Repblica Bolivariana de Venezuela.

Ministerio del Poder Popular Para la Educacin Universitaria Ciencia y Tecnologa.

Instituto Universitario de Tecnologa de Maracaibo.
Extensin Machiques.
Seguridad Informtica

PLAN DE SEGURIDAD NFORMATICA PARA LA OFICINA POSTAL

TELEGRAFICA LIBERTAD EL MUNICIPIO MACHIQUES DE PERIJA

Autores:
Alfonso Arguello
Mara E Vargas
Vctor Pia

Profesor
Msc. Elba Reyes

Machiques, Enero del 2017

 INTRODUCCION

La falta de polticas y procedimientos en seguridad es uno de los problemas

ms graves que confrontan las empresas hoy da en lo que se refiere a la
proteccin de sus activos de informacin frente a peligros externos e internos.
Las polticas de seguridad son esencialmente orientaciones e instrucciones que
indican cmo manejar los asuntos de seguridad y forman la base de un plan
maestro para la implantacin efectiva de medidas de proteccin tales como:
identificacin y control de acceso, respaldo de datos, planes de contingencia y
deteccin de intrusos.

En tal sentido lo que se pretende realizar es un anlisis y evaluacin de las

polticas de seguridad y su desarrollo que sirva como gua base en la
organizacin con el fin de garantizar la confidencialidad, integridad y
disponibilidad de la informacin as como de los elementos tangibles asociados
al proceso de almacenamiento y procesamiento de la informacin.
1. Organizacin para desarrollar un plan de seguridad informtico el cual
debe contemplar los siguientes aspectos:

a. Anlisis y descripcin organizacional.

La comunidad seleccionada para realizar el plan de seguridad informtica

se encuentra ubicada en el Municipio Machiques de Perij del Estado Zulia,
Parroquia Libertad, especficamente en el sector Casco Central I, siendo sus
lmites: al Norte Sector San Benito, al Sur Sector Ranchera y Valle Fri, al
Este Sector Chideli, Casco central II y Bojorero y al Oeste Sector la Isla.

La organizacin seleccionada corresponde especficamente al Instituto

Postal Telegrfico, oficina ubicada en el sector casco central I, en la avenida
artes entre calle el Carmen y calle La Marina, antiguo Banco Maracaibo. En el
Municipio Machiques de Perij, Parroquia Libertad, Estado Zulia.

La razn social de esta organizacin obedece al desarrollo de su actividad

principal como lo es ser el principal centro de documentacin tcnica del
Instituto Postal Telegrfico (IPOSTEL), con funciones que contemplan la
recepcin, transporte y entrega a nivel nacional e internacional de
correspondencia y encomiendas, as como el prstamo de servicios integrales
de telegrafa, comunicacin electrnica, servicios postales y filatlicos. Todo
ello garantizando, por principio, el fin social que le compete de ser una
alternativa de comunicacin accesible y econmica para todos los
venezolanos.

Internacionalmente, IPOSTEL participa activamente como miembro de la

Unin Postal Universal, UPU y es una de las Administraciones del Consejo de
Explotacin Postal, CEP/UPU. Igualmente, ocupa la segunda vicepresidencia
del Comit de Gestin de la Unin Postal de las Amricas, Espaa y Portugal,
UPAEP.

IPOSTEL ofrece la cobertura ms amplia del servicio Postal venezolano;

ms de 300 oficinas en los puntos ms dismiles del pas y 2197 carteros
distribuidos a nivel nacional, garantizando la entrega oportuna hasta en
aquellos puntos donde la competencia no llega. Para comodidad de los
clientes, sus oficinas estn siendo reacondicionadas, estableciendo el servicio
en taquilla de acuerdo a los estndares internacionales. Adicionalmente,
IPOSTEL instala en sus oficinas de atencin al cliente, la red de conexin a
Internet, con todos sus servicios complementarios.

Dentro de la visin de esta organizacin se establece el ser una Institucin

socialista, estratgica y sustentable del Estado Venezolano de proyeccin
nacional e internacional, eficaz en la implementacin de las polticas sectoriales
que contribuyan al fortalecimiento de su rol regulador, eficiente en la prestacin
de los servicios postales y conexos, que garantice la satisfaccin de los
usuarios y usuarias, la integracin regional y el bienestar colectivo, a travs del
desarrollo e innovacin tecnolgica y ecolgicamente responsable, alineado a
los estndares internacionales de la calidad, mediante la actuacin
comprometida y protagnica de su talento humano en articulacin con el poder
popular.

Esta organizacin tiene como visin desarrollarse como una organizacin del
Estado venezolano reguladora del sector postal nacional, proveedora de
servicios postales, logstico y de imprenta, con trasparencia, responsabilidad,
esfuerzo colectivo y vocacin de servicio hacia nuestros usuarios y usuarias,
garantizando la inclusin y el acceso universal a precio justo y razonable,
contribuyendo a la suprema felicidad social.

Su estructura organizativa se encuentra definida segn el siguiente

organigrama:

JEFE DE OFICINA

SUPERVISOR

INTEGRAL
INTEGRAL
AGENTE DE SEGURIDAD
PROMOTORA TELEGRAFICO
REPARTIDOR POSTAL

ASEADOR
b. Anlisis y Gestin de Riesgos en la organizacin

Como parte de un buen sistema de gestin de seguridad de la informacin,

es necesario para la empresa hacer una adecuada gestin de riesgos que le
permita saber cules son las principales vulnerabilidades de sus activos de
informacin y cules son las amenazas que podran explotar las
vulnerabilidades. En la medida que la empresa tenga clara esta identificacin
de riesgos podr establecer las medidas preventivas y correctivas viables que
garanticen mayores niveles de seguridad en su informacin.

Lograr este objetivo se fundamenta en una adecuada gestin de riesgos,

que incluye la identificacin y valoracin de los riesgos y las medidas de
control, preventivas y correctivas, sobre todos los medios a travs de los cuales
fluya la informacin (servidores, equipos de comunicacin, aplicaciones,
computadoras personales, personas, archivos fsicos, etc , los cuales se
denominan activos de informacin.

El estndar ms general y completo para la gestin de la seguridad de la

informacin es la familia ISO 27000, que incluye en sus dominios, entre otros,
la gestin de activos, la seguridad asociada al recurso humano, la gestin de
comunicaciones y operaciones, el control de acceso y la gestin de la
continuidad del negocio, todo enmarcado en un ciclo PHVA (planear-hacer-
verificar-actuar; en ingls se denomina PDCA, plan-do-check-act) que busca la
mejora continua de los procesos.

En la organizacin Oficina Postal Telegrfica (OPT) Libertad objeto de

estudio, existen diferentes elementos determinaste que conllevan a desarrollar
en primera instancia una evaluacin de los diferentes elementos claves y
necesarios para desarrollar un plan de seguridad de la informacin en la OPT
Libertad.

En este particular podemos considerar lo siguiente:

Recursos:

Datos/Informacin
 Los datos son el corazn que permite a una organizacin prestar sus
servicios. Son en cierto sentido un activo abstracto que ser almacenado en
equipos o soportes de informacin (normalmente agrupado en forma de bases
de datos) o ser transferido de un lugar a otro por los medios de transmisin de
datos.

Aplicaciones/Software

Se refiere a tareas que han sido automatizadas para su desempeo

por un equipo informtico. Las aplicaciones gestionan, analizan y transforman
los datos permitiendo la explotacin de la informacin para la prestacin de los
servicio.

Equipos informticos (hardware)

Bienes materiales, fsicos, destinados a soportar directa o indirectamente los

servicios que presta la organizacin, siendo pues depositarios temporales o
permanentes de los datos soporte de ejecucin de las aplicaciones
informticas o responsables del procesado o la transmisin de datos.

Soportes de informacin

Se consideran dispositivos fsicos que permiten almacenar informacin de

forma permanente o, al menos, durante largos periodos de tiempo.

Amenazas:

El siguiente paso consiste en determinar las amenazas que pueden

afectar a cada activo. Las amenazas son cosas que ocurren. Todo lo que
puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un
dao.

Dentro de las amenazas a considerar, dentro de un contexto general existentes

en la OPT Libertad podemos mencionar tres clases: amenazas de tipo natural,
industrial y de tipo humano. observando gran valoracin en amenazas de
origen fsico y daos a nivel de infraestructura y personal.

Criminalidad: son todas las acciones, causado por la intervencin humana,

que violan la ley y que estn penadas por esta. Con criminalidad poltica se
entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil.
Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino
tambin eventos indirectamente causados por la intervencin humana.

Negligencia y decisiones institucionales: son todas las acciones, decisiones

u omisiones por parte de las personas que tienen poder e influencia sobre el
sistema. Al mismo tiempo son las amenazas menos predecibles porque estn
directamente relacionado con el comportamiento humano.

Vulnerabilidades:

La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema

mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a
amenazas, con el resultado de sufrir algn dao. En otras palabras, es la
capacitad y posibilidad de un sistema de responder o reaccionar a una
amenaza o de recuperarse de un dao.

Las vulnerabilidades estn en directa interrelacin con las amenazas porque si

no existe una amenaza, tampoco existe la vulnerabilidad o no tiene
importancia, porque no se puede ocasionar un dao.

Dentro de la organizacin existes elementos vulnerables conforme a los tipos

de amenazas, que por lo tanto se pueden vincular con diferentes efectos tales
como ambientales, fsicos, econmicos, sociales, educativos, institucionales y
poltica.

Segn el anlisis efectuado referente a la matriz de valoracin de riesgo donde

se compar la magnitud de dao versus la probabilidad de amenaza lo cual
pudo determinar la magnitud de medio riesgo
Impacto:

Se denomina impacto a la medida del dao sobre el activo

derivado de la materializacin de una amenaza. Conociendo el valor
de los activos (en varias dimensiones) y la degradacin que causan las
amenazas, es directo derivar el impacto que estas tendran sobre el sistema.
Este factor se debe establecer mediante una matriz de valores cualitativos y as
poder definir el impacto.
Definicin de Polticas de Seguridad

Las polticas de seguridad son una serie de instrucciones documentadas

que indican la forma en que se llevan a cabo determinados procesos dentro de
una organizacin, tambin describen cmo se debe tratar un determinado
problema o situacin.

Este documento est dirigido principalmente al personal interno de la

organizacin, aunque hay casos en que tambin personas externas quedan
sujetas al alcance de las polticas.

Una poltica de seguridad informtica es una forma de comunicarse con los

usuarios, ya que las mismas establecen un canal formal de actuacin del
personal, en relacin con los recursos y servicios informticos de la
organizacin.

No se puede considerar que una poltica de seguridad informtica es una

descripcin tcnica de mecanismos, ni una expresin legal que involucre
sanciones a conductas de los empleados, es ms bien una descripcin de los
que deseamos proteger y el porqu de ello, pues cada poltica de seguridad es
una invitacin a cada uno de sus miembros a reconocer la informacin como
uno de sus principales activos as como, un motor de intercambio y desarrollo
en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben
concluir en una posicin consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informticos.

Las Polticas de Seguridad deberan poder ser implementadas a travs de

determinados procedimientos administrativos y la publicacin de unas guas
de uso aceptable del sistema por parte del personal, as como mediante la
instalacin, configuracin y mantenimiento de determinados dispositivos y
herramientas hardware y software que implanten servicios de seguridad.

En este apartado se presentan de forma esquemtica las principales

caractersticas y requisitos que debera cumplir las polticas de seguridad:

Las Polticas de Seguridad deberan poder ser implementadas a travs de

determinados procedimientos administrativos y la publicacin de unas guas
de uso aceptable del sistema por parte del personal, as como mediante la
 instalacin, configuracin y mantenimiento de determinados dispositivos y
herramientas hardware y software que implanten servicios de seguridad.

Deben definir claramente las responsabilidades exigidas al personal con

acceso al sistema: tcnicos, analistas y programadores, usuarios finales,
directivos, personal externo a la organizacin.

Deben cumplir con las exigencias del entorno legal (Proteccin de Datos
Personales, Proteccin de la Propiedad Intelectual y Cdigo Penal).

Se tienen que revisar de forma peridica para poder adaptarlas a las

nuevas exigencias de la organizacin y del entorno tecnolgico y legal. En
este sentido, se debera contemplar un procedimiento para garantizar la
revisin y actualizacin peridica de las Polticas de Seguridad.

Implantacin de varios niveles o capas de seguridad. As, si un nivel falla,

los restantes todava podran preservar la seguridad de los recursos del
sistema. De acuerdo con este principio, es necesario considerar una
adecuada seleccin de medidas de prevencin, de deteccin y de
correccin.

Asignacin de los mnimos privilegios donde los servicios, aplicaciones y

usuarios del sistema deberan tener asignados los mnimos privilegios
necesarios para que puedan realizar sus tareas. La poltica por defecto
debe ser aquella en la que todo lo que no se encuentre expresamente
permitido en el sistema estar prohibido. Las aplicaciones y servicios que
no sean estrictamente necesarios deberan ser eliminados de los sistemas
informticos.

Configuracin robusta ante fallos en el cual los sistemas deberan ser

diseados e implementados para que, en caso de fallo, se situaran en un
estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos
no autorizados.

Las Polticas de Seguridad no deben limitarse a cumplir con los requisitos

impuestos por el entorno legal o las exigencias de terceros (clientes,
 Administracin Pblica), sino que deberan estar adaptadas a las
necesidades reales de cada organizacin

Para realizar la implantacin de las Polticas de Seguridad en una organizacin,

sera conveniente contemplar todos los aspectos que se enumeran a
continuacin:

Alcance: recursos, instalaciones y procesos de la organizacin sobre los

que se aplican.
Objetivos perseguidos y prioridades de seguridad.

Compromiso de la Direccin de la organizacin.

Clasificacin de la informacin e identificacin de los activos a proteger.

Anlisis y gestin de riesgos.

Elementos y agentes involucrados en la implantacin de las medidas de

seguridad.
Asignacin de responsabilidades en los distintos niveles organizativos.

Definicin clara y precisa de los comportamientos exigidos y de los que

estn prohibidos por parte del personal.
Identificacin de las medidas, normas y procedimientos de seguridad a
implantar.
PLAN PARA LA GESTIN DE LA SEGURIDAD INFORMATICA EN LA
OFICINA POSTAL TELEGRFICA LIBERTAD
 Elaborado Revisado Aprobado
Nombre Alfonso Arguello Mara E. Vargas
Cargo Tcnico Informtico Supervisor
Firma
Fecha 05/01/2017 07/01/2017

ESQUEMA

1. Alcance del PSI.

2. Caracterizacin del Sistema Informtico.

3. Resultados del Anlisis de Riesgos.

4. Polticas de Seguridad Informtica.

5. Responsabilidades

6. Medidas y Procedimientos de Seguridad Informtica

6.1 Identificacin y autenticacin de usuarios

6.2 Control de acceso de los recursos
6.3 Registro del uso de los recursos
 6.4 Seguridad Fsica de instalaciones
6.5 Copia de seguridad
6.6 Auditoria de la seguridad
6.7 Actualizacion de aplicaciones informaticas
6.8 Proteccion frente a virus informaticos
6.9 Cifrado de los datos
6.10 Formacin de usuario sobre seguridad

7. Anexos del Plan de Seguridad informtica.

7.1 Listado nominal de usuarios.
7.2 Registros.
7.3 Control de cambios

Para realizar el plan de gestin para la seguridad informtica de la OPT

Libertad se han utilizado conceptos expresados en las normas ISO IEC de la
serie 27000, especficamente de la norma ISO IEC 27001, que contempla los
Requisitos de los Sistema de Gestin de la Seguridad de la Informacin y la
ISO IEC 17799 (27002), Cdigo de Buenas Prcticas para la Gestin de la
Seguridad de la Informacin.

1. Alcance del PSI

El objetivo fundamental del El SGSI de la OPT Libertad de Machiques se

encuentra enmarcado dentro del conjunto de sus bienes informticos a partir
de su importancia y el papel que representan para el cumplimiento de su
actividad, por lo que debe prestarse especial atencin a aquellos que son
crticos en virtud de la funcin que realizan o los servicios que proporcionan, su
importancia y el riesgo a que estn sometidos.

Por tal motivo e SGSI de la OPT Libertad de Machiques conlleva la

conformacin de una estrategia sobre cmo tratar los aspectos de seguridad e
implica la implementacin de los controles necesarios para garantizar el
cumplimiento de lo establecido en esta materia, a partir de un anlisis de
riesgos para determinar lo que se requiere proteger, de que es necesario
protegerlo y la determinar la probabilidad de las amenazas.
Para la adopcin de este modelo de SGSI se parti de un enfoque basado en
procesos, con el fin de establecer, implementar, operar, dar seguimiento,
mantener y mejorar el SGSI de la OPT Libertad de Machiques, para lo cual se
adopta el modelo de procesos Planificar-Hacer-Verificar-Actuar(PHVA), que
se aplica para estructurar todos los procesos del SGSI en correspondencia con
la norma ISO-IEC 27001.

El SGSI se compone de cuatro procesos bsicos:

Establecer las polticas, los objetivos, procesos y

Planificar procedimientos de seguridad necesarios para
(Establecer el SGSI) gestionar el riesgo y mejorar la seguridad
informtica, con el fin de entregar resultados
acordes con las polticas y objetivos globales de la
organizacin
Hacer Tiene como objetivo fundamental garantizar una
(Implementar y adecuada implementacin de los controles
operar el SGSI) seleccionados y la correcta aplicacin de los
mismos.
Evaluar y, en donde sea aplicable, verifica el
Verificar desempeo de los procesos contra la poltica y los
(Revisar y dar objetivos de seguridad y la experiencia prctica, y
seguimiento al SGSI) reportar los resultados a la direccin, para su
revisin.
Emprender acciones correctivas y preventivas
Actuar basadas en los resultados de la verificacin y la
(Mantener y mejorar revisin por la direccin, para lograr la mejora
el SGSI) continua del SGSI.

2. Alcance del Poltica de Seguridad de la Informacin

El presente Plan de Seguridad Informtica es aplicable en su totalidad en las

reas de la Oficina Postal Telegrfica Libertad del Municipio Machiques de
Perij ubicada en ubicada en el sector casco central I, en la avenida artes entre
calle el Carmen y calle La Marina, antiguo Banco Maracaibo. En el Municipio
Machiques de Perij, Parroquia Libertad, Estado Zulia.

Las polticas expresadas en este plan son de obligatorio cumplimiento para

todo el personal de la Oficina Postal Telegrfica Libertad del Municipio
Machiques de Perij.

3. Caracterizacin del Sistema Informtico

Las aplicaciones utilizadas en la Oficina Postal Telegrfica Libertad de

Machiques, utilizadas para realizar los diferentes procesos de la gestin de
recepcin, envos y despachos est soportado en los medios informticos que
incluyen servidores locales, computadoras de mesa y porttiles, gran parte de
ellas conectadas en red.

En la OPT Libertad existe una red local que abarca las reas situadas en los
diferentes departamentos. Para la gestin de la red se cuenta con 01 servidor
que utilizan como sistema operativo Windows XP Profesional. Los servidores
tienen la funcin de: controlador de dominio, aplicaciones, base de datos,
correo electrnico y Proxy

Los servicios implementados en la red son navegacin Internet, correo

electrnico y transferencia de ficheros. La navegacin y el correo tienen
alcance nacional o internacional en dependencia de lo aprobado para cada
usuario a partir de sus necesidades.

Las aplicaciones vinculadas a las diferentes aplicaciones son:

Punto postal de venta

IPS
Tracking
Asistente postal

Adems se utilizan los paquetes de Office y Open Office para la elaboracin de

informes y otros documentos, en las mquinas previstas para el trabajo interno.
El cableado de la red est soportado por cable UTP categora 5, 100 Mbits, con
topologa estrella, protegido con canaletas. Las estaciones de trabajo se
agrupan por reas y pisos a partir de conmutadores (switchs) capa 2.

La conexin con el exterior se realiza disponiendo de una lnea arrendada de 1

Mbit conectada directamente al proveedor de servicios de Internet (Movistar).

El intercambio de informacin tanto interna como externa se realiza

bsicamente a travs del correo electrnico.

La informacin ordinaria de las oficinas se procesa en las estaciones de trabajo

de la red y la informacin clasificada en mquinas independientes. La
informacin es recibida desde las dependencias externas de la organizacin y
la que se enva al Organismo superior se tramita por medio del correo
electrnico y de la Intranet. La informacin que se expone en la Intranet es en
todos los casos de uso pblico.

El personal que opera los equipos posee los conocimientos y la preparacin

necesaria para su empleo y en la mayor parte de los casos tiene nivel medio o
superior.

4. Resultados del Anlisis de Riesgos

Los bienes informticos ms importantes a proteger son:

La red de trabajo interno de la Oficina

El servidor de aplicaciones.

Las bases de datos de la intranet

El servicio de correo electrnico

Las amenazas ms importantes a considerar de acuerdo al impacto que

pudieran tener sobre la OPT Libertad son:

El acceso no autorizado a la red, tanto producto de un ataque externo

como interno.

Prdida de disponibilidad.

La sustraccin, alteracin o prdida de datos.

Fuga de informacin clasificada

 La introduccin de programas malignos.

El empleo inadecuado de las tecnologas y sus servicios.

Las reas sometidas a un mayor peso riesgo y las amenazas que lo motivan
son:

El local de los servidores de la red (acceso no autorizado y prdida de

disponibilidad).
El local de las carpetas compartidas (alteracin o prdida de datos, prdida
de disponibilidad y la introduccin de programas malignos)

El Departamento de ventas (alteracin o prdida de datos, prdida de

disponibilidad y la introduccin de programas malignos)

El almacn de materiales dentro de la OPT Libertad (acceso de usuarios)

5. Polticas de Seguridad Informtica

Las polticas que se describan comprenden toda la organizacin, ya que es

obligatorio su cumplimiento en las reas que las requieran, razn por la cual
sern lo suficientemente generales y flexibles para poder implementarse en
cada caso mediante las medidas y procedimientos que demanden las
caractersticas especficas de cada lugar. Es por ello que se debe de
contemplar los siguiente:

Las propuestas de iniciativas encaminadas a mejorar el sistema de

seguridad informtica se aprobarn por el Consejo de Direccin.

El acceso a las tecnologas de la entidad ser expresamente aprobado en

cada caso y el personal tiene que estar previamente preparado en los
relativos a la seguridad informtica.

Los usuarios de las tecnologas informticas y de comunicaciones

responden por su proteccin y estn en la obligacin de informar cualquier
incidente o violacin que se produzca a su Jefe inmediato superior.

Todos los bienes informticos sern identificados y controlados fsicamente

hasta nivel de componentes.
 Se establecern procedimientos que especifiquen quin y cmo se asignan
y suspenden los derechos y privilegios de acceso a los sistemas de
informacin.
Se prohbe vincular cuentas de correo electrnico de la entidad a un
servidor en el exterior del pas con el fin de redireccionar y acceder a los
mensajes a travs del mismo.
En caso de violacin de la seguridad informtica, se comunicar al Jefe
inmediato superior y a la Oficina de Seguridad para las Redes Informticas
y se crear una comisin encargada de analizar lo ocurrido y proponer la
medida correspondiente.

6. Responsabilidades
Director

Jefes de Departamentos Jefes de Informtica

Bases de Datos Administrador de la red

Sistemas y Aplicaciones
Administradores

Funciones del Administradores de Sistemas, Aplicaciones y Base de Datos

Informar a los usuarios de los controles de seguridad que hayan sido

establecidos y verificar su utilizacin apropiada.

Controlar el acceso a los sistemas, aplicaciones y bases de datos en

correspondencia con la poltica establecida para los mismos.

Garantizar la ejecucin de los procedimientos de salva de programas y

datos as como su conservacin.
 Detectar posibles vulnerabilidades en los sistemas y aplicaciones bajo su
responsabilidad y proponer acciones para su solucin.

Garantizar su mantenimiento y actualizacin y el registro de los sistemas y

aplicaciones que lo requieran.

Aplicaciones, sistemas y Base de datos Administrador

Punto postal de venta Yelvania Vargas
IPS Mara E. Vargas
Tracking Yelvania Vargas
Asistente Postal Mara E. Vargas

7. Medidas y Procedimientos de Seguridad Informtica

6.1 Identificacin y autenticacin de usuarios

Medidas Procedimientos
Elaborar y presentar la solicitud de autorizacin
(cancelacin) de acceso a las TI al Director de la
Se debe establecer una estructura y Empresa, donde se incluya el nombre y apellidos del
periodicidad de cambio de las trabajador que necesita el acceso; las razones que
contraseas de acceso sern justifican este acceso y los activos a que solicita
seleccionadas en correspondencia con acceder. De ser una necesidad temporal
la importancia de los bienes cuyo especificar el tiempo que se requerir mantenerlo.
acceso se protege y los riesgos a que En el caso de retiro del acceso presentar breve
estn sometidos, as como la informe refiriendo los motivos de la propuesta y si es
existencia de otros definitiva o temporal. Responsable: Jefe del rea a
tipos de controles complementarios que pertenece el trabajador
que contribuyan a su proteccin, por lo Aprobar (denegar) la solicitud en caso que
que no necesariamente deben ser corresponda, y darlo a conocer por escrito al
iguales en todos los casos administrador de la red y al Jefe del rea que realiz
la solicitud, especificando el alcance del acceso.
Responsable: Director de la Empresa.
Preparar al trabajador en el uso adecuado de las
tecnologas de la informacin y en sus
obligaciones como usuario de las mismas y
firma por el trabajador del compromiso de
empleo de las tecnologas de la informacin. El
documento original se entregar al administrador
de la red y la copia se incluir en el contrato de
trabajo. Responsable: Jefe del rea a que
pertenece el trabajador
Asignar (en caso de autorizacin de acceso), un
 identificador personal y nico para el acceso a los
sistemas y servicios determinados en la aprobacin
y definir en el servidor los atributos en
correspondencia con la autorizacin otorgada.
Responsable: Administrador de la red

6.2 Control de acceso a los recursos

Medidas Procedimientos
Acceder la ltima semana de cada mes al Punto
Postal de Venta a travs del servidor de la red
aplicndolo a los medios informticos que forman
parte del dominio de la red.
Comprobar cambios existentes desde el ltimo control
La administradora del sistema del realizado.
Punto Postal de Ventas responde por Informar a la Direccin de la Empresa los resultados
la integridad de los medios de la comprobacin.
destinados para la explotacin de esta Generar un resumen de los resultados de cada control
aplicacin. y conservarlo por un ao.
Responsable: Administrador de la red
Esclarecer en caso de existir diferencia las causas y
responsabilidades. Responsable: Director de la
empresa

6.3 Registro del uso de los recursos

Medidas Procedimientos
Elaborar y presentar la solicitud de autorizacin de
acceso a las TI al Director de la Empresa, donde se
incluya el nombre y apellidos de la persona que necesita el
acceso y su nmero de carn de identidad; las razones
que justifican este acceso, el acceso que se requiere y
el tiempo que se requerir mantenerlo. Responsable: Jefe
del rea asociada con el acceso
Aprobar (denegar) la solicitud en caso que corresponda,
y darlo a conocer por escrito al administrador de la
red, al Jefe del rea que realiz la solicitud y al Jefe del
Departamento de Seguridad y Defensa, especificando el
El administrador de acceso al alcance del acceso y el tiempo de vigencia del mismo.
personal debe velar por Responsable: Director de la Empresa.
garantizar de manera segura el Asignar (en caso de autorizacin de acceso), un identificador
acceso por parte del personal
personal y nico para el acceso a los sistemas y
asignado a las aplicaciones que
servicios determinados en la aprobacin y definir en el
resguarden la integridad
servidor de la red los atributos en correspondencia con
de la informacin de los medios
la autorizacin otorgada. Responsable: Administrador de
destinados para la explotacin
la red.
Solicitar al director la cancelacin del acceso concedido e
informar las razones de la solicitud. Responsable: Jefe del
rea que solicita el acceso.
Cancelar la cuenta y los permisos de acceso una vez
concluido el plazo previsto. Responsable: Administrador de
la red.

6.4 Seguridad Fsica

 Medidas Procedimientos
Solicitar autorizacin por escrito al Director de OPT Libertad
para el movimiento de las tecnologas que lo requieran,
fundamentando en que consiste el movimiento, los motivos
y si es temporal el tiempo requerido. Responsable: Jefe
La entrada, salida y traslado de del rea a que pertenece el medio a trasladar
las tecnologas de informacin Autorizar si es procedente el movimiento de las tecnologas y
en la OPT Libertad se realizar darlo a conocer por escrito al Jefe del rea que realiz
con autorizacin del Director en la solicitud, especificando el tiempo de vigencia de
correspondencia con el la autorizacin. Responsable: Director de la OPT Libertad
Procedimiento correspondiente, Registrar en el sistema CONTAB el movimiento del medio
dejndose constancia de ello en
bsico autorizado a trasladar. Responsable: Jefe de cada
un Registro del movimiento de
rea.
tecnologas de informacin.
Revisar antes de su salida (entrada) de la entidad las
tecnologas autorizadas a trasladar, precisando la
existencia y estado de sus partes y componentes, si
contienen informacin y de qu tipo, as como lo
relacionado con el control antivirus. Responsable: Jefe del
rea a que pertenece el medio a trasladar

6.5. Copias de seguridad

Medidas Procedimientos
Realizar diariamente la el respaldo de la
Alcanzar un nivel de respaldo informacin de las diferentes aplicaciones
adecuado se harn las copias incluyendo el respaldo de la informacin local
de seguridad de la informacin
de las computadores. Al finalizar la jornada
y del software que se
determinen en cada caso y de trabajo en discos compactos en dos
se comprobarn regularmente. versiones. Una copia ser guardada en el
local del administrador de la red.
Responsable: Administradores de sistemas
Verificar la integridad de la salva. Responsable:
Administradores de sistemas
Consignar en el registro de salvas de
aplicaciones las acciones de respaldo
realizadas. Responsable: Administradores de
sistemas.
Realizar un control trimestral (incluyendo
revisin del registro), del cumplimiento de
este procedimiento. Responsable: Jefe
Departamento de Organizacin y Supervisin

6.6 Auditoria de la Seguridad

Medidas Procedimientos
Instalar y configurar las aplicaciones Wsus, destinada
para distribuir parches de seguridad de Microsoft para
la eliminacin de vulnerabilidades conocidas cuando su
solucin sea publicada por el fabricante y LANguard y
Nmap, para detectar brechas de seguridad, puertos

Se debe implementar para el
registro y anlisis de las
trazas de auditora generadas
por los sistemas operativos y
servicios de redes, y por
los sistemas instalados
segn lo reglamentado, con
el fin de monitorear las
acciones que se realicen
(acceso a ficheros,
dispositivos, empleo de los
servicios, etc.
6.8 Proteccin frente a virus informticos
Medidas
Al detectar en una estacin de trabajo indicios de
Establecimiento de polticas que
instituyan la prohibicin del uso
de software no autorizado y la
proteccin contra los riesgos
asociados a la obtencin de Identificar de qu tipo de programa maligno se trata.
archivos y software por redes Verificar que en el medio contaminado se este
externas o cualquier otro medio,
indicando las medidas
protectoras a adoptar.
https://youtu.be/9tJmCnBKBHc
abiertos y otras vulnerabilidades similares. Responsable:
Administrador de la red.
Ejecutar las aplicaciones LANguard y Nmap una vez al
mes y controlar cada lunes la ejecucin de Wsus.
Responsable: Administrador de la red.
Informar los resultados de las acciones de correccin de
errores y brechas de seguridad al Jefe del Departamento
de Informtica cada vez que se realicen y preservar los
registros en los soportes habilitados al efecto por un tiempo
no menor de un ao. Responsable: Administrador de la
red
Analizar los resultados de las acciones de correccin de
errores y brechas de seguridad y su correspondencia con
lo previsto en el Sistema de Seguridad Informtica de la
Empresa y en caso de detectarse nuevas vulnerabilidades
proponer las acciones necesarias para su evaluacin y
determinacin de las modificaciones requeridas para su
eliminacin. Responsable: Jefe del Departamento de
Informtica
Actualizar los cambios en el PSI. Responsable: Jefe del
Departamento de Informtica
Procedimientos
contaminacin detener la actividad que se est realizando,
desconectarla de la red e informar al Jefe inmediato y al
Administrador de la red. Responsable: Usuario de la
estacin de trabajo.
ejecutando una versin actualizada del programa
antivirus instalado y de no cumplirse, proceder a la
actualizacin del programa antivirus y llevar a cabo la
descontaminacin. De ser exitosa la descontaminacin,
poner en operacin el medio afectado.
Revisar los soportes y el resto de las tecnologas que
pudieran haber sido afectadas.
Investigar las causas de aparicin del cdigo malicioso.
Realizar las anotaciones pertinentes en el Registro de
Incidencias.
Reportar el incidente a su instancia superior y a la OSRI.
Si es un programa maligno desconocido, proceder al
aislamiento. Responsable: Administrador de la red