You are on page 1of 9

Plan de seguridad informática

INTRODUCCION
Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique
cómo sobrevivir a los múltiples escenarios también preparará a las empresas en el manejo de las
amenazas inesperadas que podría afrontar en el futuro.
La mayoría de las empresas ha invertido tiempo y dinero en la construcción de una infraestructura para
la tecnología de la información que soporte su compañía, esa infraestructura de IT podría resultar ser
una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la
informática interconectadas y con comunicación electrónica, las políticas de información bien
documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas
comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Este plan de
seguridad informática está diseñado para cualquier empresa por grande o pequeña que desee
implementar y resguardar su información que sabemos es de vital importancia para todas las
empresas, ya que la implementación de seguridad no requiere mayor inversión de recursos ya que todo
son herramientas open source lo cual brinda la disponibilidad de adquirirlo sin costo alguno la inversión
que con lleva es la física como su estructuración a nivel de red y como los costos de seguridad físicos.
Algunas políticas de seguridad que son de carácter obligatorio fueron establecidas en el área de
Seguridad Físico y Lógico.
PLAN DE SEGURIDAD (SEGURIDAD REDES)
DESCRIPCION DE LA EMPRESA
La empresa de Servicios Informáticos SIT,S.A. presta los servicios de Internet, Asesoría sobre redes,
Instalación y reparación de equipos. El cual solicita el diseño de su infraestructura de red como también
la solicitud de un plan tanto físico como lógico para resguardar sus equipos como también su
información. Desea que todo sistema sea diseñado y configurado siguiendo el plan de seguridad.
OBJETIVOS PLAN DE SEGURIDAD
Los objetivos del plan de seguridad, pretende por medio de procedimientos, medidas desarrolladas
como políticas para la empresa SIT, S.A. que permitan encaminar garantizando los siguientes objetivos:
Confidencialidad: permitir a los sistemas poder acceder únicamente a la información que le pertenece,
resguardando la información de otros usuarios y tengan acceso únicamente supervisores u otras
personas designadas esto permitirá la confidencialidad de los datos.
Disponibilidad: que permita tener acceso a información oportuna, en línea información real que pueda
acceder a información que haya sido ingresada constantemente esto permite que desde cualquier parte
de la empresa o cualquier usuario pueda consultar y acceder a los datos
Integridad: que los datos disponibles no puedan ser alterados es decir que se tenga registro de las
modificaciones hechas (datos históricos), que siempre se tenga información real.
No Repudio: dichos sistemas puedan tener una bitácora transaccional por usuario en la que se pueda
tener un control de todo movimiento por parte de un usuario.
IDENTIFICACION DE AMENAZAS Y RIESGOS
Son amenazas tanto internas como externas a nivel lógico como físico ya sean naturales, accidentales
o provocadas. Que pueden afectar a nuestra información:
-Desastres, naturales o domésticos (incendios, inundaciones, cortocircuitos, sobrecargas, terremotos,
etc.)

ingresar código de usuario (ID) colocar la huella registrada para validar la entrada todo el resto del personal utilizara tarjetas 2kbits que únicamente harán uso el ID del chip que hace única la tarjeta. instalación eléctrica. El local 5x5 será el área de los servidores el cual deberá contar con puerta metálica. -Errores en el diseño de aplicaciones. etc. la base de datos. Todos los servidores contendrán una plataforma Linux una distribución Debian 5. cámara de seguridad tanto internamente como también en el exterior con sensor de movimiento a excepción de la que este dedicada a la puerta. dicha puerta deberá contar con un lector RWKLB575 las cuales cuentan con tecnología iCLASS. En cada garita el personal deberá tener en todo momento carnet de identificación tipo iCLASS HID con un chip interno de 16kbits y 2kbits ambas tarjetas servirán como identificación como también para brindar acceso a los distintos lugares/locales las puertas de los locales y vías de acceso deberán contar con lectoras iCLASS R10 (proximidad) para darles acceso a los locales resguardando las puertas con electroimanes. en el caso que las medidas sean más costosas que las consecuencias de la amenaza o evitarlo. Entonces los componentes de riesgo cuyas consecuencias deban ser evitadas entrarán a formar parte del Plan de Seguridad. el otro servidor contendrá las aplicaciones web de la intranet. SEGURIDAD FISICA Y LOGICA Para resguardar físicamente los equipos se deberán implementar en las dos vías de acceso cada una con garita con dos guardias. adicional deberá contar con alarmas. rejas o balcones en todo el perímetro como en ventanas.) -Errores en la introducción de datos. teclado físico y biométrico las personas que tendrán acceso a los servidores deberán contar únicamente ellos con las tarjetas 16kbits con el fin de tener mayor seguridad en el acceso ya que en dicha tarjeta se guarda el template biométrico de la huella y el usuario deberá presentar la tarjeta. Los servicios de Telnet y FTP deberán ser sustituidos por SSH para resguardar la integridad de la información que viaja ya que estos encriptan la información.-Averías en los equipos informáticos o accesorios (plantas generadoras. Ambos estarán sincronizándose constantemente con el tercer servidor el cual tendrá el respaldo de ambos servidores estos tres servidores estarán con alta disponibilidad previniendo que uno o ambos servidores principales llegasen a caer servicios o dañar entra como principal el servidor de Respaldo que adicionalmente esta sincronizándose por medio de una vpn a otro servidor que se encuentra fuera de la empresa el cual resguarda toda la información considerado ante cualquier desastre en los servidores. El área de servidores adicionalmente deberá contar con rondas constantes de vigilancia por parte de guardias de seguridad con mayor presencia en esta área que en las demás. las base de datos será MySQL el cual posee una sincronización a nivel BD. Para resguardo lógico de la información se cuenta con 3 servidores uno de ellos resguardara el dominio (samba) para los usuario como también tendrá el proxy para restringir por grupos de usuarios los permisos de internet como también contendrá un TCP Wrapper (en conjunto con un firewall físico).Costo de la medida de prevención Para actuar en consecuencia y asumir el riesgo. aire acondicionado.Gravedad de la situación generada . como borrado indebido de archivos o modificaciones no autorizadas.Probabilidad de ocurrencia . -Virus informáticos. -Difusión mal intencionada de información. -Sabotajes y robos de equipos o información. Todos los locales deberán contar con detectores de humo sincronizados para hacer llamado a bomberos. Para manejar el riesgo de cada amenaza habrá que delimitar: . como también contara con extinguidores para dispositivos eléctricos. tanto para servidor web como para el proxy se necesita instalar Apache como también .

el cual será administrado por una entidad adscrita a Google “wsimarketing” y serán los encargados de administrar nuestros correos como si fuese Gmail para las personas que ingresan vía internet o configuren su correo. En un Inicio se restringirá todo a excepción de uso de correos como la pagina para acceder a ellos. El servicio de internet será suministrado por un enlace dedicado de ADSL y teniendo como respaldo otro enlace ADSL pero no dedicado con el fin de prevenir una caída del enlace dedicado.squid para administrarlo. para hacer efectivo el voto del administrador deberá basarse en el estudio efectuado por los ingenieros. Un ingeniero se dedique por completo a estudiar los riesgos y amenazas descritas como también en búsqueda de amenazas nuevas o que se pasaron por alto esto con el fin de estar implementando constantemente nuevas técnicas de seguridad y testeando posibles debilidades. Se elige a la persona administrativa como cabeza de la empresa esto para que el tome la decisión de las 4 areas y no se tenga discusión entre ellas y las decisiones sobre las políticas sean basadas en estudio que presente cada área correspondiente. ORGANIGRAMA El especialista en administración de empresa estará a cargo de la empresa y tendrá vos y voto en decisiones de las políticas de seguridad y será el intermediario en diálogos con los usuarios (empleados). Otro ingeniero estará encargado de la replicación y alta disponibilidad entre los servidores como también de tener controlado el servidor externo de backups el cual se contratara a una empresa especializada en dicho asunto el cual deberá contar con espacio y restricciones de seguridad lógicos . Dichas restricciones serán tomadas como políticas de seguridad dichas políticas deberán quedar estructuradas y cualquier solicitud para restringir o eliminar una política o agregar una nueva deberá ser presentada con un estudio de respaldo indicando beneficios y contras para poder aprobarlo por la Gerencia dicho informe deberá ser elaborado por el Ingeniero a cargo de las amenazas y riesgos ya que sobre el recaerá la responsabilidad de estudio como tal. Otro ingeniero estará encargado del servidor de aplicaciones y base de datos. El servidor que manejara el TCP wrapper adicional tendrá vmware para virtualizar Windows para poder tener ahí como servidor de Antivirus para que en las maquinas puedan ejecutar el agente del antivirus y las políticas sean administradas desde el servidor el Antivirus a utilizar es NOD32 Enterprise. Otro ingeniero será encargado de dar soporte y dar capacitación y entrenamiento a usuarios. Para evitar malos procedimientos por medio de los usuarios se solicita que se les capacite y enseñe de las correctas medidas y procedimientos para uso de equipo y sistemas y penalidades que pueden conllevar el no seguir los procedimientos.

para su almacenamiento de datos esto permitirá que esta empresa bajo contrato de confidencialidad y aseguramiento de datos permita el almacén y acceso a él en caso de desastre. RED LOCAL Se necesitara los siguientes elementos para la elaboración de la red local:  Cable Ethernet categoría 6 (por ser cable que solo puede ser testeado desde fabrica y no es elaborado manualmente. Los dos ingenieros expertos en redes deberán administrar el servidor de dominio.  En todos los lugares se manejara una topología tipo Estrella sobre TCP/IP  5 Switchs base 1Gbps uno por local. . proxy y tcp wrapper con el fin de tener el control de acceso y flujo de información a través de la red. Los 3 técnicos especializados en servicios técnicos (reparación y evaluación técnica de equipos) serán los encargados de brindar el soporte inmediato y solventar dudas que tengan los usuarios. Los dos técnicos especialistas en diseño web deberán ser encargados de la elaboración y mantenimiento a la página web como a las demás aplicaciones de la intranet siendo ellos quienes las elaboren para no permitir el acceso a terceros.  1 Rack para servidores con un switch para colocar un único teclado. permite conexiones de 1Gps). con terminaciones RJ45 de un metro de largo para las maquinas y no excedente de 90mts para interconexión de los locales con el Switch principal. switch y cableado que salga del area de servidores.  4 Racks aéreos con llave para colocar cableado backbone y switch en los locales. Igual manera ellos estarán a cargo de restringir el acceso tanto a nivel físico como lógico de cualquier medio de almacenamiento externo solo podrán habilitarlo por medio de solicitud debidamente autorizada ya que esto es una medida y política de seguridad.  1 Rack vertical para colocación de router. mouse y monitor que permita operar los 3 servidores.  4 router Wifi para conexión Wifi para laptops tengan conexión en cualquier local.  Nodos y cajillas para la elaboración de puntos de red 2 por estación de trabajo.

. estas servirán de guía para la implementación de medidas de seguridad que contribuirán a mantener la integridad. material de capacitación. detallando el motivo que justifica el no-cumplimiento de la política. No se permite el outsourcing para desarrollo de aplicaciones como administración de servidores y servicios. asignar niveles de protección proporcionales al valor e importancia de los activos. La energía del lugar deberá estar protegido por un ups en especial los equipos los demás equipos de oficina pueden utilizar corriente regulada que fue certificada por expertos externos. disposiciones relativas a sistemas de emergencia para la reposición de información perdida (fallback). El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. y también pueden ser necesarios para otros propósitos de la empresa. junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a una pérdida o daño). Se prohíbe el consumo de alimentos cerca de los equipos. Se desea adoptar las normas ISO 17799 que es un estándar internacional de seguridad de la información no se pretende certificarse pero si adoptar en un 90% las medidas de seguridad que ahí describen. Ejemplos de activos asociados a sistemas de información son los siguientes: Recursos de información: bases de datos y archivos. Se cuenta con un ingeniero dedicado a descubrir nuevas amenazas y riesgos para los equipos y sistemas. confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicación. instalaciones de cómputo y procedimientos manuales. Utilizar otros puertos de conexión para las BD y no los default de MySQL es decir alguno distinto del 3306. información archivada. la organización puede entonces. planes de continuidad. Los inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos. La estructura organizacional de seguridad está representada como lo refleja el organigrama. redes. El único trabajo por terceros es el manejo de correo electrónico el cual es administrado a las afueras de la empresa sin tener acceso a nuestros servidores a excepción por medio de una dirección web. seguros o finanzas (administración de recursos). Toda excepción a las políticas debe ser documentada y aprobada por el área de seguridad informática y el área de auditoría interna que es evaluada por los ingenieros encargados de sus respectivas aéreas. Sobre la base de esta información. como los relacionados con sanidad y seguridad. únicamente cuando se ha demostrado claramente que el cumplimiento de dichas políticas tendría un impacto significativo e inaceptable para el negocio. manuales de usuario. El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos.POLITICAS DE SEGURIDAD Las políticas de seguridad tienen el propósito de proteger la información de la empresa. documentación de sistemas. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados. No se permite el acceso remoto a ningún equipo externamente dentro y fuera de la institución Se deben utilizar con password restrinctivos los usuarios default como lo es el root tanto en MySQL como en Linux. procedimientos operativos o de soporte. La empresa puede obviar algunas de las políticas de seguridad definidas en este documento. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Una organización debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos.

La información será clasificada de la siguiente manera: Restringida: Información con mayor grado de sensibilidad. aire acondicionado. El cumplimiento satisfactorio del proceso de evaluación del riesgo se caracteriza por: . en concordancia con el clima cambiante de las operaciones en el negocio de la organización. computadoras portátiles. Adicionalmente. unidades de aire acondicionado). el acceso a esta información debe de ser autorizado caso por caso. recuperación ante desastres) . Uso Interno: Datos generados para facilitar las operaciones diarias. reporte adecuado de pérdidas.Selección de controles y objetivos de control para mitigar los riesgos. revisada por las partes involucradas. comunicada por escrito y aceptada por las áreas responsables de la administración de la seguridad. otros equipos técnicos (suministro de electricidad.Detección temprana de los riesgos. máquinas de fax.Recursos de software: software de aplicaciones. Es importante identificar: .Identificación y clasificación correcta de los activos a ser protegidos. energía eléctrica. monitores. así como una respuesta oportuna y efectiva ante las perdidas ya materializadas. Plan de respaldo/recuperación.Áreas vulnerables .Aplicación consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos. existiendo dos posibilidades: cumplimiento con los controles y/o medidas de protección o la aceptación del riesgo. La gerencia responsable puede obviar algún control o requerimiento de protección y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas. Servicios: servicios informáticos y de comunicaciones. módems). indicando las razones para su inclusión o exclusión (Seguridad de datos. La aceptación de riesgo por falta de cumplimiento de los controles y/o medidas de protección debe ser documentada.Pérdida potencial . . medios magnéticos (cintas y discos). como por ejemplo calefacción. mobiliario. y que éstas tendrían un impacto significativo y no aceptable para el negocio. El análisis de riesgo debe tener un propósito claramente definido y delimitado. utilitarios generales. Procedimientos estándar de operación). software de sistemas. Como parte del análisis se debe identificar las aplicaciones de alta criticidad como críticas para la recuperación ante desastres. herramientas de desarrollo y utilitarios. equipos de comunicaciones (routers. contestadores automáticos). lugares de emplazamiento. PBXs. un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas. . Activos físicos: equipamiento informático (procesadores. Se restringe por usuario y computadora el accedo a medios físicos y/o almacenamiento también se le quitan privilegios de administrador y a la vez privilegios en configuraciones. pero no requiere de medidas elaboradas de seguridad. deben de ser manejados de una manera discreta. Confidencial: Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Los Propietarios de la información y custodios son conjuntamente responsables del desarrollo de análisis de riesgos anual de los sistemas a su cargo. iluminación. General: Información que es generada específicamente para su divulgación a la población general de usuarios. Estructurar el acceso y clasificación de la información por usuarios y grupos de usuarios restringiendo el acceso por departamentos y demás dichos usuarios deberán renovar sus contraseñas cada 3 meses con contraseñas alfanuméricas de al menos 8 caracteres con un digito y un símbolo como mínimo.

Los estándares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados. Esta política se aplica a todos los empleados.1 CAPACITACION/ENTRENAMIENTO DE USUARIOS Una vez implementado el plan de seguridad los ingenieros encargados de cada área deberán elaborar un manual de usuario con los procesos correctos que deberán seguir los usuarios como también la descripción de las políticas describiendo el porqué no se tiene acceso para que los usuarios no ignoren conocimiento y se eviten reclamos.Procesos de monitoreo de seguridad de la información utilizados .Concientización de las técnicas utilizadas por "hackers" ..Persona de contacto para información adicional CONCLUSIONES Y RECOMENDACIONES Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Los empleados son los activos más valiosos de la organización. los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la información.Guías de acceso a Internet . Lo más efectivo es . Deben desarrollarse estándares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Medidas de precaución deben de ser tomadas cuando se contrata. El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo. personal contratado y proveedores. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. puedan ser fácilmente identificados mientras formen parte de la organización y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido.Requerimientos de identificador de usuario y contraseña . a los siguientes aspectos: . mensajes de log-in.Seguridad de PC. El programa de concientización en seguridad debe de contener continuas capacitaciones y charlas. etc. pero no estar limitado. llaveros. un gran número de problemas de seguridad de cómputo pueden ser causados por descuido o desinformación.Programas de cumplimiento .Guías de uso del correo electrónico . crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Es crucial que estos cambios sean atendidos a tiempo. Sin embargo. Es responsabilidad del área de IT promover constantemente la capacitación e importancia de seguridad usuarios de los sistemas de información. Dichas aplicaciones deberán ser desarrolladas en Open-Source ya que este permite ser implementado en cualquier plataforma en especial Linux y puedan colocarse las paginas en un Apache de misma forma por licencia utilizaremos como motor de Base de Datos MySQL 5. APLICACIONES PROPIAS Toda aplicación para el uso de la empresa deberá ser de tipo Web y deberá proveer el acceso mediante usuario y password y el mismo tener roles de acceso al sistema para prevenir que un usuario no deba acceder a cualquier modulo que no le corresponde. Sin embargo. incluyendo protección de virus . La determinación de que las aplicaciones sean web que la intranet pueda ser accesada desde afuera únicamente a los sistemas por medio de usuario y password ya que el servidor de aplicaciones contara con IP pública. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal de la organización a crear un ambiente de trabajo seguro.Responsabilidades de la organización de seguridad de información . La capacitación en seguridad debe de incluir. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cómputo a los responsables de la administración de la seguridad de la información. adicionalmente se puede emplear diversos métodos como afiches. transfiere y despide a los empleados.

Debe ser consistente con las demás políticas organizacionales. La inversión adicional para proteger la información no siempre garantiza el éxito.Debe definir el papel y responsabilidades de las personas. . debe consultar estas reglas en orden secuencial: .No obtener este compromiso significa que el cumplimiento de la política es opcional. . La relación de los documentos es lo que dificulta su desarrollo.Debe hacerse cumplir se exige y mide el cumplimiento. recuerde cada empresa es diferente pero ciertos planes de seguridad son adaptables en su mayoría. .Debe estar escrita en lenguaje simple. muchas organizaciones no tienen requerimientos de seguridad de la información como tal. estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad. Las empresas. esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias. Ciertamente. Las organizaciones necesitan por lo general planes de seguridad que requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Sin embargo. . sino que tienen necesidades empresariales que deben desarrollar e implementar. Para evaluar las necesidades de inversión. . Las empresas podrían o no necesitar más recursos. estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. situación que hará que fracase las políticas de protección de la información. . Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales. pero jurídicamente viable y entendible para casi cualquier persona. departamentos y organizaciones para los que aplica la política. Entonces surge la necesidad de proteger la información la necesidad no es académica.No debe violar las políticas locales ni de la región como tal.) Características principales de una Política de Seguridad de la Información: . así como de los organismos que reglamentan la industria. .Debe basarse en las razones que tiene la empresa para proteger la información.Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida.utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa. aunque es muy poderosa cuando se pone en práctica. La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas. incluso se puede incurrir en sanciones.Debe tener en cuenta los aportes hechos por las personas afectadas por la política. etc.Saber el valor de la información que se tiene y la dificultad de volverla a crear si se daña o pierde. . . como los estándares y procedimientos para la seguridad de la información. los requerimientos jurídicos y los cambios tecnológicos.Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella.Debe ser aprobada y firmada por el gerente general de la organización. . jurídicas y fiduciarias. modificación no autorizada. especialmente las compañías cotizadas en bolsa y las organizaciones gubernamentales. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. . que se adapten a los cambios en las operaciones de las empresas.Saber qué información tiene y donde se encuentra. ni es creada por los de IT que buscan justificar su existencia en la organización. .Debe definir las consecuencias en caso de incumplimiento de la política .Debe estar respaldada por documentos físicos. . las necesidades.