Informe

PLANES Y POLÍTICAS DE SEGURIDAD.

Asignatura: Seguridad y Auditoría Informática

Sección: D-T60-N7-P9-C1

Nombre del docente: Rodrigo Orellana

Nombre de los integrantes del grupo: Sebastián Morales ; Richard Manques ; José González ;
Benjamín Bustos ; Nicolas Casanova ; Sebastián Soto ; Rodrigo Vizcarra

Fecha de entrega: 28-05-2022

Contenido

Introducción.....................................................................................................................................................................
Objetivo...........................................................................................................................................................................
Objetivo general..........................................................................................................................................................
Objetivos específicos...................................................................................................................................................
Desarrollo........................................................................................................................................................................
La definición y construcción de las siguientes Políticas de Seguridad..........................................................................
Perfiles, Responsables y Sanciones..............................................................................................................................
Definir Planes de Contingencia y Continuidad Operativa...........................................................................................
Crear Material de Concientización para los Usuarios Finales.....................................................................................
Planificación de procedimiento de actualización.......................................................................................................
Procedimientos de publicación y divulgación de las Políticas a la Organización........................................................
Conclusiones..................................................................................................................................................................
Referencias bibliográficas..............................................................................................................................................

2
Introducción

Las facilidades para conectarse a las redes hay aumentado; además, las aplicaciones y el software son
cada vez más amigables y accesibles, de esto modo todos tienden a conectarse en una red para
compartir los recursos, pero esa facilidad de conexión también representa un aumento en los riesgos de
que la información y los recursos de una organización puedan ser vulnerados.
Es por eso por lo que se deben implementar medidas de seguridad para proteger la información y los
activos de la Empresa. Seguridad significa disponer de medios que permitan reducir lo más que se pueda,
la vulnerabilidad de la información y de los recursos; aunque no se puede alcanzar el 100% de seguridad,
el trabajo del depto. de Informática es velar por la seguridad.
Para esto se definirá en la empresa las políticas para cada área de trabajo que se mostrará más adelante
y con ello también se definirá los perfiles, las responsabilidades, sanciones, planes de contingencia y
muchas otras cosas. Para así mostrar una buena organización que tenga una buena defensa para los
posibles ataques de otras empresas o compañías.

Objetivo

3
Objetivo general

- Establecer y dar a conocer las políticas de seguridad de la empresa.

Objetivos específicos

- Establecer cuáles son las políticas de seguridad a seguir por departamento.

- Elaborar plan de contingencia y asegurar la continuidad operativa de la empresa.
- Elaborar plan de divulgación de las políticas.

Desarrollo

4
La definición y construcción de las siguientes Políticas de Seguridad

Área de desarrollo:

- Para implantar un software mediará una autorización por escrito del responsable para tal fin.
- Antes de implementar el software en producción se verificará que se haya realizado la
divulgación y entrega de la documentación, la capacitación al personal involucrado.
- El área de desarrollos de sistemas no hará cambios al software de producción sin las debidas
autorizaciones por escrito y sin cumplir con los procedimientos establecidos. A su vez, se contará
con un procedimiento de control de cambios que garantice que sólo se realicen las
modificaciones autorizadas.
- Cada cambio o implementación se debe dejar registro por escrito de lo que se realizó.
- Cada solicitud que se le realice al área de desarrollo se deberá realizar por correo electrónico.

Área de sistema y soporte:

- Periódicamente, por espacio de 4 meses, se realizará una limpieza física a toda la infraestructura
de equipo de cómputo por parte del personal de sistemas.
- Los equipos de toda la agencia deberán de estar conectados a un regulador de corriente, como
medida de prevención de variaciones de electricidad.
- Sólo se atenderá solicitudes que se refieran al hardware y software de la empresa en la cual
deberán plantearse al departamento de ti.
- Antes d intervenir cualquier equipo se deberá realizar una copia de seguridad de la información.
- Al retirar algún equipo de un departamento este se deberá notificar al jefe o encargado y firmar
un acta de retiro.

Área de gestión:

5
 - Las contraseñas que se utilizan no tienen que resultar obvias, fáciles de adivinar o predecibles
para un atacante. Estas para que cumplan su función tienen que optar con una longitud mínima
de 8 caracteres, donde se incluye letras mayúsculas y minúsculas, además de algún número o
símbolo. Cabe señalar que el usuario es únicamente responsable de mantener de una forma
secreta su clave.
- Periódicamente se debe hacer un respaldo de toda la información útil que se encuentra
almacenada dentro de un disco duro, lo cual será realizado por cada empleado responsable del
equipo designado a cada departamento correspondiente.
- Tras la falla o mal uso de componentes tanto como hardware o de software, el trabajador
deberá acudir al departamento de TI para la revisión del equipo.
- Cualquier software que se necesite instalar deberá realizarse por algún miembro del depto. De
TI.
- El acceso a las oficinas del depto. de gestión está restringido a solo personal autorizado.

Usuarios finales:

- Cada trabajador de la empresa que utilice computadores de escritorio es responsable de no

dejar sus sesiones abiertas en su estación de trabajo cuando se ausente de este.
- Al ingreso o salida del turno laboral deberá dejar registro de esto en las máquinas de fichar
biométricas para dejar constancia de su asistencia.
- Cada empleado tiene asignado un equipo de cómputo al cual debe ingresar con un usuario y
contraseña.
- Se prohíbe el ingreso a paginas no autorizadas.
- Hacer uso de los materiales de la empresa solo para asuntos laborales.

6
Perfiles, Responsables y Sanciones

Los perfiles y las políticas están compuestos de una o varias configuraciones. Al añadir configuraciones,
se define el ámbito del perfil o la política, es decir, las áreas que se administran en los dispositivos.

Programadores:
- Diseñar
- Desarrollar
- Probar
- Implementar
- Mantener
- Mejorar software

Ingeniero de sistema:
- Dirige proyectos
- Dirige mantenimientos a software
- Está al pendiente de las etapas de un proyecto
- Controla equipos de trabajos
- Analiza nuevas técnicas y herramientas.
- Realiza pruebas de verificación, integración y rendimiento
- Integra sistemas existentes
- Brinda asesoría
- Realiza consultora individual o en colaboración
- Participa en la formulación de las políticas de seguridad
- Verifica el que software o proyecto cumpla con las especificaciones

7
Networking:
- Diseño.
- Planificación.
- Implementación.
- Mantenimiento.
- Expansión de la red

Operador (mesa de ayuda):

- Proporcionar soporte de primer nivel para personal interno y remoto.
- Respuesta y atención de consultas técnicas.
- Servicio personalizado de forma proactiva a los clientes.
- Proporcionar recomendaciones

Ingeniero de proyecto:
- Administración y dirección de proyectos tecnológicos.
- Coordinación de equipos de trabajo, compuestos por profesionales tanto
- Externos como internos, de distintas áreas de competencia.
- Llevar relación de día a día con contrapartes representantes de los clientes en
- Los proyectos, (tanto en instituciones públicas / de gobierno, como privados).
- Llevar control de plan de trabajo, carta Gantt y control financiero de proyectos, de
- Acuerdo con las directrices internas, y en paralelo siguiendo exigencias de
- Control de mandantes externos de los proyectos, (públicos y privados).
- Preparación de resúmenes, reportes, informes y presentaciones de avance, tanto
- Para uso interno como externo.

8
Analista:
- Análisis general.
- Análisis detallado.
- Diagrama conceptual.
- Diseño y generación de la base de datos y normalización de esta.
- Documento de flujo de operación y especificaciones funcionales.

Administrador de base de datos (DBA):

- Gestión de la base de datos
- Modelado de datos y diseño de la base de datos
- Auditorias
- Integración con aplicaciones
- Resguardo y recuperación de datos.
- Integración con aplicaciones
- Planificación de capacidad
- Administración de cambios
- Desarrollo de aplicaciones

Operador de base de datos:

- Procesar la información.
- Manejo de la información
- Control de la información

9
Administrador de redes locales (ARL):
- Configuración
- Análisis.
- Planificación.
- Coordinación entre la red.
- hardware y el software de comunicación de datos

Usuarios finales:
- Conocer su puesto y tareas asignadas
- Tener un plan de trabajo
- Utilizar los recursos disponibles y asumir responsabilidades
- Participación

Los responsables deberán crear la documentación necesaria de las políticas impuestas en la empresa,
para confirmar que estas se estén llevando a cabo de forma correcta. En caso del no cumplimiento, se
aplicarán sanciones a los responsables designados al área.

Según el estudio (Manual de políticas de seguridad de la información, 2019) las sanciones más relevantes
percuten:
- En caso de incumplimiento de alguna política impuesta se sancionará al responsable mediante la
gravedad de la acción.
- Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de
orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.
- Es necesario que las violaciones a las Políticas de Seguridad de la Información sean clasificadas,
con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos
y mitigar posibles afectaciones contra la seguridad de la información.

10
Definir Planes de Contingencia y Continuidad Operativa

- Plan preventivo de los equipos y evitar posibles fallas por falta de mantenimiento, suciedad en
los equipos o posibles fallas en el hardware.
- Revisar periódicamente los sistemas de información, los equipos, servidores, respaldos de
información.
- Comprobar si el nivel de desempeño actual e ir mejorando según las necesidades o expectativas
se desea cumplir.
- Que todas las áreas de la empresa o institución estén listas o preparadas en caso de una
emergencia, tener preparado un plan de contingencia.
- Personal externo y preparado para otorgar soporte técnico y dar las soluciones correspondientes
a las fallas que se presentan.
- Informar a los clientes sobre las fallas que están ocurriendo en el momento, con tal de evitar y
reducir los reclamos.

Plan de contingencia:

- Tener equipos de respaldo en caso de que los equipos empiecen con fallas y evitar posibles
retrasos en el ámbito laboral.
- Tener un plan de contingencia en caso de falla de la energía eléctrica, evitando esto se puede
usar UPS para continuar con el trabajo que se estaba realizando o realizar respaldo de los
trabajos y apagar equipos.
- Tener contacto con los proveedores y solucionar lo antes posible o dentro del plazo establecido
las posibles fallas que se pudieran tener.
- Mantener las áreas más importantes en la empresa con conexión y comunicadas entre sí, en
caso de que haya problemas de electricidad, ya que esas áreas tienen tareas con mayor
responsabilidad.

11
Crear Material de Concientización para los Usuarios Finales

- Realizar cursos relacionados con la ciberseguridad para así educar al personal y no dejar esa
puerta abierta a posibles ataques.
- Realizar videos informativos para educar al personal.
- Crear pequeños espacios entre el trabajo para conversar sobre ciberseguridad.
- Enviar emails con información de ciberseguridad para educar a los trabajadores.

12
Planificación de procedimiento de actualización.

- Actualizar licencias de los softwares a utilizar e infraestructura tecnológica ya que al ser una
empresa es necesario contar con las licencias al día, por ley.
- El ingreso a ciertas paginas será limitado con la intención de cortar los posibles distractores para
los trabajadores y serán avisados con un mensaje de advertencia al intentar ingresar a estas
páginas.
- La información pasará a ser digital y la integridad de los datos se asegurará con políticas de
responsabilidad para los trabajadores, solo los encargados de TI podrán interactuar
directamente con la información, los usuarios que necesiten solo podrán visualizarla.
- El departamento de TI tendrá una mesa de atención para las solicitudes y procesos que sea
necesario revisar en el sistema.
- Se le dará mayor importancia a el equipo tecnológico creando medidas de higiene, aseo,
integridad de los datos, estado de los equipos, mantenciones y accesos. Además de la
implementación de un reglamento interno de seguridad informática.
- Concientizar e implementar políticas de ciberseguridad y responsables.
- Las nuevas informaciones serán enviadas por correos corporativos para cada usuario, y estos
tendrán la obligación de revisarlo periódicamente.

13
Procedimientos de publicación y divulgación de las Políticas a la Organización.

Para la publicación y divulgación de las políticas de seguridad informática que estarán presente en la
empresa se harán en el Reglamento Interno de la empresa, donde se especificará las políticas de
seguridad informática que los trabajadores deberán regirse.

Para la divulgación dentro de la empresa se puede realizar una reunión a todos los jefes y gerentes de
cada área para informarles, de esta manera ellos tendrán la tarea de comunicárselos a sus trabajadores
de sus áreas, para los nuevos trabajadores además de entregarle el Reglamento Interno de la empresa
con las políticas de seguridad informáticas, como otra opción sería ideal que para los trabajadores que
tengan correo electrónico, enviar un correo electrónico con las políticas y por último que también sería
importante, serviría para la divulgación para los trabajadores nuevos como antiguos y que lo tengan
presente a lo largo del tiempo en que estén prestando servicio a la empresa, realizar capacitaciones una
vez al mes, repasando las políticas de seguridad informática, además de los riesgos si se llega a incumplir
estos protocolos, riesgos que no solo perjudicaran a la empresa, sino a todos los trabajadores.

14
Conclusiones

La información es un recurso de suma importancia para la Empresa u organización y se la debe proteger

a través de la implementación de las medidas de seguridad basadas en hardware, software y recursos
humanos, pero también complementadas con adecuadas políticas de seguridad que sean conocidas por
el personal de la organización en todos sus niveles. El personal de la organización debe identificarse
plenamente con los objetivos de seguridad y protección que busca la Empresa.

En conclusión, en este informe podemos notar que es lo que podemos hacer y lo que podemos prevenir
de los futuros ataques teniendo en cuenta todo lo que se podría hacer como seguir los consejos y las
planificaciones empleadas en este informe

También tener en cuenta las áreas que estén bien definidas teniendo sus políticas de seguridad estén
establecidas para así estar identificar qué área es responsable de lo que debe hacer y a quien dirigirse.
De acuerdo con todo lo referido podemos darnos cuenta de cómo podemos armar una defensa si está
bien organizada.

15
Referencias bibliográficas

 Obligaciones de seguridad en el tratamiento de datos personales en Chile: escenario actual y

desafíos regulatorios pendientes. (2020). Revista Chilena de Derecho y Tecnología.

https://rchdt.uchile.cl/index.php/RCHDT/article/view/56660/61952

 Manual de políticas de seguridad de la información. (2019, julio). Ingeniería, Servicios y

Comunicaciones S.A. https://www.isc.cl/wp-content/uploads/2020/04/MANUAL-DE-POLÍTICAS-DE-

SEGURIDAD-DE-LA-INFORMACIÓN-DE-ISC.pdf

 Inostroza, J. C. (2017, junio). MANUAL DE SANCIONES INCUMPLIMIENTO DE POLÍTICA SEGURIDAD DE

LA INFORMACIÓN. CONSULTORÍA REINGENIERÍA, MODERNIZACIÓN Y ASESORÍA EN SEGURIDAD

INFORMÁTICA DE LA SCGG2017. http://www.scgg.gob.hn/sites/default/files/2020-02/Manual%20de

%20Sanciones%20Final.pdf

16