAR COSTOS
OPERATIVOS Y DE LOS
SERVICIOS.
67
(ANEXO 19)
MATRIZ DESCRIPTIVA
68
(ANEXO 20)
MATRIZ PODERADA
69
(ANEXO 21)
MATRIZ CATEGORIA
70
(ANEXO22)
POLITICAS DE SEGURIDAD
INTRODUCCIN EJECUTIVO
Sres. AGROPESCA S.A,
El presente informe analizar y propondr las medidas adecuadas sobre las
polticas de seguridad donde vamos a ver estas, tanto fsica, lgicas, recursos
humanos etc. vulnerabilidades y fallas de seguridad detectadas durante la revisin
solicitada por vuestra empresa. Tambin se indicarn las estrategias necesarias para
Proteger los recursos de informacin de la Empresa y la tecnologa requerida para su
procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales,
con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la informacin.
Se realiza este documento para su conocimiento.
71
INFORME:
POLTICAS DE SEGURIDAD NFORMTICA
I.
Justificacin
Los activos de informacin y los equipos informticos son recursos
importantes y vitales de toda compaa y el asegurar la disponibilidad y
funcionamiento efectivo de ellos se hace una tarea crtica para el
funcionamiento de cualquier empresa. Por ello las polticas de seguridad
informtica tienen por objeto establecer las medidas de ndole tcnica y de
organizacin, necesarias para garantizar la seguridad de las tecnologas de
informacin (equipos de cmputo, sistemas de informacin, redes (Voz y Datos))
y personas que interactan haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de la empresa.
II.
Generalidades
Est poltica debe corresponder a los fines buscados por la empresa que
permita asegurar los datos y sistemas informticos involucrados.
Objetivo
Proveer lineamientos y procedimientos generales para efectiva proteccin de
los datos y activo fijo informtico de AgroPesca S.A.
Alcance
Este documento comprende todo el equipamiento informtico, medios de
almacenamientos y respaldos y equipos de comunicaciones propios y/o arrendados
por Agropesca S.A., en Casa matriz, sucursales y Centros de Datos asociados a
Agropesca S.A. En relacin a las responsabilidades generadas, comprende al
Departamento de Tecnologa.
Responsabilidades
Los siguientes encargados son responsables, en distintos grados, de la
seguridad en la compaa:
1. Gerente de Tecnologa: Es responsable de validar el cumplimiento cabal de
las polticas de seguridad mencionadas en este documento, como as tambin
definir las responsabilidades generales asociadas.
2. Jefe de Sistemas y Seguridad TI: Es el encargado de definir los roles y
responsabilidades individuales en el cumplimiento de las Polticas de
Seguridad descritas. Adems, es el responsable de revisar el cumplimiento
concreto de estas medidas y generar informes sobre su estado actual de
cumplimiento.
72
3. Administrador de Redes: Encargado de ejecutar el cumplimiento las

polticas de Seguridad de los datos y las comunicaciones corporativas. Debe
generar mecanismo que permitan la comunicacin segura de los datos
sensibles de la empresa, asi como tambin la fiabilidad de los enlaces de
datos locales y remotos.
4. Tcnico de Soporte Informtico: Es el encargado de ejecutar el
cumplimiento de las Polticas de Seguridad de los datos y equipamiento
Informtico de la empresa. En detalle debe:
Conocer y aplicar las polticas y procedimientos apropiados en relacin
al manejo de la informacin y de los sistemas informticos.
No utilizar los recursos informticos (hardware, software o datos) y de
telecomunicaciones (telfono, fax) para otras actividades que no estn
directamente relacionadas con el trabajo en la compaa.
Realizar instalacin y soporte de equipos segn las directivas de
seguridad del software utilizado
No manipular y/o modificar aplicaciones de uso estndar
No utilizar versiones de Sistemas Operativos y/o Software Licenciado
adquiridas desde orgenes distintos al fabricante de los mismos.
No utilizar software Corporativo para fines distintos a los definidos en
los manuales de uso correspondiente.
Incumplimiento o violacin de las polticas
Si se llegase a incumplir o violar una de estas polticas por parte del personal,
el rea de sistemas o seguridad informtica si existiere, realizar un informe
detallado al gerente. Este informe describir la circunstancia y la gravedad del
hecho y el gerente deber tomar las medidas necesarias sobre la persona implicada.
Estructura de la poltica
Est poltica se divide en las siguientes secciones:

Seguridad Lgica
Seguridad Fsica
Seguridad en redes
Seguridad en los recursos humanos
Seguridad en el Outsourcing
Planificacin de seguridad informtica
Planificacin de contingencia y recuperacin de desastres.
Cada seccin se divide en tres partes:

Propsito: Define la intensin de cada seccin
Alcance: Define el mbito de aplicacin
Controles generales: define los objetivos para cada seccin.
73
POLTICAS DE SEGURIDAD FSICA

Propsito
El propsito de esta poltica es resguardar el Activo Fijo Informtico de la
empresa, as como los datos que puedan ser accedidos, descargados o visualizados
en ellos y que conlleven una amenaza para el funcionamiento y crecimiento de
Agropesca S.A.
Alcance
Ests polticas son aplicables a todos los recursos informticos de la compaa
entendiendo por ellos datos, hardware, software, personal e instalaciones.
Controles generales
1. Los computadores de la compaa slo deben usarse en un ambiente seguro. Se
considera que las oficinas de la empresa son un ambiente seguro porque en ellas se
han implantado las medidas de control apropiadas para proteger datos, hardware,
software, personal e instalaciones.
2. El software y bases de datos de la compaa o adquiridos por ella slo debe
utilizarse en los recintos de la misma, los cuales han sido preparados para dicho fin.
3. Debe respetarse y no modificar la configuracin de hardware y software establecida
por el Departamento de Sistemas, pues este cambio puede poner en riesgo la
integridad y disponibilidad del equipo.
4. Se prohbe el uso de Discos Compartidos o Unidades de Red de la empresa para el
almacenamiento de archivos distintos a los utilizados por las diversas reas de la
empresa. Se prohbe especialmente el almacenamiento de archivos de audio, vdeo
y aplicaciones ejecutables.
5. No se permite la instalacin de software en los equipos informticos provedos por la
empresa o por alguna entidad externa encargada de aquello.
6. La temperatura de las oficinas con computadoras debe estar comprendida entre 18
y 21 grados centgrados y la humedad relativa del aire debe estar entre 45% y el
65%.
7. Se debe contar con un Circuito elctrico especial para el suministro elctrico de los
equipos Informticos de los usuarios. En el caso de los Centros de Datos esta
recomendacin es obligatoria
8. Se debe contar con equipos de suministro de energa alternos en caso de fallas. En
el caso de los Centros de Datos, estos deben tener asegurado un suministro
continuo de emergencia de al menos 60 minutos.
9. El acceso a los Centros de Datos debe estar asegurado por Puertas blindadas y un
sistema de autenticacin seguro, ya sea, tarjeta magntica, huella digital, u otro
mecanismo similar.
10.
El Centro de datos debe estar monitoreado de firma interna y externa y en
caso de detectar fallas se debe poner en marcha el protocolo de emergencia
diseado para tal efecto.
74
11.
El Centro de Datos debe estar monitoreado por un Sistema de Video vigilancia
o similar para mantener un registro de los accesos a dicha dependencia.
Adicionalmente, se debe mantener un registro de los accesos al Centro de Datos, ya
sea por el registro del sistema de autenticacin de acceso, o el uso de un cuaderno
o libro de registro.
75
POLTICA DE SEGURIDAD
LOGICA
Propsito
Tiene como propsito controlar el acceso a la informacin y los procesos del
negocio.
Alcance
Aplica a todas aquellas medidas establecidas por la administracin -usuarios y
administradores de recursos de tecnologa de informacin- para minimizar los
riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando la tecnologa de informacin, como por ejemplo:
Restringir el acceso a los programas y archivos
Asegurar que se estn utilizando los datos, archivos y programas correctos en y por
el procedimiento correcto.
Controles generales
Cuentas
1. Se debe crear un documento en donde el empleado declare conocer las polticas y
procedimientos de seguridad y se haga responsable del uso de su cuenta de
usuario.
2. Solo el administrador puede crear modificar o eliminar cuentas.
3. Las cuentas deben dividirse segn el tipo de cuentas para otorgarles privilegio
segn corresponda.
4. Las cuentas deben ser otorgadas exclusivamente a usuarios legtimos.
5. El administrador no debe utilizar la cuenta de mayores privilegios para sus
actividades diarias que no necesitan accesos especiales.
6. Eliminar los usuarios que se van generando innecesariamente como duplicados, de
prueba etc.
7. Toda cuenta queda automticamente suspendida despus de un cierto periodo de
inactividad. El periodo recomendado es de 30 das.
8. Las cuentas temporales quedarn desactivadas automticamente en la fecha de
vencimiento que se les asign.
Contraseas
1.
La contrasea es personal e intransferible.
2.
La longitud de la contrasea sern de mnimo 8 caracteres y mximo
10.
3.
Cada contrasea debe tener nmeros y letras combinados.
4.
Las contraseas deben expirar cada 30 das.
5.
Est prohibido que los usuarios construyan contraseas compuestas de
algunos caracteres constantes y otros que cambien de manera predecible y sean
fciles de adivinar.
6.
Las contraseas no deben tener espacio ni caracteres extraos.
76
7.
Las contraseas al momento de renovarla no debe ser igual a la
antigua.
8.
La contrasea debe tener al menos un carcter en mayscula.
1.
2.
3.
4.
5.
Control de acceso
Todos los usuarios debern acceder al sistema contable utilizando algn programa
que permita una comunicacin segura y encriptada.
Se debe guardar el registro de todos los usuarios que ingresan al sistema.
La capacidad de tener acceso al sistema no constituye la autorizacin a tal acceso.
Los usuarios deben desloguearse cada vez que salgan del sistema.
Se deben establecer das y horas de trabajo para los usuarios dentro del sistema
contable.
Aplicaciones
1. Los usuarios solo podrn acceder a las aplicaciones autorizadas.
2. Las aplicaciones deben estar definidas a que servicios y/o servidores se conectan.
3. Se deben generar registros del uso de las aplicaciones que contengan:
El identificador del usuario.
Tiempos de conexin.
Identificacin del equipo de trabajo (IP).
LOGS de uso y de errores de la aplicacin.

4. Los archivos de bitcora (logs) y los registros de auditora que graban los eventos
relevantes sobre la seguridad de los sistemas informticos, deben revisarse cada
semana y guardarse durante un tiempo prudencial de por lo menos tres meses.
5. Mtodos de conexin a los servidores (ODBC, ADO, etc)
1.
2.
3.
4.
Problemas de seguridad lgica

Identificar individualmente a cada usuario y sus actividades en el sistema.
Asegurar que solo los usuarios autorizados tengan acceso a los recursos.
Las tareas de desarrollo y produccin deben estar separadas.
Restringir el acceso de programas no autorizados.
77
EN REDES
Propsito
El principal propsito es impedir que intrusos acceden o modifiquen la informacin y
en su dado caso hagan mal uso de ella. Objetivos: Proteger la confidencialidad,
Mantener la integridad, Asegurar la disponibilidad.
Alcance
Esta poltica se aplica a todos los empleados, y personal temporal de la compaa.
Controles generales
1.
2.
3.
4.
5.
6.
Correo electrnico, Internet e Intranet.

Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse
actualizada. Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Jefe de Sistemas y poner la
computadora en cuarentena hasta que el problema sea resuelto.
Cada usuario debe tener su propio acceso a internet con las limitaciones que le
correspondan segn el tipo de usuario.
Establecer control por proxy.
El usuario es la nica persona autorizada para leer su propio correo, a menos que el
sistema autorice explcitamente a otra persona para hacerlo, o bien, que su cuenta
est involucrada en un incidente de seguridad de cmputo.
Solo debe haber una cuenta de correo electrnico por usuario, independiente del
tipo de usuario que sea.
El firewall ser programado para dar acceso slo a pginas que cada usuario por sus
funciones tendr permitido acceder.
78
EN LOS RECURSOS HUMANOS
Propsito
El propsito de esta poltica es establecer las directrices, los procedimientos y los
requisitos para reducir los riesgos de error humano, robo, fraude o uso inadecuado
de las instalaciones.
Alcance
Esta poltica se aplica para desarrollar y ejecutar de manera correcta las acciones,
actividades, labores y tareas que deben realizarse y que han sido solicitadas a
dichas persona.
1.
2.
3.
4.
5.
6.
7.
Controles generales
Se deben verificar las recomendaciones y antecedentes de los postulantes a
ingresar a la empresa.
Capacitar a las personas que son parte de la empresa para desempear mejor sus
funciones
Inducir a los empleados que se incorporen a la empresa que se sientan bienvenidos
y puedan rendir en sus puesto
un buen clima de trabajo ayuda a mejorar la productividad, reducir el ausentismo,
reducir los conflictos y aumentar la satisfaccin de todos
Debe existir una adecuada separacin funciones entre los empleados,
especialmente los integrantes del rea de sistemas.
Realizar una evaluacin al desempeo de cada persona
En caso necesario llevar a cabo retroalimentacin
79
EN EL OUTSOURCING
Propsito
El propsito de esta poltica es aumentar la rentabilidad de a travs de la mejora en
los niveles de productividad con mayor flexibilidad interna y maximizando la
administracin del tiempo. Tambin reducir los riesgos asociados a la seguridad de
informacin.
Alcance
Ests polticas son aplicables para todo tipo de servicio externo que la empresa
solicite.
Controles generales
1.
2.
3.
4.
Una, no buena eleccin adecuada del contratista podra perjudicar a la empresa

Se deber definir claramente la duracin del contrato.
Identificar y confirmar que realmente los empleados pertenecen al a empresa
Es muy importante poner atencin en el contrato leer todo a la perfeccin y
asesorarse
5. Se establecer en el contrato el plan de pagos en que se remunerar el servicio.
6. Es importante no llegar al desentendido, siempre debe haber un enlace entre la
empresa y todas sus reas.
7. El contrato de Outsourcing deber prever las clusulas necesarias en caso de
terminacin anticipada del contrato.
80
POLTICA DE PLANIFICACIN
DE SEGURIDAD INFORMTICA
Propsito
Regular la proyeccin realizada por el departamento informtico o comit los pasos
a seguir en el desarrollo o actualizacin de los procedimientos de seguridad que se
usan o que se pueden implementar.
Alcance
Esta poltica se aplica a toda la organizacin.
Controles generales
1.
Implementar un plan de acuerdo a las necesidades de las tecnologas
2.
El plan de seguridad informtica debe mantenerse actualizado.
3. Las adquisiciones de hardware, software u otros servicios informticos, deben
responder a los objetivos incluidos en el plan de seguridad informtica de la
organizacin. Las situaciones de excepcin deben ser autorizadas por la
Gerencia de la organizacin.
4.
Se debe corroborar el acceso al manual de seguridad.
5.
Controlar la ejecucin del manual de seguridad.
6.
Generar reportes de fallas y ataques que permitan planificar cambios
en el manual de seguridad.
7. Analizar la tendencia del desarrollo de los software de uso de la empresa y de
las nuevas tecnologas que sean de inters de la empresa.
8. Actualizar el listado de programas nocivos para la empresa que no deben ser
utilizados ni instalados en los computadores de la empresa.
81
POLTICA DE PLANIFICACIN DE CONTINGENCIA

Y RECUPERACIN DE DESASTRES
Propsito
Garantizar la continuidad de las operaciones de negocio de la compaa y limitar el
impacto econmico/financiero e intangible en el negocio en caso que se detecte un
evento inesperado que ocasione la interrupcin de las operaciones de la compaa.
Alcance
Puede abarcar toda la empresa o solo una parte de esta misma, o una sucursal ya
que una problemtica de carcter fsica, de conectividad, de compatibilidad o
energtica puede darse en cualquier momento y lugar.
Controles generales
1. La recuperacin de la informacin despus de un siniestro o ataque debe
seguir las polticas de seguridad lgica.
2. Se debe conformar un informe de cada suceso de amenaza o siniestros
siguiendo los protocolos de seguridad y las polticas de seguridad fsica.
3. Deben ponerse a prueba tales planes en un intervalo de seis meses. Las
actividades de planificacin de contingencia deben ser coordinadas y
administradas en forma centralizada.
4. Las copias de resguardo de los sistemas principales, los datos de registros
esenciales y la documentacin de Tecnologa Informtica, deben ser
almacenadas teniendo en cuenta las polticas de seguridad fsica.
5. La actualizacin o modificacin de las polticas deben estar autorizadas por el
gerente de sistemas
6. Dichos planes deben ser revisados y actualizados cada seis meses.
7. Se debe disear un plan de contingencia que abarque las amenazas ms
importantes.
8. Al presentarse un evento se debe tener conocimiento del plan de
contingencia y el encargado de rea debe ejecutar el plan de contingencia
correspondiente.
9. Se debe determinar en el plan de contingencia los tipos de eventos para su
fcil identificacin, de no ser as, generar un registro del evento y de la
solucin empleada.
10.
La recuperacin de desastre debe ser evaluada luego de su ejecucin y
de la normalizacin de las actividades de la empresa, para determinar la
efectividad de la recuperacin.
82
CONCLUSINES FINALES
AGROPESCA, es una empresa consolidada en el mercado, su trayectoria
nacional e internacional la posicionan como lder en su rubro y con un gran margen
de crecimiento hacia el futuro. Este este mismo crecimiento es el que hace
necesario y obligatorio el poner como prioridad de alcance crtico el tema de la
Seguridad, a modo general y en especial respecto de las Tecnologas de Informacin.
83

Plan de Seguridad Informativa

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Plan de Seguridad Informativa

Enviado por

Direitos autorais:

Formatos disponíveis

PLAN DE

PLAN ESTRATGICO DE SEGURIDAD

de Seguridad cubre 8 objetivos:

adems de incluir a los responsables de efectuarlos, su alcance y la fecha de

Seguridad de la Informacin: Es el conjunto de medidas preventivas y

El presente plan se desarroll apoyado en lo dispuesto en la normativa y

La sala de servidores donde se encuentran los servidores, el Switch central

El acceso casual a los mensajes de correo electrnico por los

Deber existir un encargado de llevar a cabo el mantenimiento preventivo

Debern existir procesos para rotular, manipular y dar de baja el

Deber desarrollarse documentacin detallada sobre el equipamiento

El equipamiento informtico de la empresa debe contar con dispositivos de

El sistema informtico no deber verse afectado ante una contingencia en

B) CONTROL DE ACCESO FSICO AL SERVIDOR PRINCIPAL

La sala de servidores donde se encuentran los servidores, el Switch central

Cualquier persona ajena a la empresa que necesite ingresar al sala de

C) CONTROL DE ACCESO A EQUIPOS

Aire acondicionado y Calefaccin: en la sala de servidores la temperatura

Extintores (matafuegos): debern ser dispositivos qumicos y manuales

Generador de energa: deber existir un generador de energa que se

UPS: (Uninterruptible power supply) deber existir al menos un UPS en el

Luz de emergencia: deber existir una luz de emergencia que se active

Estabilizador de tensin: deber existir al menos un estabilizador de

Descarga a tierra: debern existir mtodos de descarga a tierra para el

E) ESTRUCTURA DEL EDIFICIO

Deber existir una llave de corte de energa general en la salida de

La sala de servidores deber ubicarse en un piso superior del edificio.

A). IDENTIFICADORES IDS

Para dar de alta un usuario al sistema debe existir un procedimiento

La pantalla de logeo del sistema deber mostrar los siguientes

Los PCs de la empresa debern tener un password de administrador

La aplicacin para administrar los datos de usuarios solo deber

El rea de sistemas debe encontrarse ubicada en el organigrama de la

sistema. Entre ellas, robo y prdida de informacin, alteracin del

xi. Los recursos lgicos o fsicos de los distintos puestos de trabajo no

CHEQUEOS DEL SISTEMA:

RESPONSABILIDADES DE LOS ENCARGADOS DE SEGURIDAD:

AUDITORAS DE CONTROL DE ACCESO:

V. SEGURIDAD EN LOS RECURSOS HUMANOS

VI. SEGURIDAD EN EL OUTSOURCING

* Revisin, deteccin y solucin de fallas mecnicas y elctricas

CUARTA: TELECOMNORTE no est obligado a restablecer o instalar

Gerente de Ventas y Mantenimiento

VII. PLAN DE CONTINGENCIAS

CUESTIONARIO DE VISITA PREVIA

Mejorar la plataforma tecnolgica con el fin de optimizar los procesos

2. Cul es la estructura orgnica de la Empresa?

3. Cul es la estructura orgnica del departamento?

4. Ha existido alguna modificacin en la estructura orgnica?

13.Quines son los usuarios del rea?

Jefe de Sistemas, Programador de sistemas y asistente de sistemas.

Administrar los recursos del rea de sistemas.

Dar soporte tcnico a los usuarios.

Firma del Entrevistador

Firma del Entrevistado

DESCRIPCIN DEL ENTORNO INFORMTICO

Ethernet 10/100 base T.

2. Con qu equipos de conectividad, comunicacin y de red cuenta en el

1 Qu lenguaje de programacin manejan?

2 Qu sistema aplicativo utilizan?

3 Qu mdulos tiene el sistema aplicativo?

4 Algn modulo ha sido desarrollado por el rea?

Si la respuesta fue s, Qu modulo es?

5 Qu modulo ha sido modificado por su rea?