1

INDICE TEMA PAGINA 1 3 3 3 4 4 4 5 5 5 6 6 6 6 7 7 7 7 7 7 7 8 8 8 8 8 9 9 9 9 10 10 10 11 11 12 12

CARATULA ............................................................................................ INTRODUCCION ................................................................................... POLITICAS DE SEGURIDAD ................................................................ Objetivos de las polticas de Seguridad ....................................... POLITICAS DE SEGURIDAD EN LOS EQUIPOS.................................. Instalacin de Equipos de computo ............................................. Mantenimiento de Equipo de Computo ........................................ POLITICAS DE SEGURIDAD EN CONTROL DE ACCESO .................. Acceso a reas crticas ................................................................ Control e acceso local a la Red ................................................... Acceso a los sistemas Administrativos ........................................ POLITICAS DE SOFTWARE ................................................................. Instalacin de Software ............................................................... POLITICAS DE SUPERVISION Y EVALUACION .................................. MISION ................................................................................................... VISION .................................................................................................... OBJETIVO .............................................................................................. PUBLICACION Y DIFUSION .................................................................. MANUAL DEL EMPLEADO .................................................................... CARTA AL PERSONAL ........................................................................... CARTELERAS ........................................................................................ FOLLETOS ............................................................................................. HERRAMIENTAS DE GESTION ............................................................ MANUALES DE ESTILO ........................................................................ REUNIONES .......................................................................................... LINEA ABIERTA O LINEA DIRECTA ...................................................... PLAN DE CONTINGENCIA (Correctivo y Preventivo) ........................... Objetivos ...................................................................................... Bienes susceptibles de dao ....................................................... Daos .......................................................................................... Fuentes de daos ........................................................................ Violacin de las claves de acceso a los Sistemas Informticos .. NORMAS PREVENTIVAS ...................................................................... NORMAS CORRECTIVAS ..................................................................... Evaluacin de daos ................................................................... Ejecucin de Actividades ............................................................. CONCLUSIONES ...................................................................................

INTRODUCCION Ante el esquema de globalizacin que las tecnologas de la informacin han originado principalmente por el uso masivo y universal de la Internet y sus tecnologas, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologas se han esparcido, la severidad y frecuencia las han transformado en un continu riesgo, que obliga a las entidades a crear medidas de emergencia y polticas definitivas para contrarrestar estos ataques y transgresiones. En nuestro pas no existe una sola institucin que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y estn pendientes de ste, tratando de contrarrestar y anular estas amenazas reales. Despus del diagnstico que se llev a cabo, se observ la carencia de un inventario detallado de los equipos que se encuentran en la corporacin, lo cual hace difcil su administracin. El objetivo principal de Security System's Inc, en el rea de Seguridad, es brindar a los usuarios los recursos informticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 das del ao confiable. As, la cantidad de recursos de cmputo y de telecomunicaciones con que cuenta el Centro son de consideracin y se requiere que se protejan para garantizar su buen funcionamiento. POLITICAS DE SEGURIDAD Las polticas de seguridad son las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos. Objetivos de las polticas de seguridad Implantar una serie de leyes, normas, estndares y prcticas que garanticen la seguridad, confidencialidad y disponibilidad de la informacin, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organizacin a las que van dirigidos. Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizacin.
3

El rea de Seguridad Informtica de la Empresa Security System's Inc actualmente est conformado por 4 Ingenieros y su equipo de trabajo, los cuales cumplen distintas funciones referentes a el soporte y mantenimiento de la plataforma tecnolgica, desarrollo de sistemas de informacin, administracin de bases de datos, gestin de recursos de tecnologa y administracin de la red; dado a esta razn ha sido necesario emitir polticas particulares para el conjunto de recursos y facilidades informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos. Para ello se genero una clasificacin de estas polticas. POLITICAS DE SEGURIDAD EN LOS EQUIPOS. Instalacin de Equipos de computo. 1. Todo el equipo de cmputo (computadoras, estaciones de trabajo, servidores, y equipo accesorio), que est o sea conectado a la red de Security System's Inc , o aquel que en forma autnoma se tenga y que sea propiedad de la institucin debe de sujetarse a las normas y procedimientos de instalacin que emite el rea de Seguridad Informtica. 2. El rea de Seguridad Informtica en coordinacin con el rea de Logstica deber tener un registro de todos los equipos propiedad de la corporacin. 3. El equipo de la institucin que sea de propsito especfico y tenga una misin crtica asignada, requiere estar ubicado en un rea que cumpla con los requerimientos de: seguridad fsica, las condiciones ambientales, la Alimentacin elctrica y la normatividad para el acceso de equipos que el rea de Seguridad Informtica implante. 4. Los encargados del rea de Seguridad Informtica deben dar cabal cumplimiento con las normas de instalacin, y notificaciones correspondientes de actualizacin, reubicacin, reasignacin, y todo aquello que implique movimientos en su ubicacin, de adjudicacin, sistema y misin. 5. La proteccin fsica de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (rea de Seguridad, departamento de Mantenimiento, departamento de Cmputo). Mantenimiento de Equipo de Cmputo. 1. El rea de Seguridad Informtica, corresponde la realizacin del mantenimiento preventivo y correctivo de los equipos, la conservacin de su instalacin, la vericacin de la seguridad fsica, y su acondicionamiento especco a que tenga lugar. Para tal n debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros, el rea de Seguridad Informtica deber coordinar y velar por el cuidado y preservacin del mismo. 3. Los responsables de las reas de Cmputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el rea de Soporte Tcnico y Seguridad Informtica.

4. Corresponde al rea de Soporte Tcnico y Seguridad Informtica dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento bsico, a excepcin de los atendidos por terceros. POLITICAS DE SEGURIDAD DEL CONTROL DE ACCESO Acceso a reas crticas. 1. El acceso de personal se llevar acabo de acuerdo a las normas y procedimientos que dicta el rea de Seguridad Informtica. En concordancia con la poltica de la institucin y debido a la naturaleza de estas reas se llevar un registro permanente del trco de personal, sin excepcin. 2. El rea de Seguridad Informtica deber proveer de la infraestructura de seguridad requerida con base en los requerimientos especcos de cada rea. 3. Bajo condiciones de emergencia o de situaciones de urgencia maniesta, el acceso a las reas de servicio crtico estar sujeto a las que especiquen las autoridades superiores de la institucin. 4. El personal que desee ingresar a cualquier rea deber de portar su credencial en todo momento para identicarse. Control de acceso al equipo de cmputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las reas donde se tiene equipo de propsito general cuya misin es crtica estarn sujetas a los requerimientos que el rea de Seguridad emita. 3. Al hacer uso de los equipos de computo, debern registrarse con el numero de equipo del cual se har uso. Control de acceso local a la red. 1. El rea de Seguridad Informtica y Soporte Tcnico son responsables de proporcionar a los usuarios el acceso a los recursos informticos. 2. El rea de Seguridad Informtica es el responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3. Dado el carcter unipersonal del acceso a la Red de Security System's Inc ,el rea de Seguridad Informtica verificar el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de sper-cmputo centralizado y distribuido, etc.) conectado a la red es administrado por el rea de Seguridad Informtica.

 Acceso a los sistemas administrativos. 1. Tendr acceso a los sistemas administrativos solo el personal de Security System's Inc o persona que tenga la autorizacin por la Direccin General. 2. El manejo de informacin administrativa que se considere de uso restringido deber ser cifrado con el objeto de garantizar su integridad. 3. Los servidores de bases de datos administrativos son dedicados, por lo que se prohben los accesos de cualquiera, excepto para el personal del rea de Seguridad Informtica. POLITICAS DE SOFTWARE. Instalacin de software. 1. En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo, nicamente se permitir la instalacin de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 2. La instalacin de software que desde el punto de vista del rea de Seguridad Informtica y de Soporte Tcnico pudiera poner en riesgo los recursos de la institucin no est permitida. 3. Con el propsito de proteger la integridad de los sistemas informticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 4. La proteccin lgica de los sistemas corresponde a quienes en un principio se les asigna y les compete noticar cualquier anomala que pudiese presentarse mientras se hace uso del equipo de computo. POLITICAS DE SUPERVISION Y EVALUACION. 1. Las auditoras de cada actividad donde se involucren aspectos de seguridad lgica y fsica debern realizarse peridicamente y deber sujetarse al calendario que establezca el rea de Seguridad Informtica. 2. Para efectos de que la institucin disponga de una red con alto grado de conabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. 3. Los sistemas considerados crticos, debern estar bajo monitoreo permanente.

Misin La misin de Security System's Inc. es prestar el servicio de seguridad electrnica cumpliendo a cabalidad con los compromisos adquiridos con nuestros clientes, utilizando tecnologa de vanguardia garantizando as la seguridad de nuestros usuarios, bienestar a nuestros empleados y rentabilidad a los accionistas. Visin Ser la Empresa de Seguridad Privada con mayor participacin en el mercado utilizando tecnologa de punta soportada en la cultura de mejora continua, brindando un servicio de calidad enfocada a la satisfaccin de nuestros Clientes. Adems de ser reconocidos por ser la principal empresa proveedora de soluciones tecnolgicas, caracterizada por contar con el mejor equipo humano y por su compromiso con el medio ambiente y la generacin de empleo. Objetivo El objetivo de nuestra empresa es lograr la exactitud, integridad y proteccin de todos los procesos y recursos de los sistemas de informacin de nuestros clientes. De este modo minimizar errores, fraudes y prdidas en dichos sistemas de informacin que interconectan a las empresas actuales, as como a sus clientes, proveedores y otras partes interesadas y proporcionar un entorno de desarrollo en condiciones favorables para nuestros clientes. Publicacin y Difusin Para una mejor difusin de las Polticas de Seguridad dentro de la empresa, es importante la correcta comunicacin interna. La comunicacin hacia abajo permite a los gerentes aplicar las decisiones que han tomado e influir en los empleados de los escalones mas abajo de la jerarqua de la empresa. La comunicacin hacia arriba permite a los empleados de los niveles ms bajos de la empresa comunicar sus ideas al personal encargado de tomar las decisiones situadas en los niveles mas alto. Los mtodos ms importantes para la difusin de informacin o cambios en las normas y polticas de seguridad dentro de Security System's Inc. son los siguientes: Manual del empleado Cualquier persona que ingresa a una Institucin nueva necesita saber a dnde se ha incorporado. Para ello algunas organizaciones disean este material que tentativamente puede incluir: una sntesis histrica, las normas internas, su organigrama, sus integrantes, etc. Carta al Personal Las cartas deben ser breves y legibles. Se utilizan para difundir informacin importante tales como resultados, cambios en la organizacin, etc. Su ventaja radica en la rapidez de su llegada y el impacto que provoca el remitente. Por ello, se aconseja no realizarlas en forma mltiple con un destinatario comn sino personalizada. Carteleras Se debe colocar en un lugar de trnsito seguro del personal. Puede contener informacin general, normativas institucionales e informaciones que intercambia el personal. Es necesario que su contenido este ordenado para que visualmente sea de rpida lectura y notorio el cambio peridico de su informacin. Es necesario, para evitar malos entendidos, consignar en cada mensaje los remitentes y su fecha.
7

Folletos Sobre temas particulares, como Qu hacer frente a un fallo en el sistema? Se pueden disear sencillos y prcticos trpticos para el personal en el contexto de campaas de capacitacin interna. Herramientas de Gestin Es importante la generacin de distintos Soportes de Comunicacin Interna para que sea ms rica la comunicacin. Los mismos pueden ser orales, escritos, audiovisuales, digitales etc. Manuales de estilo Son guas sistematizadas de procedimientos institucionales que renen la informacin tcnica, organizativa, histrica, etc. Ayudan a organizar y coordinar las actividades. Adems, como la dimensin de la comunicacin es amplia colabora indirectamente en la imagen creando una sinerga de discursos no necesariamente verbales; evitando contradicciones. Reuniones Las reuniones son un espacio de comunicacin para: informar, capacitar, reflexionar, tomar decisiones, etc. Lo importante es contar con espacio acorde y convocar a los participantes con la debida antelacin. Lnea abierta o Lnea directa Pueden utilizarlo todos los integrantes de la organizacin y es obligatorio que, junto al mensaje, dejen su nombre y sector. Los mensajes sern revisados por el responsable y a los pocos das se deben contestar los mensajes.

PLAN DE CONTINGENCIA Correctivo y Preventivo El Plan de Contingencias o Emergencias, constituye el instrumento principal para dar una respuesta oportuna, adecuada y coordinada a una situacin de emergencia causada por fenmenos destructivos de origen natural o humano. El Plan est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres. Se define la Seguridad de Datos Informticos como un conjunto de medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. Se ha considerado que para la empresa, la seguridades un elemento bsico para garantizar su supervivencia y entregar el mejor servicio a sus clientes, y por lo tanto, considera a la Informacin como uno de los activos ms importantes de la Organizacin, lo cual hace que la proteccin de esta, sea el fundamento ms importante de este Plan de Contingencia. En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Anlisis Preventivo y Correctivo para enfrentar algn desastre. Objetivos. Establecer mecanismos y procedimientos para proporcionar condencialidad, integridad y disponibilidad de la informacin. Estimular la creacin de una cultura de seguridad en Informtica, as como fomentar la tica entre el personal de la empresa. Denir los requerimientos mnimos de seguridad en cada rea, dependiendo del tipo de informacin que se procese: condencial, restringida, de uso interno, general o pblico, estableciendo los procedimientos para identicacin y uso de cada categora de informacin. Bienes susceptibles de dao. Se puede identificar los siguientes bienes afectos a riesgos: a) Personal b) Hardware. c) Software y utilitarios. d) Datos e informacin. e) Documentacin. f) Suministro de energa elctrica. g) Suministro de telecomunicaciones. Daos. Los posibles daos pueden referirse a: 1) Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. 2) Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, por ejemplo, cambios de claves o cdigos de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado.
9

3) Divulgacin de informacin a instancias fuera de la empresa y que afecte su patrimonio estratgico comercial y/o Institucional, sea mediante robo o infidencia. 4) Fallas en los equipos de soporte: - Por fallas causadas por la agresividad del ambiente. - Por fallas de la red de energa elctrica pblica por diferentes razones ajenas al manejo por parte de la empresa. Fuentes de daos. Las posibles fuentes de dao que pueden causar una operacin anormal de la empresa, asociadas al Departamento o rea de Sistemas Informticos de la misma son: Acceso no autorizado. Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Violacin de las claves de acceso a los sistemas informticos. 1 2 Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas informticos en uso (virus, sabotaje, hackers). Intromisin no autorizada a procesos y/o datos de los sistemas, ya sea por simple curiosidad o malas intenciones.

NORMAS PREVENTIVAS Dentro del medio de almacenamiento del sistema informtico, agrupar en particiones o compartimientos. Establecer vigilancia mediante cmaras de seguridad en el sitio, el cual registre todos los movimientos de entrada del personal y ajenos a la empresa. 1 2 Instalar identificadores mediante tarjetas de acceso. Determinar lugares especiales, fuera Del centro de datos, para almacenarlos medios magnticos de respaldo y copia de la documentacin de referencia y procedimientos de respaldo y recuperacin (se puede contratar una caja de seguridad bancaria donde se custodiaran los datos e informacin crtica). Contar, ya sea bajo contrato o mediante convenio, con un centro de cmputo alterno de caractersticas fsicas y equipo de cmputo adecuado para darle continuidad a las operaciones crticas de la empresa, an en forma limitada de cobertura y de comunicaciones. Determinar lugares especiales, fuera del centro de datos, para almacenarlos respaldos y copia de la documentacin de referencia. El personal clave del Plan de Contingencia Informtico, debe de dar la alerta del dao efectuado y sacar los respaldos de informacin fuera del edificio dentro de un tiempo lmite antes de ser declarado el dao causado.
10

4 5

Personal del rea de sistemas Informticos debe prever un sitio alterno para continuar con las operaciones. Asimismo, se tendr que establecer un tiempo lmite de espera de solucin, como por ejemplo 24 horas con el fin de que no afecte el servicio proporcionado a las dems reas, si despus de este intervalo continuara, se determinar el lugar o lugares de reubicacin de los sistemas informticos. NORMAS CORRECTIVAS

Evaluacin de daos. 1.- Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se estn afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo. 2.- Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no este en la lista de actualizacin, se filtre en toda la red. 3.- Si se tratase de un desastre en el mbito lgico se deben verificar los siguientes puntos: Para la informacin existente de SASF se debe vericar la calidad e integridad de la misma (hacer las pruebas sobre los programas que antes del desastre funcionaban correctamente) La calidad e integridad de la informacin de respaldo. En lo posible volver al estado original de la informacin antes del desastre. 4.- Si se tratase de un desastre en el mbito fsico se deben verificar los siguientes puntos: Por una Suspensin o cada del suministro elctrico, el estado del hardware (Equipos de cmputo, Equipos de telecomunicaciones) Si se trata de un siniestro de fuerza mayor como son: incendios, inundaciones, maremotos, tornados, robo a la empresa; se deben seguir los lineamientos establecidos en el plan de contingencias para desastres de gran magnitud. 5.- Priorizacin de actividades del plan de accin Con la evaluacin de daos reales y su comparacin contra el Plan de accin, tendremos la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra Empresa. Ser muy importante el evaluar la dedicacin del personal a las actividades que puedan no haberse afectado, para ver su asignacin temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico.

11

Ejecucin de actividades Para la ejecucin de actividades previamente planificadas en el Plan de accin se definen los siguientes equipos de trabajo: 1 2 3 Equipo de Salvaguarda de informacin Equipo de Salvaguarda de hardware Equipo de Salvaguarda de la empresa

Cada uno de estos equipos cuenta con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.

CONCLUSIONES 1 El presente Plan de contingencias y Seguridad en Informacin, tiene como fundamental objetivo el salvaguardar la infraestructura de la Red y Sistemas de Informacin extremando las medidas de seguridad para protegernos y estar preparados a una contingencia de cualquier tipo. Las principales actividades requeridas para la implementacin del Plan de: Identificacin de riesgos, Evaluacin de riesgos, Asignacin de prioridades a las aplicaciones, Establecimiento de los requerimientos de recuperacin, Elaboracin, Verificacin e implementacin del plan, Distribucin y mantenimiento del plan. Un Plan de Contingencia es la herramienta que la institucin debe tener, para desarrollarla habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupcin parcial o total en sus funciones. Las polticas con respecto a la recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. No existe un plan nico para todas las organizaciones, esto depende de la infraestructura fsica y las funciones que realiza en Centro de Procesamiento de Datos ms conocido como Centro de Cmputo. Lo nico que realmente permite ala institucin reaccionar adecuadamente ante procesos crticos, es mediante la elaboracin, prueba y mantenimiento de un Plan de Contingencia.

12