Plan-de-Seguridad-Informatica

Vista previa del material en texto

Instituto Politécnico Nacional
Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias
Sociales y Administrativas.
Plan Estratégico de Seguridad Informática
Nombre: López Hidalgo Alejandro Asael 
Boleta: 2011600613
Profesor: Álvarez Solís Francisco Javier
Materia: Seguridad Informática
Secuencia: 4CV70
Introducción
La empresa
Nombre de la empresa: ProEventos
Giro
La empresa se llama ProEventos, y se dedica principalmente al servicio y
organización de eventos sociales, fiestas privadas o públicas, en lo que se refiere
también a la iluminación, audio, video e incluso mobiliario pertinente para todos
estos fines.
Nuestra empresa ofrece servicios de calidad para la creación y organización de
eventos especiales. Contamos con un extenso catálogo de servicios y elementos
que harán posible la realización de eventos sociales profesionales.
De esta manera la empresa ProEventos busca ser una empresa principalmente
rentable y comprometida para lograr la completa satisfacción de los clientes, no
solo cubriendo las necesidades básicas requeridas por el cliente, si no que el
cliente tenga una experiencia inolvidable haciendo de sus eventos algo
memorable.
ProEventos es una empresa comprometida, no solo con sus clientes, si no consigo
misma ya que siempre va día tras día innovando y actualizando cada uno de sus
procesos y servicios que ofrece, de esta manera la empresa puede estar segura
que siempre ofrecerá un servicio de calidad y a la vanguardia. Pero teniendo en
mente siempre acoplarse a las necesidades y expectativas de los clientes que
contraten los servicios 
Misión
Brindar confianza, bienestar y honradez a la sociedad y a nuestros clientes
mediante un servicio innovador, que se ajuste a los cambios y necesidades que
estas demanden, en un ambiente de respeto y superación continua.
Visión
Colocarnos como una empresa líder en la producción y coordinación de eventos.
Todo esto basándonos en las necesidades y demandas de nuestros clientes
enfocándonos siempre en las nuevas tendencias en tecnología y lograr la
preferencia de nuestros clientes
Dirección 
General
Ejecutivo de 
ventas
Coordinador 
de eventos
Técnico de
 Iluminación
Técnico de 
Audio 
y video
Diseño y 
Decoración
Maestro de 
seremonias
Supervisor de 
almacen
Depto de 
Informatica R.H.
Gerente 
Propósitos
Nuestro principal propósito dentro del mercado es que nuestra empresa se a
reconocida como una de las más capaces y eficientes en el ramo de la
organización de eventos.
Poner al alcance de nuestros clientes la posibilidad de concretar ese evento ideal
que tanto ha planeado, queremos cubrir este objetivo ya que es la llave para
acceder a otros mercados y clientes.
Colocar nuestros servicios a todos los mercados y bolsillos para que tengan la
posibilidad de conocer y vivir la experiencia de tener un evento de las mejores
condiciones.
Estructura de la empresa (organigrama)
Bienes y servicios informáticos
La empresa ProEventos cuenta con 5 computadoras conectadas en red, sus
especificaciones son las siguientes:
5 ordenadores en torre:
Especificaciones:
 Procesador: Intel Pentium dual core a 2.5 GHz
 Memoria: RAM ddr3 de 4gb expandible hasta 8gb
 Monitor: 20" wide led hp tecnología ips con vga y dvi en video digital
 Disco duro: de 500gb sata 7200 rpm
 Lector de DVD/CD: quemador de DVD y cd doble capa sata 24x
 Gabinete: atx
 Fuente: de 450 watts en potencia 20-24 pines
 Tarjeta de video: amd de 256 Mb
 kit de teclado y mouse óptico salida de video vga
 6 puertos USB 2.0 internet alámbrico rj45
3 multifuncionales: 
Especificaciones 
 Funciones: impresión, copia, escaneado
 Velocidad de impresión : comparable con láser iso: hasta 7 ppm,
 Borrador: hasta 20 ppm.
 Velocidad de impresión a color: comparable con laser iso: hasta 4 ppm
 Borrador: hasta 16 ppm
 Primera página impresa (lista): negro: velocidad máxima de 17 segundos,
color: 24 segundos
 Ciclo de trabajo (mensual, a4): hasta 1000 paginas
 Numero de cartuchos de impresión: 2 (1 negro, 1 tricolor [cian, magenta,
amarillo])
 Tipos de soportes: papel (folletos, inyección de tinta, normal), papel
fotográfico, sobres, etiquetas, tarjetas (felicitación)
 Tipo de escáner: cama plana
 Formato del archivo de digitalización: jpeg, tiff, pdf, bmp, png
 Resolución de escaneo, óptica: hasta 1200 PPP
 Profundidad en bits: 24 bits
 Resolución de copia (texto y gráficos en color): hasta 600 x 300 PPP
 Copias, máximo: hasta 9 copias
Redes 
 Los ordenadores cuentan con: Tarjeta red: inalámbrica tp-link tl-wn781nd
150mbps wifi
 Y se encuentran conectadas con un: router Tp-link - Router Rompe Muros
Alta Potencia Tl-wr841hp
 Cuenta con 5 Mbps de velocidad. Contratada con Telmex
1.Mecanismos de seguridad existentes 
1.1. Políticas y procedimientos
En la empresa ProEventos existen las siguientes políticas y procedimientos en
seguridad informática: 
Políticas existentes
Que Para Que
Política de backup Esta política pide llevar a cabo copias
de seguridad a los empleados en
caso de pérdida de información
Política de daño de equipo El equipo de cómputo que sufra
alguna descompostura por maltrato o
descuido por parte del usuario, deberá
cubrir la reparación total o parcial. 
Política de uso de internet El acceso a internet es para uso
exclusivo de las actividades
relacionadas con el puesto que se
desempeña 
Procedimientos existentes
Que Para que
Realización de backup Este procedimiento tiene ciertas
instrucciones sobre backup
Procedimiento en casos de daño físico Son una serie de procedimientos donde
se establece que hacer en caso de
daños físicos, ya sea por causa
humana o por otros accidentes.
Solamente indica que se debe reportar.
1.2. Tecnología de seguridad existente
Que Para que
Sistema de alarma Lloyds Sirve para detectar intrusos dentro de la
empresa en lugares u horas
inadecuados
Panda security Es un antivirus que detecta virus y
malware malicioso 
Firewall de Windows Está diseñado para bloquear el acceso
no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Router con clave de acceso wep es el sistema de cifrado incluido en el
estándar IEEE 802.11 como protocolo
para redes Wireless que permite cifrar
la información que se transmite
 extintor FyreChem a base de Polvo
Químico Seco
Sirve para poder apagar fuegos o
incendios que puedan ocurrir en la
empresa.
Mini cámara a color para circuito
cerrado, con tecnología CCD 
Diseñadas para vigilancia de espacios
físicos solo hay una cámara en la
entrada de la empresa
IDOne Professional SmartCard Reforzar la seguridad usando
smartcards o token USB para acceder a
los ordenadores
No-breaks Ebro 400 V.a. 6 Contactos 
15 Mint. Respaldo Op4
Son dispositivos que cuentan con una 
batería propia y que puede 
proporcionar energía eléctrica tras 
una falla en el suministro eléctrico. 
Otra de sus funciones es la de mejorar
la calidad de la energía que llega a las
cargas, filtrando subidas y bajadas de 
tensión 
2.Mecanismos de seguridad a eliminar
2.1. Políticas y procedimientos
No hay políticas o procedimientos a eliminar, ya que la empresa cuenta con pocas
políticas y procedimientos y en todo caso lo más recomendable es aumentar tanto
las políticas y los procedimientos y así incrementar la seguridad informática
existente, por lo tanto no se les debe eliminar si no aumentar.
2.2. Tecnologías de seguridad
Que Para que
Panda security Es un antivirus que detecta virus y
malware malicioso. 
Es bueno pero se puede mejorar si se
elimina y se instala otro antivirus para
cada una de las computadoras en la
empresa. Ya que el nuevo antivirus que
se desea instalar ya cuenta con firewall
incluido.
3.Mecanismos de seguridad a adecuar 
3.1. Políticas y procedimientos
Procedimientos
como esta como quedaría
procedimiento de backup
el backupno se encuentra bien
especificado por lo que el
procedimiento puede resultar erróneo
1.- determinar archivos a respaldar
2.-seleccionar el tipo de medio de
respaldo
 Las memorias flash, también 
conocidas como memorias 
USB. Son útiles para respaldar 
tus archivos más críticos y 
transferirlos de computadora a 
computadora.
 Los discos CD-ROM y DVD-
ROM grabables. 
 Los discos duros externos
 Los sistemas de respaldo en 
línea almacenan la información 
en un servidor remoto. 
3.-Planear cada cuanto tiempo se debe
realizar los respaldos, pueden ser cada
semana o realizar de manera
automática cada cierto tiempo
4.- realizar el respaldo en la fecha
programada
Procedimiento en casos de daño
físico
Este procedimiento solo dice que ante
cualquier daño físico, este se debe
reportar, nada más.
1.- reporte de fallas en bienes
informáticos
 Reportar a través de un oficio al
personal adecuado y debe contar con
el nombre de usuario, departamento,
fecha y hora de reporte, descripción de
falla
2.- atención a la falla
 El técnico recibe el reporte y acude al
área solicitante y revisa el bien
informático
3.- reparación del bien físico
Se repara el bien informático anotando
las actividades realizadas y si la falla
debe ser atendida por personal externo,
el depto. Solicitará el servicio. 
3.2. Tecnologías de seguridad
Como esta Como quedaría
Firewall de Windows
Está diseñado para bloquear el acceso
no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Firewall de kaspersky internet security 
Este firewall viene por defecto en el
sistema operativo. Y si bien no se
eliminara como tal, si se dejara de usar
ya que el antivirus que se piensa
instalar ya cuenta con un firewall más
avanzado y seguro. 
Router con clave de acceso wep Hoy en día la encriptación wep ya no es
segura y es por ello que se recomienda
cambiar la configuración a la
encriptación wap que es más segura
Mini cámara a color para circuito
cerrado, con tecnología CCD 
Diseñadas para vigilancia de espacios
físicos solo existe una cámara en la
entrada, y se recomienda tener una
cámara por depto. Sobre todo en el
área de informática.
4.Mecanismos de seguridad nuevos 
4.1. Políticas y procedimientos 
Políticas
Que Para que
Acuerdos de uso y confidencialidad 
Todos los usuarios deberán conducirse 
conforme a los principios de 
confidencialidad y uso adecuado de los
recursos informáticos y de información 
Sirve para asegurar que el equipo 
informático se use de manera 
adecuada y mejorar la productividad
El usuario deberá reportar de forma 
inmediata cuando detecte que existan 
riesgos para equipos de cómputo o 
comunicaciones, como pueden ser 
fugas de agua, conatos de incendio u 
otros.
Sirve para proteger los equipos 
informáticos
Los usuarios no deben mover o 
reubicar los equipos de cómputo, 
instalar o desinstalar dispositivos, sin 
permiso
debiéndose solicitar a la misma en caso
de requerir este servicio
Sirve para protección de equipos de
cómputo y probable daño a hardware y
software del mismo
Controles contra código malicioso 
evitando cualquier software que no se 
haya proporcionado por la empresa
Para prevenir infecciones por virus 
informáticos
Controles de acceso lógico 
Todos los usuarios deberán 
Sirve para que no se introduzcan 
personas no autorizadas
autenticarse por los mecanismos de 
control de acceso provistos por la 
Dirección antes de poder usar la 
infraestructura tecnológica 
No está permitido llevar computadoras
personales ni otros dispositivos de
almacenamiento, solo con permiso
especial
Para que no haya robo de información
Los empleados deben ocupar de
manera adecuada y solo para fines
laborales la red de la empresa
Evitar extravió de información o
divulgación de la misma
Las cuentas de usuario se deberán
renovar cada 30 días
Esto es para asegurar la
confidencialidad en los sistemas de la
empresa
Cuando el software del sistema lo
permita, debe limitarse a 3 el número
de consecutivos de intentos
infructuosos de introducir la contraseña,
luego de lo cual la cuenta involucrada
queda suspendida y se alerta al
Administrador del sistema
Para prevenir ataques externos o
incluso internos
Los archivos de bitácora (logs) y los
registros de auditoría (audit trails) que
graban los eventos relevantes sobre la
seguridad de los sistemas informáticos
y las comunicaciones, deben revisarse
periódicamente y guardarse durante un
tiempo prudencial de por lo menos tres
meses
Esto es para poder asegurar que no
hay ningún tipo de anomalías dentro de
la empresa y también para detectar
posibles vulnerabilidades
Procedimientos
Que Para que
Asignación de cuentas de usuario y
contraseña
Llevar a cabo un procedimiento
especificando como y a que personal
se le asignara una cuenta de usuario y
contraseña
Autorización y control en la entrada y
salida de tecnologías de información
Esto para tener una organización y
control de los elementos informáticos
que se estén prestando al personal que
así lo requiera
Gestión de claves de acceso Esto para asegurar prevenir posibles
ataques y extravió o robo de
información 
Plan de contingencia contra perdidas
de información
Un plan de acción que se lleve a cabo
cuando se pierda información
importante para la empresa.
4.2. Tecnología de seguridad
Que Para que
nexpose NeXpose es una herramientas
diseñada por la empresa Rapid7 para
el análisis de vulnerabilidades de redes,
identifica y analiza los datos de cada
exploración las vulnerabilidades
encontradas en Sistemas Operativos,
Bases de Datos, aplicaciones y
archivos, también detecta todo tipo de
programa malicioso.
Kaspersky internet security Es una solución avanzada y completa
para proteger PC. Además de proteger
contra virus y malware, esta suite de
seguridad ofrece un excelente motor
antivirus, un cortafuegos y funciones
anti-phishing.
Firewall de seguridad de red Cisco
RV220W
permite la conectividad de banda 
ancha, tanto cableada como in
Alámbrica, de forma segura y confiable a 
Internet.
PRTG Network Monitor Busca problemas causados por la
sobrecarga y/o fallas en los servidores,
como también problemas de la
infraestructura de red (u otros
dispositivos).
StaffCop Es un software capas de monitorear la
actividad en las computadoras en las
cuales está instalado.
Symantec Encryption Software que Sirve para cifrar
información lo cual protege datos e
información confidencial de la empresa
Recuva Programa de recuperación de datos del
disco duro, unidades USB, tarjetas de
memoria y otros dispositivos.
Prey (software) Es un servicio web para el rastreo de
computadores portátiles y dispositivos
móviles El agente instalado en el
dispositivo es software libre. Ayuda a
la recuperación de los dispositivos
rastreando su ubicación a través de la
recuperación remota de información.
5.Estrategia de seguridad informática 
Para llevar a cabo la realización de un plan de seguridad informática es necesario
primeramente crear una estrategia, la cual guiara los trabajos realizados para así
poder implementar los diferentes correctivos y soluciones frente a los diversos
problemas que existen en torno a la seguridad informática. Para ello es importante
crear un área de seguridad informática, la cual se encargara de aplicar la
estrategia, de organizarla, coordinarla y mantenerla, de tal manera que se logren
los objetivos propuestos por la seguridad informática que son: 
Objetivos primordiales de la seguridad informática
 La infraestructura computacional: La función de la seguridad informática en
esta área es velar que los equipos funcionen adecuadamente y anticiparse
en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el
suministro eléctrico y cualquier otro factor que atente contrala
infraestructura informática.
 Los usuarios: Debe protegerse el sistema en general para que el uso por
parte de ellos no pueda poner en entredicho la seguridad de la información
y tampoco que la información que manejan o almacenan sea vulnerable.
 La información: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios
El área de seguridad informática se encarga de cumplir estos objetivos, la cual se
muestra a continuación junto con sus respectivas funciones.
Enc. 
Seguridad 
Informatica
Implementaci
on Control Desarollo 
Reglamentaci
on
Encargado de seguridad informática:
 Se le conoce comúnmente Oficial de Seguridad informática. Entre sus
responsabilidades se encuentran:
 Administración del presupuesto de seguridad informática
 Administración del personal
 Definición de la estrategia de seguridad informática (hacia dónde hay que ir
y qué hay que hacer) y objetivos
 Administración de proyectos
 Detección de necesidades y vulnerabilidades de seguridad desde el punto
de vista del negocio y su solución
El líder es quien define, de forma general, la forma de resolver y prevenir
problemas de seguridad con el mejor costo beneficio para la empresa.
Reglamentación 
Es el área responsable de la documentación de políticas, procedimientos y
estándares de seguridad y regulaciones que apliquen a la organización. Dado que
debe interactuar de forma directa con otras áreas de seguridad y garantizar
cumplimiento, es conveniente que no quede al mismo nivel que el resto de las
áreas pero todas reportan al CISO. Por esta razón se le suele ver como un área
que asiste al CISO en las labores de cumplimiento.
Implementación
 Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia
definida por el CISO lograr los objetivos del encargado de seguridad informática.
Entre sus responsabilidades se encuentran:
 Implementación, configuración y operación de los controles de seguridad
informática (Firewalls, antimalware, etc.)
 Monitoreo de indicadores de controles de seguridad
 Soporte a usuarios
 Alta, baja y modificación de accesos a sistemas y aplicaciones
Control
Es el área responsable de verificar el correcto funcionamiento de las medidas de
seguridad así como del cumplimiento de las normas y leyes correspondientes.
Entre sus responsabilidades se encuentran:
 Evaluaciones de efectividad de controles
 Evaluaciones de cumplimiento con normas de seguridad
 Investigación de incidentes de seguridad y cómputo forense (2° nivel de
respuesta ante incidentes)
 Atención de auditores y consultores de seguridad
Desarrollo
Es el área responsable del diseño, desarrollo y adecuación de controles de
seguridad informática. Entre sus responsabilidades se encuentran:
 Diseño de controles de seguridad (control de acceso, funciones
criptográficas, filtros, etc.)
Básicamente se trata de un área de desarrollo enfocada a cuestiones de
seguridad
6.Plan de trabajo
 Meses 
 1 2 3 4
 Semanas
 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Responsable Actividad
Duraci
ón 
 
-investigación de la 
empresa- 
Todas las
áreas
Análisis completo de la 
empresa
1 mes
 
E.S.I. e
implementaci
ón
Inventario de Hardware
3
seman
as 
-Eliminación y 
adecuación - 
Implementaci
ón
Eliminación de 
tecnologías
1
seman
a 
Reglamentaci
ón y control
Adecuación de políticas
y procedimientos.
3
seman
as 
Implementaci
ón
Adecuación de 
tecnologías
2
seman
as 
-Implementación- 
Reglamentaci
ón y control
Implementación de 
políticas
1
seman
a 
Reglamentaci Implementación de 2 
ón, control y
desarrollo
procedimientos
seman
a
Implementaci
ón y
desarrollo
Implementación de 
tecnologías
1 mes