Universidad Mariano Gálvez De Guatemala

Facultad De Ingeniería En Sistemas De Información

Maestría en Seguridad de Sistemas de Información

Principios de Seguridad Informática

Catedrático: Ing. Jose Luis Chávez Cortéz

PROYECTO FINAL

GUATEMALA, FEBRERO 2020

 UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA

FACULTAD DE INGENIERÍA EN SISTEMAS DE INFORMACIÓN

PROYECTO PRESENTADO POR:

HENRY ESSAÚ SARCEÑO NAJARRO 1993-15-4357

EDWIN EDUARDO GARCÍA MONZÓN 1993-15-5463

ANTONY ALBERTH VILLANUEVA RUANO 1993-14-2957

WENDY SUCELY PAR GARCÍA 1993-15-10114

Plan Fin de Semana

Sección “B”

GUATEMALA, FEBRERO 2020

 INDICE

INTRODUCCIÓN.............................................................................................................................. 4
1. Documentación de la empresa............................................................................................... 5
1.1 ¿Quiénes somos? .......................................................................................................... 5
1.2 Misión ................................................................................................................................ 5
1.3 Visión................................................................................................................................. 5
1.4 Esquema Organizacional ............................................................................................. 6
1.5 Principios ......................................................................................................................... 6
1.6 Valores .............................................................................................................................. 7
2. Antecedentes .......................................................................................................................... 9
3. Justificación .......................................................................................................................... 12
4. Objetivos de seguridad....................................................................................................... 15
5. Políticas de seguridad ........................................................................................................ 16
5.1 Objetivos de las políticas ........................................................................................... 16
5.2 Alcance de las políticas .............................................................................................. 17
5.3 Cumplimiento ................................................................................................................ 18
5.4 Compromiso de la dirección ..................................................................................... 18
6. Procedimientos de seguridad ........................................................................................... 19
7. Diagramas de la arquitectura de la seguridad (aplicaciones, redes, sistemas) .. 22
8. Instrucciones, checklist y formularios ........................................................................... 26
9. Plantilla de las políticas ...................................................................................................... 29
10. Plan de concientización a los usuarios...................................................................... 46
BIBLIOGRAFÍA ............................................................................................................................... 51
ANEXOS .......................................................................................................................................... 52
 INTRODUCCIÓN

La información se puede considerar el segundo mayor activo de una empresa

porque tiene un valor para la organización, es decir, es una parte fundamental para
el desarrollo normal de sus procesos lo que hace necesario que cualquier empresa
sin importar si es pública o privada implemente un sistema de protección, para
garantizar el normal funcionamiento e incluso la continuidad de su razón de ser. Con
la aparición de la tecnología el ser humano siempre busca hacer más fácil su vida,
por lo que aprovecha las aplicaciones digitales para sustituir la información que
anteriormente se plasmaba de múltiples formas escritas; es decir ahora la
información se encuentra almacenada en sistemas informáticos, resaltando el
hecho de que este sistema ha tomado importancia a nivel mundial, por lo que se ha
incrementado la cantidad de dispositivos electrónicos y a la vez los usuarios que
acceden a este sistema a través de las redes.

Teniendo en cuenta que las organizaciones al usar las herramientas tecnológicas

se han vuelto dependientes del sistema informático, se genera la necesidad que las
empresas tanto públicas como privadas, implementen un SGSI (Sistema de Gestión
de Seguridad de Información), lo cual permite mantener su integridad y seguridad,
que a su vez se convierte en una ventaja competitiva, porque al implementar este
sistema se aplica control para minimizar los riesgos de que los intrusos cibernéticos
tengan acceso a esta.
 1. Documentación de la empresa

NOVA-TEC

1.1 ¿Quiénes somos?

Somos una empresa dedicada a la venta de equipos de cómputo, de las marcas

más reconocidas a nivel internacional, así como equipos de impresión, tabletas,
teléfonos celulares, cámaras de vigilancia, sistemas de audio y todo tipo de
electrónica relacionados con el ramo. Contamos con personal capacitado, joven y
entusiasta por la tecnología y el buen servicio, trabajamos constantemente para
tener la mayor cantidad de producto de calidad a su disposición en Guatemala.
Nuestra empresa se fundó en el año 2015 en el oriente del país donde actualmente
contamos con 3 sucursales.

1.2 Misión

Brindar a nuestros clientes la más amplia variedad de equipos electrónicos

modernos e innovadores a los precios más accesibles, brindando un servicio
ejemplar que supere sus expectativas.

1.3 Visión

Ser una empresa líder de tecnología, estar siempre a la vanguardia con productos
de alta calidad, precios competitivos y respaldo para nuestros clientes, generando
ingresos sustanciales que nos permitan el constante desarrollo y crecimiento como
empresa, además de proporcionar un ambiente laboral único y lleno de
oportunidades para nuestro personal.
 1.4 Esquema Organizacional

Nivel superior

 Gerente General
 Jefe Administrativo y finanzas
 Jefe de Operaciones
 Jefe de Informática

Nivel Ejecutivo

 Dirección Financiera
 Departamento de comunicación
 Departamento de Publicidad
 Departamento de Ventas
 Departamento de recursos Humanos
 Departamento de Informática

Departamento de Contabilidad

 Jefe de área
 Auditor
 Contador

Departamento de Informática

 Jefe de área
 Programador
 Técnico en soporte informático
 Técnico Informático
Departamento de Recursos Humanos

 Empleados
 Colaboradores

Departamento de Ventas y Marketing

 Jefe de área de marketing

 Jefe de área de ventas
 Diseñador gráfico
 Diseñador web
 Vendedores

1.5 Principios

 Igualdad

Atender a todas las personas sin ningún tipo de distinción.

 Legalidad

Cumplir con las atribuciones establecidas en la ley.

 Objetividad

Actuar con base en hechos concretos y sin perjuicios.

 Transparencia

Destinar los recursos para la obtención de resultados definidos e informar a la

población la ejecución de las acciones.

1.6 Valores
  Respeto

Reconocer, aceptar, apreciar y valorar las cualidades de los demás y sus

derechos.

 Confidencialidad

Mantener la reserva de la información institucional, en el desempeño de sus

funciones.

 Diligencia

Ejercer las atribuciones con el debido cuidado, dentro de los plazos y

procedimientos establecidos.

 Integridad

Obrar con rectitud.

 Ética

Actuar conforme los valores morales y principios institucionales.

 Profesionalismo

Desarrollar las actividades con compromiso, mesura y responsabilidad de acuerdo

a sus competencias.

 Tolerancia

Reconocer la diversidad de criterios, educación y formación de todas las personas.

 2. Antecedentes

Un SGSI podría definirse como una herramienta que va a conocer, gestionar,

asegurar y minimizar los posibles riesgos que atienden contra la seguridad de la
información en una empresa. La seguridad del sistema consistirá en la preservación
de confidencialidad, integridad y disponibilidad así como los sistemas implicado en
su tratamiento dentro de la misma organización.

Para mejor comprensión es importante diferenciar entre seguridad informática y

seguridad de la información. La seguridad informática se refiere a la protección de
las infraestructuras de la información y comunicación de la información. A diferencia
de la seguridad de informática, la seguridad de la información se basa en la
protección de los activos de información fundamentales para el éxito de cualquier
organización.

La gestión de riesgos a través de un SGSI nos permitirá preservar la información

de la empresa, ante nuestros clientes y ante las distintas partes interesadas. Por
otra parte nos facilitara la definición de procedimientos de trabajo y la posibilidad de
disponer de controles que permitan medir la eficacia de las medidas tomadas.

En Guatemala, la seguridad informática ha sido un tema que ha estado aislado

por mucho tiempo, ya que estamos en un atraso tecnológico considerable a
comparación de otros países de Latinoamérica o de todo el mundo, el manejo de
las computadoras se inició a principios de los años 90 en esa época aunque en ese
entonces era difícil poseer una computadora por su alto costo, y más aún tener el
conocimiento de ellas, por la proliferación de las mismas se han hecho más
accesibles, aunque el conocimientos y manejo de ellas aun no como se espera que
sea.

Los últimos desarrollos tecnológicos se han convertido en una herramienta de

uso fundamental para todas las organizaciones dado que los procesos e información
que se manejan han pasado de estar en medio físico a medio electrónico, es decir
antiguamente la información se encontraba soportada de múltiples formas gráficas
y debido a los avances tecnológicos se han venido incluyendo en forma digital , lo
cual permite que su forma de acceder sea más fácil y se pueda hacer desde
cualquier dispositivo digital que existe en la actualidad como los celulares, iPad,
Tablets, PC entre otros, usando como canal de comunicación el Internet.

Un Sistema de Gestión de Seguridad de la Información (SGSI), brinda la mayor

cantidad y calidad de seguridad de la información a una empresa, utilizando
herramientas open source y modelos de desarrollo de mejora continua para dar
cumplimiento a un subconjunto de 44 objetivos de control del anexo normativo de la
norma ISO 27001:2013. No se cubre la implementación de los 114 objetivos de
control de la norma ISO 27001, pero cierra las principales brechas de seguridad de
la información existentes dentro de la empresa al cubrir de forma completa el primer
ciclo PDCA del Sistema de Gestión de Seguridad de la Información SGSI,
escogiendo un subconjunto de 44 objetivos de control priorizados por un análisis de
brechas, incorporando las recomendaciones de DIPRES. (Yáñez Cáceres, 2017)

Para la eficaz funcionalidad de un Sistema de Gestión de Seguridad de la

Información (SGSI) debe ser fundamental el buen manejo de los datos con un grado
de protección cibernética o usuarios terceros ajenos a la empresa que puedan o
pretendan manipular la información de la empresa para fines de lucro destructivos
o bien vender la información a competidores, razón por lo cual se debe crear un
buen sistema de seguridad garantizando la protección de la información teniendo
en cuenta las normas ISO, ya que tales normas son las que brindan los parámetros
para una mejor gestión de calidad ante posibles riesgos que nos estén amenazando.

Hoy en día es de vital importancia que toda empresa pueda implementar un

sistema que garantiza la protección de la información y así estar a salvo de toda
amenaza presente en la sociedad mediante la creación de controles efectivos que
impidan que los delincuentes puedan ingresar al sistema con intereses
malintencionados como el robo de la información o ejecutar acciones delictivas que
puedan afectar la continuidad.

Es de gran importancia tener a consideración que la creación de un sistema de

gestión de la seguridad de la información son necesarios varios requerimientos para
así garantizar el cumplimiento eficiente de la protección de la seguridad en la
organización como tal fundamentados en la normativa ISO 27001 la cual expone
que tanto la Confidencialidad, Integridad y disponibilidad de la información no debe
estar disponible a personas de terceros para así no revelar datos de entidades o
procesos de la empresa como tal y que el cumplimento de estos tres puntos
garantizan la exactitud y completitud de la información que contempla el acceso y
utilización con gran seguridad de la empresa. (Gómez, 2011)

Hoy en día en Guatemala se puede observar que se ha producido un elevado

número de emprendimientos empresariales que se han propuesto como meta
principal la creación de empresas que ofrecen servicios relacionados con la
tecnología y la mayoría es un tipo de tecnología nueva en el mercado informático
que crecen a gran magnitud y que es tendencia ya que se ha logrado incorporar en
cada hogar principalmente en el área urbana con gran aceptación, razón por lo cual
en NOVA-TEC se procede a identificar cada objetivo de seguridad para así poder
ejecutar cada estrategia ayudada con estudios de mercadeo informático
centralizados en el tipo de tecnología más aceptada en la actualidad así como un
buen servicio por parte del personal de la empresa que pueda ser fundamental en
gran medida ante las necesidades de los clientes que visiten las instalaciones de la
empresa.

En la actualidad las empresas desean poder convertirse en líderes de venta a

nivel mundial, pero se debe tener en conocimiento que para poder ser icono en el
mercado mundial se debe hacer un buen manejo de la integridad de los datos que
son manejados así como de la calidad de atención al público y lo más importante
ofrecer productos de gran calidad y en buen estado con un estado impecable.

Es importante mencionar que las empresas debe estar en constante

actualización en uso de tecnologías de seguridad y ser coherentes en todas las
políticas de manejo de información del producto en venta así como dar a conocer
los precios así como las posibilidades de compra “al contado o crédito” siempre y
cuanto ser medibles en cada riesgo que se toma mediante las decisiones de la
gerencia y así minimizar perdidas y aumentar las ganancias obteniendo así una
mejor ventaja competitiva. (Wellman, 2013)

3. Justificación

Teniendo en cuenta todo lo expuesto en el desarrollo de la implementación del

sistema de gestión de seguridad de la información, está claro que la idea
fundamental no solo es la identificación de amenazas a la información sino que
también se debe tener muy claro que se debe mitigar toda amenaza que pretenda
infiltrase en la empresa y así robar los datos que son manejados en la empresa para
poder entregar la información a otras entidades ya sea empresas con una
competencia directa, enemigos de la empresa y delincuentes comunes o
cibernéticos entre otros, que pretendan manchar la reputación de la empresa con el
objetivo de llevar a la quiebra a la empresa como tal, por eso es muy importante la
creación de medios que impidan la manipulación de la información sin la
autorización correspondiente autorizada garantizando mitigar toda área vulnerable
en la organización.

La creación de un Sistema de Gestión de Seguridad de la Información (SGSI)

permite una mejor metodología para la evaluación de riesgos en la empresa y así
definir como se deben realizar las evaluaciones correspondientes para la
identificación de amenazas teniendo en cuenta que las vulnerabilidades en la
empresa son como las probabilidades que la información pueda ser robada o
alterada en las bases de datos correspondientes.

La implementación de un Sistema de Gestión de Seguridad de la Información

(SGSI), garantiza un mejor informe de evaluación de riesgos como un estudio bajo
una metodología como un plan de tratamiento del impacto definiendo todas las
posibles acciones para poder reducir a toda probabilidad las amenazas que puedan
estar presentes en el sistema como tal y así poder reducirlas como un plan de
prevención garantizando a totalidad toda transacción de archivos dentro de la
empresa.

El informe de un Sistema de Gestión de Seguridad de la Información (SGSI),

comprende que los riesgos de seguridad de la información vienen a mejorar todos
los archivos de una empresa mediante los controles necesarios para protegerlos
que todo Sistema de Gestión de Seguridad de la Información (SGSI), debe tener
como una declaración de aplicabilidad que contiene todos los controles
contemplados apoyados con normativas de seguridad como un estándar de
evaluación de resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones teniendo en cuenta que los objetivos de la
seguridad de la información deben ser medidos por factores de coherencia con las
políticas de seguridad manejados en el Sistema de Gestión de Seguridad de la
Información (SGSI), teniendo en cuenta que los requisitos son claros y que sus
aplicaciones garantizan que los mismos sean claras y validadas para el tratamiento
de los riesgos con actualizaciones según sean necesarias encajadas en las reglas
de acceso de la información necesarias para un mejor funcionamiento y protección
de todas las entidades dentro de la empresa.

Es importante mencionar que el Sistema de Gestión de Seguridad de la

Información (SGSI), siempre debe estar monitoreado para garantizar su
funcionamiento bajo los estándares de los objetivos para los que fue desarrollado y
que cuando sea ejecutado será de gran éxito para lo que se ha realizado que es la
protección de la información y la mitigación de amenazas que se puedan presentar
en la empresa.

Nuestro SGSI contará con políticas de funcionamiento profesionales enfocadas

al buen servicio que se debe ofrecer a todos los clientes garantizando una
satisfacción para cada persona que visite las instalaciones donde será atendido de
una forma adecuada con respeto y buena actitud brindándole toda la información
posible ya que como una empresa que vende una amplia variedad de productos con
tecnología de gran prestigio, se debe enfocar en la mejor atención en primer lugar
a los clientes identificándonos como una empresa líder en la venta de tecnología de
última generación con productos íntegros sin ningún detalle estético que pueda
manchar la reputación del producto como tal, comunicando a todos los clientes de
la calidad del producto que se ofrece teniendo en cuenta la cultura profesional de
marketing aplicado a solo dar la información necesaria de cada producto.

La empresa NOVA-TEC se fundamenta en poder generar una cultura con

normativas de calidad que posee estándares a nivel mundial que se hace
responsable de las mediciones de información que se maneja garantizando que el
personal que labora en la empresa está competente y que es capaz de llevar a un
mejor estándar cada día más a la empresa como tal, dando a conocer que cada
 4. Objetivos de seguridad

En esta fase se identificaran los objetivos que fundamentaran la implementación

del SGSI los cuales deben atender las necesidades de la empresa.

Los objetivos de la seguridad de la información:

 Mantener la integridad de los datos

 Mantener la Disponibilidad de los datos
 Ser comunicados
 Ser actualizados según sea necesario
 Ser coherentes con la política de seguridad de la información
 Definir y reglamentar la seguridad, con el fin de asegurar que se ejecuten las
actividades requeridas para proteger la información de las amenazas que
recaigan sobre ella.
 Ser medibles
 Generar una cultura para poder disminuir el riesgo de la información para que
la empresa pueda monitorear, controlar y medir las amenazas,
vulnerabilidades y poder aplicar procedimientos que salvaguarden la
confidencialidad, integridad, disponibilidad y privacidad de la información.

La empresa debe conservar información documentada sobre los objetivos de la

seguridad de la información. Cuando se realiza la planificación para cumplir con los
objetivos propuestos, la empresa debe determinar:

 Los recursos que se requieren

 Cuando se finalizara
 Lo que se realizara
 Cuanto tiempo llevara
 Quien será la persona responsable
  Como se realizara la evaluación de resultados
 Como se medirá el alcance

5. Políticas de seguridad

Las políticas del Sistema de Gestión de Seguridad de la Información se

mantendrán permanentemente actualizado y se revisará de forma periódica, para
garantizar su capacitación a las necesidades específicas de NOVA-TEC. En este
proceso se implicará desde un principio a los miembros de la Organización,
promoviendo una actitud positiva, crítica y constructiva en permanente búsqueda de
la mejora y la calidad en el tratamiento de la información.

Las entidades tienen en cuenta la información como un componente

indispensable en la conducción y consecución de los objetivos definidos por la
estrategia de la organización, por lo que es vital asegurar de manera adecuada la
forma en la que sea manejada, procesada, transportada o almacenada la
información de la empresa.

5.1 Objetivos de las políticas

 Mejorar las expectativas de los clientes y su confianza

 Establecer los fundamentos para el desarrollo y la implantación del SGSI
 Administrar los riesgos en seguridad de la información
 Atender las demandas del software y su implementación
 Realizar nuestro trabajo con el mayor respeto y ética posibles
 Fomentar valores a nuestros empleados para el mejoramiento de las
relaciones laborales y evitar conflictos personales
 Fortalecer la gestión de seguridad de la información a través de la
implementación de un sistema de gestión de seguridad de la información
SGSI.
 5.2 Alcance de las políticas

Se establece para NOVA-TEC, proveedores y terceros relacionados deben

cumplir, como indica la presente política, con todo lo concerniente al tratamiento de
la información (creación, proceso, comunicación, distribución, almacenamiento y
despliegue). Esta política determina el nivel específico de control en base al análisis
de riesgos realizado y el impacto potencial para NOVA-TEC en:

 Su actividad de negocio
 las relaciones entre empleados
 Discreción del manejo que se tiene de los datos
 Criterios de acción o preceptivos.
 Criterios de omisión o prohibitivos.
 Los criterios de excepción o discrecionales.

En el documento actual se definen las políticas de seguridad del modelo OSI las
cuales son las siguientes:

 Capa física
 Capa de enlace de datos
 Capa de red
 Capa de transporte
 Capa de sesión
 Capa de presentación
 Capa de aplicación

Cada una de ellas detallada con su:

 Justificación
 Alcance
  Área encargada
 Personas involucradas
 Checklist
 Formulario

5.3 Cumplimiento

La política de seguridad de la información y todos los procedimientos, estándares,

y directrices derivadas, son obligatorias para todos los miembros, clientes,
proveedores, titulares de información, entes de control, autoridades administrativas,
toda persona natural o jurídica que acceda a cualquier activo de información.

5.4 Compromiso de la dirección

La dirección de NOVA-TEC se compromete a cuidar del activo más valioso para la

empresa que es la información que circula por su res, se manifiesta el compromiso
con la empresa, implementación y gestión de un SGSI que incluye el diseño e
implementación que se llevara a cabo.

La dirección de NOVA-TEC mostrara su compromiso a través de:

 Aprobación de cada política y revisión de los detalles dentro de este

documento
 Dar a conocer las políticas a todos las partes de la empresa y sus
colaboradores
 Asegurar los recursos adecuados para la implementación y mantenimiento
de las políticas de seguridad de la información
 6. Procedimientos de seguridad

En nuestra empresa existen varias partes que lo conforman, el departamento de

sistemas debe contar con normas y procedimientos que deben ser respetados por
los empleados que laboran en dicha área y los que hacen uso de las facilidades que
este departamento les proporciona; a continuación se presentar las normas y
procedimientos .

Reglamento interno:

 Todo el personal debe presentarse en sus labores diarias

 Solo personal autorizado puede ingresar al área de trabajo
 Solo personal autorizado puede ver información confidencial de la empresa
 Se debe respetar los horarios
 Las llamadas solo son permitidas en caso de emergencias
 El equipo con el que labora cada empleado es responsabilidad suya
 No se debe fumar, comer o beber dentro del departamento

Existen procedimientos que rigen la relación con las demás áreas que también
son importantes para un buen funcionamiento de la empresa, cabe mencionar que
solo se nombran los procedimientos que afectan directamente al departamento con
relación a los demás.

En lo que respecta la seguridad hay puntos importantes que son vitales para la
empresa:

 Confidencialidad de los documentos

 Integridad de la información
 Disponibilidad de los datos
 Para poder asegurar la información se debe establecer un sistema que se centre
en los procesos, almacenamiento y las conexiones de red de nuestra empresa, a
través de un software se puede monitorizar el estado de los sistemas informáticos,
se podrá detectar el origen de incidentes, mejorar la eficiencia y eficacia de los
procesos o realizar configuraciones que se adecuen a las necesidades de la
empresa.

Solicitud de proceso

Las solicitudes se realizaran cada vez que algún usuario o departamento requiera
una actividad de parte del departamento de sistemas podrá hacer la solicitud de
forma verbal (telefónica), tomando en cuenta que la solicitud no requiera de muchos
recursos para realizarla, de lo contrario se deberá realizar la solicitud por correo
electrónico o por la web de la empresa.

Orden de trabajo

El personal técnico debe contar con una orden de trabajo para poder verificar el
trabajo realizado dentro del área indicada y de la misma forma poder evidenciar que
si se realizó de forma correcta el trabajo, de esta forma se asegura que no se
realicen cambios no solicitados.

Orden de Movilización

Para solicitar el traslado de un equipo electrónico de un departamento a otro se

deberá llevar una orden de movilización para tener la ubicación exacta del equipo o
verificar si en algún caso el equipo ingresa del exterior de la empresa.

Orden de autorización de accesos

 La orden específicamente será utilizada en caso de que sea realmente necesario
utilizar la información y datos que almacena la empresa, o en caso de una
modificación que se realice en el sistema, de lo contrario se denegara la autorización
a las demás áreas que no están permitidas.

Seguridad

La importancia de la seguridad dentro del departamento de sistemas y centro de

cómputo de la empresa es vital para mantener la información que se gestiona a
través de la red diariamente, además se tiene en cuenta que los activos y la
información manejada son críticos que cualquier daño que puedan sufrir se
convertiría en un gran problema para la empresa. Es necesario tener un
procedimiento que regule este punto.

 Definir responsabilidades para la seguridad de los datos y programas

utilizados
 Utilización de antivirus actualizados
 Cifrar archivos sensibles
 Implementar copias de respaldo
 Cambiar claves de acceso con regularidad
 Tener un plan de respaldos
 Proteger el equipo de daños físicos
 Mantener un buen estado de detectores de incendios, y demás equipo para
caso de incendio u otro desastre que se pueda generar dentro de las áreas.
 Establecer planes de contingencia en caso de emergencia
 Controlar los accesos al área de sistemas

Generación de informes
 Se deben presentar informes sobre todas las actualizaciones y cambios que se
realicen en el sistema, y la calidad del servicio prestado que propongan mejoras
continuas.

7. Diagramas de la arquitectura de la seguridad (aplicaciones, redes,

sistemas)

Detalles Descripción
Distribución física de las instalaciones.
Estructura departamental de la
empresa.
Servicios necesarios en la
Análisis de requerimientos
organización.
Requerimientos de acceso a la red
interna.
Requerimientos de acceso externo.

Detalles Descripción
Estructura física de la red.
Estructura lógica.
Servidores necesarios.
Recomendación de virtualización y
aplicación a la infraestructura.
Soluciones propuestas.
Virtualización y aplicación a la
infraestructura.
Copias de seguridad.
Red Wi-fi.
Acceso remoto.
Seguridad de la red.
Esquema completo de la red Corporativa.

Diseño

estructural simplificado de conexiones

Diseño estructural de NOVA-TEC
Esquema VLANs y enlaces TRUNK
Esquema completo de la red Corporativa.
VLAN SERVIDORES INTERNOS 192.168.100.0/24
VLAN RECEPCION 192.168.50.0/24
VLAN DPTO INFORMATICA 192.168.51.0/24
VLAN DPTO. COMERCIAL 192.168.52.0/24
VLAN DPTO. CALL CENTER 192.168.53.0/24
VLAN DPTO. ADMINISTRACION 192.168.54.0/24
VLAN DPTO. OPERACIONES 192.168.55.0/24
VLAN DPTO. DIRECCION 192.168.56.0/24
VLAN DPTO. CONTABILIDAD 192.168.57.0/24
VLAN DPTO. MARKETING Y PUBLICIDAD 192.168.58.0/24
VLAN DPTO. FORMACION 192.168.59.0/24

Distribución de IP privadas de las subredes de la zona MZ (o red interna).

 8. Instrucciones, checklist y formularios

Como siguiente se incluyen los controles a revisar para dar cumplimiento a la

política de uso adecuado de activos y gestión, estos controles se clasifican en dos
grados de prioridad para que podamos aplicar.

 Inicial (I): El trabajo y los recursos que se requieren para cumplir lo que indica
esta política es bajo. Esto puede realizarse a través de acciones de forma
fácil y sin tanta complicación en su implementación.

 Avanzado (A): el trabajo y los recursos que se requieren para cumplir lo que
indica esta política es avanzada ya que se requieren acciones que solo cierto
personal con la experiencia y capacidad puede cumplir.

Tabla 1: Checklist.
Se describe el grado que tiene cada control dentro de la política.

Los controles podrán tener el siguiente alcance específico:

 Procesos [PROC]: Aplica al personal encargado de gestionar las decisiones.

 Tecnología [TC]: Aplica al personal técnico con especialización.
 Empleados [EMP]: Aplica a todo el personal de la empresa NOVA-TEC.
NIVEL ALCANCE CONTROL

□
Política de usuarios
Define el tipo de rol que el usuario tendrá en
I PROC función del tipo de información al que podrán
acceder.
 □
Asignación de permisos a usuarios
Se asigna el permiso necesario para que cada
I PROC usuario para que puedan realizar la acción que
sean necesaria sobre la información a la que
tienen acceso.

□
Cuentas de administración de la empresa
Gestiona la cuenta de administración del
I TC sistema y aplicación teniendo en cuenta su
criticidad dentro del campo requerido.

A TC □
Mecanismos de autenticación empleado
Determina y lleva a cabo las técnicas de autenticación
más apropiados para permitir el acceso a la información
de la empresa.

Registro de eventos del sistema □

Establece el mecanismo necesario para registrar todos los
A TC eventos relevantes en el manejo de la información de
nuestra empresa.

Revisión de permisos otorgados □

Se Revisan cada cierto tiempo que los permisos
I TC concedidos que concedemos a los usuarios y si son los
adecuados.

Revocación de permisos y eliminación de cuentas no □

necesarias
I TC Se procede a quitar los permisos de acceso y eliminar las
cuentas de usuario una vez finalizada la relación
contractual de uso.

Control de los soportes de copias llevadas a cabo □

Se etiquetan los soportes para realizar las copias de
I TC seguridad y llevar un registro de los soportes sobre los
que se ha realizado alguna copia de los datos.
 Procedimientos de copia y restauración de datos □
Elabora y se aplica el procedimiento de copia y
I TC restauración, revisándolo anualmente y con cada cambio
importante en los activos de información de nuestra
empresa NOVA-TEC.
 9. Plantilla de las políticas

En el caso de la seguridad se debe asignar a una persona encargada que será la

responsable de velar por los temas de seguridad tanto al interior como en el exterior
de la empresa, y tiene que estar de la mano de los altos cargos de la empresa para
poder ejecutar y describir mejor las políticas de seguridad que se van a implementar.

A continuación se listan las siguientes políticas que son aplicables para la seguridad
de la empresa:

Políticas Directrices Definición

-Los usuarios tendrán acceso Todas las cuentas que se

a un sistema informático de la brinden a los demás usuarios
red, dispondrán de una única de la empresa deben ser
autorización de acceso. verificadas y autorizadas por
Política de la administración.
administración de -Todos los usuarios deben
usuarios aceptar la política de Un usuario solo puede
seguridad de la empresa y acceder a la red si ya ha
cumplir con lo que se aceptado la política de
menciona dentro de ella. seguridad de la empresa, de
lo contrario no se le
-El usuario deberá renovar su brindaran privilegios.
contraseña cada cierto tiempo
según lo indique la Se tendrá monitoreado a
administración y el área de todos los usuarios para
seguridad de información. prevenir cualquier acción
 -El área de sistemas de indebida que pueda afectar
seguridad debe estar al sistema de la empresa.
comprometida con la empresa
y velar por su información. Se tendrá definido el tiempo
que un usuario con
-realizar constantemente una privilegios puede utilizar su
revisión de los permisos y cuenta y de estar manera
privilegios que han sido poder tener un mejor control
autorizados. de la información y el
usuario.
-cualquier modificación que
se deba realizar debe ser
notificada y autorizada por
administración y área de
seguridad.

-se realizara un inventario de Cada jefe de área con los

los activos de información de expertos de seguridad tendrá
la empresa. que inventariar y clasificar los
activos importantes que son
-se clasificaran los activos de utilizados por la empresa.
información.
Política de uso Cada activo de la empresa
adecuado de -Informes actualizados de la será etiquetado y clasificado
activos y gestión utilización de la información según su criticidad y
dentro de la empresa. sensibilidad.

Se reportara todo lo referente

a los activos importantes de
 -Todo el personal que la empresa desde el nivel
manipule los activos debe ser más bajo al alto.
monitoreado.

-se etiquetara la información

según su clasificación, de
esta forma se manejara la
información de acuerdo a los
protocolos establecidos.

-identificar los lineamientos en

los que puede ser manipulada
la información.

-todos los tratamientos de la

información deben ser
autorizados por losaltos Se autorizaran solo las
mandos antes de ser solicitudes que tengan
realizados. relevancia para su análisis y
que sean de beneficio para la
Política de -los encargados del empresa.
tratamiento de la tratamiento de la información
información reconocerán su compromiso Los jefes del departamento y
al recolectar, transferir, y sus colaboradores harán
almacenar la información de buen uso de la información a
la empresa de manera que la que se les brinda acceso,
sea seguro su mantenimiento por otra parte se esforzaran
y su uso a beneficio de la que todo lo referente a
empresa. clientes, proveedores y
demás información esté
 -se deberán cumplir todos los debidamente encriptado
procesos que sean asignados para usuarios no
para los datos que se autorizados.
obtengan.
Los procesos estarán
-La información que se contemplados para seguir
almacenada tendrá como una jerarquía del personal
finalidad ser analizada por los que puede manipular la
expertos para tomar información de la empresa
decisiones. según sea requerido.

-utilización de protocolos para

la seguridad de la
información.

-actualización y rectificación
de la información personal de
usuarios.

-Establecer personal Solo se atenderán solicitudes

especialmente para el que se refieran al software
mantenimiento que esté hardware propiedad de la
autorizado. empresa.
Política de
infraestructura y -Registrar todas las fallas Llevar un registro de las
mantenimiento supuestas o reales. fallas que se han generado
dentro de la empresa y en las
-Mantener un listado
del otras sucursales para tener
equipamiento necesario para un plan para cada falla y
el mantenimiento preventivo y poder solucionarla de la
correctivo. mejor manera.

-Registrar el retiro de Se establecerá un

equipamiento de la empresa cronograma con el tiempo y
para su mantenimiento. día que se llevara cada
mantenimiento en la
-Eliminar la información empresa central y las
confidencial que
contenga sucursales.
cualquier equipamiento de la
empresa.

-Seguridad de los equipos

fuera de la empresa.

-Reutilización segura de los

equipos

-Autorización para retirar

equipamiento de la empresa
para mantenimiento u otro
uso.

-Se realizaran solicitudes para

realizar soporte técnico en las
áreas de la empresa

-Se programaran fechas para

realizar los mantenimientos,
en las diferentes áreas.
 -análisis de las fallas que se Entre los responsables de
pueden presentar. que se cumpla esta política
estarán involucrados los
-Creación de una estrategia jefes de todos los
Política de para varios incidentes que departamentos para poder
protección ante pueden ocurrir dentro de la medir cada contingencia de
desastres empresa o fuera de. forma grupal y poder brindar
mejores soluciones para la
-Detección temprana de fallas empresa.
en la red, sistema u otros.
Se monitorizara cada área
-Revisión constantemente los para velar por la seguridad y
suministros eléctricos de cada el correcto funcionamiento
sede. de los dispositivos que tiene
cada área para su uso diario.
-Tener en cuenta todos los
aspectos que podrían estar Se plantearan varias
dentro de cualquier desastre, estrategias para mitigar
ya sea natural provocado. cualquier desastre, además
de realizar pruebas y llevar a
-utilización de software para la
cabo actividades que
revisión de los aspectos más
respondan a las diferentes
importantes en donde podría
contingencias.
crearse una contingencia.

- Se debe definir el tiempo Para los backups se tendrá

que los backups van a como tiempo de 6 meses
retenerse o guardarse. para retener la información
 que se almacena de acuerdo
- Se realizara un inventario de a la criticidad del miso, el
información en base a la tiempo puede variar según lo
criticidad de los datos. que defina el líder de
coordinación y las
- El acceso a las instalaciones necesidades de la empresa.
Política de copias
de los backups debe ser
de respaldo de Se definirán roles para poder
restringido.
información acceder a la información que
- La destrucción do se almacenara, no puede
reutilización de los medios ingresar personal no
almacenados debe autorizado a la información
realizarse de manera segura confidencial de la empresa.
y completa. Además los backups no
pueden ser manipulados sin
- Se realizaran pruebas de los autorización.
backups existentes para
asegurar su funcionamiento. Se deben aplicar
procedimientos formales

- Ante cualquier cambio para la destrucción o

solicitado sobre algún reutilización segura de los
sistema, se debe realizar un medios que contengan

backup. información sensible.

- Revisión del método de

recopilación de información.
 -detección de eventos en la Los sistemas de seguridad
seguridad de la información. dentro de la empresa deben
Política de ser capaces de registrar y
estructura -reportes de las acciones del permitir la recolección de
organizacional de día hacia la gerencia de la información pertinente para
seguridad de empresa. determinar las causas de un
información posible incidente en la
-resolución de los conflictos o seguridad.
imprevistos que puedan darse
de manera repentina. La alta gerencia debe estar
comprometida con la
-Mantener el compromiso de importancia de la seguridad
la alta gerencia en la gestión de la información dentro de la
de incidentes. empresa, además de velar
por el cumplimiento de las
-recolección de evidencia
normas establecidas para
legal aplicable ante incidentes
disminuir los incidentes de
de seguridad.
seguridad.

-designar las prioridades del

La empresa tendrá esta área
área de administración de
separada para dedicarse a
seguridad de la información.
mantener lo mejor posible la
seguridad dentro de la
-área independiente
empresa implementando
enfocada en la seguridad de
varias funcionalidades
la empresa, gestiones e
adecuadas.
información.
 -control de accesos con
códigos de identificación
Los colaboradores podrán
-delimitar e identificar las acceder a las instalaciones
Política de control áreas restringidas con su código que los
de acceso físico identifican por área, de
-en la desvinculaciónde manera que se mantenga la
personal se deberá eliminar el seguridad para monitorear la
código de acceso del presencia de los individuos
empleado y todo lo dentro de la empresa.
relacionado a su área y
permisos. Las áreas donde se
almacena la información
-inspección de maletines a crítica de la empresa debe
todo el personal. estar identificada y las otras
áreas a las que solo personal
-Pautas de seguridad para el autorizado puede ingresar
uso de equipo de cómputo y dentro de la empresa.
monitoreo.
En caso de que los
-Creación de usuarios VPN colaboradores sean
despedidos o presenten su
renuncia, todo lo creado
contemplando códigos de
acceso y los privilegios que
se le asignaron en la
empresa serán eliminados y
desactivados en su totalidad
por parte de la empresa.
 -Todas las modificaciones La principal función será
que se realicen a nivel de red mitigar los riesgos que se
deben ser autorizadas y asocian a los dispositivos de
debidamente documentadas. re de la empresa, se tomara
Política de como precaución el
administración y -El acceso a la red deberá ser deshabilitar los servicios,
configuración de restringido para todos los parámetros y puertos de red
switches usuarios, excepto para los del que por defecto traen activos
área de seguridad de y que no se utilizaran para el
información. funcionamiento de los
servicios.
-Los dispositivos deberán ser
revisados, registrados y Para poder ingresar a las
aprobados por la áreas necesarias se debe
administración del área antes informar a la administración
de conectarse a la red de el tipo de necesidad para
datos de la empresa. poder acceder con
autorización.
-conexiones remotas
Para la gestión de las
-La información que se conexiones remotas se toma
transmita por las redes en cuenta que deberán ser
públicas de la empresa, debe suministradas, a través de
estar cifrada de manera que las soluciones adquiridas
se garantice la formalmente por la empresa.
confidencialidad e integridad
de la información.
 -verificar la calidad de los
equipos a implementarse en
la red.

-definir qué tipo de

enrutamiento se realizara
para los routers. Las especificaciones son
para tener un mejor manejo
Política de -Mantener la actualización del de la comunicación entre
seguridad de firmware. dispositivos asegurando su
routers estabilidad.
-acceso restringido al área
donde se almacenan los Los dispositivos deberán
dispositivos. operar en un lugar con
humedad adecuada, además
-Realizar cambio del inicio de se debe diseñar un lugar
sesión predeterminado. para albergar todos los
componentes principales de
-Establecer contraseñas infraestructura de red.
seguras según la necesidad.
Las contraseñas seguras
-Establecimiento de serán utilizadas para que no
contraseñas seguras sea de fácil acceso cada
router.
-Los dispositivos deben
mantenerse alejados de
cargas electroestáticas,
interferencia
electromagnética, cambios
 drásticos de alimentación de
eléctrica.

El protocolo TCP permitirá a

la empresa en el monitoreo
-Utilización del protocolo TCP del flujo de datos y evitar la
para cubrir los datos que se saturación de la red.
Política de uso de envían por la red. Permitirá multiplexar los
protocolos en la datos.
capa de -Uso de protocolo UDP para
transporte entrega rápida o poca El protocolo UDP se utilizara
información, más común en para la información que se
aplicaciones de dos host necesite transmitir de forma
rápida y que no necesite
-Utilización del protocolo RTP. tanta protección para los

datos.
-Protocolo SCTP para la
transmisión de datos El protocolo RTP permitirá
confiable. identificar el tipo de
información transmitida,
agregar marcadores
temporales y números de
secuencia la información,
controlar la llegada d
paquetes a destino.

El protocolo SCTP brindara

seguridad a los datos, de
forma que será confiable su
transferencia, además se
 podrá controlar el flujo de
información y fragmentación
de mensajes.

-los sistemas deben ser Se realizaran las siguientes

actualizados cada cierto acciones para la
tiempo. actualización que los
documentos, software o
-las contraseñas se políticas necesiten en el
actualizarán constantemente. transcurso de un tiempo
estimado para su correcta
-las normas también serán aplicación.
Política de actualizadas según sea la
actualización necesidad de la empresa. En los checklist estarán
todas las áreas a revisar
-realización de un checklist antes de cualquier
antes de iniciar cualquier actualización que sea
actualización. realizada en la empresa, el
cual tomara en cuenta
-
requisitos de hardware,
software, backups,
documentos de
procedimientos, y otras
consideraciones.

-control en las claves de Se analizaran los controles

acceso al sistemas, datos y que aseguren los datos de la
servicios. empresa de forma
confidencial, y que
 -proceso para la gestión e mantengan seguros a los
claves de cifrado. colaboradores.
Política de uso de
controles -proceso para el cifrado de la Se utilizaran claves
criptográficos información crítica de la suficientemente seguras
empresa. para tener un equilibrio entre
rendimiento y encriptación de
-proceso de cifrado de las la información intercambiada
comunicaciones. entre sistemas, así como que
se han usado estándares de
-proceso para la asignación criptografía en ellos.
de acceso lógico sistemas.

-proceso de respaldo de
sistemas y datos

-la política será aplicable a

todo el personal interno y
externo de la empresa.

-control de las aplicaciones de El análisis se las partes que

la empresa. necesitan protección se
destacaran para poder
-control de la información implementar controles
Política de firewall permitida dentro de la específicos de manera que
de aplicación empresa, bloqueo de páginas se monitoree, la entrada,
que no se asocian a las salida entre otros aspectos
actividades laborales. de las aplicaciones.
 -toda la red será monitoreada, El firewall de aplicación
controlando aplicaciones, permitirá filtrar todas las
servicios entre otros. conexión que estarán
permitida y las que no.

-determinar los mecanismos Los mecanismos serán

de autorización de acceso a establecidos por el área de
los códigos fuentes. informática para el uso de los
códigos fuentes de la
-procedimiento formal para empresa.
gestionar y controlar los
Política de control códigos. Los involucrados en el uso
de acceso a de códigos fuentes deben
códigos fuentes -definir la periodicidad de las presentar con anticipación
revisiones a códigos fuentes. cual es la solicitud específica
y para que se requiere su
uso.

-los usuarios tendrán una Los usuarios son los únicos

clave única que les dará el responsable de mantener
acceso al sistema segura su contraseña y de no
dependiendo del área. perderla para su acceso al
Política de inicio sistema.
de sesión segura -control de usuarios para
implementar buenas Se establecerán buenas
practicas. prácticas para que los
usuarios no tengan ningún
inconveniente dentro de la
empresa.
 -establecer normas y Los usuarios deben terminar
derechos de acceso para los las sesiones activas cuando
usuario. finalicen su trabajo o
asegurarlas con un
-establecer pasos a seguir mecanismo de bloqueo.
para un correcto inicio de
sesión y cierre de forma Todos los usuarios que se
adecuada. brinden serán autorizados

-Las contraseñas serán Se definirán los parámetros

autorizadas por los altos que tendrán las contraseñas
mandos para los usuarios que a la hora de realizar los
laboren dentro de la empresa. cambios según el tiempo
estimado que se plantee.
-controlar la periodicidad con
Política de la que se realizará el cambio Los usuarios deben de haber
contraseñas de contraseñas a todos los aceptado los términos de
seguras usuarios dependiendo el área seguridad de la empresa
en el que trabajen. para tener el conocimiento
de que la falta que comentan
-los usuarios deben respetar puede ser sancionada.
las políticas de seguridad
para no divulgar sus
contraseñas.

-para los cambios se

establecerán las partes que
conformaran las nuevas
 contraseñas para que sean
seguras.

-definir los usuarios que Se mantendrán

tendrán accesos a las monitoreadas las carpetas
carpetas compartidas. compartidas que sean
creadas para los
-Definir el tipo de información departamentos
que contendrá la carpeta. correspondientes, de
Política de
manera que cumplan con las
carpetas -carpeta con máximo de 5G normas de seguridad.
compartidas de almacenamiento.
Cualquier modificación o
-se creara una carpeta raíz sugerencia se debe hacer
para cada dirección. llegar al departamento de
informática lo cuales verán
-se garantizara que la
las soluciones óptimas para
información sea integra,
implementar.
disponible y segura.

-Verificar los cambios que

sean sugeridos por otros
usuarios autorizados.

-el depto. De informática debe

realizar revisiones para
garantizar que no se violen
los requerimientos de
seguridad.
 10. Plan de concientización a los usuarios

Se tiene claro que la información de una empresa es su activo más valioso, parte
de la protección de la misma información la conforman el personal y administradores
que son parte de la empresa. Las personas generalmente son el elemento de falla
más común en un sistema de seguridad. La falta de conciencia en los
requerimientos de seguridad y las necesidades de control por parte de los
administradores de sistemas, programadores y usuarios puede representar un gran
riesgo para nuestra empresa.

Existen distintos ataques que pueden ser dirigidos a nuestra empresa, sin
embargo estar atentos e informados de cómo se maneja la información de la
empresa nos mantendrá al día de que se necesita mejorar en aspectos de seguridad
de la misma forma poder brindar a los colaboradores formas para mitigar los
ataques que se pueden generar.

El plan de concientización tiene como objetivo lograr una cultura de seguridad

dentro de la empresa, enfocada a todas las actividades de manera que se realicen
de forma segura y que todo el personal este consciente de los riesgos y amenazas
existentes, así poder instruirlos en los medios y métodos correctos para
salvaguardar los activos de la empresa.

10.1 Objetivos específicos

 Concientizar a los usuarios sobre aspectos de seguridad relevantes para la

empresa, haciendo énfasis en el manejo y protección de la información
sensible y el impacto sobre la empresa.
 Difundir las normas y políticas de seguridad para tener mayor comprensión
de la importancia de cada una, asegurando que colaboradores comprendan
y las apliquen.
10.2 Estrategia

En el presente año se contempla la realización de actividades de

entrenamiento y concientización respecto a la importancia y responsabilidad
de la participación de todo el personal en la gestión diaria de la seguridad de
la información.

Se contemplan las siguientes actividades:

a. Inducción de seguridad para nuevos colaboradores

b. Inducción de seguridad para colaboradores actuales
c. Charlas sobre seguridad , fraudes, cracking o consejos sobre cómo
protegerse frete a ciberamenazas
d. Prueba de ingeniería social
e. Realizar un entrenamiento basado en ataques controlados
f. Comunicación constante y abierta entre colaboradores y jefes

10.3 Actividades a realizar

a. Inducción de seguridad para para nuevos colabores

Objetivo: sensibilizar a los colaboradores en temas de seguridad desde su

ingreso a la empresa.

Periodicidad Descripción

Anual Realizar una charla informativa y de

concientización en material de
seguridad de la información durante
la primera semana de incorporación
de un nuevo colaborador
Fecha de inicio A definir

Entregable Registro de asistencia

b. Inducción de seguridad para colaboradores actuales

Objetivo: sensibilizar y concientizar los temas de seguridad a los

colaboradores actuales con énfasis en la participación que tiene cada uno en
su área y la información que manejan y a la que tienen acceso de forma
directa e indirectamente.

Periodicidad Descripción

Anual Realizar charla de concientización

en material de seguridad y
cumplimiento normativo.

Fecha de inicio Cada 6 meses

Entregable Registro de asistencia de

colaboradores

c. Charlas sobre seguridad , fraudes, cracking o consejos sobre

cómo protegerse frete a ciberamenazas

Objetivo: Sensibilizar en temas de seguridad a los colaboradores, en

cualquiera de los ámbitos que se gestionan en la empresa.
Periodicidad Descripción

Anual Realizar charla de concientización

en material de seguridad y
cumplimiento normativo.

Fecha de inicio Cada 6 meses

Entregable Registro de asistencia de

colaboradores

d. Prueba de ingeniería social

Objetivo: Realizar pruebas de ingeniería social, de forma que se pueda

validar el comportamiento del usuario frente a este tipo de ataque simulado.

Periodicidad Descripción

Anual Realizar un ejercicio de

concientización de usuarios a través
de correos phishing.

Fecha de inicio Cada 6 meses

Entregable Registro de ejecución de las

pruebas y cantidad de usuarios que
participaron en esta.
 e. Realizar un entrenamiento basado en ataques controlados

Objetivo: Realizar varias pruebas para poder dar a los usuarios

conocimientos de los ataques que pueden afectar a la empresa.

Periodicidad Descripción

Anual Realizar un ejercicio de

concientización de usuarios a través
de pruebas controladas.

Fecha de inicio Cada 6 meses

Entregable Registro de ejecución de las

pruebas y cantidad de usuarios que
participaron en esta.
 BIBLIOGRAFÍA

Gómez, A. V. (2011). Enciclopedia de la Seguridad Informática . Mexico: Alfaomega.

seguridad informática. (30 de abril de 2019). Obtenido de

https://www.marindelafuente.com.ar/escaneo-de-vulnerabilidades-en-cualquier-sitio-
web-usando-nikto/

Wellman, M. F. (2013). Analisis de mercado sobre la calidad de productos cybertech, en una

empresa importadora y distribuidora de equipo de computo. Guatemala.

Yáñez Cáceres, N. A. (2017). Sistema de Gestión de Seguridad de la Información. Chile.

 ANEXOS
POLITICAS

Política 1:

Política de Administración de usuarios

Justificación:

La administración de usuarios es importante para no tener problemas con

accesos no autorizados, además se deben tener cuentas específicas y grupos para
tener una organización adecuada.

Alcance:

Cubre todos los departamentos.

Personas involucradas:

 Jefe de informática
 Gerente general
 Empleados

Los responsables de la seguridad y cumplimiento de esta política serán el jefe de

informática y el gerente general, deben estar comprometidos por velar por la
presente política. Además el personal de la empresa debe tener conocimiento de la
política y de las sanciones que se pueden realizar a los usuarios que violen esta
política.

Se habilitaran recursos para instrumentar la política, y se asignaran usuarios

privilegiados que deberán responder directamente por las operaciones y
transacción que se ejecuten con las cuentas de usuario asignadas bajo su
responsabilidad.

Se debe fortalecer en las modificaciones de usuario y derechos de acceso lógico,

modificaciones de usuarios privilegiados, uso y revocación de cuentas de usuario
privilegiado, autorizaciones de acceso lógico y revisión de los derechos de acceso
lógico.

Las solicitudes de una cuenta privilegiada deben ser autorizadas formalmente por
el encargado del departamento de informática y acompañado de una justificación
de necesidad de uso. Debe cumplir con el procedimiento de modificaciones de
usuario con acceso privilegiado.

El departamento de TI deberá disponer de un procedimiento de revocación de

cuantas de usuario privilegiado de uso obligatorio, los accesos deberán ser
controlados periódicamente para asegurar que ningún usuario realizara una acción
indebida. Las cuentas de usuario privilegiado solo serán utilizadas en casos
especiales para la administración y configuración del sistema para la cual se
requieren privilegios. No podrán ser utilizadas en actividades rutinarias las cuentas
de usuarios privilegiados.

Las cuentas de usuario tipo admin, root o similares, definidas por defecto en
sistemas y componentes, no pueden ser usadas. Cuando sea posible las mismas
deben ser eliminadas o deshabilitadas, se debe contar con un mecanismo de
recuperación de accesos privilegiado, el cual debe mantener las garantías de
reserva.

Política: 2
Política de uso adecuado de activos y gestión

Justificación:

En la actualidad no se cuenta con una política sobre los activos de la empresa y

los trabajos realizados con ellos. Se implementara la política para poder optimizar
los recursos de la empresa y asegurar que el desempeño de los activos no se
deteriore con el tiempo refiriéndose a la calidad de servicio.

Alcance:

El alcance que tendrá esta política cubrirá el recurso humano y los equipos
utilizados dentro de la empresa.

Personas involucradas:

 Gerentes
 Jefe de Informática
 Empleados

NOVA-TEC es propietario de toda la información gestionada dentro de la

empresa, por lo tanto cada modificación, implantación de software y datos no
pueden ser filtrados ni manipulados por personal que no esté contratado por la
empresa. Los accesos a documentos en la nube y físicos deben ser redactados en
las restricciones y normas basadas en documentos públicos, además se deben
tener permisos para los empleados y jefes de cada área de la empresa.

La gestión de activos se basara en la aplicación de métodos y estrategias que

permitan visualizar y medir el valor y riesgos para que estén alineados con los
objetivos de la empresa. La gestión se genera desde las políticas y requiere de
dominio de los datos, información y conocimiento de gran complejidad, en un
entorno en el que el factor humano es la clave en cuanto a comunicación, motivación
y sentido de propiedad.

Mencionando al factor humano como la clave para realizar el manejo de la

información, los activos que son manipulados por las diferentes áreas de la empresa
estarán bajo su responsabilidad y el uso que le brinden a cada uno, serán
responsables de mantener la integridad de la información gestionada, cualquier
modificación no informada será sancionada.

Los activos de la empresa son varios ya que se trata de un conjunto que incluye
los activos físicos, humanos y lógicos, el mantenimiento de los activos es esencial
para el buen funcionamiento de la empresa, ya que cualquier fallo puede afectar
drásticamente el desempeño financiero, competitivo y la vida del activo de la
empresa. Debe ser una gestión integral que permita alcanzar un mayor grado de
confiabilidad en los equipos e instalaciones. Se considera que la gestión debe incluir
la consecución de los siguientes puntos:

 Optimización de los recursos humanos

 Optimización de la disponibilidad de los activos
 Optimización de costo de mantenimiento
 Maximización de la vida útil de los activos

Lo activos se describen como una serie de procesos interconectados basados en

modelos conceptuales centrados en los procesos de gestión estratégica, los cuales
son ampliamente utilizados en diferentes industrias para mejorar la calidad de
servicios.

Para lo referente a documentos e información que se encuentra en la intranet se

establecen controles y menús correspondientes, ya que debido a su cargo se
desplegaran accesos a sus funciones respectivas, los cuales se asignaron a los
jefes de cada departamento

Política 3:

Política de tratamiento de la información

Justificación:

Esta política ayudara al manejo de la información dentro de la empresa, se

propone establecer los términos bajo los cuales se tratara y usa la información de
usuarios, y la data en general dentro de la empresa.

Alcance:

El alcance de esta política cubrirá el departamento de informática, las bases de

datos de la empresa y archivos de proveedores, clientes y empleados.

Personas involucradas:

 Gerente general
 Departamento de informática
 Jefe administrativo

El tratamiento de la información mantendrá al día al sistema y todos sus procesos

y sub procesos, por otra parte se lograra el cumplimiento de cada medida, y todo se
mantendrá documentado, vigente y accesible. La gestión de la información
documentada es un punto importante para la gestión de calidad y está integrado
con la gestión de los documentos y archivos la empresa.
 Los datos personales que son objeto de tratamiento por parte de NOVA-TEC
pueden provenir de negocios comerciales, contratos, formularios autorizados por el
cliente, empleados o proveedor, para fines comerciales.

Para la presente política se tomaran en cuenta varios aspectos para asegurar los
datos personales e información de la empresa:

 Bases de datos
 Transmisión de la información
 Transferencia de información

La información que es almacenada en las bases de datos, solo puede ser vista,
actualizada, rectificada o suprimida por los jefes del departamento de informática,
NOVA-TEC se hace responsable y encargado del tratamiento total de la
información. Los datos almacenados solo pueden brindarse en casos especiales
como:

 Casos de urgencia médica o sanitaria

 Tratamiento de información autorizada por la ley para fines históricos o
científicos
 Datos relacionados con el registro civil de las personas
 Información requerida por una orden legal o judicial
 Datos de naturaleza pública
 Por mandato legal o judicial

Los encargados deberán de garantizar la protección de toda la información y

datos personales que se almacenen, darán cumplimiento a los principios del
tratamiento de datos personales, las bases de datos que se obtienen no se venden,
ni alquila a terceros y serán mantenidas con la mayor privacidad posible, acceso
restringido a usuarios no autorizados.
La información almacenada solo será utilizada para los siguientes fines:

 Cobro de cartera
 Ofrecer información sobre nuestros productos o servicios
 Mantener la comunicación con clientes frecuentes
 Desarrollar el proceso de selección, evaluación y vinculación laboral
 Informar sobre actualizaciones de nuestros productos
 Soportar procesos de auditoria interna o externa
 Realizar envió de correo físico, electrónico o por dispositivo móvil
 Invitar a clientes a concursos de carácter comercial

Política 4:

Política de infraestructura y mantenimiento

Justificación:

La empresa no está preparada para un mantenimiento adecuado hacia el equipo y

la infraestructura como tal, se necesitan procedimientos adecuados para el control
de mantenimientos correctivos y preventivos de la empresa.

Alcance:

Esta política abarca todo el departamento de informática, por lo que el

mantenimiento preventivo es destinado a la conservación de equipos o
instalaciones mediante la realización de revisión y reparación que garanticen su
funcionamiento y flexibilidad.

Personas involucradas:
  Jefe de informática
 Jefe de infraestructura

Las actividades que se realicen y se desarrollen por el área de infraestructura de

la empresa deberán ser registradas y documentas para poder aplicarle el respectivo
seguimiento además de contar con respaldo cuando se requiera realizar auditorías
internas y externas.

Se realizaran anualmente revisiones a las conexiones de red para poder

determinar y detectar fallas para su respectivo mantenimiento a toda la red
organizacional.

Los equipos de cómputo deberán tener su respectivo mantenimiento de manera

trimestral para asegurar su correcto funcionamiento dentro de la empresa, así
mismo a toda la infraestructura y deberá ser realizada por el personal del área.

Política 5:

Política de protección ante desastres

Justificación:

En la actualidad NOVA-TEC no cuenta con un plan de protección ante desastres,

lo cual expone a varios percances a la empresa, se propone la política con el fin de
priorizar las áreas más sensibles de la empresa ante cualquier desastre ya sea
natural o manipulado.

Alcance:

La siguiente política cubre toda la empresa, además de los equipos y el

departamento de informática.
Personas involucradas:

 Jefe del departamento de informática

 Jefe administrativo
 Empleados

La política ante desastres tiene como objetivo proteger los activos físicos e
intelectuales utilizados en la generación de información, el procedimiento de
seguridad informática aplica para el nivel central y todas las áreas de la empresa.
Además, aplica a todo el personal de NOVA-TEC y todo aquel personal que utilice
de manera directa e indirecta los sistemas de información, aplicaciones y
plataformas de NOVA-TEC.

Se establecerán procedimientos adecuados y medidas de seguridad que

permitirá salvaguardar la unidad administrativa, centro de cómputo, estructura
físicas, al personal, procedimientos operacionales, la información y la
documentación generada, contra cualquier evento natural o humano que de forma
intencional o por accidente puedan efectuarse.

En caso de cualquier desastre natural o provocado es responsabilidad de los

usuarios cumplir con las políticas y procedimientos de seguridad. La falla de
conocimiento de las políticas aquí descritas no libera al usuario de sanciones o
penalidades por el incumplimiento de las mismas.

NOVA-TEC deberá colocar pararrayos para evitar que el equipo sea dañado al
momento de cualquier descarga eléctrica, además el datacenter tendrá que contar
con una capa de cobre para evitar que los servidores caigan al momento de un
relámpago.
 Todos los sistemas de tecnología que se utilicen como parte de la propiedad
física o intelectual de NOVA-TEC se consideran protegidos por esta política y
procedimiento de seguridad.

Se debe asegurar de contar con el personal adecuado, ya sea interno o

contratado para diseñar y mantener la seguridad de los sistemas de información.
Se debe tener un proceso de reclutamiento de personal que estará en el área de
sistemas, especialmente en el área de seguridad, se llevara a cabo un proceso más
riguroso a la hora de seleccionar al candidato para garantizar que en efecto tiene
las destrezas tecnológicas necesarias para el puesto.

La tecnología evoluciona y las amenazas de seguridad también, por lo que este

documento se deberá revisar cada 2 años o según sea necesario para realizar
actualizaciones y modificaciones necesarias. Esta política estará vigente a partir de
su divulgación y hasta que la autoridad nominadora o el oficial principal de
informática así lo determine.

Política 6:

Política de copias de respaldo de información

Justificación:

Se propone la política con el fin de poder tener copia y respaldo de la información

de NOVA-TEC, también se definirán con que periodicidad se realizaran, los soportes
que se deben realizar y las ubicaciones donde estarán los centros de respaldo.

Alcance:
 La política cubrirá todos los respaldos de información elaborados por el
departamento de informática.

Personas involucradas:

 Jefe de informática
 Gerente general
 Jefe de infraestructura

La información que se almacenara deberá ser clasificada por el gerente y jefe de

informática para plantear la periodicidad en la que se realizaran los backups,
además de encriptar la información y el proceso para la restauración que será
aprobada por el departamento de informática para asegurar la integridad y
disponibilidad de la información.

Los medios de almacenamiento contienen los activos más importantes de la

empresa, los dispositivos pueden verse involucrados en situaciones como robos,
incendios, inundaciones, fallos eléctricos, rotura, o fallo del dispositivo, virus,
borrados accidentales, etc. Cualquiera de los casos anteriores impediría el acceso
de la información.

Se debe realizar un inventario de activos de información y clasificación en base

a su criticidad para la empresa, el objetivo es tener un registro de todo el software y
los datos imprescindibles para la empresa de manera que sirva para determinar la
periodicidad de los backups y su contenido.

Se debe definir quiénes realizarán los backups y definir los procedimientos para
realizar las copias de seguridad y restaurarlas, lo cuales incluirá:

 El tipo de copia
 De que hacer una copia
  El programa necesario
 La periodicidad
 La vigencia
 Su ubicación
 Las pruebas de restauración
 Los soportes que se darán

Por otra parte se definirán controles de acceso para las copias de seguridad,
serán sometidas a un control restringido al personal autorizado. Se tendrá que
verificar que se realiza una copia de seguridad de la información crítica de la
empresa. Además se fijara el tema de con cuanta frecuencia se deben realizar las
copias de seguridad teniendo en cuenta:

 El costo de almacenamiento
 La variación de datos generados
 El tipo de copia que se realizara

También se debe verificar la caducidad de las copias de seguridad que se

realizaran, y tener en cuenta el tiempo que se conservaran las copias en función de:
si la información es vigente, la duración del soporte en el que se realizan, la
necesidad de conservar copias anteriores a la última realizada.

Para las copias que se realizaran se debe verificar que las copias se puedan
restaurar de forma completa y de que funcionen los backups, se revisaran
anualmente cada una de las copias que se tengan en el inventario de activos de
información.

Política 7:
Política de estructura organizacional de seguridad de información

Justificación:

Actualmente NOVA-TEC no cuenta con un grupo de seguridad que realice la

administración ni gestión de la seguridad de la información, las funciones de
desarrollo y mantenimiento de políticas y estándares de seguridad no están
definidas dentro de los roles de la empresa.

Alcance:

Cubre toda la empresa, debido a que esto requiere la protección de toda la

información, acorde al esquema de seguridad planeado. Entre los puntos
importantes estará la gestión del plan de seguridad d información que será llevado
a cabo por personal de sistemas y empleados de áreas de ventas siendo
responsables de la información que utilizan.

Personas involucradas:

 Jefe administración
 Jefe de informática
 Usuarios
 Auditor de sistemas
 Jefe de operaciones

Debido al volumen de operaciones y la criticidad que se realiza a diario y la

información que se gestiona, se tomaran en cuenta las mejores prácticas para tener
un área organizacional que administre la seguridad informática. Para el área será
indispensable que esta área sea independiente de la gerencia de sistemas, la cual
en algunos casos es la ejecutora de las normas y medidas de seguridad elaboradas.
 El área de administración de la seguridad del área de sistemas reportara todo a
la gerencia de administración y Operaciones.

El jefe del departamento de informática será el encargado de asignar roles y

responsabilidades a la nueva área especialmente de seguridad, además de registrar
a cada persona por medio de un formulario, dicho formulario será documentado
para el conocimiento de la administración general.

La nueva área se encargara de varios aspectos como los siguientes:

 Resolver conflictos de responsabilidad que puedan aparecer en las

diferentes áreas de la empresa
 Promover auditorias periódicas, que permitan verificar el cumplimiento de
las obligaciones en materia de seguridad
 Aprobar una normativa interna en el ámbito de seguridad de la información

Política 8:

Política de control de acceso físico

Justificación:

El uso de cada dispositivo dentro de la empresa debe ser autorizado y controlado

por los jefes o administradores de cada área.

Alcance:

Esta política abarca todos los departamentos, ya que todos los dispositivos
utilizados dentro de la empresa deben monitorearse de forma adecuada para no
tener ninguna pérdida tanto de dispositivos como de información.
Área encargada:

 Informática
 Gerencia

Personas involucradas:

 Departamento de informática
 Jefe de administración
 Gerente general

Se tendrá como objetivo controlar quien acedera a la información de nuestra

empresa para poder protegerla, será esencial decidir quién tendrá los permisos,
como, cuando y con qué finalidad.

Para gestionar el control de accesos a la información, se tendrá en cuenta que la

información, los servicios y las aplicaciones utilizadas no tienen que ubicarse de
forma centralizada en las instalaciones.

Se realizaran grupos y usuarios que tendrán accesos para cada tipo de

información establecida, se clasificaran los accesos en función del área o
departamento al que pertenezca el empleado, el tipo de información al que accederá
ya sea físico o en la nube, las operaciones permitidas sobre la información a la que
se tiene acceso.

La asignación de permisos serán establecidos dependiendo el tipo de

información, los usuarios y grupos existentes dentro de la empresa, los permisos
brindaran mayor seguridad sobre la información permitiendo (creación, lectura,
borrado, copias, ejecución, etc.), como medida de precaución se otorgara el mínimo
privilegio en todas las áreas a menos de que sea realmente necesario ingresar a la
información crítica de la empresa.
Política 9:

Política de administración y configuración de switches

Justificación:

Se aplicara para tomar medidas adecuadas a la hora de implementar dispositivos

de enlace de datos como lo son los switches, dando de esta forma seguridad a los
enlaces.

Alcance:

Se tomara en cuenta la implementación en la capa de enlace de datos, por otra

parte se definirán las bases de datos para tomar medidas para fortalecer la
seguridad de la red.

Personas involucradas:

 Jefe del departamento de informática

 Jefe de infraestructura

Se velara por la seguridad de los datos que se comparten a nivel de red, como la
emisión y recepción de los mismos, entre servidor, cliente o usuarios finales.

Política 10:

Política de seguridad de routers

Justificación:

Este equipo es el que permite que los paquetes de datos procedentes o con
destino a la red sean correctamente encaminados desde y hacia los ordenadores
conectados, ya sea mediante cable o de manera inalámbrica

Alcance:

El alcance que tendrá esta política es definir las bases para tomar las medidas
adecuadas para fortalecer la seguridad de la red, tomando en cuenta
implementaciones en la capa de enlace de datos.

Personas involucradas:

 Jefa del departamento de informática

 Jefe de la unidad de infraestructura

Política 11:

Política de uso de protocolos en la capa de transporte

Justificación:

Es necesario el uso de protocolos de seguridad a nivel de la capa de transporte

para aplicar el cifrado de datos para mantener la integridad de los mismos.

Alcance:

Departamento de informática
Personas involucradas:

 Jefe de departamento
 Jefatura de informática

Política 12:

Política de actualización

Justificación:

Es necesario el uso de protocolos de seguridad a nivel de la capa de transporte

para aplicar el cifrado de datos para mantener la integridad de los mismos.

Alcance:

Departamento de Informática

Personas involucradas:

 Jefe de departamento
 Jefatura de informática

Se deberá mantener actualizadas las aplicaciones pues esta práctica ayudará a

salvaguardar la red de las vulnerabilidades y errores que se puedan presentar en
esta, siendo esta una medida inicial de fortalecimiento del transporte. Aplicar el uso
de un control de congestión aplicable a la red de la PGN para evitar colisiones y el
retardo de paquetes durante la comunicación y el transporte de estos desde las
capas inferiores hasta la presentación para ser posteriormente manipulada y
cifrada.
Política 13:

Política de uso de controles criptográficos

Justificación:

Se velara por la información clasificada de la empresa, de manera que será

cifrada al momento de almacenarse y/o transmitirse por cualquier medio, con el
propósito de proteger la confidencialidad.

Alcance:

Aplicar a los datos procesos criptográficos para la protección de la integridad de

la información en todos los niveles posibles alcanzados por la capa de presentación
del modelo OSI.

Personas involucradas:

 jefatura de departamento
 jefatura de informática
 Área de desarrollo

Política 14:

Política de firewall de aplicación

Justificación:

Actualmente la empresa posee políticas de seguridad en la capa de aplicación,

aquí se encuentran una variada combinación de protocolos que permiten a los
terminales acceder a numerosos servicios, entre ellos SMTP, POP, IMAP, DNS,
HTTP, HTTPS, DHCP, FTP, TFTP. La configuración está sujeta a la experiencia del
administrador de redes, el cual debe ser cuidadoso para prevenir que malas
configuraciones se vuelvan una puerta de acceso a la red.

Alcance:

La política tendrá alcance para el departamento de informática y en relación a

todos los equipos que se encuentren conectados a la misma red, para que se tomen
en cuenta cada una de las políticas asignadas a las configuraciones de la capa de
aplicación

Personas involucradas:

 Jefe del departamento de informática.

 Jefe de la unidad de infraestructura.
 Administrador de sistemas.

La unidad de informática es responsable que cada una de las políticas

establecidas en la capa de aplicación se cumplan al pie de la letra, ya que la
integridad de la información que se transita en la organización es de suma
importancia se debe cumplir 30 cada una de las reglas que se validan en la capa de
aplicación para su correcto y seguro funcionamiento.

Política 15:

Política de control de acceso a códigos fuentes

Justificación:
 La oficina de sistemas o informática debe implementar los controles necesarios
para asegurar que el acceso al código fuente de las aplicaciones desarrolladas sea
limitado. Únicamente el personal del grupo de desarrollo debe tener acceso a esta
información y hará uso modera de la misma.

Alcance:

Ser responsables por aprobación, supervisión y modificación de los códigos fuentes

de los aplicativos.

Personas involucradas:

 Jefe del departamento de informática.

 Jefe de la unidad de infraestructura.
 Administrador de sistemas.

El departamento debe de cumplir con reglas establecidas por la política basada

en control de acceso a códigos fuentes de aplicaciones desarrolladas internamente
en la institución, se debe de proporcionar herramientas para el control de cambios
sobre el código fuente de los aplicativos.

Política 16:

Política de inicio de sesión segura

Justificación:

El departamento de informática debe de asegurarse que el acceso a los servicios

informáticos solo sea posible con un proceso de conexión segura, se deben de
implementar los controles necesarios para proteger los servicios de la información
de intentos de inicio de sesión mediante ataques de fuerza bruta. Se deben de
generar mensajes de advertencias generales indicando que solo los usuarios
autorizados puedan acceder al equipo.

Alcance:

Habilitar el registro de los intentos exitosos y fallidos de acuerdo a los perfiles de los
usuarios en los sistemas de información necesaria

Personas Involucradas:

 Jefe del departamento de informática.

 Jefe de la unidad de infraestructura.
 Administrador de sistemas.

Política 17:

Política de contraseñas seguras

Justificación:

El departamento de informática debe de asegurarse que el acceso a los servicios

informáticos solo sea posible con un proceso de conexión segura, se deben de
implementar los controles necesarios para proteger los servicios de la información
de intentos de inicio de sesión mediante ataques de fuerza bruta. Se deben de
generar mensajes de advertencias generales indicando que solo los usuarios
autorizados puedan acceder al equipo.

Alcance:
 Habilitar el registro de los intentos exitosos y fallidos de acuerdo a los perfiles de
los usuarios en los sistemas de información necesaria.

Personas involucradas:

 Jefe del departamento de informática.

 Jefe de la unidad de infraestructura.
 Administrador de sistemas.

Política 18:

Política de puertos habilitados

Justificación:

Alcance:

Área encargada:

Personas involucradas:

Revisión:

Aprobación:

Política 19:

Política de carpetas compartidas

Justificación:
Alcance:

Área encargada:

Personas involucradas:

Revisión:

Aprobación: