Auditoria de sistemas diferwa v 1 by Edvin Morales

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA CENTRO UNIVERSITARIO HUEHUETENANGO INGENIERIA EN SISTEMAS AUDITORIA DE SISTEMAS Y SEGURIDAD DE SISTEMAS XII CICLO

TEMA: Auditoría de Sistemas Corporación DIFERWA, S.A.

Estudiantes: Carnet: Juan Adolfo Villatoro Reyes 0904-07-07273 Edvin Rolando Morales Chávez 0904-07-07278 Carlos José Juárez Lucas 0904-06-07914 Zoila Analy Molina Osorio 0904Pedro Alberto Vicente Armas 0904Catedráticos: Fecha de entrega: Ing. Walter Galicia 09 de noviembre de 2013 Ing. Byron Rodríguez

INDICE

INTRODUCCION La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. Establecer una directiva de auditoría es un aspecto importante en la seguridad. Supervisar la creación o la modificación de objetos permite hacer un seguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso de producirse una infracción en la seguridad. Esta confianza contribuye a la disminución de costos y tiempos en los controles que anualmente debe realizar sobre la información. En este contexto podrá limitarse a la realización de un grado menor de pruebas sustantivas y en su lugar centrarse en las de cumplimiento. El procesamiento electrónico de datos (EDP) ha cubierto un amplio espectro de aplicaciones debido a dos de sus características principales: generación de información confiable y rapidez en su elaboración.

CAPITULO I I. VISION Ocupar el primer lugar en la venta y distribución de repuestos y lubricantes en el departamento de Huehuetenango, ofreciendo todo tipo de productos que satisfagan las necesidades de los clientes.

II.

MISION Somos una empresa huehueteca con amplia experiencia en repuestos para todo tipo de vehículos orientada a cumplir con las necesidades de nuestros clientes; ofreciendo el mejor producto acompañado de respaldo y buen servicio.

III.

OBJETIVOS: Contar con una Base de Datos que brinde la necesaria información sobre la gestión de Ventas de Repuestos y Accesorios, como apoyo a las áreas de ventas, compras, administración y a la Dirección de la Empresa. Ofrecer los mejores productos acompañados de respaldo y buen servicio. Ofrecer los mejores productos al mejor precio. Trabajar con entusiasmo y profesionalismo. No conformarnos con menos. Acompañar todo el ciclo de vida de un negocio desde la importación o compra en plaza hasta su facturación y seguimiento.

IV.

POLITICAS DE LA EMPRESA  Apoyo a todo el ciclo comercial, desde el pedido al proveedor hasta la venta al consumidor final.  Ventas al por mayor y mostrador, y facilidades para venta telefónica por operadora.  Proporcionar estrategias de mercadeo tenientes a aumentar los volúmenes de ventas.  Hacer énfasis en los detalles para saber si valoran más los detalles de servicio que los de precio.  Utilizar todas las tecnologías a nuestro alcance para ser más eficientes.  Publicar información solamente en sitios seguros que cuenten con certificados de seguridad.  Enviar información solamente a correos de la empresa o a correos previamente revisados que sean seguros.  Publicar información importante únicamente con personal de la organización. 4

ď&#x192;&#x2DC; Orientar al empleado para mejorar sus relaciones humanas hacia el consumidor.

RESEÑA HOSTORICA DE LA EMPRESA La empresa Corporación DIFERWA, S.A. surge de la fusión de las siguientes empresas:  Multirepuestos FERWA  Lubricentro LA HUEHUETECA  Lubricentro LA HUEHUETECA Sucursal, zona 11

Lubricentro LA HUEHUETECA tiene sus inicios el cinco de mayo de 1991. Surgió por la oportunidad de iniciar una venta de lubricantes y aprovechando la poca competencia en la zona 5 de Huehuetenango Significado: Se inicio con Lubricentro La Huehueteca por ser un nombre conocido que llamara la atención; siendo así el nombre del departamento.

VI.

Lubricentro LA HUEHUETECA Sucursal, zona 11 tiene sus inicios el 22 de marzo de 1999; instalándose en el Kilometro 258, Calazada Kaibil Balam, zona 11, Huehuetenango. Surgió para expandir la casa matriz que es Lubricentro LA HUEHUETECA y brindar mayor servicio a nuestros clientes.

VII.

Multirepuestos FERWA tiene sus inicios en el año 2002, ubicada a las orillas de la calzada Kaibil Balam, zona 5, Huehuetenango; permaneciendo en dicho lugar hasta pasar a er parte de la corporación. Surgió por el aprovechamiento de un segmento de mercado que no estaba cubierto. Significado: El nombre surge de la unión de los nombres de los hijos del dueño, siendo estos FERNANDA Y WALTER, utilizando las primeras letras de cada nombre para conformar finalmente FERWA.

VIII.

Corporación DIFERWA, S.A. El 01 de abril de 2011 empieza a operar como Corporación, teniendo Multirepuestos FERWA y Lubricentro LA HUEHUETECA, su centro de operaciones en un edificio propio ubicado en 1ra. Av. 08-00 Colonia Alvarado Zona 5, Huehuetenango; hasta la fecha; mientras que la Sucursal continua sus operaciones en el Kilometro 258, Calazada Kaibil Balam, zona 11, Huehuetenango.

IX.

Actividad Principal: Compra, venta y distribución y piezas partes y accesorios para vehículos automotores. Significado: El nombre surge de la unión de los nombres de los hijos de los principales accionistas siendo estos DIEGO, FERNANDA Y WALTER, utilizando las dos primeras letras de cada nombre para conformar finalmente DIFERWA

Nombre de la empresa: un signo denominativo o mixto, con el que se identifica y distingue a una empresa, a un establecimiento mercantil o a una entidad.

XI.

Emblema: un signo figurativo que identifica y distingue a una empresa, a un establecimiento mercantil o a una entidad.

XII.

Expresiones y señales de propaganda: toda leyenda, frase, combinación de palabras, diseños, grabado o cualquier otro medio similar, siempre que sea original y característico, que se emplee con el fin de atraer la atención de los consumidores o usuarios sobre uno o varios productos, servicios, empresas o establecimientos mercantiles.

XIII.

Lenguaje de programación Visual FoxPro 9.0 con Service Pack 2, con nombre de código SEDNA

XIV.

Nombre de la aplicación N-Logic Systems © MERC TECH INTERPRISE

XV.

Versión del software V. 2.11

XVI.

Base de datos y Versión: La base de datos la incluye el lenguaje de programación y la versión de la misma es la que incluyen dicho lenguaje.

Metodología de trabajo de auditoria I. Alcances de la Auditoria  La auditoría se realizará sobre los sistemas y equipos informáticos que estén conectados a la red interna de la empresa. En esta auditoría se debe de verificar la red instalada en la empresa, número y ubicación de servidores, equipos de cómputo, numero de terminales conectadas, número de usuarios conectados al servidor, configuración de memoria y discos de servidores, interfaces que manejan las aplicaciones, planes de contingencia para el área informática. Se debe de verificar los cuidados que se tienen respecto a los equipo de cómputo y demás estantería, revisión de las instalaciones eléctricas plano eléctrico existente, existencia de UPS y 8

funcionamiento adecuado de los mismos y su funcionamiento, existencia de sistema de protección contra incendios, revisión del nivel de software y hardware (licencias, revisión de amparos que tienen las PC). También es fundamental revisar la funcionalidad de los servidores en cuanto al registro de operaciones como el conocimiento del manual de funciones, normas establecidas, procedimientos para el uso del servidor y permisos otorgados, programación de actividades haciendo uso de cronogramas. Es necesario corroborar el control de entrada y salida de la información así como el tipo de seguridad que tienen las instalaciones evaluando criterios existentes, sistemas de vigilancia.

II.

Objetivos de la Auditoria  Buscar una mejor relación Costo - beneficio de los sistemas automáticos o computarizados; diseñados e implementados  Incrementar la satisfacción de los usuarios de los sistemas computarizados.  Asegurar una mayor integridad, confidencialidad de la información mediante la recomendación de seguridades y controles.  Seguridad de personal, datos, hardware, software e instalaciones.  Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informático.  Minimizar existencias de riesgos en el uso de Tecnología de información.

III.

Beneficios de la Auditoria  Permite determinar si los sistemas y procedimientos establecidos son efectivos.  Hace recomendaciones para el mejoramiento de las políticas, procedimientos, sistemas, etc.

 Permite verificar continuamente la efectividad de los controles establecidos.  Conocer una razonable seguridad en cuanto a la protección de la información.  Evitar la pérdida involuntaria de datos. 

IV.

Estudio inicial del entorno a auditar Se realizo un estudio detallado del organigrama de la empresa para saber las jerarquías que se manejan dentro de ella y comprender quién ordena, quién diseña y quién ejecuta según la actividad y el departamento. Se establece que la empresa cuenta con los siguientes departamentos: Ventas: Se encargan del proceso de compras y ventas de productos que comercializa la empresa. Gerencia: Se encarga del control general de la empresa y de los controles más confidenciales. Inventarios: Se encarga del control de existencias de productos y además del ingreso al sistema de la compras. Todo el personal está subordinado según en la jerarquía donde se encuentre, siendo la mayor, el Gerente General. Las corrientes de información circulan de manera confiable, teniendo todos los empleados la capacidad de transmitir su opinión de manera adecuada. Se determino que los nombres de los puestos de trabajo corresponden a las funciones reales asignadas y al número de personas establecido. Se hice una inspección detallada de la ubicación geográfica de los sistemas; la arquitectura y configuración del hardware y software, y el inventario de los mismos; la comunicación entre los equipos por medio de la red.

Recursos para realizar la auditoria Recursos materiales Dentro de los recursos materiales necesarios en el proceso de realización de la auditoria están:  Equipos de cómputo: Son todas las computadoras que tienen la empresa para prestar sus servicios.  Software: Son todos los programas de computadora que utiliza la empresa en sus procesos. 10

 Red LAN y WLAN: Es toda estructura de comunicación entre los diferentes equipos.  Switchs y Rauters: Son artefactos utilizados en la administración de la red.  Instalaciones de la empresa: Son todos los bienes muebles e inmuebles con que cuenta la empresa para operar.  Computadoras portátiles: Son equipos utilizados por los auditores para llevar registros de todo el proceso de auditoría.  Papelería y Útiles: Son recursos que utilizaran los auditores para llevar registro de los procesos auditados.  Cámaras fotográficas: Serán utilizadas para tomar fotografías sobre el estado de ciertos procesos de auditoría y que servirán como evidencia.

Recursos humanos Dentro de los recursos humanos necesarios y que participaran en el proceso de la auditoria están:  Personal de la empresa: Participara todo el personal que labora en la empresa.  Estudiantes/Auditores informáticos: Son los jóvenes estudiantes de la carrera de Ingeniería en Sistemas, quienes son encargados de realizar la auditoria informática; siendo ellos: o Juan Adolfo Villatoro Reyes o Edvin Rolando Morales Chávez o Carlos José Juárez Lucas o Zoila Analy Molino Osorio o Pedro Alberto Vicente Armas

VI.

Planificación de la Auditoria La realización de la auditoria se llevo a cabo por áreas especificas, en la siguiente planificación de actividades se especifica las áreas que fueron auditadas y el tiempo de duración de cada actividad.

ACTIVIDAD

TIEMPO DURACION

 Solicitud de Manuales y Documentaciones.  Elaboración de los cuestionarios. 14 Horas  Recopilación de la información  organizacional: estructura orgánica, Recursos Humanos.

 Evaluación del diseño lógico del sistema.  Evaluación del desarrollo del sistema.  Evaluación de la Seguridad lógica y física. 42 Horas  Evaluación del proceso de datos y equipos de cómputo.  Evaluación de la configuración del sistema de cómputo.  Evaluación de la red.

 Elaboración de Plan Contingencia  Elaboración de Plan Seguridad  Elaboración de Plan Mantenimiento de equipos  Elaboración de Plan Mantenimiento de Red.

DE ENCARGADOS

Edvin Morales, Adolfo Villatoro

de de 48 Horas de de

REVISION Y PRE-INFORME 12

Carlos Juárez, Pedro Vicente, Analy Osorio

 Revisión de los papeles de trabajo.  Determinación del 18 Horas Diagnostico e Implicancias.  Elaboración de la Carta de Gerencia.  Elaboración del Borrador. INFORME  Elaboración y presentación 8 Horas del Informe

VII.

Edvin Morales, Adolfo Villatoro

Cronograma de Actividades A continuación se presenta el Cronograma de las Actividades realizadas durante el proceso de la auditoria. Actividades realizadas por semanas. El proceso de auditoría tiene inicio el lunes 09 de septiembre de 2013 y finaliza el sábado 09 de noviembre de 2013.

VIII.

Herramientas y Técnicas a utilizar Herramientas  Computadoras portátiles: Son equipos utilizados por los auditores para llevar registros de todo el proceso de auditoría.  Papelería y Útiles: Son recursos que utilizaran los auditores para llevar registro de los procesos auditados.  Cámaras fotográficas: Serán utilizadas para tomar fotografías sobre el estado de ciertos procesos de auditoría y que servirán como evidencia.

Técnicas  Entrevista: En la entrevista se tomaron las preguntas de la encuesta para saber más ampliamente la opinión de los entrevistados o encuetados.  Cuestionario: En el Cuestionario se realizaron varias preguntas de respuesta cerrada; conteniendo las variables de estudio. Se utilizó el cuestionario estructurado y no disfrazado.  Observación: Para la Observación se contó con papel, lapicero y computadora para plasmar lo observado durante la visita a la empresa.

IX.

Organigrama General de la empresa Gerente General Ernesto Villatoro

Gerente de Sistemas

Gerente Administrativo

Adolfo Villatoro Francisco Villatoro

Supervisor Ferwa

Supervisor La Huehueteca

Supervisor Cambote

Inventarios

Carlos Vásquez

Henry Mendoza

Lorenzo Martínez Selvin Mendoza

Friccionero

Cajero

Manuel Martínez

Gustavo Chun

Marconi García

Auxiliar de Inventarios Cesar Villatoro

15 Motorista

Motorista

Fausto Gonzales

Hugo Gómez

Gilberto Martínez

Cristian Mus

Definición de puestos de trabajo Dentro de la empresa existen puestos definidos mas no oficializados con un documento que contenga nombre y descripción de los mismos, a continuación se muestra el nombre de los puestos y las personas que están adjudicadas a ellos: o o o o o o o o o

XI.

Gerente General: Ernesto Villatoro. Gerente de Sistemas: Adolfo Villatoro. Gerente Administrativo: Francisco Villatoro. Supervisor: Lorenzo Martínez, Selvin Mendoza y Carlos Vásquez. Friccionero: Manuel Martínez. Cajero: Gustavo Chun y Marconi García. Encargado de Inventarios: Henry Mendoza. Auxiliar de Inventarios: Cesar Villatoro. Motorista: Fausto Gonzales, Hugo Gómez, Gilberto Martínez y Cristian Mus.

Definición de roles por puesto de trabajo Aunque se propondrá realizar los manuales de puestos respectivos, estas serían las funciones básicas de cada puesto existente dentro de la empresa para llevar un orden y jerarquía:

Gerente General: Es el máximo responsable en la empresa, dentro de sus funciones principal se pueden mencionar las siguientes: o Designar todas las posiciones gerenciales. o Realizar evaluaciones periódicas acerca del cumplimiento de las funciones de los diferentes departamentos. o Planear y desarrollar metas a corto y largo plazo junto con objetivos anuales y entregar las proyecciones de dichas metas para la aprobación de los gerentes corporativos. o Coordinar con las oficinas administrativas para asegurar que los registros y sus análisis se están ejecutando correctamente . o Velar porque la empresa alcance sus objetivos. o Implementar estrategias de marketing para mejorar las ventas debido a la alta competencia que existe alrededor de la empresa. 16

Gerente de Sistemas: Es la persona responsable de todo el parque informático de la empresa, dentro de sus principales funciones se pueden mencionar las siguientes: o Planear, organizar, Dirigir y Controlar, el funcionamiento del Área de Sistemas. o Determinar normas y procedimientos del uso de hardware y software. o Supervisar y revisar la elaboración de proyectos de organización, métodos y procedimientos, organigramas estructurales, funcionales y de niveles jerárquicos. o Realizar flujogramas de procesos, normas y procedimientos de Sistemas. o Coordinar y supervisar la elaboración de manuales, instructivos y formularios para hardware y software. o Mantener al día las copias de Seguridad y la Seguridad de la Información en la empresa. o Supervisar el trabajo del personal a su cargo. o Hacer cumplir los objetivos de la corporación en aquellas áreas que interactúan con el departamento sistemas. o Interactuar con los ejecutivos de alto nivel para lograr satisfacer las necesidades de las áreas usuarias. o Elaborar el plan del departamento sistemas y el establecimiento de objetivos. o Proveer presupuestos estimativos de corto y largo alcance. o Recomendar nuevas aplicaciones o modificaciones de las aplicaciones actuales. o Proyectar los requerimientos de recursos del departamento incluyendo personal, equipo e instalaciones con los costos asociados.

Gerente Administrativo: Es el responsable máximo de las áreas de finanzas, administración y contabilidad de la empresa y tiene casi a todo el personal a su cargo, sus principales funciones son: o Supervisar normalmente las funciones de contabilidad, control presupuestario, cajas, análisis financiero, las auditorías y, en muchos casos, los sistemas de proceso de datos. 17

o Se responsabiliza, directamente o a través de su personal, de la veracidad de las cuentas de la empresa en sus partidas de activo, pasivo y resultados. o Elabora, directa o indirectamente, la documentación contable requerida por los organismos oficiales y prepara los datos para la liquidación de los impuestos. o Es el encargado de la elaboración de presupuestos que muestren la situación económica y financiera de la empresa, así como los resultados y beneficios a alcanzarse. o Negociación con proveedores, para términos de compras, descuentos especiales, formas de pago y créditos. o Negociación con clientes, en temas relacionas con crédito y pago de proyectos o Manejo del inventario o Encargado de todos los temas administrativos relacionados con recursos humanos, nómina, préstamos, descuentos, vacaciones, etc. o Preparar planes, presupuestos y previsiones de ventas. o Establecer metas y objetivos. o Seleccionar y coordinar las estrategias de ventas. o Calcular la demanda y pronosticar las ventas. o Determinar el tamaño y la estructura de la fuerza de ventas. o Reclutamiento, selección y capacitación del personal. o Delimitar el territorio y rutas, establecer las cuotas de ventas y definir los estándares de desempeño. o Crear planes de compensación, motivar y guiar las fuerzas de venta y distribución. o Conducir el análisis de costo de ventas. o Evaluar el desempeño de la fuerza de ventas y distribución. o Velar porque todo el procedimiento de ventas, se esté llevando cabo de la forma idónea y que sus representantes sean buenos ciudadanos empresariales.

Supervisor de Ventas: Dentro de la empresa estos son los que facturan las ventas hechas, sus funciones principales son: o Preparar los Pronósticos de Ventas. o Preparar los Pronósticos de Gastos. o Buscar y elegir otros Canales de Distribución y Venta. 18

o Investigar, sugerir y elaborar Planes Promocionales: Regalos, Ofertas, Canjes, Descuentos, Bonificaciones, etc. o Capacitarse y buscar asesoramiento en tareas específicas. o Analizar y organizar los tiempos y movimientos de las rutas y zonas de venta. o Analizar o estudiar y obtener las rutas de venta convenientes y asignar el número exacto de vendedores. o Crear programas de capacitación y adoctrinamiento para toda la fuerza de ventas. o Preparar el perfil adecuado del Vendedor Idóneo. o Crear un sistema de reclutamiento que incluya cartas a instituciones promotoras de empleo, anuncios en diarios y revistas, Internet y páginas Web, base de datos de vendedores, por recomendación de los actuales vendedores, etc. o Diseñar el proceso de obtención de Vendedores: Selección, Entrevista Personal, Capacitación y Adoctrinamiento, que produzcan la elección de vendedores idóneos. o Capacitar y formar a los vendedores en el campo y en la sala de ventas. o Crear un sistema de reciclaje para vendedores antiguos. o En lo posible, preparar un Curso de Ventas, Seminarios de Ventas, etc. y adecuarlos al equipo de ventas. o Preparar manuales de funciones de los vendedores. o Tener todo el material adecuado para la capacitación y formación de los vendedores, como padrones de clientes, planos de rutas, formularios, catálogos, cartas, material etc. o Realizar la presentación de nuevos productos y desarrollar nuevas técnicas de venta para promocionarlos. o Crear ingeniosa fórmula de remuneraciones. o Elaborar campañas promocionales, eligiendo premios y concursos semanales o mensuales. o Escuchar siempre a los vendedores y orientarlos sobre sus dudas. o Darles solución a todos sus problemas laborales e involucrarse de manera sutil en la solución de sus asuntos familiares, cuando sea necesario. El vendedor debe estar con la mente centrada en las ventas. o Felicitar y en lo posible premiar los logros de cada vendedor. 19

Cajero: Este es Responsable por la recepción, manejo y custodia del dinero o documentos relacionados, tales como: efectivo, cheques, tiquetes de tarjetas crédito/débito, etc), resultantes de la transacciones diarias de venta de la sección. adicionalmente es responsable del registro de las operaciones en el sistema y de la conciliación de valores asignados a su caja. Realiza además una importante gestión comercial pues se trata del puesto que cierra el proceso de venta, sus funciones principales son: o Abrir el punto de venta en los horarios establecidos. o Verificar que el fondo de caja esté completo al recibirlo y antes de entregarlo. o Mantener un adecuado surtido de menudo para dar vueltos. o Recibir documentos de valor (tarjetas, cheques, certificado de regalo, etc) o efectivo por concepto de ventas realizadas en la Tienda, cumpliendo con los procedimientos y normas establecidas. o Mantener el cubículo de caja limpio y ordenado. o Empacar los artículos adquiridos por el cliente en bolsas de tamaño adecuado según el tamaño de los mismos o en sus respectivos empaques. o Alistar la mercadería de los paquetes separados que vaya tramitando, para que posteriormente pase el encargado a recogerlos. o Solicitar reposición de suministros y materiales para su trabajo diario. o Cerrar el punto de venta en coordinación con la supervisora de sección. o Entregar al Supervisor o gerente de Tienda, la caja de depósito con el efectivo recaudado. o Conciliar, clasificar y realizar el depósito de los valores de contado y crédito recaudados en el día. o Cooperar activamente con la seguridad y vigilancia de activos de la empresa. o Participar en la toma física de inventarios periódicos. o Servir al cliente que solicita atención para la compra de mercadería, atendiéndolo personalmente hasta que un vendedor pueda abordarlo. 20

o Concretar inclusive, la venta de alguna mercadería, cuando por el movimiento del departamento, no puede recibir ayuda oportuna del vendedor. o Recibir a los clientes que vienen a realizar cambios de mercadería y llamar al Supervisor para la respectiva autorización. o Colaborar en actividades de traspaso, pedidos y devoluciones de mercaderías. o Colaborar con el acomodo y la adecuada presentación visual de la mercadería. o Ofrecer a los clientes cuando cancelan, los servicios complementarios que brinda la empresa. o Comunicar adecuadamente a los clientes la información que la empresa preparó para ellos acerca de los productos y/o servicios que comercializa, como: mensajes promocionales, slogans, información técnica, etc.... o Asesorar a los clientes: 1) acerca de cómo los productos o servicios que ofrece pueden satisfacer sus necesidades y deseos; y 2) cómo utilizarlos apropiadamente para que tengan una óptima experiencia con ellos. o Retroalimentar a la empresa informándo a los canales adecuados (como el departamento de ventas y el de mercadotecnia) todo lo que sucede en el mercado, como: 1) inquietudes de los clientes (requerimientos, quejas, reclamos, agradecimientos, sugerencias, y otros de relevancia); y 2) actividades de la competencia (introducción de nuevos productos, cambios de precio, bonificaciones, etc...).

- Encargado de Inventarios: El encargado del inventario de repuestos, según los clientes y los vendedores, no sólo debe guardar los repuestos correctos en la bodega, sino que además debe poder obtener los repuestos que se necesitan de manera urgente, es el responsable de realizar actividades relacionadas con el movimiento, rotación y consistencia de las mercaderías registradas en inventarios (sistema – físico) y su trascendencia en los puntos de venta. Resolver consultas, dudas e incongruencias referentes, buscando claridad y controlar las posibles mermas del inventario. Sus funciones principales son: o Planificar el trabajo por orden de prioridades y sucursales. 21

o Revisar la correspondencia recibida interna y externa, tanto en papel como en medio electrónico y dar el curso debido. o Resolver cualquier problema o inquietud sobre inventarios durante su visita a la sucursal. Dar seguimiento al origen del problema y coordinar solución con los departamentos relacionados. o Comparar contra listado el inventario físico selectivo y hacer los ajustes correspondientes. o Planificar y ejecutar inventarios físicos con los Proveedores de las casas Comerciales y los responsables en las tiendas. o Planificar, organizar y coordinar los inventarios semestrales de todas la Tiendas. o Presentar informe semanal de actividades realizadas a la Gerencia de Mercadeo y Ventas. o Procesar e imprimir el cierre diario de inventarios. El cierre debe cuadrar, caso contrario comunicar a sistemas para revisión. o Revisar los ajustes pendientes enviados por diferentes Tiendas. o Revisar en todas las sucursales los artículos en negativos y hacer conteo físico para comparar y buscar las diferencias. o Procesar los ajustes correspondientes y aplicar al sistema de inventarios. o Clasificar mercadería para donación o pérdida, acatando la norma del procedimiento. o Dar seguimiento a errores en el sistema de inventarios. o Efectuar cierre mensual de inventarios y establecer control sobre el mismo. -

Auxiliar de Inventario: Es aquella persona que auxilia o colabora directamente con el departamento de inventarios, sus funciones principales son: o Recibir, entregar y llevar un control de materiales. o Control de inventarios. o Captura o elaboración de facturas y control de gastos Formatos. o Dar seguimiento a compras, importación, exportación, entrado y salido de materiales. 22

o o o o o

Atención de personal. Archivo. Conocimientos de Microsoft Excel e Inglés básico. Efectuar requisiciones de material. Control y relación de requisiciones. Atención a proveedores. o Atención a personal. o Registrar y detectar anomalías en los materiales y reportarlas al proveedor. o Relación directa con los departamentos de Recursos. Humanos, Compras, Control de Producción, Producción, Importación y Exportación, Control de Facturas, Control de Calidad por mencionar. -

Motorista: Es la persona que tiene por oficio entregar paquetes y mercancía a las personas que realizan sus pedidos a la empresa, sus principales funciones son: o Entregar en tiempo los paquetes a los clientes. o Informar sobre cualquier atraso que pueda presentarse. o Dejar constancia de su entrada y salida en el sistema de control de horarios. o Entregar los paquetes a los clientes con una buena atención. o Ofrecer otros productos a los clientes en sus entregas.

Friccionero: Es la persona que se encarga del empastado remachado de fricciones para vehículos liviano y pesado, esta sería su función principal, dentro de otras funciones podemos mencionar las siguientes: o Mantener orden en su área de trabajo. o Cumplir en tiempo los trabajos asignados. o Informar desperfectos a la gerencia en su área de trabajo.

CAPITULO II EVALUACION DE LOS SISTEMAS I. Evaluación de sistemas La presente Auditoria de Seguridad Informática realizada en la empresa Corporación DIFERWA, S.A. refleja que dentro de la misma se cuenta con sistemas entrelazados como un todo; en la Corporación operan tres empresas, cuada una cuenta con su propio servidor y base de datos, pero todos los demás equipos tienen acceso entre ellos, según jerarquías transaccionales. La empresa cuenta con el software Merc Tech Enterprise, realizado en el leguaje de programación Visual FoxPro 9.0; proporcionado por la empresa huehueteca N-Logic System. Un software hecho a la medida de la empresa, elevando sus beneficios y productividad, reduciendo tiempos de procesos, mayor exactitud, mejor servicio, mayor confiabilidad y seguridad; lo cual indica que la tecnología se adapta a la empresa y no viceversa. El 100% de los equipos de cómputo dentro de la empresa cuentan con sistema operativo Windows; mientras que el 90% de las mismas no cuentan con licencia de antivirus. Todos los equipos de cómputo y comunicaciones cuentan con los requisitos necesarios para la operación del sistema y las diferentes actividades realizadas por la empresa.

II.

Evaluación del análisis Por ser un sistema comprado a una empresa externa, no se cuenta con documentos y registros sobre la elaboración del mismo. Los datos de salida y reportes presentados en la aplicación, son entendibles para el usuario; y se está ejecutando de forma correcta y eficiente el proceso de información. Los archivos almacenados, cuentan con un correcto sistema de backups, almacenado los mismos en diferentes medios, habiendo el inconveniente que todas las copias de seguridad se encuentran dentro del mismo edificio.

III.

Evaluación del diseño lógico del sistema 24

a. Software actual La empresa cuenta con los siguientes programas informáticos: 1. Sistema de Compras y Ventas. 2. Sistema de Control de Usuarios. Características de los sistemas: 1. Sistema de Compras y Ventas: En este sistema se lleva todo el registro de las operaciones de compras y ventas realizadas por la empresa. Las compras son ingresadas al sistema por personal específico; las ventas con realizadas por el personal de ventas al momento que se realiza la operación. El mismo está desarrollado en el Lenguaje de Programación Visual FoxPro, utilizando su propio gestor de base de datos. 2. Sistema de Control de Usuarios: Lleva el registro de los ingresos y egresos del personal; las personas solo deben colocar su huella digital para que registre la hora y el usuario, y si es salida o entrada. 3. La empresa maneja sus diferentes procesos lógicos, de la siguiente manera: Entradas: Los usuarios del departamento de inventarios se encargan de ingresar los productos comprados. Salidas: Los empleados del área de ventas son los encargados de hacer las transacciones para darle salida a los productos. Métodos de acceso: El sistema de ventas cuenta con login de acceso para los usuarios, dependiendo de la jerarquía. Operaciones: dentro de la empresa se realizan operaciones de compra y venta de los productos que ofrece la empresa. Manipulación de datos: El encargado del sistema es el único responsable sobre la manipulación de los datos (backups), realizando un proceso de respaldo. Sistemas de seguridad: Todos los equipos de cómputo cuentan con Firewall y antivirus que son actualizados periódicamente. Responsables: Todos los usuarios son responsables de las operaciones que realicen en el sistema, según jerarquías. Número de Usuarios: La aplicación es usada por 12 usuarios, con diferentes niveles de acceso.

El encargado de sistemas es el responsable de velar por toda la seguridad y operaciones lógicas. Además la Corporación cuenta con página Web; siendo http://diferwa.com/ y otra dirección alternativa, siendo http://diferwa.webcindario.com/ Características de la página web: La empresa tiene comprado el dominio http://diferwa.com/ pero no cuenta con hosting, lo que impide que el dominio sea útil. Por la situación anterior la empresa cuenta con una página alternativa, siendo esta http://diferwa.webcindario.com/ que cuenta con la información más relevante de la misma. Dentro de la información que se publica esta: exposición de productos y sus características, y datos de contacto. b. Mantenimientos SISTEMAS: El mantenimiento a los sistemas generalmente se da cuando ocurre un incidente, ya sea por error del software o lentitud del mismo. Cada año se hace una limpieza de registros para reducir el tiempo de respuesta del software. EQUIPOS: No se cuenta con un plan de mantenimiento en el cual se especifique las fechas y procesos a realizar durante un incidente, tanto de software o hardware. Se da mantenimiento a los equipos generalmente cada dos o tres meses o cuando hay inconvenientes. PAGINA: La página web no se actualiza desde hace más de un año, ya que no se cuenta con la disposición de tiempo. c. Bases de datos Los sistemas utilizan las siguientes bases de datos: 1. Sistema de Compras y Ventas: Utiliza su propio gestor de Base de datos, incluido en Visual FoxPro (la cual es un contenedor de todas las tablas). 2. Sistema de Control de Usuarios: Utiliza la base de datos que trae por defecto la aplicación . d. Administrador de bases de datos El Administrador de las Bases de datos es el Ing. Roberto Aguilar Palacios, quien es el encargado de realizar los mantenimientos y 26

cambios solicitados; y que además cuenta con un conocimiento en la administración de las bases de datos.

pleno

e. Comunicación La comunicación entre los equipos de da por una red cableada LAN combinada con una red inalámbrica WLAN; utilizando cable UTP, Switches y Routers. f. Informes Presentación de informes de los 2 sistemas: 1. Sistema de Compras y Ventas: Los informes se presentan en Formularios de la aplicación, que permiten imprimirse y además permiten exportarlos a Excel. 2. Sistema de Control de Usuarios: Los informes se presentan en Formularios de la aplicación. g. Análisis de informes Se encontraron las siguientes características importantes: 1. Sistema de Compras y Ventas: Los informes se presentan con texto plano, de una manera bien estructurada que lo hace entendibles. La generación de la mayoría de los mismos es fácil y avanza su complejidad según las filtraciones que se realicen. 2. Sistema de Control de Usuarios: Los informes se presentan de manera entendible para el usuario y la generación de los mismos es bastante fácil. h. Ruido, redundancia, entropía Los sistemas no cuentan con doble respaldo tanto de software como de hardware. El respaldo de los datos se realiza periódicamente; mientras que la red no cuenta con respaldo. De la base de datos se realiza una copia al finalizar la jornada, los mismos son clasificados y solo se resguardan los Backus de mediados de mes y fin de mes. Todos los equipos cuentan con UPS de 750 Amp.

IV.

Evaluación del desarrollo del sistema 27

Dentro de la empresa no se cuenta con el desarrollo de sistemas de información, ya que la aplicación que utiliza la empresa es comprada a un proveedor ajeno. Lo que se hace es adquirir las nuevas versiones proporcionadas por el fabricante; las mismas generalmente se actualizan cada año.

Instructivos de operación de la aplicación La aplicación no cuenta con un manual de usuario en el cual se detallan los procesos a seguir durante el uso la misma. El proveedor de la aplicación al momento de vender la misma y las actualizaciones brinda capacitación al personal, pero principalmente al encargado de sistemas de la empresa para que éste pueda seguir instruyendo al demás personal o personal nuevo que se contrate.

VI.

Evaluación de Usuarios En base a la información recabada de los usuarios se concluye que: o El sistema cumple con las especificaciones, tareas y es fácilmente operable por ellos facilitando así las tareas que realizan diariamente evidenciado con esto que han sido capacitados eficientemente para el uso del sistema. o El encargado de sistemas resuelve satisfactoriamente todas las eventualidades que se puedan presentar. o Siempre existe disponibilidad del encargado de sistemas para atender incidencias, los tiempos de atención de las mismas son aceptables ya que no se detiene la operativa y no genera alguna clase de perdida. o Las capacitaciones respecto a todo el equipo de cómputo, sistemas y red son aceptables y entendibles ya que existe monitoreo constante para que se ejecuten las instrucciones. o Hay una carencia de manual de usuario respecto al sistema de cómputo.

CAPITULO III EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CÓMPUTO. I.

Controles a. Control de datos fuente y manejo de cifras de control El área de captación de datos se encuentra en cada servidor y la cantidad en Mb que recibe la base de datos mensualmente es de 256 Mb. Existe una jerarquía por niveles respecto a las operaciones que se realizan dentro del sistema, el nivel uno que se dedica a las ventas solo puede hacer operaciones como seleccionar y guardar registros en la base de datos, ellos tiene acceso restringido por la naturaleza del departamento y sus puestos; el nivel 2 (gerencia) y nivel 3 (contabilidad) tiene acceso a seleccionar, guardar, modificar e insertar datos. El sistema es capaz de guardar registros de movimientos hechos por los diferentes usuarios que lo manipulan, dichos registros son los siguientes: - Usuario de Ingreso. - Usuario de Actualización. - Usuario de Eliminación. - Usuario de inserción de datos. Estos campos son de vital importancia ya que se debe de registrar responsables de movimientos por cualquier datos que en un futuro se requiera por lo que es una fortaleza dentro del sistema. La información es resguardada por medio de backup´s que se realizan diariamente almacenados en una partición del disco duro, cada fin de mes se transfiere la información al área de sistemas en la cual es grabada en DVD´s, con esto hay varias copias de seguridad guardadas durante 3 meses en el departamento de gerencia.

b. Control de operaciones 29

En la empresa no se cuenta con un procedimiento estandarizado, formal y detallado para la operación de los sistemas de cómputo. Existe una breve descripción de los procesos de ingreso a la aplicación, facturación y generación de reportes, la persona encargada de informática instruye a los usuarios sobre el manejo de estos módulos dentro del sistema. No hay procedimientos escritos o de otra índole para la recuperación del sistema en caso de fallas, en estos casos acuden al encargado de sistemas quien da pronta solución a los mismos. Existe restricción en cuanto a la instalación de programas que no son autorizados por el departamento gerencial, en el departamento de ventas esta operación no se puede realizar mientras que en los otros 2 departamentos si es posible hacerlo pero la persona encargada de sistemas realiza un monitoreo constante de ello y si desean instalar programas deben de pedir la autorización respectiva para que sea ejecutado. Los equipos de cómputo actualmente no cuentan con ningún tipo de pólizas de seguros sobre daños, incendios o robos, esto representa una falencia dentro de la empresa ya que en el departamento de ventas los equipos se encuentran expuestos.

c. Control de salida Las copias de seguridad que se resguardan a cada 3 meses en DVD´s son trasladadas hacia la bodega dentro del mismo edificio ubicado en el cuarto nivel, estas son guardadas en cajas de cartón selladas y rotuladas. Solo la gerencia tiene acceso a esta bodega.

d. Control de medios de almacenamiento masivo El control de la discoteca que se almacena en la bodega cuenta con una cerradura normal; la cual no tiene protección contra el fuego, la información almacenada en dicha discoteca está debidamente identificada para poder tener un mejor control de búsqueda al momento que se desee utilizar y además las cajas están almacenadas sobre estantes de madera; el medio de 30

almacenamiento son permanentemente

los

DVD´s

quienes

son

conservados

e. Control de mantenimiento Actualmente no se cuenta con un plan de mantenimiento formal, el mismo es realizado cada 3 meses promedio por el encargado de sistemas quien realizar el mantenimiento básico de los sistemas de cómputo y de la red. Cuando existe una falla en los equipo de cómputo, red o cualquier otra circunstancia relacionada con sistemas, los responsables de cada equipo notifican al encargado de sistemas sobre la misma y este último da solución pronta al fallo.

f. Administración de usuarios Para dar de alta a un usuario al sistema existe un procedimiento formal, solicitando el ingreso de los siguientes datos o identificación del usuario, siendo única e irrepetible:  Password: Es personal e ingresado por el usuario.  Nombre y apellido: Conforme DPI.  Sucursal de la empresa donde se emplea: Verificar si es verídico.  Contador de intentos fallidos.  Autorización de imprimir.  Autorización a áreas de trabajo. Se le asigna los permisos mínimos y necesarios para que cada usuario desempeñe su tarea. Al momento que un usuario deja de laborar en la empresa; se le permite sacar una copia de sus archivos personales (con previa supervisión del encargado de sistemas), y posteriormente se elimina la cuenta del usuario para evitar accesos no autorizados en el futuro.

Lista de Usuarios y Permisos 31

EQUIPO

RESPONDABLE

Servidor FERWA

Gustavo Chun

Servidor La Huehueteca

Marconi García

Cliente FERWA

Vendedores

Cliente La Huehueteca

Vendedores

Servidor Sucursal

Carlos Vásquez

Control de Usuarios

Personal de DIFERWA

PC Gerencia

Ernesto Villatoro

PC Administración

Francisco Villatoro

PC Sistemas

Adolfo Villatoro 32

PERMISOS                                  

Facturación Impresión de facturas Copia de Seguridad Reporte de ventas Anulación de facturas Facturación Impresión de facturas Copia de Seguridad Reporte de ventas Anulación de facturas Consultas Facturación Consultas Traslados Facturación Consultas Traslados Facturación Impresión de facturas Copia de Seguridad Reporte de ventas Anulación de facturas Consultas Registros de ingreso y salida Control de Cheques Consultas Reportes Ventas Exportar información a Excel Control de Cheques Reportes Consultas Ventas Exportar información a Excel

PC control de inventarios

Henry Mendoza

PC control de inventarios Auxiliar

César Villatoro

 Reportes  Consultas  Ingreso de facturas de compras  Edición de registros  Eliminación de registros  Exportar información a Excel  Reportes  Consultas  Ingreso de facturas de compras  Exportar información a Excel  Reportes  Consultas

Las alteraciones y/o modificaciones realizadas por los Usuarios según los permisos asignados por el rol o puesto de trabajo; quedan bajo responsabilidad del mismo y según la gravedad, será sancionado.

II.

Orden en el centro de computo La limpieza del centro de cómputo y la red es realizada generalmente a cada 3 meses por el encargado de sistemas de la empresa, si se encontrase algún accesorio obsoleto o con fallo se pide autorización a la gerencia general para poder comprar nuevos productos que lleven a la operática normal nuevamente. Actualmente no se cuenta con lugares específicos para el almacenamiento de la herramienta de trabajo del encargado de sistemas, dichas herramientas las guarda en una caja de metal ubicada en su oficina de trabajo.

No existe la cultura de no consumir alimentos y refrescos en la empresa principalmente cerca del equipo de cómputo esto puede originar en algún momento un derrame de líquidos sobre los equipos que pueden originar fallas, no se cuenta con carteles visibles que recuerden la prohibición de lo mencionado anteriormente.

III.

Evaluación de la configuración del sistema de computo Todos los equipos de cómputo están en uso durante 10 horas diarias; los equipos de cómputo están óptimos para la tarea que realiza y tienen la capacidad de teleprocesos porque pueden realizar ventas simultáneamente, cada servidor tiene conectados 5 terminales. Todo el sistema de cómputo es suficiente para atender todos los procesos que se realizan dentro de la empresa.

IV.

Productividad a. Puntos a evaluar en los equipos A continuación se presenta un cuadro en el que se detalla las características de las computadoras que fueron evaluadas para determinar si los equipos de cómputo que se utilizan son aptos para desempeñar las tareas diarias que se les asigna.

b. Análisis de Resultados: Dada la evaluación de los equipos de cómputo de la empresa se pueden sacar varias conclusiones las cuales se presentan a continuación de manera gráfica e interpretada: 1. Cantidad de equipos originales y clonados:

 Interpretación: Se pudo verificar que el 90% de equipos de cómputo son clonados mientras el 10% de equipos son originales que es la laptop del gerente general.

2. Versiones de Sistemas Operativos:

 Interpretación: Después de auditados los equipos, estas son las versiones de sistemas operativos con que se cuenta: o Windows 7 = 30% o Windows XP = 60% o Windows 2000 = 10% 3. Sistemas operativos con licencia:

 Interpretación: Se puede reflejar una fuerte carencia de equipos de cómputo con sistemas operativos con licencia ya que el 90% de ellos no son con licencia mientras que el 10% poseen la misma, esto puede ser un atentado para la seguridad de los equipos.

4. Tipos de antivirus que son utilizados en los equipos de cómputo:

 Interpretación: Los resultados obtenidos en este apartado son: o NOD 32 3.0 = 60% o Avast = 20% o Avira = 10% o Sin Antivirus = 10% 5. ¿Son los antivirus con licencia?

 Interpretación: De todos los equipos de cómputo 1 no tiene antivirus, del resto que si tienen el 89% no tienen licencia mientas que el 11% si tienen.

6. ¿Tipos de procesadores que tienen los equipos de cómputo?

 Interpretación: La evaluación desarrollada sobre los procesadores reflejan el siguiente resultado: o Intel Pentium dual core = 30% o Intel Core i5 = 20% o Intel Pentium IV = 10% o Intel Celeron = 20% o Intel Core 2 duo = 10% o Intel Atom = 10%

Evaluación de Red a. Red Interna: La estructura de comunicación entre los equipos de cómputo es LAN Y WLAN, las direcciones IP están asignadas estáticamente en rangos no públicos. Los equipos no están conectados a internet, al momento de actualizar los antivirus se realiza un puente entre la tarjeta WLAN y LAN lo que habilita el internet en los equipos de la red LAN, al finalizar la actualización se desliga la red LAN de la red WLAN. En la empresa se utiliza 2 tipos de topología de red que son:  Topología Tipo Estrella: Esta topología se usa en el área de sistemas la cual sirve para unir la red LAN con la WLAN por medio de un puente.  Topología Tipo Malla: Es utilizada en el edificio en general ya que todos los equipos están comunicados entre ellos. - Diagrama de Red:

b. Wi-Fi: Solo es utilizado para el departamento gerencial y para actualizar los equipos que se encuentran en la red LAN. Se cuenta con una velocidad de 1 Mb siendo el proveedor del servicio la empresa CLARO S.A. El tipo de autenticaciรณn es WPA2 con tipo de cifrado TKIP, la detecciรณn de la red WLAN esta invisible, los dispositivos ajenos a la red no la pueden detectar

c. Comunicaciones externas: Actualmente no cuenta con comunicaciones externas ya que la sucursal cuenta con propio servidor 41

CAPITULO IV EVALUACION DE LA SEGURIDAD SEGURIDAD FÍSICA Departamento de TI La empresa no cuenta con un departamento de TI porque no es lo suficientemente grande para contar con un departamento de este tipo; pero sí cuenta con personal altamente capacitado que se encarga del mantenimiento, configuración y monitoreo de los equipos. Seguridad sobre Robo o Hurto de los Equipos El equipo de cómputo instalado en la planta baja del edificio esta propenso a robo o hurto debido a que se encuentra en lugares fáciles de acceder por parte de las personas externas que visitan día con día la empresa. Principalmente los monitores que están sobre el mostrador y que pertenecen a: Cliente FERWA, Cliente La Huehueteca y reloj chequeador. Espacio suficiente para los equipos a) Departamento de Ventas Los equipos que se utilizan como servidores (Ferwa y La Huehueteca) y el de control de horarios, no cuentan con el espacio suficiente para ser operados. Los espacios donde están los Cases es bastante reducido por lo que generan calentamiento de los mismos, teniendo el riesgo de que esto provoque la caída del sistema. b) Departamento de Gerencia El inconveniente en este departamento es que se maneja toda la papelería administrativa de la empresa, provocando que los escritorios donde operan sean insuficientes en tamaño, dejando poco espacio para la operación de los equipos, principalmente en el área del gerente administrativo. c) Departamento de Inventarios El área donde opera este departamento es demasiado reducida, limitando el uso de mobiliario adecuado para los equipos y operación de los mismos. Bodega de almacenamiento En la empresa se cuenta con una bodega, ubicada en el quito nivel, en la cual se almacena equipo de computo y papelería relacionada con la empresa en un ambiente adecuado. 43

Tierra Física La empresa no cuenta con Tierra física, siendo este un punto crítico a corregir ya que si hubiese una descarga atmosférica provocaría daño en el equipo y la red. Cableado eléctrico El cableado eléctrico se encuentra correctamente instalado, el inconveniente es que está expuesto en diferentes puntos en el trayecto de la instalación y puede ser dañado o desconectado por personas distraídas. No es posible la identificación de las líneas positivas y negativa debido a que no existe un código de colores para identificar las mismas. El tablero principal de flipones se encuentra sin tapa de protección y se puede visualizar un desorden del cableado eléctrico. Los puntos de conexión se encuentran mal ubicados y desprotegidos. No se cuenta con un plano de la instalación erétrica del edificio, lo que provoca que para futuras conexiones se difícil la identificación de las líneas principales de electricidad. No se cuenta con un interruptor principal de energía que apague todo el tablero completo de flipones. Corriente regulada para los equipos Todos los equipos cuentan con UPS de 750 Amp los cuales tienen una duración de carga de 20 minutos, lo cual les da tiempo a salir del sistema, hacer copias rápidas de seguridad, apagar la red y los servidores. Mantenimientos de Equipos y Red Se realizan mantenimiento a los equipos y la red de manera periódica sin contar con un plan donde se describa procedimientos y fechas para realizar dichos mantenimientos. Para el mantenimiento de los equipos se utilizan productos especiales como: Espuma, aire compresionado que sirven para limpiar las diferentes piezas. Presentar quejas sobre fallo de los equipos Cada usuario de los equipos tiene la suficiente confianza para presentar quejas sobre daños y fallos en los equipos de cómputo y software. Vigilancia 44

La empresa no cuenta con personal de seguridad (guardas), y cámaras de seguridad. Dada la alta vulnerabilidad al robo, este punto se convierte en crítico y es de alta prioridad revertir dicha situación

II.

SEGURIDAD LÓGICA Contraseñas En la empresa se gestionan las contraseñas según el nivel jerárquico e importancia de los datos. Contraseñas de Sistema Operativo:  Departamento de Ventas: En este departamento los equipos de cómputo no cuentan con contraseña, debido a que varios empleados tienen la potestad de encender los equipos.  Departamento de Gerencia: Los sistemas operativos cuentan con contraseñas gestionadas por los propios usuarios.  Departamento de inventarios: Los sistemas operativos cuentan con contraseñas gestionadas por los propios usuarios. Contraseñas de Aplicación:  Departamento de Ventas: En este departamento se ubican los servidores y los puntos de ventas. Los servidores cuentan con una contraseña gestionada por el encargado de caja; que es el responsable de las operaciones realizadas. En los puntos de ventas se cuenta con una contraseña conocida por las personas que pueden facturar.  Departamento de Gerencia: Cuentan con una contraseña que les da acceso según el rol que tengan dentro de la aplicación.  Departamento de inventarios: Cuentan con una contraseña que les da acceso según el rol que tengan dentro de la aplicación. Contraseña de Base de Datos: La persona que provee la aplicación es la una que cuenta con la contraseña para realizar cambios dentro de la base de datos. Contraseña de sistema de control de Usuarios: El gerente Administrativo cuentan con una contraseña para la aplicación © MERC TECH INTERPRISE que lleva el control del ingreso y egresos del personal; los empleados solo colocan su huella digital y les registra el movimiento. 45

Contraseñas fáciles Los usuarios cuentan con contraseñas fáciles de memorizar, esto evita que las almacenen en dispositivos, archivos o papeles. Las contraseñas no cuentan con los estándares mínimos de seguridad como los son: usar más de ocho caracteres, números, letras y símbolos, no usar contraseñas utilizadas anteriormente. No se cuenta con un algoritmo generador de contraseñas ni una persona encargada de asignar las contraseñas. Las contraseñas se cambian al momento de que dejan de ser confidenciales. Los usuarios no utilizan la misma contraseña en las diferentes aplicaciones o sistemas en los cuales tienen acceso. Políticas de seguridad de la información La empresa cuenta con las siguientes políticas de seguridad:  Realizar respaldo de la información (backups) cada día al finalizar la jornada y almacenarlos en el lugar indicado.  No descargar películas y archivos no legales.  No abrir documentos adjuntos sospechosos y en enlaces no solicitados.  No visitar sitios web pornográficos y de contenido ilícito.  No proporcionar datos personales o de la empresa a desconocidos por teléfono o email.  Excesiva o abusiva navegación por internet con fines extra laborales o no justificados por la tarea. Las políticas de seguridad mencionadas anteriormente se cumplen a cabalidad por todos los empleados de la empresa. Las políticas no se actualizan constantemente, ya que no existe un encargado del desarrollo, revisión y evaluación de las mismas. Programas Los empleados ejecutan programas de origen conocido, instalados por el departamento de sistemas y tienen restringido los programas a los que pueden acceder para realizar su actividad dentro de la empresa; todo depende del nivel jerárquico en que se encuentren. Los programas de detección de código malicioso, se actualizan periódicamente. Datos personales 46

Los departamentos de gerencia e inventarios cuentan con una carpeta privada en la cual pueden almacenar datos personales que sean relacionados con la empresa. La seguridad de su información corre por cuenta propia. Al momento de que un empleado deja de laborar en la empresa, puede llevarse sus archivos personales, con previa supervisión del encargado de sistemas; luego se procede a eliminar toda información relacionada con el ex empleado. Controles de acceso lógico La empresa cuenta con controles de acceso lógicos al sistema. Se guarda un log con el registro de los accesos realizados de forma exitosa. Los usuarios tienen acceso únicamente a los recursos que necesitan para desempeñar su labor, evitando así los accesos no autorizados. Además se educan para que utilicen de manera adecuada los mecanismos de acceso a los sistemas de información. Copias de seguridad En la empresa se realizan copias de seguridad diariamente al finalizar la jornada, las cuales se almacenan en una partición del disco duro diferente; existe un responsable de realizar correctamente dichas copias. Estas copias son gestionadas por el encargado de sistemas, el cual únicamente resguarda el backup de mediados de mes y fin de mes; guardándoles en otro disco duro de otra computadora y en DVD’s que son guardados en una bodega de la empresa. Dichas copias garantizan la recuperación y continuidad de toda la información relevante de la empresa. En ocasiones anteriores se han restaurado copias de seguridad y en los procesos han sido satisfactorios, dejando correctamente toda la información a la fecha y hora en la que fue realizado el backup. Las copias de seguridad que contienen información confidencial no son protegidas con mecanismos de cifrado. ¿Qué tipos de archivos lógicos guarda? La empresa guara los siguientes tipos de archivos:  Base de datos: Se almacenan bachups de la base de datos que contienen toda la información de las operaciones de la empresa.  Archivos o Ficheros: Se almacenan archivos con los siguientes controles: - Control de Kilometrajes - Control de Créditos 47

- Control de Cambios de aceite de vehículos - Control de facturas canceladas  Registros: Se almacena información sobre: clientes, proveedores, productos, compras y ventas.  Campos: Cada uno de los registros mencionados anteriormente cuentan con varios campos, como por ejemplo: nit, nombre, dirección, descripción, etc.  Caracteres: Los campos de los registros cuentan con caracteres que se convierten en información.

III.

CONFIDENCIALIDAD. Método de protección de datos La empresa pone en práctica los siguientes métodos para proteger los datos confidenciales:  El uso de contraseñas: Todos los equipos que contienen información confidencial cuentan con contraseñas gestionadas por el usuario responsable.  Protección de red inalámbrica: La red inalámbrica está protegida con contraseña, utilizando el protocolo de encriptación WPA2/PSK. Además la red se encuentra invisible para terceros.  Antivirus: Todos los equipos cuentan con antivirus actualizados.  Firewall de Windows: Todos los equipos cuentan con firewall activado y actualizado. No se cuenta con métodos de encriptación de la información confidencial, se basa solo en la protección básica mencionada anteriormente. Personal Autorizado La información confidencial es accesible únicamente al personal autorizado, principalmente gerencia. Al momento de divulgar esta información, se sanciona a la persona responsable tanto de la información con la persona que divulgo la misma. Enviar información confidencial por internet Para enviar información confidencial por internet, la empresa pone en práctica las siguientes políticas:

 Publicar información solamente en sitios seguros que cuenten con certificados de seguridad.  Enviar información solamente a correos de la empresa o a correos previamente revisados que sean seguros.  Publicar información únicamente con personal de la organización.

CAPITULO V TECNOLOGIAS DE INFORMACION I.

ITIL ITIL es una guía de buenas prácticas de la gestión de servicios de tecnología. Su principal objetivos es: Integrar o Alinear la tecnología en el negocio por medio de una gestión del servicio de TI basada en procesos. La tecnología lo que hace en la empresa es simplificar la realización de los procesos, y poder brindar un mejor servicios a nuestros clientes; hasta cierto punto lo también conlleva una alta dependencia tecnológica. La empresa esta consiente que contar con la última tecnología no garantiza que el negocio sea altamente competitivo, lo que la lleva a trabajar en aspectos tales como: capacitación a vendedores sobre atención al cliente. Dado que la tecnología proporciona valores positivos y también negativos, la empresa se esmera en combatir los aspectos negativos, administrándolos controlándolos para evitar pérdidas dentro de la misma. Una recomendación sumamente importante que proporciona ITIL a la empresa son los llamados Niveles de Cuerpo Operativo en el cual todos los gerentes se comprometen en apoyarse mutuamente en el correcto funcionamiento de la misma. Dentro de la empresa se puede adoptar dicha medida, acordando internamente que los diferentes departamentos (Compras y ventas, Gerencia e Inventarios) se comprometan a apoyar a la unidad de TI para que se puedan entregar a tiempo los servicios. En la empresa se utilizan los elementos de la Gestión de Servicios (conocidos como las 4 P.), siendo estos:  Personas - People  Productos - Products  Proveedores - Providers  Procesos – Processes 49

Las personas se utilizan para entregar productos, los productos se entregan mediante proveedores y los proveedores hacen uso de procesos para llevar a cabo la Gestión de los servicios. Dentro de las metodologías de apoyo para ITIL se encuentra COBIT (Control Objectives for Information and related Technology: Objetivos de Control para Información y Tecnologías Relacionadas) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. Dicha metodología se aplica a la empresa a continuación.

II.

COBIT 5 Ferwa, como todas las empresas, considera la información como su recurso más valioso, este concepto se maneja de la siguiente manera:  La Información constituye un Recurso Clave para la empresa.  La Información se crea, usa, retiene, divulga y destruye.  La Tecnología juega un Papel Clave en esas actividades.  La Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida personal y comercial de Ferwa como empresa. Para lograr valor de TI hacia las partes interesadas de la empresa, se requiere un buen gobierno y una buena administración de los activos de TI y de la información. Los Directivos y Gerentes de la empresa deben acoger la TI como cualquier otra parte importante del negocio. COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr sus metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización. Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la 50

Organizaciรณn, incluyendo el alcance completo de todas las รกreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.

- Principios de COBIT 5:

COBIT 5 es una guía de mejores prácticas presentado como framework, es decir un marco de trabajo, dirigida a la gestión de tecnología de la información (TI)

- Habilitadores de COBIT 5:

El Gobierno, que en este caso sería el encargado de sistemas, asegura el logro de los objetivos de la Organización, al evaluar las necesidades de las partes interesadas, así como las condiciones y opciones; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados. La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización. 53

Esta es una forma ilustrativa de cรณmo podemos implementar COBIT dentro de la empresa:

III.

ANALISIS FODA Debilidades 

Fortalezas

 



Factores Internos

  



Factores Externos   

Existencia de un encargado de sistemas dentro de la empresa. Soporte Técnico personalizado. Personal debidamente capacitado en el uso de los equipo de cómputo. Se cuenta con una red informática (Implementando Topología Estrella y malla). Cuentan con espacios dentro de la red para para compartir archivos. Acceso a Internet denegado para las jerarquías bajas no así para la gerencia. Se realizan copias de seguridad tanto en el disco duro como dispositivos externos como DVD´s. Cuentan con un sistema de información entendible y funcional, se va actualizando. Se cuenta también con un sistema de control de entradas y salidas del personal. Se hace un mantenimiento general de equipos y de red cada 3 meses. La mayoría de equipos cuenta con UPS. Se cuenta con impresoras en casi todos los equipos de cómputo.

      

  



 

Oportunidades    

Crecimiento de mercado. Implementación de un sistema gerencial para sus controles. Amplio mercado para la prestación del servicio. Tecnologías alternativas y de buena calidad.

Poner en práctica lo indicado en los diferentes planes de seguridad que se implementen. Rediseñar eficazmente las áreas, mejorando las instalaciones y reubicando los equipos.

No existen Políticas de Seguridad Informática No se tiene misión ni visión de la empresa Distribución inadecuada de las estaciones de trabajo y servidores. Inexistencia de aire acondicionado. Mala ubicación física de los servidores. Inexistencia de bloqueo de pantalla, al momento de inactividad. Mala estructuración del cableado tanto de la electricidad como de la red. No existe un inventario del equipo con que se cuenta dentro de la empresa. Mala ubicación de los switch en todo el edificio. No existe la cultura de no dejar alimentos o líquidos cerca de los equipos de cómputo. Espacio reducido en unos equipos para operar, también están expuestos. Inexistencia de planes de contingencia y seguridad en la empresa. En el departamento gerencial existe mucho desorden en los escritorios de los usuarios. Equipos de la red en general como los switch, rohuter y demás accesorios no se encuentran en un solo lugar. Los controles gerenciales se manejan en hojas de cálculo y no en un sistema de información. El espacio del departamento de inventarios es muy reducido. No se cuenta con un guardia de seguridad ni sistema de cámaras.

Concientizar al personal respecto a los planes de seguridad y la importancia que tienen dentro de la empresa. Al reestructurar los cableados se tendrá la oportunidad de tener instalaciones seguras y menos vulnerables.

Amenazas 

No existe seguridad en las instalaciones, los equipos y demás accesorios están expuestos al hurto.



Inseguridad informática, los problemas de virus informáticos crecen por la falta de licencias en los antivirus y sistemas operativos.



Fallo en equipos debido a descargas atmosféricas por no contar con tierra física en la instalación eléctrica.



Copias de seguridad guardadas en bodegas fácilmente accesibles.



Fallo en sistema eléctrico o la red debido a la mala estructuración de las instalaciones de este tipo.

Se desarrollaran planes de seguridad y contingencia para reducir los riesgos asociados a las amenazas. Promover el desarrollo y uso de tecnologías para incrementar productividad. Implementar sistema de cámaras o contratar un guardia de seguridad para resguardar la empresa.

Colocación de tierra física en el contador de luz para evitar descargas atmosféricas. Implementar sistemas biométricos en las bodegas donde se almacenan las copias de seguridad.

Colocar sistemas operativos y licencias a los equipos de cómputo para mejorar su seguridad.

CAPITULO VI SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA.

PROPÓSITO El propósito de establecer el plan de seguridad de CORPORACION DIFERWA S.A. es proteger la información y los activos de la organización, en búsqueda de garantizar la confidencialidad, integridad y disponibilidad de los datos y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización. Estas políticas surgen como el instrumento para sensibilizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de tal forma que permitan a la empresa cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso de la empresa, experiencia técnica para establecer fallas y deficiencias, y constancia para renovar y actualizar dicha política en función de un ambiente dinámico. OBJETIVO

 Realizar un Plan de Seguridad Informática para CORPORACION DIFERWA S. A. definiendo los lineamientos para promover la planeación, diseño e implementación de un modelo de seguridad en dicha empresa con el fin de establecer una cultura de seguridad. ANTECENDENTES

Mediante la propuesta del grupo de estudiantes de la carrera de Ingeniería en Sistemas de la Universidad Mariano Gálvez de Guatemala del Campus de Huehuetenango, se llevó a cabo una Auditoría de Seguridad Informática y con base en ella, se establece el presente plan de seguridad. ALCANCE

Este documento se aplica para todos los empleados de la empresa, así como a proveedores y personal externo que desempeñen labores y le proporcionen algún tipo de servicio y/o producto a CORPORACION DIFERWA S. A. VIGENCIA

El presente Plan de Seguridad Informática entra en aplicación a partir del 1 de Enero de 2,014, posterior a su aprobación en asamblea general. AUTORIDAD DE EMISION 58

Este documento es emitido por el grupo de estudiantes del XII Ciclo de la carrera de Ingeniería en Sistemas de la Universidad Mariano Gálvez de Guatemala, establecidos en el Campus de Huehuetenango como Proyecto de los cursos de Seguridad de Sistemas y Auditoria de Sistemas. CONTENIDO

Este plan presenta las Políticas de Seguridad Informática cuyo contenido se agrupa en los siguientes aspectos. 1. 2. 3. 4. 5. 6.

SEGURIDAD LOGICA. SEGURIDAD EN LAS COMUNICACIONES. SEGURIDAD DE LAS APLICACIONES. SEGURIDAD FISICA. ADMINISTRACION DEL CENTRO DE COMPUTOS. AUDITORIA Y REVISIONES.

DESARROLLO

En el presente Plan de Seguridad Informática se desarrollan normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información. Este deberá ser aprobado por los directivos de CORPORACION DIFERWA S.A. para su implementación. Estas políticas de seguridad informática y las medidas de seguridad en ellas especificadas deben ser revisadas periódicamente, analizando la necesidad de cambios y/o adaptaciones para cubrir los riesgos existentes y auditando su cumplimiento.

SEGURIDAD LOGICA. 1.1. Identificación: (ID’s)  Deberá existir una herramienta para la administración y control de accesos a los datos. 

Debe existir una política formal de control de accesos a datos donde se detalle como mínimo:  El nivel de confidencialidad de los datos y su sensibilidad.  Los procedimientos de otorgamiento de claves de usuarios para el ingreso a los sistemas.

 Los estándares fijados para la identificación y autenticación de usuarios.  Para dar de alta a un usuario al sistema debe existir un procedimiento formal, por escrito que regule y exija el ingreso de los siguientes datos o identificación del usuario, siendo única e irrepetible:  Password: es personal e ingresado por el usuario.  Nombre y apellido: conforme DPI.  Sucursal de la empresa donde se emplea: verificar si es verídico.  Grupo de usuarios al que pertenece: corroborar registros.  Fecha de expiración del password.  Fecha de anulación de la cuenta.  Contador de intentos fallidos.  Autorización de imprimir.  Autorización a áreas de trabajo. 

Deben asignarse los permisos mínimos y necesarios para que cada usuario desempeñe su tarea.



Debe existir una manera de auditar (lista de control de acceso) todos los requerimientos de accesos y los datos que fueron modificados por cada usuario, y si este tiene los permisos necesarios para hacerlo.



Deben restringirse el acceso al sistema o la utilización d recursos en un rango horario definido, teniendo en cuenta que:



 Las cuentas de usuarios no deben tener acceso al sistema en horarios no laborales, esto de acuerdo al grupo al que pertenezcan.  En días feriados las cuentas de usuarios administrativos, a excepción de los del departamento de ventas, deben permanecer desactivadas. Deben restringirse las conexiones de los usuarios solo a las estaciones físicas autorizadas, en estas se comprenden:  Puntos de venta. o Según relación laboral con cada empresa. 60



o Gerencia según relación laboral de cada empresa. o Caja, contar con un nivel de acceso por medio de autenticación tanto de aplicación como de Sistema Operativo. o Los usuarios que no son administradores debe autenticarse solamente desde las terminales. El administrador del sistema deberá efectuar un chequeo mensual de los usuarios del sistema, comprobando que existen los usuarios que son necesarios y que sus permisos sean los correctos.



El área de recursos humanos deberá comunicar a administrador los cambios de personal que se produzcan.



Para dar baja a un usuario deberá existir un procedimiento formal por escrito, a través del cual los datos del usuario no se eliminaran sino que se actualizara la fecha de anulación de su cuenta quedando registro en el log o histórico de la empresa.



De debe bloquear el perfil de todo usuario que no haya accedido al sistema dentro de un periodo razonable de tiempo.



Los usuarios del sistema solamente podrán abrir una sesión de cada aplicación, y no podrán abrir dos sesiones en dos terminales distintas al mismo tiempo.



Debe existir un administrador total del sistema.



Los administradores deben efectuar tareas de mantenimiento, deben contar con otro perfil de acceso menor denominado mantenimiento.



Si se realiza un mantenimiento externo, debe crearse una cuenta con este perfil para seguridad del sistema.

1.2. Autenticación:  La pantalla de login deberá mostrar los siguientes datos:  Usuario.  Password.  Opción para cambiar clave.  Mientras el usuario está ingresando su contraseña esta no debe ser visible. 61



La aplicación para administrar los datos de usuarios solo deberá ejecutarse en máquinas designadas.

 Deberán encriptarse:  Lista de control de accesos.  Los password’s y cuentas de usuarios.  Los datos de autenticación de los usuarios mientras son transmitidos a través de la red. 1.3. Password:  Los password’s deberán tener las siguientes características:  Conjunto de caracteres alfa-numéricos.  Longitud mínima de ocho caracteres.  El password debe inicializarse como expirado, para obligar el cambio.  La fecha de expiración de password deberá ser a cada mes. 

El password no deberá contener el nombre de la empresa, el nombre del usuario ni palabras reservadas.



Bloquear el perfil de todo usuario que haya querido acceder de forma fallida por más de cuatro veces consecutivas.



Si un usuario olvida el password, la aplicación no deberá mostrarle el password al administrador, para tener una buena administración de este.



Un usuario no debe divulgar su contraseña a terceros, este es el único responsable de las modificaciones de los registros en el sistema.



No se deben contar con duplicidad de password’s en los diferentes niveles de dirección, operación y gerencia de la empresa.

1.4. Segregación de funciones:  Debe existir una adecuada y documentada separación de funciones dentro del área operativa, de ventas, bodega, gerencia, repartidores, personal de control de existencia, personal de sistemas.



El área de sistemas debe encontrarse dentro del organigrama de la empresa en una posición tal que garantice la independencia necesaria respecto a las áreas usuarias.



Deberá realizarse una rotación dentro de los puntos de venta y de los demás puntos de la organización para tener un control del desempeño que los empleados tiene en un periodo de tiempo.

SEGURIDAD EN LAS COMUNICACIONES. 2.1. Topología de Red:  Se deberá asegurar la integridad, exactitud, disponibilidad y confidencialidad de los datos transmitidos, ya sea a través de dispositivos de hardware, de los protocolos de transmisión, o de los controles aplicativos. 

Deberá existir documentación detallada sobre los diagramas topológicos de las redes, tipos de vínculos y ubicación de nodos.



Deberán existir medios alternativos de transmisión en caso de que alguna contingencia afecte al medio primario de comunicación.

2.2. Conexiones externas:  Asegurar la definición e implementación pertinentes para el control de las actividades de usuarios externos del organismo a fin de garantizar la adecuada protección de los bienes de información de la organización. 

La conectividad a Internet será otorgada para propósitos relacionados con el negocio y mediante una autorización de la Gerencia. Los usuarios no autorizados deberán estar imposibilitados de conectarse al exterior.



Los usuarios de la empresa que se conecten a Internet deben recibir capacitación específica respecto a su funcionalidad y a los riesgos y medidas de seguridad pertinentes.



Deben asegurarse que la totalidad del tráfico entrante y saliente de la red interna, sea filtrado y configurado por un firewall prohibiendo el pasaje de todo el tráfico que no se encuentre expresamente autorizado. 63



Todas las conexiones a Internet de la empresa deben traspasar un servidor Proxy una vez que han traspasado el firewall.



Deben documentarse los servicios provistos a través de Internet y definirse las responsabilidades en cuanto a su administración. No se publicará en Internet datos referidos a las cuentas de correo de los empleados, deberán exigir cuentas especiales asignadas a cada área de la empresa.



Cada vez que se establezca una vía de comunicación con terceros (personal de mantenimiento externo, fabricas, proveedor de servicios de Internet, etc.) los mecanismos de transmisión y las responsabilidades de las partes deberán fijarse por escrito.



La información enviada a través de equipos de comunicaciones de la empresa se considera privada. Cabe aclarar que la información no es pública, a menos que en forma expresa se indique lo contrario.



El uso de Internet debe ser monitoreado constantemente, si existe alguna razón que indica que la seguridad pudiera estar siendo violada, la compañía puede revisar el contenido de las comunicaciones en Internet.



El acceso casual a los mensajes de correo electrónico por los administradores y similares, se considera una violación a la política de seguridad de la información. Sin embargo la gerencia tiene el derecho de examinar cualquier información, sin previo consentimiento o notificación del empleado, en caso que se considere que se está utilizando inadecuadamente el recurso de la corporación.



De ser necesario realizar mantenimiento remoto a los servidores, se utilizaran protocolos y servicios de comunicación que garanticen la seguridad de los datos que se transmiten a través de la red, utilizando encriptación.



Para llevar a cabo tareas de mantenimiento deberá solicitarse formalmente la dirección IP del servidor de Internet y el password de la cuenta de mantenimiento al administrador del centro de cómputos o encargado de informática de la corporación.

2.3. Configuración lógica de red:  El riesgo aumenta con el número de conexiones a redes externas, por lo tanto la conectividad debe ser la mínima necesaria para cumplir con los objetivos de la empresa. 

El esquema de direcciones de la red interna no debe ser visible ante las conexiones externas.



Deberá asegurarse que la dirección IP de la empresa sea un número variable y confidencial.



Los recursos lógicos o físicos de los distintos puestos de trabajo no deben ser visibles en el resto de la red informática. Los recursos de los servidores serán visibles solo en los casos necesarios y con las medidas de seguridad correspondientes.



Deben tomarse los recaudos necesarios para restringir todo tipo de aplicaciones que no ayudan al cumplimiento de los objetivos de la organización, tales como herramientas de chateo o “file sharing”.

2.4. Mail:  La Gerencia determinará que empleados deben contar con una cuenta de correo electrónico, según lo amerite su tarea. 

Deberá existir un procedimiento formal para dar de alta y de baja las cuentas de correo electrónico en el sistema informático.



La empresa deberá contar con un sistema de mail externo y uno interno, con diferentes dominios. De esta manera, las comunicaciones entre el personal de la empresa se realizarán sin exponer los mensajes a Internet.



Los aplicativos de correo electrónico deben brindar las condiciones de seguridad necesarias para evitar los virus informáticos o la ejecución de código malicioso, deben brindar la facilidad de impedir que un usuario reciba correos de un remitente riesgoso para los recursos de la empresa.



Todas las cuentas de correo que pertenezcan a la empresa deben estar gestionadas por una misma aplicación. Esta debe asociar una cuenta de correo a una PC en particular de la red interna.



El administrador de mail no debe ser utilizado para enviar correo basura (SPAM).



Los mensajes de correo electrónico deben ser considerados como documentos formales y deben respetar todos los lineamientos referentes al uso inapropiado del lenguaje.



El correo electrónico no debe ser utilizado para enviar cadenas de mensajes, no debe relacionarse con actividades ilegales y no éticas o para mensajes no relacionados con los propósitos de la empresa.



Los datos que se consideraron “confidenciales” o “críticos” deben encriptarse.



Debe existir un procedimiento de priorización de mensajes, de manera que los correos electrónicos de prioridad alta sean resguardados.



Deberá asignarse una capacidad de almacenamiento fija para cada una de las cuentas de correo electrónico de los empleados.

2.5. Antivirus:  En todos los equipos en la empresa debe existir una herramienta antivirus ejecutándose permanentemente y en continua actualización. 

Deberá utilizarse más de una herramienta antivirus en los servidores, para así disminuir el riesgo de infección.



Deberán existir discos de rescate de los antivirus, tanto para los servidores como para los puestos de trabajo, que sean capaces de realizar escaneos de virus a bajo nivel y restaurar los sistemas.



La actualización de los antivirus de todos los equipos de la empresa deberá realizarse a través de un procedimiento formal y, si es posible, automático, a cargo de un empleado del centro de cómputos designado por el administrador.



Deberán programarse escaneos periódicos de virus en todos los equipos de la empresa; esta tarea estará a cargo de personal designado por administrador del centro de cómputos.



Deberá existir un procedimiento formal a seguir en caso que se detecte un virus en algún equipo del sistema.

2.6. Firewall:  El firewall de la empresa debe presentar una postura de negación preestablecida, configurado de manera que se prohíban todos los protocolos y servicios, habilitando los necesarios. 

Los servicios o protocolos que solo sean necesarios esporádicamente deberán habilitarse on demand (en demanda). Aquellos que sean considerados riesgosos deberán habilitarse bajo estrictas limitaciones de uso, considerando el equipo desde el que se utilizará, hacia qué destino, las fechas y los horarios para dichas conexiones. A modo de ejemplo, esto puede aplicarse a la utilización del protocolo FTP para la comunicación con las fábricas.



El encargado de mantenimiento debe controlar periódicamente la configuración del firewall y los servicios de red, documentando los resultados de dichas pruebas.



De haber una falla en el firewall, debe ser una “falla segura”, lo que significa que todos los accesos al servidor de Internet deben bloquearse.

2.7. Ataques de Red:  Toda la información que se considere confidencial deberá encriptarse durante la transmisión, o viajar en formato no legible. 

Deben existir procedimientos formalmente documentados destinados a prevenir los ataques de red más frecuentes.



Se deberá usar algún sistema de detección de intrusos (IDS), tolerantes al fallo, utilizando los mínimos recursos posibles.



Deberá utilizarse una herramienta que monitoree la red, con el fin de evitar el ataque de denegación de servicio (DOS). 67



Para disminuir el riesgo de sniffing, la red de la empresa deberá segmentarse física y/o lógicamente.



Con el fin de disminuir la posibilidad de spoofing el firewall deberá denegar el acceso a cualquier tráfico de red externo que posea una dirección fuente que debería estar en el interior de la red interna.



Los archivos de passwords y datos de usuarios no deberán almacenarse en el directorio por default destinado a tal fin. Además deberán estar encriptados utilizando encriptación en un solo sentido (“one way”), con estrictos controles de acceso lógico, de manera de disminuir la posibilidad de ataques.

SEGURIDAD DE LAS APLICACIONES. 3.1. Software:  El sistema operativo de los servidores deberá presentar las siguientes características: o Alta confiabilidad. o Equilibrio en costo y beneficio, o compatibilidad e interoperatividad con los sistemas operativos de las PCś y demás sistemas usados en la empresa. o Escalabilidad. o Disponibilidad de software de aplicación y actualizaciones. o Buena administración y generación de logs. o Buena performance. o Cumplir con los requerimientos funcionales impuestos por la empresa. o Amigable con el usuario. o Disponibilidad de documentación.  Con relación a la seguridad: o Identificación y autenticación. o Control de acceso. o Login. o Incorruptibilidad. o Fiabilidad. o Seguridad en la transmisión. o Backups de datos. o Encriptación. 68

o Funciones para preservar la integridad de los datos. o Requerimientos sobre privacidad de datos. 3.2. Seguridad de base de datos:  El administrador de sistemas deberá confeccionar un Plan de Migración desde archivos indexados a bases de datos relacionales, una vez que el sistema esté desarrollado en su totalidad. 

Los archivos indexados de la empresa, las carpetas donde se encuentran almacenados y las aplicaciones que los administran deberán tener controles de acceso, de forma tal que la única persona que pueda tener acceso a estos recursos sea el administrador del centro de cómputos.



Debe existir una aplicación que registre las siguientes ocurrencias: o o o o o o o



Tiempo y duración de los usuarios en el sistema. Número de conexiones a bases de datos. Número de intentos fallidos a conexiones de bases de datos. Ocurrencias de Deadlock con la base de datos. Estadísticas de entrada-salida para cada usuario. Generación de nuevos objetos para bases de datos. Modificación de datos.

Debe hacerse chequeos regulares de la seguridad de la base de datos, en los que se deberá verificar que: o Se hacen y son efectivos los backups y los mecanismos de seguridad. o No haya usuarios de la base de datos que no tengan asignado una contraseña. o Se revisen los perfiles de los usuarios que no han usado la base de datos por un periodo largo de tiempo. o Nadie, además del administrador de datos, ha accedido a los archivos del software de base de datos y han ejecutado un editor de archivos indexado. o La base de datos y las aplicaciones que la administran tiene suficientes recursos libres para trabajar eficientemente.



Deben mantenerse registros de todas las transacciones realizadas en la base de datos, de manera que éstas puedan revertirse en caso 69

de surgir un problema. Los registros de la base de datos no se borrarán físicamente, sino que deberán marcarse como eliminados. 

Deberá existir una clasificación de los datos en base a su sensibilidad para definirlos como críticos y así determinar controles específicos. Se deberán definir tres niveles de información: o Critica:  La no-disponibilidad de esta información ocasiona un daño en los activos de la empresa. 

Se considera recurso crítico a aquel recurso interno que debe estar disponible solamente para un conjunto determinado de personas, debe ponerse un cuidado especial en información que por ley o que por políticas de la empresa debe permanecer confidencial; la clasificación de un recurso como crítico deberá incluir los criterios para determinar quiénes tienen acceso a él. De ser necesaria su transmisión por redes externas o su almacenamiento en sistemas de la red perímetro, deberán tomarse medidas de seguridad extremas, la información deberá encriptarse.

o Confidencial:  En poder de personas no autorizadas compromete los intereses de la empresa. 

Se considera recurso confidencial a todo aquel que solo deberá utilizarse y ser del consentimiento de miembros de la empresa y por defecto todo aquel recurso que no haya explícitamente clasificado como disponible al público.

o Publica:  Información de libre circulación. 

Se considera recurso disponible al público aquel que no requiere permanecer como de uso interno y que explícitamente se ha clasificado como un recurso público. 70

Esta clasificación deberá documentarse e informar a todo el personal de la organización, deberá actualizarse y evaluarse periódicamente. Deberá ser un responsable a cada área de la empresa, que responda por la información que se maneja en dicho sector. Deberá definir la clasificación de los datos y controles de acceso que son necesarios, junto con el administrador del sistema. 3.3. Control de aplicaciones en PC’s:  Deberán existir estándares de configuración de los puestos de trabajo, servidores y demás equipos de la red informática. 

En base al estándar se deberá generar un procedimiento donde se especifique qué aplicaciones deben instalarse de acuerdo al perfil de cada usuario y con qué frecuencia se harán las actualizaciones de dichas aplicaciones.



Las aplicaciones solo se actualizarán debido al reporte de algún mal funcionamiento o a un nuevo requerimiento por parte de los usuarios o del personal del centro de cómputos.



Antes de hacer un cambio en la configuración de los servidores se deberá hacer un backup de la configuración existente. Una vez que el cambio ha resultado satisfactorio deberá almacenarse la configuración modificada.



Se deberá establecer un procedimiento de emergencia para dejar sin efecto los cambios efectuados y poder recuperar las versiones autorizadas anteriores en el caso de generarse problemas.



Se deberán documentar no solo el procedimiento de instalación y reparación de equipos, sino además cada uno de los mantenimientos que se les realicen.



Deberán generarse historiales y así calcular datos estadísticos de los cambios realizados y los errores reportados.



En el momento en que un nuevo usuario ingrese a la empresa, se lo deberá notificar y deberá aceptar que tiene prohibida la instalación de cualquier producto de software en los equipos. 71



Se deberán realizar chequeos periódicos en las PCś, los servidores y demás equipos, en búsqueda de aplicaciones instaladas no autorizadas o innecesarias.

3.4. Control de datos en las aplicaciones:  Los datos de entrada y salida del sistema deberán poseer controles donde se verifique su integridad, exactitud y validez. 

Los datos de salida del sistema de la empresa deben restringirse con controles lógicos, de acuerdo a los permisos de acceso.



Deberán protegerse con controles de acceso las carpetas que almacenen los archivos de las aplicaciones, y solo el administrador de sistemas tendrán acceso a ellas.



Se deberá utilizar un programa de sincronización horaria en todo el entorno de red, para asegurar la consistencia de los datos de las aplicaciones.

3.5. Ciclo de vida:  Deberá utilizarse un plan detallado de sistemas, donde se definan las asignaciones de recursos, el establecimiento de prioridades y responsabilidades, la administración de tiempos y la utilización de métricas de software. Esta norma deberá aplicase tanto para el desarrollo de las aplicaciones como para las modificaciones que se realicen. 

Antes de realizar alguna modificación en el sistema, deberá realizarse un análisis del impacto de este cambio.



Se deberá implementar una gestión de configuración, y deberán documentarse los cambios desarrollados en las aplicaciones.



Deberá existir un documento formal de solicitud de cambios, donde quede reflejado el motivo y la solicitud del cambio, allí se agregarán los requerimientos de seguridad necesarios, definidos por el responsable de la información y el administrador de sistemas. La documentación de los cambios debe incluir: o Sistema que afecta. o Fecha de la modificación. 72

o Desarrollador que realizo el cambio. o Empleado que solicito el cambio. o Descripción global de la modificación. 

El formulario anterior se utilizara para actualizar la documentación del desarrollo y de los distintos manuales generados.



Deberán realizarse pruebas del software desarrollado, para esto se generarán planes y escenarios de prueba y se documentarán los resultados.



Todo nuevo desarrollo o modificación deber estar probado y aprobado por los usuarios del mismo antes de su instalación en el ambiente de trabajo.



La metodología para el desarrollo y mantenimiento de sistemas debe contemplar una revisión de post-implantación del sistema en operación, que deberá determinar si se han logrado los objetivos previstos, y si se ha alcanzado la satisfacción de las necesidades planteadas por los usuarios.



Se deberá informar por escrito la importancia de la seguridad de la información a todo el personal contratado, terceros y consultores. El administrador del centro de cómputos, junto con los directivos, serán quienes: o Especifiquen los requerimientos de seguridad. o Determinen los pasos a seguir en caso que no se respete lo establecido en el contrato. o Establezcan cláusulas de confidencialidad de la información. o Exijan al tercero en cuestión que informe posibles brechas de seguridad existentes.



Los contratos de terceros deberán contener una cláusula que indique “Derecho de auditar el desempeño del contratado”.



Con respecto a la contratación de terceros para el desarrollo de aplicaciones, éste deberá entregar a la empresa: o Aplicación ejecutable. o Código fuente de la aplicación. o Documentación del desarrollo. 73

o Manuales de uso. 

Antes de realizar la compra de una aplicación de software deberá: o Realizarse un análisis de costo-beneficio. o Comprobar la adaptabilidad a los sistemas existentes en la empresa. o Evaluar las medidas de seguridad que posee. o Asegurar un servicio post-venta apropiado. o Solicitar la misma documentación que se exige a los terceros.

SEGURIDAD FISICA. 4.1. Equipamiento:  Deberá existir una adecuada protección física y mantenimiento permanente de los equipos de cómputo e instalaciones que conforman los activos de la empresa.

4.1.1. Control de acceso físico a los centros de cómputo:  Se deberá restringir el acceso físico a las áreas críticas a toda persona no autorizada, para reducir el riesgo de accidentes y actividades fraudulentas. 

Se deberá asegurar que todos los individuos que entren a áreas restringidas se identifiquen y sean autenticados y autorizados para entrar.



Cualquier persona ajena a la empresa que necesite ingresar al centro de cómputos deberá anunciarse en la puerta de entrada, personal de sistemas designado deberá escoltarlo desde la puerta hacia el interior del edificio, acompañándolo durante el transcurso de su tarea, hasta que éste concluya.



Se deberán utilizar sistemas de monitoreo automáticos o manuales, que controlen el centro de cómputos y su ingreso constantemente.



El área del centro de cómputos donde se encuentran los servidores, el switch central y demás equipamiento crítico solo debe tener permitido el acceso a los administradores.



El personal de los centros de procesamiento así como el personal contratado sólo podrá permanecer en las instalaciones de las empresas durante el horario autorizado. Se deberá establecer un procedimiento de autorización para el personal que deba permanecer fuera de su horario habitual de trabajo.



Deberán existir guardias de seguridad en permanente monitorización, durante el horario laboral. Se deberán ubicar en el exterior y el interior de la empresa.



Se debe realizar un adecuado mantenimiento y prueba de los procedimientos para la restricción de acceso físico, así como de los dispositivos de seguridad para la prevención, detección y extinción del fuego.

4.2. Control de acceso a equipos:  Las disqueteras y lectoras de CD deberán deshabilitarse en aquellas máquinas en que no se necesiten. 

Las PCś de la empresa deberán tener un password de administrador en el BIOS, que deberá gestionar el administrador del sistema.



Los servidores deberán tener una llave de bloqueo de hardware.



Cualquier dispositivo externo que no se encuentre en uso, deberá permanecer guardado bajo llave dentro del centro de cómputos.



Los gabinetes donde se ubican los switches de cada una de las sucursales, deberán permanecer guardados bajo llave, y fuera del alcance de personal no autorizado.



El administrador o algún encargado de cómputos designado por él, deberá realizar chequeos periódicos para comprobar:

4.3. Dispositivos de soporte:  Deberán existir los siguientes dispositivos en la empresa: o Aire acondicionado y calefacción: en el centro de cómputos la temperatura debe mantenerse entre 19º C y 20º C.

o Matafuegos: deberán ser dispositivos químicos y manuales que cumplan las especificaciones para extinguir incendios en equipos eléctricos de computación;  Deberán estar instalados en lugares estratégicos de la empresa.  El centro de cómputos deberá contar con uno propio ubicado en la habitación de los servidores. o Alarmas contra intrusos: deberán contar con una alarma que se active en horarios no comerciales. Ésta deberá poder activarse manualmente en horarios laborales ante una emergencia. o Generador de energía: deberá existir un generador de energía que se pondrá en marcha cada vez que haya problemas con el suministro de energía eléctrica o avisos de cortes de luz. o UPS:(Uninterruptible Power Supply) deberá existir al menos un UPS en el centro de cómputos que atienda a los servidores, con tiempo suficiente para que se apaguen de forma segura. o Luz de emergencia: deberá existir una luz de emergencia que se active automáticamente ante una contingencia. o Estabilizador de tensión: deberá existir al menos un estabilizador de tensión que atienda la línea de energía eléctrica independiente del centro de cómputos. o Descarga a tierra: deberán existir métodos de descargas de tierra para el edificio y otra independiente para el centro de cómputos. 

Todos estos dispositivos deberán ser evaluados periódicamente por personal de mantenimiento.



Deberá existir una llave de corte de energía general en la salida de emergencias del edificio.



Deberán existir procedimientos detallados a seguir por el personal en caso de emergencias, indicando responsables, quiénes deben estar adecuadamente capacitados. 76

4.4. Estructura del edificio:  El centro de cómputos deberá ubicarse en un piso superior del edificio. 

Debe tener protecciones electromagnéticas y visuales.



Todas las salidas hacia el exterior del centro de cómputos deberán estar protegidas con rejas y métodos que impidan la visión.



En el diseño del centro de cómputos deberá tenerse en cuenta el futuro crecimiento de la empresa, permitiendo la expansión del mismo y predisponiéndolo a reinstalaciones, conservando siempre recursos redundantes.



Los sectores de la empresa deberán estar divididos entre sí, con un medio que restrinja la visión.

contra

ruidos

interferencias

4.5. Cableado estructurado:  El cableado debe seguir las normas del cableado estructurado, que garantizan el funcionamiento eficiente de la red. 

Si el tendido del cableado se terceriza (otros proveedores), la empresa encargada debe prestar garantías escritas sobre su trabajo.



Se deberá documentar en planos los canales de tendidos de cables y las bocas de red existentes.



Debe existir tendido de cableado redundante para futuros puestos de trabajo.

Estos cables no deben tener bocas de red instaladas. 

Deberá medirse periódicamente el nivel de interferencia que existe en la red. Si este nivel excede un mínimo permitido, deberán tomarse las acciones correctivas necesarias.



Deberá medirse periódicamente nivel de ancho de banda de red ocupado. Si este nivel excede un mínimo permitido, deberán tomarse las acciones correctivas necesarias. 77



En el caso de ocurrir esta contingencia con la continuidad del servicio de red, deberá existir un sistema informático off line para los sectores críticos de la empresa.



Deberá existir un procedimiento manual de respaldo para realizar las tareas cotidianas.



Ante un corte del suministro de energía eléctrica deberán apagarse los equipos del centro de cómputos de forma segura, como medida de prevención.

ADMINISTRACION DEL CENTRO DE COMPUTOS. 5.1. Administración del CPD:  La empresa deberá asegurar la correcta organización y administración del área de sistemas a fin de que ésta brinde condiciones generales de operación que posibiliten un ambiente adecuado de control. 

Se deberá designar en la dirección del área un profesional que acredite experiencia en el manejo de los recursos informáticos y comprenda los riesgos y problemas relativos a la tecnología y sistemas de información. Es su obligación y responsabilidad el mantener seguros los sistemas que operan.



Deberá designarse un encargado de la seguridad del sistema, que coordine las tareas correspondientes, haciendo cumplir las políticas de seguridad en toda la empresa.



Deberá existir una planificación formalizada y completa de las actividades que se desarrollan normalmente. Deberán designarse responsabilidades claras y documentadas para actividad



Deberá desarrollarse un plan de sistemas a corto plazo, con contenga un cronograma de las actividades, asignación de prioridades, recursos, sectores involucrados y la totalidad de las tareas a llevarse a cabo durante un periodo de un año.



Deberá desarrollarse de un plan estratégico a largo plazo, que contenga los proyectos principales y los cronogramas de su implementación, para un periodo de por lo menos 3 años.



Ambos planes deben tener objetivos concordantes con los de la organización, y deben supervisarse continuamente permitiendo su actualización en caso de ser necesario.



Deberán generarse reportes trimestrales dirigidos al Directorio de la empresa, informando sobre las actividades en el centro de cómputos, el progreso de los planes propuestos y el cumplimiento de las políticas impuestas.



El equipo de sistemas debe hacer hincapié en la concienciación de todos los usuarios, generando una cultura de la seguridad, haciéndolos partícipes de las medidas de seguridad, tanto los usuarios actuales como los que se incorporen en el futuro. El proceso de concienciación debe ser renovado y transmitido a los usuarios en forma anual.



Los usuarios solicitarán asesoramiento o servicios al centro de cómputos a través de mails, de manera que se genere un registro de los trabajos efectuados por los empleados del centro de cómputos y de las solicitudes de los empleados.



Deberá implementarse un buzón de sugerencias donde los usuarios recomienden mejoras o realicen comentarios, expresando sus inquietudes.



Deberá existir un procedimiento para realizar la publicidad de políticas, planes o normas de la empresa y sus modificaciones.



Deberá existir un encargado de llevar a cabo el mantenimiento preventivo el equipamiento informático de la empresa, monitorizando, chequeando y auditando las PCś y demás dispositivos que conforman la red.



Los administradores deberán informar en tiempo de suspensiones en el servicio necesarias por mantenimiento, especificando fecha, hora y duración de la suspensión.



Deberá generarse un inventario detallado donde se describan los sistemas de información y de los equipos de cómputos utilizados en la organización.



Deberá asignarse un responsable de mantenerlo actualizado y de realizar controles periódicos.



Deberán existir procesos para rotular, manipular y dar de baja el equipamiento informático.



Los medios de instalación originales del software deberán respaldarse y resguardarse adecuadamente, en caso de que no sean de solo lectura, siempre se mantendrán con las protecciones contra escritura que estén disponibles para el medio. En la medida de lo posible se evitará instalar el software directamente de los medios originales.



Debe existir un procedimiento para controlar que en el organismo solamente utilicen productos de software adquiridos por vías oficiales.

5.2. Capacitación:  El personal del centro de cómputos debe mantenerse capacitado respecto de las tecnologías utilizadas en la organización. 

Debe impartirse capacitación a los usuarios finales a efectos de que puedan operar adecuadamente los recursos informáticos.



El personal debe ser entrenado respecto al cumplimiento de lo especificado en la política de seguridad informática. Se debe entregar una copia de la misma a cada empleado.



Se debe obtener un compromiso firmado por parte del personal respecto al cumplimiento de las medidas de seguridad definidas en la política de seguridad informática, destacando específicamente el mantenimiento de la confidencialidad de las claves de acceso, la nodivulgación de información de la organización, el cuidado de los recursos, la utilización de software sin licencia y el reporte de situaciones anormales. Debe confirmarse este compromiso anualmente o cada vez que se produzcan cambios en las funciones asignadas al personal.



Asegurar que los empleados reciban capacitación continua para desarrollar y mantener sus conocimientos competencia, habilidades y 80

concienciación en materia de seguridad informática dentro del nivel requerido a fin de lograr un desempeño eficaz.

5.3. Backup:  Se deberá asegurar la existencia de un procedimiento aprobado para la generación de copias de resguardo sobre toda la información necesaria para las operaciones de la organización, donde se especifique la periodicidad y el lugar físico donde se deben mantener las copias generadas. 

La periodicidad de la generación de los resguardos debe ser acorde a la criticidad de la información y la frecuencia de cambios.



La ubicación de los backups debe contar con adecuadas medidas de seguridad, sin estar expuestos a las mismas contingencias que el centro de cómputos, es decir que deberán almacenarse en el exterior de la empresa, y ser transportados en un medio resistente que los proteja. Debe designarse un responsable y un suplente encargados de su custodia, y se generará un registro de los movimientos de estos medios.



Los archivos de backup deben tener un control de acceso lógico de acuerdo a la sensibilidad de sus datos, además de contar con protección física.



El administrador del centro de cómputos debe designar un responsable de la realización de las copias de seguridad y de su restauración, y un suplente de éste primero.



El procedimiento de generación de backup deberá estar automatizado con alguna herramienta de generación de copias de respaldo de datos.



Deberán realizarse chequeos para comprobar el funcionamiento correcto de los medios externos donde se realizan las copias de respaldo. Además debe existir una política de reemplazo de medios externos de almacenamiento de backups, de manera de sustituirlos antes de su degradación física, y deberán poseer rótulos identificatorios.



Deberá existir un procedimiento de recuperación de copias de respaldo, donde se incluya la metodología a seguir y el responsable de la realización.



Deberán realizarse chequeos para comprobar procedimientos de restauración son eficientes.



Debe existir una política de documentación de copias de respaldo, donde se registren todos los datos necesarios para la gestión del procedimiento de backup.



Se deberá llevar un inventario actualizado de las copias de respaldo.



Deben generarse copias de respaldo de las configuraciones de los servidores, documentando las modificaciones realizadas para identificar las distintas versiones. Se deberá establecer un procedimiento de emergencia para dejar sin efecto los cambios efectuados y poder recuperar las versiones autorizadas anteriores.



No deberán utilizarse los servidores de la empresa como medios de almacenamiento de las copias de respaldo de ningún sistema.



Se deberá generar una copia de respaldo de toda la documentación del centro de cómputos, incluyendo el hardware, el software, y el plan de contingencias, la cual deberá ser de acceso restringido y estar físicamente en un lugar distinto a los centros de procesamiento.

que

los

5.4. Documentación:  Deberá generarse un soporte de documentación, con información correcta, consistente y actualizada, sobre políticas, normas, estándares, procedimientos y manuales. Deberá asignarse un responsable a cargo de la gestión de la documentación en el centro de cómputo. 

Deberán existir una documentación y un registro de las actividades del centro de cómputos (procesos normales, eventuales y excepcionales) que se desarrollan diariamente, que incluya como mínimo el detalle de los procesos realizados.



Deberá desarrollarse documentación detallada sobre el equipamiento informático, que consista en diagramas y distribución física de las 82

instalaciones, inventarios de hardware y software, diagramas topológicos de las redes, tipos de vínculos y ubicación de nodos. Esta documentación comprende tanto al centro de procesamiento de datos principal, como a los secundarios y las redes departamentales.



Deberá existir un registro de los eventos, errores y problemas del hardware y el software utilizados en las operaciones de procesamiento de datos.



La metodología para el desarrollo y mantenimiento de sistemas debe incluir estándares para la documentación de las aplicaciones y las actividades. Esta documentación deberá mantenerse actualizada y abarcar todas las fases del ciclo de vida del desarrollo de los sistemas.

AUDITORIA Y REVISIONES. 6.1. Chequeo del sistema:  La empresa debe asegurar que los sistemas provean las herramientas necesarias para garantizar un correcto control y auditabilidad de forma de asegurar la integridad, exactitud y disponibilidad de la información. Para ello deben existir: o Herramientas que registren todos los eventos relacionados con la seguridad de la información procesada por los centros de cómputos de la empresa. o Herramientas que analiza los registros generando reportes, estadísticas, gráficos con relación a los datos recogidos, con distintas frecuencias (diarios, semanales, mensuales y anuales). Deberá tener la capacidad de generar alarmas teniendo en cuenta la severidad de los eventos acontecidos. o Procedimientos de revisión de los eventos registrados, a cargo de un empleado designado por el administrador, de forma de detectar anomalías y tomar las acciones correctivas necesarias. 

Se deberán registrar, mediante logs de auditoría, aquellos eventos relacionados con la seguridad de la información. Dichos registros deberán contener como mínimo: 83

o o o o o o

Fecha y hora del evento. Fuente (el componente que disparó el evento). ID del evento (número único que identifica el evento). Equipo (máquina donde se generó el evento). Usuario involucrado. Descripción (acción efectuada y datos asociados con el evento).

 Se deberán registrar como mínimo los siguientes eventos respecto a los servidores: o Los servicios de correo. o Servicios de red. o Configuración de los servidores. o Utilización del CPU. o Reinicio de servidores. 

Deberán actualizarse continuamente las herramientas de análisis de logs, asignándole la responsabilidad de esta tarea a una persona en particular.



Deberá existir un proceso encargado de la rotación y eliminación de logs. Se deberá conservar esta información al menos durante tres meses.



Deberán generarse líneas de base que contengan información sobre las PCś, los servidores y el sistema informático en su totalidad, con datos históricos obtenidos de los registros de auditoría, que sirvan para el cálculo de estadísticas y la generación de reportes diarios, semanales, mensuales y anuales.



Estas líneas de base deben ser resguardadas en medios de almacenamiento externo no reutilizables, antes de la eliminación de los logs.



Deberán actualizarse las líneas de base cada vez que se modifique la configuración del sistema.



Deben programarse auditorías periódicas y chequeos aleatorios, para controlar las áreas o funciones críticas con respecto a la seguridad de los datos de la empresa, documentando la ejecución y los resultados de dichas pruebas. 84



Se deberán analizar periódicamente específicos como mínimo: o o o o



los

siguientes

eventos

Controles de acceso y permisos de los usuarios. Uso de recursos informáticos. Operaciones de borrado o modificación de objetos críticos. Intentos de ingreso al sistema fallidos.

Se deberán documentar las revisiones y controles efectuados, y comunicar las excepciones encontradas a los responsables involucrados y al propietario de los datos afectados por las anomalías, los que deberán determinar la severidad del incidente, y las acciones a tomar que sean necesarias para la protección y control de los datos.

6.2. Responsabilidades de los encargados de seguridad:  El administrador del sistema o un encargado de auditorías designado por él, deberá: o o o o

Determinar qué logs se generarán. Determinar qué eventos de seguridad se auditarán. Determinar qué datos se recogerán de estas auditorías. Administrar, desarrollar e implementar los procedimientos de auditoría y revisión. o Monitorizar y reaccionar a los avisos (warnings) y reportes. o Chequear aleatoriamente para verificar el cumplimiento de los requerimientos y procedimientos de seguridad. o Revisar los reportes de auditorías cuando es advertido de anomalías. 

El encargado del mantenimiento de los servidores debe encargarse de actualizar las herramientas de análisis de logs.

6.3. Auditorias de control de acceso:  Los logs deben almacenarse en carpetas de los servidores protegidas con contraseña. Esta contraseña debe ser desconocida para todos los usuarios de sistema, incluso para el administrador, por lo que debe conservarla un miembro del Directorio. 85



Deberán generarse logs referidos al acceso a datos, identificando los archivos abiertos por usuario.



Deberán generarse logs referidos a la modificación de datos, identificando los datos modificados por cada usuario y el valor anterior de dicho dato.



Deben generarse logs cuando un usuario modifica su contraseña, con datos sobre la aplicación desde la que se realizó el cambio y, en caso que el cambio resulte fallido, el motivo del fallo.



Deben realizarse controles más frecuentes sobre los logs del usuario administrador. El estudio de estos reportes debe ser realizado por un superior y no por el administrador.



Deben generarse logs cuando hubo un fallo en el logeo de un usuario, indicando el motivo del fallo.



Debe generarse un logs cuando se produzca el bloqueo de un usuario avisando al administrador por medio de un sistema de alerta.



Debe generarse perfiles de los usuarios en base a algunos de los siguientes datos: o Uso de Internet. o Tráfico de mails. o Tráfico de red que genera cada usuario o sector de la empresa. o Terminales utilizadas. o Las horas de acceso.

6.4. Auditoria de redes:  Debe generarse un plan de monitorización de red utilizando algún escáner de seguridad integral (Overall security scanner). 

Con respecto a las conexiones a Internet deben almacenarse datos sobre: o o o o o

Número IP de la máquina conectada. Dirección de las páginas visitadas. Cookies guardadas. Archivos descargados. Servicios utilizados. 86

o Aplicaciones utilizadas. 

Con respecto a la utilización del correo electrónico deben almacenarse datos sobre: o o o o o o o o



Correo entrante y saliente. Hora de envío. Contenido del correo. Asunto del correo. Archivos adjuntos. Reporte de virus de cada parte del correo. Direcciones de máquina destino y fuente. Tamaño del mensaje.

Con respecto a la utilización de la red informática deben almacenarse datos sobre: o Ancho de banda utilizado y cuellos de botella en el tráfico de red. o Tráfico generado por las aplicaciones. o Recursos de los servidores que utilizan las aplicaciones. o El estado de cada aplicación, (en cola, ejecutándose, esperando una respuesta). o Intentos de intrusión.



Uso de los protocolos.



Solicitudes de impresión de datos de la empresa.

Aplicar este plan de Seguridad puede ayudar a proteger la información y los activos de la organización.

SEGURIDAD DE RED II.

PLAN DE MANTENIMIENTO DE RED

PROPÓSITO El plan de mantenimiento de la red se realiza con el propósito de proteger y brindar confiabilidad en el funcionamiento de los dispositivos en el área de comunicaciones y de transporte de la información de la empresa CORPORACION DIFERWA S.A. Se hace con el fin de evitar la falla de todos los dispositivos que son fundamentales en el área de redes y evitar que la 87

comunicación sea interrumpida en algunas ocasiones y esto venga a perjudicar los procesos de la organización antes mencionada.

OBJETIVOS:  Garantizar el funcionamiento óptimo de los dispositivos que conforman la red así como el manejo adecuado de la información.  Establecer los roles necesarios para cumplir con los procesos que el plan de mantenimiento de redes implica.

ANTECEDENTES En el proceso de la auditoria de sistemas se pudo constatar que CORPORACIÓN DIFERWA S.A no cuenta con un plan de mantenimiento de redes, algo que es fundamental para el desarrollo exitoso de los procesos de dicha organización. Se cuenta con una persona encargada del área de Sistemas, lo cual puede ser bien aprovechado por la organización, ya que puede hacerse cargo de dar mantenimiento a los dispositivos que conforman la red, y así garantizar su funcionamiento y disminuir el margen de error.

ALCANCE En el presente plan se detalla y delimita las funciones del encargado de dar mantenimiento a la red, se indica cual es su responsabilidad, en qué momento realizar las actividades, quienes están involucrados en el mismo. En este caso el plan va orientado para el encargado de sistemas, ya que él es el encargado de realizar las tareas de mantenimiento a los dispositivos que conforman la red y al gerente, quien velara por el cumplimiento de los procesos que se enmarcan en dicho documento.

VIGENCIA El presente Plan de Mantenimiento de Redes entra en aplicación a partir del 1 de Enero de 2,014, posterior a su aprobación en asamblea general.

AUTORIDAD DE EMISIÓN Este documento es emitido por el grupo de estudiantes del XII Ciclo de la carrera de Ingeniería en Sistemas de la Universidad Mariano Gálvez de Guatemala, establecidos en el Campus de Huehuetenango como Proyecto de los cursos de Seguridad de Sistemas y Auditoria de Sistemas.

MANTENIMIENTO PREVENTIVO DE UNA RED 88

Consiste en verificar el correcto funcionamiento de los equipos y Servidores de la red y de sus dispositivos y periféricos (routers, módems, impresoras, scanners, cableado, conectores, switches, etc.) así como optimizar el funcionamiento del sistema operativo instalado en cada equipo.

BENEFICIOS DEL MANTENIMIENTO DE LA RED     

Mayor productividad de la empresa. Solución pronta a cualquier tipo de falla. Reducir costos por compra de nuevos dispositivos. Disminución en el porcentaje de fallas de los dispositivos. Aumento de la satisfacción de sus empleados y clientes.

ASPECTOS IMPORTANTES A TOMAR EN CUENTA  Mantener bien identificados los puntos de red de comunicaciones para dar una rápida solución a la hora de presentarse inconvenientes en la instalación.  Realizar un cableado estructurado para no tener inconvenientes a la hora de una posible falla.  Codificar todos los dispositivos a utilizar para una rápida identificación y tener un dispositivo de cambio en bodega para una pronta sustitución si fuese necesario.  Contar con un manual de procedimientos, en el cual se indica el que hacer en caso de presentarse algún tipo de falla.

VENTAJAS DEL MANTENIMIENTO PREVENTIVO  Confiabilidad, los equipos operan en mejores condiciones de seguridad, ya que se conoce su estado, y sus condiciones de funcionamiento.  Disminución del tiempo muerto, tiempo de parada de equipos por causas inesperadas.  Mayor duración, de los equipos e instalaciones de red.  Menor costo de reparación.  Funcionamiento optimo en la comunicación.  Disminución de ruido, atenuación y otros aspectos que puedan afectar la comunicación y la red.

CONTENIDO 89

A continuación se presenta la tabla de contenidos que abarca el Plan de Mantenimiento de Redes.  CAUSAS Y ORIGEN DE PROBLEMAS  NIVEL FÍSICO: DE COBRE, FIBRA O INALÁMBRICO  NIVEL DE RED: ETHERNET E IP  DESASTRES  TABLA DE INFORMACIÓN DEL PERSONAL  RESPONSABLE DE EJECUCIÓN  TABLA DE EFECTOS, PREVENCIÓN Y/O RECUPERACIÓN EN CASO DE DESASTRES.  CUADRO DE MANTENIMIENTO PREDICTIVO DE DISPOSITIVOS DE RED  PROCEDIMIENTO DE REPARACIÓN EN CASO DE FALLOS DE LOS DISPOSITIVOS DE RED

CAUSAS Y ORIGEN DE PROBLEMAS Las causas origen de los problemas de LAN son provocadas con frecuencia por una de estas fuentes: 1.1 Nivel Físico: De cobre, fibra o inalámbrico. Causas posibles:  Cableado o terminaciones dañadas o sucias  Atenuación excesiva de la señal  Insuficiente ancho de banda para el cableado  Interferencia inalámbrica Posibles Solución:  Limpiar con frecuencia las terminaciones y canaletas por las que se conducen los cables, evitando la acumulación de polvo y otros elementos que puedan provocar mal funcionamiento de los mismos.  Si se usan cables, par trenzado (UTP) para la red, es recomendable que la distancia entre las tarjetas o tarjeta y hub no sobrepase los 100 metros de distancia para evitar la atenuación de la señal.  Verificar y controlar el ancho de banda que el cableado necesita para el transporte de paquetes, si fuese necesario realizar cambios en el cableado para evitar problemas en un futuro.  Ubicar los acces point en lugares en los cuales la señal no sea obstaculizada por ningún objeto.

1.2 Nivel de red: Ethernet e IP Causas posibles:  Dispositivos de red dañados  Configuraciones de dispositivo incorrectas o no óptimas  Problemas de autenticación y asociación  Ancho de banda de red insuficiente Posibles Soluciones:  Realizar revisiones constantes de los dispositivos de red para comprobar su funcionamiento, como se detalla en el esquema que continua.  Comprobar que las configuraciones de los dispositivos sea la correcta para un óptimo desempeño de los mismos, haciendo esto mediante pruebas concretas y reales al momento de su instalación.  Verificar que la autenticación de los usuarios y dispositivos sea la correcta, esto para evitar problemas de conexión y comunicación.  Contratar un ISP que pueda brindar el ancho de banda que la organización necesita para el transporte de paquetes, con lo cual se evite el retraso en la transmisión.

DESASTRES Los desastres pueden venir de muchas maneras, incluyendo:  Falla en el hardware y software, incluyendo ruptura de disco, problemas de cableado, y sistema operativo y problemas en las aplicaciones  Error humano, incluyendo el borrado accidental de archivos  Sabotaje, incluyendo virus y vandalismo  Desastres naturales, como incendios, inundaciones, terremotos o huracanes  Problemas relacionados con la energía  Contaminación ambiental

RESPONSABLE DE EJECUCIÓN: Para el desarrollo del Plan de Mantenimiento de Redes se designa al Administrador de Sistemas de la organización CORPORACIÓN DIFERWA S.A como responsable de la ejecución correcta, también al gerente de dicha organización como responsable de velar porque el presente plan se cumpla en las fechas establecidas por la organización. Con esto el margen de fallo de los dispositivos de red se reducirá y ayudará a mantener el óptimo funcionamiento de la organización, mismo que mantendrá contentos tanto a empleados como a clientes. 91

TABLA DE INFORMACIÓN DE PERSONAL CARGO Administrador Sistemas Proveedor de ISP Proveedor Dispositivos de Red

NOMBRE

TELEFONO

Adolfo Villatoro

7768-1876

Claro S.A.

147-100

Mega Informática

7769-0326

TABLA DE EFECTOS, PREVENCIÓN Y/O RECUPERACIÓN EN CASO DE DESASTRES. Desastre

Efectos

Prevención y/o Recuperación

Indisponibilidad del Problemas sistema, soluciones de cableado altamente costosas y dilatadas. Falla en el Indisponibilidad disco del sistema, pérdida servidor corrupción de datos. Falla en servidor

Indisponibilidad sistema, pérdida corrupción de datos.

Borrado accidental de Pérdida de datos. archivo Falta energía

Virus

Sistema de cableado estructurado, diseño apropiado, documentación, implementación de canaletas, herramientas de monitoreo y diagnostico.

del Discos espejo o duplicados, o implementación del sistema RAID, Backup. del o Servidor espejo, Back-up.

Sistema de respaldo de datos efectivo, utilitarios de recuperación de archivos.

Indisponibilidad del de sistema, pérdida o UPS, generador de energía de respaldo, corrupción de datos, planta eléctrica. daños en el hardware. Indisponibilidad total o Actualizar el software de verificación de parcial del sistema, virus, procedimientos adecuados de pérdida o corrupción de respaldo, educación de los usuarios. datos.

Falla de Indisponibilidad conectores comunicación.

de Testear conectores de red en el punto de falla, tener reservas en bodega. 92

Falla router switch

Revisión constante de estos dispositivos, de Falla en la comunicación, implementación de herramientas de y interrupción en el envío y monitoreo y diagnóstico de la red, tener recepción de paquetes. un dispositivo de la misma marca y capacidad para una posible sustitución.

CUADRO DE MANTENIMIENTO PREDICTIVO DE DISPOSITIVOS DE RED TAREA DE PREDICTIVO

MANTENIMIENTO

FRECUENCIA ¿ES AUTOMÁTICA?

Revisar temperatura

Diario

Revisar y controlar humedad

Diario

Revisar nivel de ruido

Diario

Revisar nivel de limpieza

Diario

Revisar los periféricos de E/S

Semanal

Revisar los equipos de conexión

Semanal

Revisar software utilizados en los Semanal equipos

Observar el tiempo de respuesta de Semanal los programas más utilizados

Inspeccionar el manejo archivos en busca de virus

Mensual

Controlar y penalizar los programas Mensual que sean de uso personal

Revisión de la señal del ISP

Diario

Semanal

Mensual

Revisar y Firewall.

controlar

Ruteador

Revisar los puntos de red

los

Revisar Switch de conexión

Mensual

Revisar Cables de red

Semanal

Inspeccionar la velocidad de la red

Semanal

Controlar el mal uso de los equipos

Semanal

Observar comportamiento equipos de comunicación

los

Cotejar el funcionamiento global del Semanal computador Observar de donde provienen los Cuando ruidos extraños (si lo hay) prudente

SI sea

Analizar las unidades ópticas y de Diario almacenamiento

Revisar los puntos de red y canaletas Semanal

Desfragmentar y liberar espacio en el Mensual disco duro

Ejecutar antivirus y scandisk

Diario

Medir el trabajo global del sistema Mensual operativo

Controlar y contraseñas

Mensual

Diaria

efectuar

cambio

Controlar y revisar intrusión en la red

Revisar el funcionamiento correcto de Semanal routers y switches

Testear conectores de red

Mensual

Revisar si el tipo de transmisor (cable) es el adecuado para la red y su Mensual funcionamiento.

Limpieza de tarjetas de red en los Mensual computadores

Revisar el funcionamiento correcto del Mensual firewall.

Al momento de Ubicar en lugares adecuados los implementar su No puntos de acceso inalámbrico. uso 94

Cambiar la WEP del conexiones inalámbricas.

router

Mensual

PROCEDIMIENTO DE REPARACIÓN EN CASO DE FALLOS DE LOS DISPOSITIVOS DE RED SWITCH:  Verificar si existe una posible solución al fallo.  Observar el comportamiento del dispositivo al ser encendido.  Explorar de manera externa las conexiones en el switch, las cuales puedan presentar el posible fallo.  Abrir el dispositivo y testear las fuentes de energía para tratar de descubrir el fallo.  Si se encuentra el fallo, hacer la reparación pertinente.  Contar con un dispositivo de la misma marca y capacidad para una posible sustitución en caso de no poder reparar el dispositivo. SWITCH Y ROUTER DE INTERNET:  Observar y analizar el comportamiento del router al encenderse.  En caso de que no proporcione señal de internet, presionar el botón RESET que se encuentra en la parte trasera del dispositivo, hasta que se reinicie.  Si el error persiste, llamar al técnico de la empresa que proporciona internet a la organización.  En caso de que se usen antenas, verificar que no se haya movido y que la dirección a la que apunta sea la correcta.  Si el problema fuera el anterior, tratar de mover la antena de manera que esta apunte al satélite. CONECTORES RJ45:  Codificar cada conector para una fácil ubicación del mismo.  Testear el conector, el cual esté produciendo la falla en la Red.  Verificar que la combinación de colores del cable UTP sea correcto.  Verificar que los conectores hagan contacto correcto con el otro dispositivo.  Apretar nuevamente el conector, con ayuda de una ponchadora.  Si el error persiste cambiar el conector, el cual debe existir en bodega. CABLES DE RED UTP:  Revisar que el cableado sea estructurado. 95

 Abrir las canaletas para revisar que el cable de red se encuentre en buen estado y no haya sido dañado por ningún roedor o cualquier otro agente.  Analizar los niveles de ruido y atenuación que podrían afectar la comunicación en la red.  Cambiar el tipo de cable que se está usando para la red, esto con el fin de evitar grandes porcentajes de atenuación y ruido en el mismo.  Descartar mediante el análisis y observación del comportamiento de la red posibles cortos circuitos en los cables utilizados.  De no solucionarse el problema, es necesario contar con un cable que reúna las mismas características del que va a ser sustituido (largo, ancho de banda, etc.) CENTRAL TELEFÓNICA: En caso de que el ISP sea una empresa de telefonía realizar lo siguiente:  Revisar que el cable telefónico no esté en mal estado (reventado, pelado).  Verificar que el DSL ó ADSL funcione correctamente.  Si el DSL ó ADSL es el que ocasiona el fallo, cambiar por uno igual.  Si el fallo persiste, contactar a la empresa proveedora de Internet. FIREWALL:  Indicar a los usuarios de la red las políticas de navegación para evitar percances que puedan afectar los procesos.  Verificar que los usuarios respeten las políticas de navegación de la organización.  Revisar que la configuración del Firewall sea la correcta.  En caso de que el error o la falla persista, configurar nuevamente el Firewall. SERVIDOR:  Revisar que el servidor encienda y funcione de manera adecuada.  De no encender, verificar que los alimentadores de energía estén conectados de manera correcta.  Revisar que el sistema operativo no tenga fallos en el funcionamiento.  Si el S.O falla y no es posible su reparación, cambiar los discos duros, los cuales están siendo usados con el Back-up.  Implementar el sistema Raid en el servidor, esto con el fin de evitar la interrupción de procesos al momento de sustituir un disco duro. Aplicar este plan de Mantenimiento de Red, puede ayudar a reducir costos, obtener beneficios, garantizando las comunicaciones. 96

III.

SEGURIDAD DE EQUIPOS PLAN DE MANTENIMIENTO DE EQUIPOS DE COMPUTO

PROPÓSITO El plan de mantenimiento de equipos de cómputo se realiza con el propósito de proteger y brindar confiabilidad en el funcionamiento de los mismos. Si se ejecuta el plan en las fechas enmarcadas, garantizará el pleno desempeño y el buen funcionamiento de los equipos en la empresa CORPORACION DIFERWA S.A, lo cual beneficia a los empleados, clientes y a la propia empresa, ya que agilizara los procesos que se realizan sin ser interrumpidos por cualquier falla de los equipos.

OBJETIVOS  Mejorar los aspectos operativos relevantes, como determinar las condiciones de operación de los equipos de cómputo de CORPORACIONES DIFERWA S.A, para disminuir de esta forma los daños ocasionados por factores por falta de limpieza y atención de fallas. Esto con la finalidad de diagnosticar el estado y el tiempo de operación de los equipos.  Realizar un inventario de los equipos de cómputo existentes en la institución.  Realizar un diagnostico de condiciones generales.  Calendarizar acciones de mantenimiento por prioridades. 97

ANTECEDENTES En el proceso de la auditoria de sistemas se pudo constatar que CORPORACIÓN DIFERWA S.A no cuenta con un plan de mantenimiento de equipos, algo que es fundamental para el desarrollo exitoso de los procesos de dicha organización. Se cuenta con una persona encargada del área de Sistemas, lo cual puede ser bien aprovechado por la organización, ya que puede hacerse cargo de dar mantenimiento a los equipos que son utilizados a diario en la empresa, y así garantizar su funcionamiento y disminuir el margen de error.

ALCANCE En el presente plan se detalla y delimita las funciones del encargado de dar mantenimiento a los equipos, se indica cual es su responsabilidad, en qué momento realizar las actividades, quienes están involucrados en el mismo. En este caso el plan va orientado para el encargado de sistemas, usuarios de los equipos y al gerente, quien velará por el cumplimiento de los procesos que se enmarcan en dicho documento.

VIGENCIA El presente Plan de Mantenimiento de Equipos entra en aplicación a partir del 1 de Enero de 2,014, posterior a su aprobación en asamblea general.

BENEFICIOS DEL MANTENIMIENTO DE LOS EQUIPOS     

Mayor productividad de la empresa. Solución pronta a cualquier tipo de falla. Reducir costos por compra de nuevos equipos. Disminución en el porcentaje de fallas de los equipos. Aumento de la satisfacción de sus empleados y clientes.

VENTAJAS DEL MANTENIMIENTO PREVENTIVO  Confiabilidad, los equipos operan en mejores condiciones de seguridad, ya que se conoce su estado, y sus condiciones de funcionamiento. 98

 Disminución del tiempo muerto, tiempo de parada de equipos por causas inesperadas.  Mayor duración de los equipos en buen estado.  Menor costo de reparación.  Funcionamiento optimo en los procesos de la empresa.

TABLA DE INFORMACIÓN DEL PERSONAL EQUIPO Servidor FERWA Servidor La Huehueteca Cliente FERWA Cliente La Huehueteca Servidor Sucursal Control de Usuarios Laptop Gerencia Computadora de Administración Computadora para el área de Sistemas Computadora para control de inventarios Computadora para control de inventarios - auxiliar Impresoras Matriciales Epson

RESPONDABLE Gustavo Chun Marconi García Vendedores Vendedores Carlos Vásquez Personal de DIFERWA Ernesto Villatoro Francisco Villatoro Adolfo Villatoro Henry Mendoza César Villatoro Gustavo Chun Marconi García Adolfo Villatoro Francisco Villatoro Mega Informática

Impresoras de Inyección de Tinta Impresora Multifuncional Proveedor de equipos

TABLA DE EFECTOS, PREVENCIÓN Y/O RECUPERACIÓN EN CASO DE DESASTRES. Desastre Falla en el disco del servidor

Efectos Indisponibilidad del sistema, pérdida o corrupción de datos.

Prevención y/o Recuperación Discos espejo o duplicados, implementación del sistema RAID, Backup.

Falla en el servidor

Indisponibilidad del sistema, pérdida o corrupción de datos.

Borrado accidental de Pérdida de datos. archivo

Servidor espejo, Back-up.

Sistema de respaldo de datos efectivo, utilitarios de recuperación de archivos.

Falta de energía

Indisponibilidad del sistema, pérdida o corrupción de datos, daños en el hardware.

UPS, generador de energía de respaldo, planta eléctrica.

Virus

Indisponibilidad total o parcial del sistema, pérdida o corrupción de datos.

Actualizar el software de verificación de virus, procedimientos adecuados de respaldo, educación de los usuarios.

DEFINICIONES MANTENIMIENTO: Es un proceso mediante el cual se asegura que un activo (equipo) continúe desempeñando las funciones deseadas. MANTENIMIENTO PREVENTIVO: Es aquel que se hace con anticipación y de manera programada con el fin de evitar desperfectos el mantenimiento preventivo consiste en dar limpieza general al equipo de computo y confirmar su correcto funcionamiento, en el caso de las computadoras, el mantenimiento se puede dividir en dos, el que se le da al equipo (físico) y el que se le da a los programas instalados (lógicos). MANTENIMIENTO CORRECTIVO: Este mantenimiento se dará cuando exista una falla en el equipo de cómputo, y consiste en corregir el error ya sea físico o lógico, no necesariamente este tipo de mantenimiento incluye al preventivo, pero una vez corregido el error se puede aprovechar para prevenir otros.

PLAN DE MANTENIMIENTO PREVENTIVO 100

El CENTRO DE INFORMÁTICA Planificará el mantenimiento preventivo tomando como base el inventario actualizado de los equipos de cómputo activos con que cuenta CORPORACIÓN DIFERWA S.A. El responsable de la constitución del Plan de Mantenimiento de equipos será el Gerente General de la empresa, y el responsable de la Ejecución del Plan será el encargado del Área de Sistemas.

LEVANTAMIENTO DE INVENTARIO Para poder ejecutar el plan de mantenimiento preventivo, es necesario contar con un inventario actualizado que contemple los diferentes aspectos técnicos de cada uno de los equipos de cómputo y sus periféricos, así como su ubicación física y usuario responsable.

TABLA DE INVENTARIO DE EQUIPOS EQUIPO Servidor FERWA Servidor La Huehueteca Cliente FERWA Cliente La Huehueteca Servidor Sucursal Control de Usuarios Laptop Gerencia Computadora de Administración Computadora para el área de Sistemas Computadora para control de inventarios Computadora para control de inventarios - Auxiliar Impresoras Matriciales Epson Impresoras de Inyección de Tinta Impresora Multifuncional

CANTIDAD 1 1 1 1 1 1 1 1

RESPONDABLE Gustavo Chun Marconi García Vendedores Vendedores Carlos Vásquez Personal de DIFERWA Ernesto Villatoro Francisco Villatoro

Segundo Nivel Segundo Nivel

Adolfo Villatoro

Segundo Nivel

Henry Mendoza

Tercer Nivel

César Villatoro

Tercer Nivel

Primer Nivel

Gustavo Chun Marconi García Adolfo Villatoro

Francisco Villatoro

LIMPIEZA EXTERNA 101

UBICACIÓN Primer Nivel Primer Nivel Primer Nivel Primer Nivel Zona 11 Primer Nivel

Primer Nivel Zona 11 Primer Nivel

Se debe realizar todos los días, cada empleado debe ser el responsable de velar porque el equipo de computo que utiliza se mantenga limpio, debe sacudir el equipo al momento de llegar a la organización, cuando este aun no se ha encendido, también debe realizar la limpieza antes de retirarse de la empresa.

LIMPIEZA INTERNA Este tipo de limpieza lo debe hacer el técnico de sistemas, ya que él es quien tiene el conocimiento adecuado de cómo realizar este tipo de mantenimiento, se debe realizar utilizando una brocha pequeña, un paño, alcohol o algún liquido adecuado para remover todo tipo de suciedad que pueda afectar el correcto funcionamiento de los equipos.

ACTIVIDADES DEL MANTENIMIENTO EXHAUSTIVO Las actividades que se van a desarrollar durante el proceso de mantenimiento preventivo serán:  Informar a los jefes de área del inicio del proceso de mantenimiento correctivo para contar con la disposición y el tiempo para llevar a cabo este proceso. Se debe notificar por escrito con mínimo cinco días de anterioridad al inicio de la fecha programada para el mantenimiento.  Verificar que el equipo este registrado en el inventario de equipos de computo de la institución, esto con el objetivo de corroborar que es de propiedad de CORPORACIONES DIFERWA S.A  Verificar que los equipos de cómputo tengan vigentes las garantías para en caso de ser necesario gestionarla ante el proveedor.  Verificar el estado actual del equipo, al momento de realizar el mantenimiento.  Iniciar el proceso de limpieza eliminando residuos de polvo de cada una de las partes de los equipos de cómputo.  Comprobar el estado del Antivirus, instalar y/o actualizarlo con el licenciamiento de la CORPORACIONES DIFERWA S.A. Eliminar virus y malwares si estos se encuentran alojados en el equipo de cómputo. Diligenciar el formato de Mantenimiento realizado, donde se especifican las actividades efectuadas. El proceso de mantenimiento preventivo, debe ser realizado de manera detallada en cada equipo de cómputo, y para esta actividad se estima un tiempo en promedio 5 minutos por equipo. Los mantenimientos se realizarán teniendo en 102

cuenta las fechas establecidas en el presente plan y será previamente comunicado a los usuarios.

RECOMENDACIONES A USUARIOS FINALES Una vez terminada la parte técnica del mantenimiento, el personal responsable, realizará recomendaciones a cada uno de los usuarios, con el objetivo de que estos contribuyan con la conservación y el óptimo funcionamiento de los equipos computacionales. Las recomendaciones que se socializarán serán las siguientes:  No ingerir alimentos y bebidas en el área donde utilice el equipo de cómputo.  No apagar el equipo, sin antes salir adecuadamente del sistema  Hacer buen uso de los recursos de cómputo  Realizar respaldos de información crítica periódicamente  Consultar con el personal del área de soporte técnico cualquier duda o situación que se presente relacionada con los equipos informáticos.  Cuidar las condiciones físicas de limpieza donde se encuentre el equipo  Los usuarios NO pueden instalar ningún tipo de software en los equipos de propiedad de CORPORACIÓN DIFERWA S.A. Esta actividad es competencia únicamente del equipo de ADMINISTRACIÓN DE SISTEMAS  previa verificación de la existencia del licenciamiento.

TABLA DE MANTENIMIENTO DEL EQUIPO

Servidor FERWA Servidor La Huehueteca Cliente FERWA Cliente La Huehueteca Servidor Sucursal Control de Usuarios Laptop Gerencia Computadora de Administración

LIMPIEZA EXTERNA Diaria Diaria

LIMPIEZA INTERNA Mensual Mensual

MANTENIMIENT O EXHAUSTIVO Cada 6 meses Cada 6 meses

Diaria Diaria

Mensual Mensual

Cada 6 meses Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria Diaria

Mensual Mensual

Cada 6 meses Cada 6 meses

103

RESPONSABLE

Usuarios de equipos, Técnico de Sistemas Y gerente general

EQUIPO

Computadora para el área de Sistemas Computadora para control de inventarios Computadora para reportes de ventas Impresoras Matriciales Epson Impresoras de Inyección de Tinta Impresora Multifuncional

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

Diaria

Mensual

Cada 6 meses

MANTENIMIENTO EXHAUSTIVO Este tipo de mantenimiento es el que se conoce como limpieza a fondo, se trata de realizar limpieza a cada pieza de los equipos, esto con el objetivo de alargar su vida útil y mantener los equipos en funcionamiento optimo. Vale la pena mencionar que el encargado de realizar este mantenimiento es el personal de Sistemas de DIFERWA S.A. Si el equipo aun cuenta con garantía es mejor llevarlo a la empresa proveedora para que realicen el servicio. A continuación se brinda una breve explicación sobre el procedimiento que se debe realizar cuando se procede a dar el mantenimiento exhaustivo a los equipos de cómputo.

MANTENIMIENTO CORRECTIVO Se entiende por mantenimiento correctivo la corrección de las averías o fallas, cuando éstas se presentan. Existen dos tipos de mantenimiento correctivo, el primero es el mantenimiento correctivo imprevisto no programado, el cual sucede cuando no se han tomado las medidas de prevención pertinentes o por alguna causa fuera de lo normalmente predecible. El mantenimiento correctivo programado es aquella actividad que previamente se ha planificado ejecutarla. 104

MANTENIMIENTO DE CASE  Se apaga el equipo, se desconectan los cables y dispositivos conectados.  Se abre la tapa del case utilizando las herramientas adecuadas para evitar daños.  Se elimina el polvo que se acumula dentro y fuera del case de la computadora, para lo cual se utiliza la sopladora o aire comprimido y se procede con la limpieza.  Utilizar un pequeño pincel para aquellas áreas donde el aire comprimido no puede remover polvo; por ejemplo, los ejes de los ventiladores. MANTENIMIENTO DE MICROPROCESADOR Con la ayuda de un destornillador, se procede a retirar el disipador de calor. Si se cuenta con pasta térmica nueva y habilidad manual para manipular el procesador, se retira la pasta térmica seca, de lo contrario, se deja allí para no averiar el procesador. A continuación, se retira el polvo que se encuentra sobre el procesador con un pincel o brocha fina, con mucho cuidado para evitar mover el procesador. Con una aspiradora de mano, se debe retirar el polvo que ha caído sobre la placa madre.

MANTENIMIENTO DE PLACA MADRE Quitar todos los jumpers, sacar el polvo soplando fuertemente y limpiar con un cepillo de dientes apenas húmedo con alcohol, preferentemente isopropílico (también limpiar los contactos de los slots). MANTENIMIENTO DE MEMORIA RAM Se limpia con un borrador los Bancos o Zócalos de RAM ya que suelen llenarse de polvo y eso afecta la memoria y su funcionamiento. MANTENIMIENTO DEL DISCO DURO Es recomendable realizar una limpieza del disco duro, ya que si se permite que se llene de polvo, este actuara como un aislante alrededor del disco, y por tanto impide su correcta refrigeración. MANTENIMIENTO DE VENTILADOR Primero darle una limpieza externa a las aspas del ventilador, usando una pequeña brocha o paño húmedo, una vez limpio, se lubrica el eje con un aceite, moviendo las aspas del ventilador un poco para que lubrique el eje, agregar 2 ó 3 105

gotas, luego tapar el eje nuevamente y a pegar la etiqueta adhesiva, por ultimo colocarlo en el lugar en donde corresponde. MANTENIMIENTO DE TECLADO Soplar con aire comprimido para remover el polvo y cualquier otro objeto que impida el buen funcionamiento del teclado, luego limpiarlo con espuma y un paño para protegerlo por más tiempo. MANTENIMIENTO DE FUENTE DE PODER Antes de proceder con el mantenimiento de la fuente de poder, se deben desconectar todos los cables de alimentación que se estén utilizando, lo primero que se debe desconectar son los cables que van a la tarjeta principal. Una de las partes en donde se acumula más polvo es el ventilador de la fuente de poder. Para eliminarlo, se puede utilizar el soplador o sin tener que destapar la unidad, utilice un destornillador, para evitar que el ventilador gire creando voltajes dañinos. Si no se dispone del soplador, se debe destapar la fuente para limpiarla. Es muy importante no perder ningún tornillo y tener claridad sobre el tiempo de garantía de la fuente, ya que después de destaparla se pierde por la rotura del sello de garantía. MANTENIMIENTO DE IMPRESORAS Se debe procurar que esté limpia de polvo y demás. Para ello se necesita una brocha, un trapo y un poco de alcohol el cual se debe aplicar al trapo luego de que se ha removido el polvo que existía. IMPRESORAS MATRICIALES Estas impresoras tiene un rodillo muy similar al de las maquinas de escribir, en el que se suelen acumular tinta con el paso del tiempo, ya sea porque esta traspase el papel o bien por impresiones sobre el carro sin que haya papel. El rodillo se debe limpiar con alcohol sin aditivos, se pone sobre el trapo y se limpia de forma enérgica el rodillo, secándolo después de manera correcta. También se deben limpiar los carros de tracción, puede ser con una brocha o utilizando aire a presión. IMPRESORAS DE INYECCIÓN DE TINTA Remover el polvo acumulado tanto externa como internamente, levantar la tapa y de la impresora y aplicar aire a presión. Verificar que los cartuchos no estén derramando tinta, limpiar con alcohol y un trapo la tinta que se ha acumulado en los rodillos para mejorar el rendimiento. También es recomendable que se le practique la limpieza de cabezales cuando se ha impreso una cantidad de hojas 106

(500 como mínimo), se realiza desde las opciones de la impresora, se hará de manera automática.

PROCEDIMIENTO DE REPARACIÓN EN CASO DE FALLOS DE LOS EQUIPOS SERVIDORES  Revisar que el servidor encienda y funcione de manera adecuada.  De no encender, verificar que los alimentadores de energía estén conectados de manera correcta.  Revisar que el sistema operativo no tenga fallos en el funcionamiento.  Si el S.O falla y no es posible su reparación, cambiar los discos duros, los cuales están siendo usados con el Back-up.  Implementar el sistema Raid en el servidor, esto con el fin de evitar la interrupción de procesos al momento de sustituir un disco duro. COMPUTADORAS CLIENTE Y DEMÁS UTILIZADAS EN LA EMPRESA  Revisar que el equipo encienda y funcione de manera adecuada.  De no encender, verificar que los alimentadores de energía estén conectados de manera correcta.  Revisar que cada dispositivo de la máquina este funcionando correctamente (memoria RAM, Disco Duro, Fuente de Poder, Tarjeta Madre, etc.).  Revisar que el sistema operativo no tenga fallos en el funcionamiento.  Verificar que el equipo no haya sido infectado con algún virus o malware.  Escanear los discos duros con el Antivirus.  Si el problema persiste, formatear la computadora, después de haber almacenado la información en otro disco duro que será usado como un respaldo.  De no ser posible la solución cambiar el dispositivo que impida el correcto funcionamiento del equipo. MANTENIMIENTO CORRECTIVO DE IMPRESORAS Si la impresora falla en uno de los colores, lo primero que se debe hacer es verificar que el cartucho de tinta esté colocado correctamente. Si el error persiste será necesario iniciar limpieza de cabezales a la impresora, de no ser posible la solución del problema es recomendable realizar la sustitución del cartucho.

107

Es recomendable realizar un test de tinta de impresión, de esta manera se podrá saber si los cartuchos de tinta están obstruidos y si es necesario el reemplazo de los mismos. Si la impresora no enciende, verificar que el cable que la alimenta de energía este bien conectado a la corriente eléctrica, si esto es correcto, comprobar que el cable de corriente este funcionando. Si al presionar el botón de encendido la luz que indica este proceso no se enciende, es posible que el cable no conduzca energía; se recomienda hacer la prueba con un cable diferente. Si el problemas es que no acepta la orden de impresión, verificar que el cable USB de la impresora esté conectado correctamente, que la impresora este conectada a la PC, si esta en Red, revisar que este compartida para el uso de la Red.

108

IV.

PLAN DE CONTINGENCIA Introducción

Corporación DIFERWA, S.A. ha elaborado para sus instalaciones un PLAN DE SEGURIDAD Y/O EVACUACION, el mismo que servirá para hacer frente a situaciones de emergencia, con lo que se obtendrá salvaguardar la integridad física y salud de las persona s(personal administrativo, visitantes y de servicio). Este Plan de Seguridad está preparado para la prevención y actuación del personal en caso de ocurrencia de eventos que por su naturaleza y magnitud pueden ocasionar daños a la integridad física, al patrimonio y al medio ambiente, este plan no solo contempla fenómenos como lluvias, sismos, sino también desastres inducidos por la mano del hombre como incendios, derrame de sustancias químicas, delincuencia, pandillaje, convulsión social, accidentes de trabajo, para los que establecerá un Plan de Contingencia, donde se describirá las acciones a tomar en cada caso. Se incluye un Plan de Evacuación, que indica cómo hacer el abandono de la edificación en un tiempo prudencial y efectivo, donde todo el personal tiene que desplazarse a la parte externa del local ubicándose en las zonas seguras previamente establecidas. Para llevar a cabo este Plan, se cuenta con una organización cuyos integrantes están ampliamente capacitados y entrenados, con responsabilidades y funciones específicas para actuar correctamente en caso de ocurrencia de una emergencia; para ello también se cuenta con medios de comunicación adecuados. El alcance de este plan guarda relación con la infraestructura informática, así como los procedimientos relevantes asociados con la plataforma tecnológica. La infraestructura informática está conformada por el hardware, software y elementos complementarios que soportan la información o datos críticos para la función del negocio. Los procedimientos relevantes a la infraestructura informática, son 109

aquellas tareas que el personal realiza frecuentemente al interactuar con la plataforma informática (entrada de datos, generación de reportes, consultas, etc.).

1. ¿Qué es un Sistema de Información? Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías:  Personas  Datos  Actividades o técnicas de trabajo  Recursos materiales en general (generalmente recursos informáticos y de

comunicación, aunque no necesariamente). Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales y automáticos) y dan lugar ainformación más elaborada, que se distribuye de la manera más adecuada posible en una determinada organización, en función de sus objetivos.

110

2. Objetivos, Alcances, vigencia. 2.1. Objetivo General: o Garantizar la continuidad de las operaciones de los elementos críticos que componen los Sistemas de Información de CORPORACION DIFERWA S. A., a través de procedimientos bien establecidos en función de contar con lineamientos y estrategias ante eventos adversos dentro de la empresa. o Definir acciones y procedimientos a ejecutar en caso de fallas en los elementos que componen un sistema de información. 2.2. Antecedentes: o Mediante la propuesta del grupo de estudiantes de la carrera de Ingeniería en Sistemas de la Universidad Mariano Gálvez de Guatemala del Campus de Huehuetenango, se llevó a cabo una Auditoría de Seguridad Informática y con base en ella, se establece el presente Plan de Contingencias. 2.3. Alcance: o La implementación del Plan de Contingencias, incluye los elementos referidos a los sistemas de información, equipos, infraestructura, personal, servicios direccionado a minimizar eventuales riesgos antes situaciones adversas que atentan contra el normal funcionamiento de CORPORACION DIFERWA S. A. 2.4. Vigencia: o El presente Plan de Contingencias entra en aplicación a partir del 1 de Enero de 2,014, posterior a su aprobación en asamblea general. 111

2.5. Autoridad de Emisión: o Este documento es emitido por el grupo de estudiantes del XII Ciclo de la carrera de Ingeniería en Sistemas de la Universidad Mariano Galvez de Guatemala, establecidos en el Campus de Huehuetenango como Proyecto de los cursos de Seguridad Informática y Auditoria de Sistemas. 2.6. Contenido: o Este plan presenta los procedimientos cuyo contenido se agrupa en los siguientes aspectos.

3. Aspectos generales sobre la seguridad de la Información. 3.1. La seguridad física y lógica. La seguridad física garantiza la seguridad de los activos humanos, lógicos y materiales de un Sistema de Información de datos. Si se entiende la contingencia o proximidad de un daño como la definición de Riesgo de Fallo local o general, tres son las medidas a preparar para ser utilizadas en relación a la cronología del fallo. 3.1.1. Antes. El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de él se puedan derivar. Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las personas hagan uso particular o profesional de entornosfísicos. o Ubicación del edificio. o Ubicación del centro de procesamiento de datos dentro del edificio. o Elementos de la construcción. o Potencia eléctrica. o Sistemas contra incendios. o Control de accesos. o Selección del personal. o Seguridad de los medios. o Medidas de protección. o Duplicación de medios. 3.1.2. Durante. Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. 112

La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperación del mismo. Son puntos imprescindibles del Plan de Contingencias: o Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas. o Establecer un periodo crítico de recuperación, en la cual los procesos deben de ser reanudados antes de sufrir pérdidas significativas o irrecuperables. o Realizar un análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso. o Determinar las prioridades del proceso, por días del año, que indicen cuales son las aplicaciones y sistemas críticos en el momento de ocurrir el desastre y el orden del proceso correcto. o Establecer objetivos de recuperación que determinen el periodo de tiempo (horas, días, semanas) entre la declaración de desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas. o Designar entre los distintos tipos existentes, un Centro alternativo de Proceso de Datos. o Asegurara la capacidad de las comunicaciones. o Asegurar la capacidad de los servidores back-ups. 3.1.3. Después. Los contratos de seguros vienen a compensar en mayor o menor medida las perdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y corregido el fallo, se pueden tomar en cuenta los seguros siguientes para garantizar este aspecto. o Centros de proceso y equipamiento: contratar la cobertura sobre el daño físico en el CPD y el equipo contenido en él. 113

o Reconstrucción de medios de software: cubre el daño producido sobre los medios de software tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad. o Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente para compensar los costos de ejecución del plan de contingencias. o Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las caídas de medios informáticos o por la suspensión de las operaciones. o Documentos y registros valiosos: se contrata para obtener una compensación en el valor metálico real por la pérdida o daño físico sobre documentos y registros valiosos no incluidos en el seguro de reconstrucción de medios de software. o Errores y omisiones: proporciona protección legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione una pérdida financiera a un cliente. o Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o fraudulentos cometidos por empleados. o Contratos con proveedores y de mantenimiento: proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, así como garantías de fabricación.

3.2.

Conceptos generales.

3.2.1. Privacidad. Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán difundidos o transmitidos a otros. 3.2.2. Seguridad. Se refiere a las medidas tomadas con la finalidad de preservar los datos o información que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados. En el caso de los datos de una organización, la privacidad y la seguridad guardan estrecha relación, aunque la diferencia entre ambas radica en que 114

la primera se refiere a la distribución autorizada de información, mientras que la segunda, al acceso no autorizado de los datos. El acceso a los datos queda restringido mediante el uso de palabras claves, de forma que los usuarios no autorizados no puedan ver o actualizar la información de una base de datos o a subconjuntos de ellos. 3.2.3. Integridad. Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos. El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se debe tener con ellos.

3.2.4. Datos. Los datos son hechos y cifras que al ser procesados constituyen una información, sin embargo, muchas veces datos e información se utilizan como sinónimos. En su forma más amplia los datos pueden ser cualquier forma de información: campos de datos, registros, archivos y bases de datos, texto (colección de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o cuadros de bits), vídeo (secuencia de tramas), etc. 3.2.5. Base de datos. Una base de datos es un conjunto de datos organizados, entre los cuales existe una correlación y que además, están almacenados con criterios independientes de los programas que los utilizan. También puede definirse, como un conjunto de archivos interrelacionados que es creado y manejado por un Sistema de Gestión o de Administración de Base de Datos (Data Base Management System - DBMS). Las características que presenta un DBMS son las siguientes:

115

 Brinda seguridad e integridad a los datos.  Provee lenguajes de consulta (interactivo).  Provee una manera de introducir y editar datos en forma interactiva. Existe independencia de los datos, es decir, que los detalles de la organización de los datos no necesitan incorporarse a cada programa de aplicación. 3.2.6. Acceso. Es la recuperación o grabación de datos que han sido almacenados en un sistema de computación. Cuando se consulta a una base de datos, los datos son primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del terminal. 3.2.7. Ataque. Término general usado para cualquier acción o evento que intente interferir con el funcionamiento adecuado de un sistema informático, o intento de obtener de modo no autorizado la información confiada a una computadora. 3.2.8. Ataque activo. Acción iniciada por una persona que amenaza con interferir el funcionamiento adecuado de una computadora, o hace que se difunda de modo no autorizado información confiada a una computadora personal. Ejemplo: El borrado intencional de archivos, la copia no autorizada de datos o la introducción de un virus diseñado para interferir el funcionamiento de la computadora.

3.2.9. Ataque pasivo. Intento de obtener información o recursos de una computadora personal sin interferir con su funcionamiento, como espionaje electrónico, telefónico o la intercepción de una red. Todo ésto puede dar información importante sobre el sistema, así como permitir la aproximación de los datos que contiene. 3.2.10. Amenaza. Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusión no autorizada de información confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios descuidados. 116

3.2.11. Incidente. Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de un archivo protegido

3.2.12. Golpe (Breach). Es una violación con éxito de las medidas de seguridad, como el robo de información, el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.

4. Seguridad Integral de la Información. La función del procesamiento de datos es un servicio de toda la institución, que apoya no sólo a los sistemas de información administrativa sino también a las operaciones funcionales. La Seguridad un aspecto de mucha importancia en la correcta Administración Informática, lo es también de toda la Corporación. Las medidas de seguridad están basadas en la definición de controles físicos, funciones, procedimientos y programas que conlleven no sólo a la protección de la integridad de los datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se encuentren. En relación a la seguridad misma de la información, estas medidas han de tenerse en cuenta para evitar la pérdida o modificación de los datos, información o software inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas, entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.

Planificación. 1.1.

Diagnóstico.

Cada vez que no encontramos con una actividad que requiere el diseño de una propuesta de solución para un determinado problema, es necesaria siempre la revisión exhaustiva de cada uno de los componentes que componen nuestra organización sino también cada uno de los elementos de nuestros Sistemas de Información, por tal razón se realiza una etapa de diagnóstico para poder asegurar que cada de las acciones de solución 117

propuestas o que se pretenden plantear tengan un fundamento realista y funcional para cualquier evento. 1.2. Organización Estructural y Organizacional. Gerente General Ernesto Villatoro

Gerente de Sistemas

Gerente Administrativo

Adolfo Villatoro Francisco Villatoro

Supervisor Ferwa

Supervisor La Huehueteca

Supervisor Cambote

Inventarios

Carlos Vásquez

Henry Mendoza

Lorenzo Martínez Selvin Mendoza

Friccionero

Cajero

Manuel Martínez

Gustavo Chun

Marconi García

Auxiliar de Inventarios Cesar Villatoro

Motorista

2. Generalidades de la empresa. Hugo Gómez Fausto Gilberto Gonzales Martínez 2.1. Operaciones de la Corporación.

Motorista Cristian Mus

2.1.1. Datos generales. Nuestro establecimiento es un Local de venta de todo tipo de repuestos para Vehículos livianos y pesados; se ubica en la zona 5 del departamento de Huehuetenango. 2.1.2. Actividades y operaciones principales. Nuestra principal actividad es la compra y venta de todo tipo de repuestos para vehículos livianos y pesados. La operación principal de nuestro establecimiento comienza con operaciones de recepción, almacenamiento y culmina con el expendio del repuestos a todos nuestros clientes. 118

2.1.3. Capacidad de almacenamiento. Se cuentan con una capacidad de almacenamiento sumamente extensa, en varias bodegas. 2.1.4. Tipo de servicios adicionales. Contamos con servicio a Domicilio en toda la cabecera departamental. 2.1.5. Comité de seguridad. El comité de seguridad es el organismo responsable del plan de contingencia. Sus funciones básicas son: programar. Dirigir, ejecutar y evaluar el desarrollo del Plan, organizando asimismo las brigadas. El comité de seguridad está constituido por:   

Director de Emergencia – Ernesto Villatoro Jefe de Mantenimiento – Adolfo Villatoro Jefe de Seguridad – Francisco Villatoro

Al producirse la emergencia, los miembros del comité de seguridad que se encuentran en el establecimiento, dirigirán la evacuación del personal y la atención de la emergencia. 2.1.5.1. Brigadas. El aspecto más importante de la organización de emergencia es la creación y entrenamiento de las brigadas. 2.1.5.1.1. Concepto. Las Brigadas son grupos de personas organizadas y capacitadas para emergencias, mismos que serán responsables de combatirlas de manera preventiva o ante eventualidades de un alto riesgo, emergencia, siniestro o desastre, dentro de una empresa, industria o establecimiento y cuya función está orientada a salvaguardar a las personas, sus bienes y el entorno de los mismos.

2.1.5.1.2.

Organización y/o Estructura típica de una brigada.

JEFE DE BRIGADA 119 Ernesto Villatoro

SUB JEFE DE BRIGADA

    



2.1.5.1.3. Funciones. 2.1.5.1.3.1. Jefe de brigada. Comunicar de manera inmediata al propietario del establecimiento de la ocurrencia de una emergencia. Verificar si los integrantes de las brigadas están suficientemente capacitados y entrenados para afrontar las emergencias. Estar al mando de las operaciones para enfrentar la emergencia cumpliendo con las directivas encomendadas por el comité. Comunicar de la emergencia al cuerpo General de Bomberos Voluntarios, Policía Nacional Civil, etc. Iniciado el fuego se evaluara la situación, la cual si es crítica se informara en el punto de reunión preestablecido, para que se tomen las acciones de evacuación. Se adoptara las medidas de ataque que considere conveniente para combatir el incendio.

2.1.5.1.3.2. Sub jefe de brigada.  Apoyo del jefe de brigada.  Reemplazar al jefe de brigada en caso de ausencia y asumir las 120

mismas funciones establecidas.



    

   

     

2.1.5.1.3.3. Brigada contra incendio. Comunicar de manera inmediata al Jefe de Brigada de la ocurrencia de un incendio y actuar de inmediato haciendo uso de los equipos contra incendio (extintores portátiles), si se trata de una fuga de gas encendida NO APAGARLA, solo enfriar los cilindros circundantes. Estar lo suficientemente capacitado y entrenados para actuar en caso de incendio. Activar e instruir en el manejo de la alarma contra incendio colocado en lugares estratégicos de las instalaciones, si lo hubiera. Recibida la alarma, el personal de la citada brigada se constituirá con urgencia en el lugar del siniestro. Se utilizará de manera adecuada los equipos de protección personal para que los integrantes realicen las tareas de extinción. Al arribo de la compañía de Bomberos informará las medidas adoptadas y las tareas que se están realizando, entregando el mando a los mismos y ofreciendo la colaboración de ser necesario.

2.1.5.1.3.4. Brigada de primeros auxilios. Conocer la ubicación de los botiquines en la instalación y estar pendiente del buen abastecimiento con medicamento de los mismos. Brindar los primero auxilios a los heridos leves en las zonas seguras. Evacuar a los heridos de gravedad a los establecimientos de salud más cercanos a las instalaciones. Estar suficientemente capacitados y entrenados para afrontar las emergencias. 2.1.5.1.3.5. Brigada de evacuación. Comunicar de manera inmediata al jefe de brigada de inicio del proceso de evacuación. Reconocer las zonas de seguras, zona de riesgo y las rutas de evacuación de las instalaciones a la perfección. Abrir las puertas de evacuación del local inmediatamente si ésta se encuentra cerrada. Dirigir al personal y visitantes en la evacuación de las instalaciones. Verificar que todo el personal y visitantes hayan evacuado las instalaciones. Conocer la ubicación de los tableros eléctricos, llaves de suministro de agua y tanques de combustible. 121

 Estar suficientemente capacitado y entrenados para afrontar las emergencias.

2.1.5.1.3.6. Brigada de inundaciones. No se cuenta con esta brigada aún. 2.1.4.1.4 Pautas para brigadas. 2.1.4.1.4.1 Responsable y asistente responsable. En caso de siniestro, el responsable del establecimiento, informara en el punto de reunión preestablecido, por medio de telefonía de emergencia o alarmas de incendio. Si la situación lo permite, intentara dominar el incendio con los elementos disponibles en el área (extintores) con el apoyo de la brigada de emergencia, sin poner peligro la vida de las personas. Si el siniestro no puede ser controlado deberá evacuar el personal conforme lo establecido, disponiendo que todo el personal forme frente al punto de reunión preestablecido. Mantendrá informado en todo momento al Director de la emergencia de lo que acontece en el establecimiento. Revisaran los compartimientos de baños y lugares cerrados, a fin de establecer la desocupación del lugar. No se permitirá la utilización de ascensores. Mantendrá el orden de evacuación evitando actos que puedan generar pánico, expresándose en forma enérgica, pero prescindiendo de gritar a fin de mantener la calma. La evacuación será siempre hacia las rutas de escape, siempre que sea posible. Posteriormente aguardarán las indicaciones del Director de la emergencia a efecto de poder evacuar a los visitantes y empleados del lugar.

2.1.4.1.4.2 Personal que se encuentra en zona de emergencia.  Todo el personal estable del establecimiento debe conocer las directivas generales del plan de evaluación.  El personal que observe una situación anómala en donde desarrolla sus tareas, deberá dar aviso en forma urgente de la siguiente manera: 1) Avisar al jefe inmediato 122

2) Accionar el pulsador de alarma o dar a viva voz la alarma. 3) Utilizar el teléfono de emergencia.  Seguir las instrucciones que se impartan.  No perder tiempo recogiendo otros objetos personales.  Caminar hacia la salida asignada.  Bajar las escaleras caminar, sin hablar, sin gritar ni correr, respirando por la nariz.  Una vez efectuado el descenso a la parte baja, se retirara en orden a la vía pública donde se dirigirá hacia el punto de reunión preestablecido.

2.1.5.2. Equipamiento. 2.1.5.2.1. Métodos de protección. A continuación se listan los equipos e implementos de seguridad con que cuentan nuestro local de venta para combatir emergencias.

Silbato Extintor portátil de 9 kg. De P.Q.S. con indicaciones de fecha de última recarga. En el establecimiento existe 01 grifo de agua (hidrante ) para uso de los bomberos Señalización de rutas de evacuación. Botiquín de primero auxilios 2.1.4.1.2 Planos del establecimiento. Como complemento, se cuenta con los planos del establecimiento en los cuales se representa gráficamente la localización de los medios de protección y vías de evacuación existentes en toda la edificaron.

2.1.4.1.3 Sistema de comunicación de emergencia. Se han definido los tipos de Señal de Alerta y de Alarma a utilizar en cada caso según los medios disponibles:

123

 El uso de silbato de duración continua y prolongada indica que se trata de Señal de Alerta y si oyen silbatos de duración breve e intermitente indica que se trata de Señal de Alarma.  Dado a que nuestro establecimiento es relativamente pequeño, las señales pueden ser verbales.  Para evitar el pánico, se ha planificado la evacuación para que la salida se realice de la misma forma que se hace habitualmente para las actividades comunes.  Para comunicar la emergencia a las personas y entidades que corresponda contamos con: teléfonos fijos y móviles.

2.1.4.1.4 Rutas de evacuación.  Una escalera que conecta con todos los niveles.  Espacio de ascensor, no se cuenta con la instalación de este.  Obedecer a las siguientes señales de evacuación.

3. Identificación de riesgos. Esto se desarrolla haciendo uso adecuado de la matriz de riesgos. Una matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad. Aparte de lo ya mencionado la matriz de riesgos constituye una herramienta clave en el proceso de supervisión basada en riesgos, debido a que la misma nos permite efectuar una evaluación cualitativa o cuantitativa de los riesgos inherentes de cada actividad en estudio y la determinación del perfil de riesgo del proceso.

Riesgos

Categoría

Probabilida d 124

Impact o

Factor F (I *

Componente

(1 - 5)

Acceso autorizado a aplicaciones

no Catastrófica las

80%

160%

No Controlable

El software responde

no Catastrófica

40%

120%

Controlable

Falta de formación Marginal del personal

80%

160%

Controlable

Infección por Virus

30%

120%

No controlable

Perdida del disco Catastrófica duro de los puntos de venta

360%

No Controlable

Suspensión de Marginal energía eléctrica

70%

140%

Controlable

207%

No Controlable

60%

120%

No controlable

La estimación del Marginal tamaño puede ser muy baja

60%

120%

Controlable

Uso inadecuado de Crítica la aplicación

50%

150%

Controlable

Habrá muchos Marginal cambios de personal

60%

120%

No controlable

del Marginal no

30%

90%

Controlable

40%

Daño switch

Disminución Rendimiento

El soporte Software responde

Catastrófica

algún Marginal

de Crítica

El rendimiento de la Critica

125

80%

Controlable

red Plataforma inusual Despreciabl para los usuarios e

30%

Controlable

los Catastrófica

40%

Controlable

Vulnerable a Critica ataques cibernéticos

20%

40%

No controlable

Los usuarios finales Marginal se resisten al sistema

40%

120%

Controlable

Copia o Distribución Critica no autorizada (Piratería)

20%

40%

No controlable

Error en la RAM

Critica

50%

100%

Controlable

no Critica

90%

270%

Controlable

Fallas lógicas en los Despreciabl sistemas e

80%

240%

Controlable

Cableado dañado.

65%

130%

Controlable

Los elementos del Critica Sistema de Información no responden

40%

90%

No controlable

de Crítica

30%

60%

Controlable

Se perderán presupuestos

El servidor responde

Error autenticación

red, Despreciabl e

4. Posibles soluciones a riesgos.

126

A los responsables de TI se les pide que elaboren planes de gestión de riesgos que optimicen la seguridad de las aplicaciones, los datos y los activos y que al mismo tiempo reduzcan el riesgo y los costes, una tarea no trivial. Las soluciones de gestión de riesgos de McAfee fortalecen su situación de riesgo al detectar automáticamente los activos más vulnerables; al instalar el software de seguridad necesario para los endpoints, la red y los datos; y al establecer la supervisión y gestión continuas de su entorno de TI para controlar los riesgos. Obtenga una visibilidad completa de su situación de riesgo y reduzca las preocupaciones, la complejidad y el gasto de gestionar los riesgos de TI.

Riesgos

Posible solución.

Acceso no autorizado a las aplicaciones de Acceso al sistema mediante un login. escritorio. El software no responde.

Ordenar que los usuarios salgan del sistema.

Falta de firewall.

Implementar un firewall, administrarlo y configurarlo.

Infección por Virus

Administrar adecuadamente un software antivirus, con licencia original.

Perdida del disco duro de los puntos de Cambiar el disco duro, junto a esto venta contar con un sistema redundante. Suspensión de energía eléctrica

Uso de los CPU’s para guardar la información relevante en los procesos que quedaron pendientes.

Daño de algún switch

Verificar el estado del switch, realizar una prueba, y de no ser satisfactoria dicha prueba, comprar dicho switch.

Disminución de Rendimiento

Desfragmentación de los discos, y análisis de desempeño de dicho software.

Ausencia del personal capacitado para el Contar con un manual de procedimientos y de usuario para el 127

uso de las aplicaciones.

uso de dichas aplicaciones.

Uso inadecuado de la aplicación

Ingeniería Social.

Habrá muchos cambios de personal

Contar con un plan de capacitaciones constantes al personal.

El soporte del Software no responde

Tener un manual de usuario actualizado y funcional, tener comunicación adecuada con el proveedor del software.

Bajo rendimiento de la red

Mantenimiento adecuado, con tiempos bien definidos en función del tráfico de red que presenta.

Plataforma inusual para los usuarios

Fase de inducción por parte del personal.

Vulnerable a ataques cibernéticos

Hacer uso adecuado del plan de seguridad.

Los usuarios finales se resisten al sistema

Aplicar la estrategias concientización para el personal.

Copia o (Piratería)

Distribución

autorizada Seguridad de la información confidencial de la empresa, con políticas que apoyen este aspecto.

Error en la RAM

Contar con un sistema redundante, reemplazar la RAM averiada con una nueva sin afectar la continuidad del negocio.

El servidor no responde

Pruebas de caja blanca y caja negra, así como pruebas de estrés.

Fallas lógicas en los sistemas

Realizar un análisis lógico detallado tanto para software como base de datos, de las cuales pueden estar: a) Pruebas de caja blanca. b) Pruebas de caja negra. 128

c) Pruebas de estrés. Estructurar la red de la empresa, basados en los estándares mínimos para su implementación.

Cableado de red, dañado.

Los elementos del Sistema de Información Un análisis exhaustivo de cada no responden elemento, tomando en cuenta las recomendaciones del capítulo dos del plan de contingencia. Error de autenticación

Contar con un algoritmo adecuado de autenticación.

5. Estrategias. 5.1. Actividades importantes.  La revisión de procesos, flujos, funciones y opciones de importancia crítica.  La definición de las opciones de contingencia seleccionadas para cada riesgo identificado (nivel de componente, nivel de proceso de la empresa).  La revisión / depuración del cronograma maestro, incluyendo prioridades, fechas importantes en el calendario de eventos y dependencias cruzadas en diversos proyectos, ventas o áreas.  La consolidación de soluciones de acuerdo a las funciones o áreas de negocios más importantes e identificar las estrategias globales.  La identificación de los impactos de las soluciones y estrategias para ahorrar costos, como puede ser la selección de una solución para cubrir varios riesgos, Se deben de considerar varios elementos de costo: como el costo de crear la solución, el costo de implementar la solución, y el costo de mantener vigente dicha solución. Debido a que la continuidad de las operaciones de la organización constituye el enfoque primordial, la estrategia de la empresa rige el análisis de costos.  La obtención de aprobaciones finales para el financiamiento, antes de que se apruebe la solución.  La identificación de los beneficios es un elemento clave para asegurar que el costo del proyecto este equilibrado con los retornos reales de la organización. 129

5.2. Preparativos para la identificación de soluciones preventivas. Los puntos que deben ser cubiertos por todas las áreas informáticas y usuarios en general son:  Respaldar toda la información importante en medio magnético, ya sea en disquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente cada área. Acordamos que lo que debe respaldarse es INFORMACION y no las aplicaciones.  Generar discos de arranque para las máquinas dependiendo de su sistema operativo, ya sea DOS, Win95/98, WinNT o W7 libres de virus y protegidos contra escritura.  Mantener una copia de antivirus más reciente en disco para emergencias (dependiendo del fabricante, variarán las instrucciones para generarlo).  Guardar una copia impresa de la documentación de los sistemas e interfaces, al igual de los planes de contingencia definidos por el resto de las áreas.  Instalar todos los Service Packs que el equipo necesite y llevar un registro de los mismos, en caso de formatear el equipo o desinstalar aplicaciones. 5.3. Medidas de precaución y recomendación. 5.3.1. Centro de Cómputo.  Es recomendable que el Centro de Cómputo no esté ubicado en las áreas de alto tráfico de personas o con un alto número de invitados.  Hasta hace algunos años la exposición de los Equipos de Cómputo a través de grandes ventanales, constituían el orgullo de la organización, considerándose necesario que estuviesen a la vista del público, siendo constantemente visitados. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo y sabotaje.  Se deben evitar, en lo posible, los grandes ventanales, los cuales además de que permiten la entrada del sol y calor (inconvenientes para el equipo de cómputo), puede ser un riesgo para la seguridad del Centro de Cómputo.  Otra precaución que se debe tener en la construcción del Centro de Cómputo, es que no existan materiales que sean altamente inflamables, que despiden humos sumamente tóxicos o bien paredes que no quedan perfectamente selladas y despidan polvo.  El acceso al Centro de Cómputo debe estar restringido al personal autorizado. El personal de la Institución deberá tener su carné de identificación siempre en un lugar visible.  Se debe establecer un medio de control de entrada y salida de visitas al 130



   



  

centro de cómputo. Si fuera posible, acondicionar un ambiente o área de visitas. Se recomienda que al momento de reclutar al personal se les debe hacer además exámenes psicológicos y médico y tener muy en cuenta sus antecedentes de trabajo, ya que un Centro de Cómputo depende en gran medida, de la integridad, estabilidad y lealtad del personal. El acceso a los sistemas compartidos por múltiples usuarios y a los archivos de información contenidos en dichos sistemas, debe estar controlado mediante la verificación de la identidad de los usuarios autorizados. Deben establecerse controles para una efectiva disuasión y detección, a tiempo, de los intentos no autorizados de acceder a los sistemas y a los archivos de información que contienen. Se recomienda establecer políticas para la creación de las contraseñas y establecer periodicidad de cambios de los mismos. Establecer políticas de autorizaciones de acceso físico al ambiente y de revisiones periódicas de dichas autorizaciones. Establecer políticas de control de entrada y salida del personal, así como de los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrán ser controlados por medios de anulación del disk drive, cubriéndose de esa manera la seguridad contra robos de la información y el acceso de virus informáticos. Los controles de acceso, el acceso en sí y los vigilantes deben estar ubicados de tal manera que no sea fácil el ingreso de una persona extraña. En caso que ingresara algún extraño al centro de Cómputo, que no pase desapercibido y que no le sea fácil a dicha persona llevarse un archivo. Las cámaras fotográficas no se permitirán en ninguna sala de cómputo, sin permiso por escrito de la Dirección. Asignar a una sola persona la responsabilidad de la protección de los equipos en cada área. El modelo de seguridad a implementar, estará basado en el entorno y en la política y estrategias de la instalación.

5.3.2. Administración de las impresoras.  Todo listado que especialmente contenga información confidencial, debe ser destruido, así como el papel carbón de los formatos de impresión especiales.  Establecer controles de impresión, respetando prioridades de acuerdo a la cola de impresión.  Establecer controles respecto a los procesos remotos de impresión. 131



Establecer puntos jerárquicos para el uso de impresoras. 5.3.3. Medios de almacenamiento. 5.3.3.1. Mantenimiento de cintas magnéticas y cartuchos. a. Cintas Magnéticas: o La temperatura y humedad relativa del ambiente en que se encuentran almacenados deben estar en el siguiente rango:  Temperatura: 4ºC a 32ºC.  Humedad Relativa: 20 % a 80 %.  El ambiente debe contar con aire acondicionado.  Las cintas deben colocarse en estantes o armarios adecuados.  Deberá mantenerse alejados de los campos magnéticos.  Se les debe dar un mantenimiento preventivo en forma periódica a fin de desmagnetizar impurezas que se hayan registrado sobre ellas. a. Cartuchos:  La temperatura y humedad relativa del ambiente en que se encuentran almacenados deben estar en el siguiente rango: Temperatura: 16ºC a más  Humedad Relativa: 20 % a 80 %.  La temperatura interna del Drive puede oscilar entre: 5ºC a 45ºC.  Deben ser guardados dentro de su caja de plástico.  Deben mantenerse alejados de campos magnéticos. 5.3.3.2. Mantenimiento de discos duros.  Aunque el conjunto de cabezales y discos viene de fábrica sellado herméticamente, debe evitarse que los circuitos electrónicos que se encuentran alrededor se llenen de partículas de polvo y suciedad que pudieran ser causa de errores.  El ordenador debe colocarse en un lugar donde no pueda ser golpeado, de preferencia sobre un escritorio resistente y amplio.  Se debe evitar que la microcomputadora se coloque en zonas donde haya acumulación de calor. Esta es una de las causas más frecuentes de las fallas de los discos duros, sobre todo cuando algunas piezas se dilatan más que otras.  No se debe mover la CPU conteniendo al disco duro cuando esté 132

encendido, porque los cabezales de lectura-escritura pueden dañar al disco.  Una de las medidas más importantes en este aspecto, es hacer que la gente tome conciencia de lo importante que es cuidar un Microcomputador.

5.3.4. Monitores.  La forma más fácil y común de reducir la fatiga en la visión que resulta de mirar a una pantalla todo el día, es el uso de medidas contra la refección.  Generalmente éstos vienen en forma de una pantalla con un terminado áspero o algún tipo de capa contra brillo con una base de sílice, sobre la superficie de la pantalla del monitor.  Se recomienda sentarse por lo menos a 60 cm. (2 pies) de la pantalla. No sólo esto reducirá su exposición a las emisiones (que se disipan a una razónproporcional al cuadrado de la distancia), sino que puede ayudar a reducir el esfuerzo visual.  También manténgase por lo menos a 1 m. o 1.20 m. (3 o 4 pies) del monitor de su vecino, ya que la mayoría de los monitores producen más emisiones por detrás, que por delante.  Finalmente apague su monitor cuando no lo esté usando

5.3.5. Equipo de cómputo. Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entre las teclas, puede causar un cruce de función.  Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10 cm.Para asegurar así una ventilación mínima adecuada.  Mouse. Poner debajo del mouse una superficie plana y limpia, de tal maneraque no se ensucien los rodillos y mantener el buen funcionamiento de éste.  Protectores de pantalla. Estos sirven para evitar la radiación de las pantallasa color que causan irritación a los ojos.  Impresora. El manejo de las impresoras, en su mayoría, es a 133

través de losbotones, tanto para avanzar como para retroceder el papel.  Teclado. Mantener los teclados limpios, constante limpieza entre las teclas con una brocha o pincel, cuando el horario de trabajo termine dejar tapado con fundas al igual que el resto del equipo. Por Ejemplo: Caso Epson FX-1170/LQ-1070 no usar rodillo cuando esté prendido. Caso Epson DFX-5000/8000 tratar con cuidado los sujetadores de papel y no apagar de súbito, asegurarse que el ON LINE esté apagado, así evitaremos problemas de cabezal y sujetador. Caso de mala impresión, luego de imprimir documentos o cuadros generados, apagar por unos segundos la impresora para que se pierda el set dejado.

5.3.5.1. Áreas operativas limpias y organizadas. Todas las razones para mantener las áreas operativas limpias y pulcras son numerosas, para enunciarlas aquí. Sin embargo, algunos de los problemas que usted puede evitar son: el peligro de fuego generado por la acumulación de papeles bajo el falso piso, el daño potencial al equipo por derramar el café, leche o chocolate en los componentes del sistema, el peligro de fuego que se presentan por el excesivo almacenamiento de hojas continuas, el peligro por fumar y las falsas alarmas creadas por detectores de humo. Estos son solamente algunos de los problemas encontrados en las áreas operativas con reglas poco estrictas de limpieza.

6. Realización de pruebas y validación. 6.1. Plan de recuperación de desastres. Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora. 134

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. En estos procedimientos estará involucrado todo el personal de la Empresa. Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento. Las actividades a realizar en un Plan de Recuperación de Desastres se pueden clasificar en tres etapas: 6.1.1. Actividades previas al desastre. Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de la información, que nos aseguren un proceso de Recuperación con el menor costo posible a nuestra Institución.

Podemos detallar las siguientes Actividades Generales: o Establecimiento del Plan de Acción. o Formación de Equipos Operativos. o Formación de Equipos de Evaluación (auditoría de cumplimiento de los procedimientos sobre Seguridad).

 Establecimiento de Plan de Acción En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: 135

a) Sistemas e Información. b) Equipos de Cómputo. c) Obtención y almacenamiento de los Respaldos de Información (BACKUPS). d) Políticas (Normas y Procedimientos de Backups).

a) Sistemas e Información. La Institución deberá tener una relación delos Sistemas de Información con los que cuenta, tanto los realizados por el centro de cómputo como los hechos por las áreas usuarias. Debiendo identificar toda información sistematizada o no, que sea necesaria para la buena marcha Institucional. La relación de Sistemas de Información deberá detallar los siguientes datos:  Nombre del Sistema.  Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo conforman (tanto programas fuentes como programas objetos, rutinas, macros, etc.).  La Dirección (Gerencia, Departamento, etc.) que genera la información base (el «dueño» del Sistema).  Las unidades o departamentos (internos/externos) que usan la información del Sistema.  El volumen de los archivos que trabaja el Sistema.  El volumen de transacciones diarias, semanales y mensuales que maneja el sistema.  El equipamiento necesario para un manejo óptimo del Sistema.  La(s) fecha(s) en las que la información es necesitada con carácter de urgencia.  El nivel de importancia estratégica que tiene la información de este Sistema para la Institución (medido en horas o días que la Institución puede funcionar adecuadamente, sin disponer de la información del Sistema). Equipamiento mínimo necesario para que el Sistema pueda seguir funcionando (considerar su utilización en tres turnos de trabajo, para que el equipamiento sea el mínimo posible).  Actividades a realizar para volver a contar con el Sistema de Información (actividades de Restore). 136

Con toda esta información se deberá de realizar una lista priorizada (un ranking) de los Sistemas de Información necesarios para que la Institución pueda recuperar su operatividad perdida en el desastre (contingencia). b) Equipos de Cómputo. Aparte de las Normas de Seguridad que severán en los capítulos siguientes, hay que tener en cuenta:  Inventario actualizado de los equipos de manejo de información (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicación y nivel de uso Institucional.  Pólizas de Seguros Comerciales. Como parte de la protección de los Activos Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la restitución del Computador siniestrado se podrá hacer por otro de mayor potencia (por actualización tecnológica), siempre y cuando esté dentro de los montos asegurados.  Señalización o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuación. Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores, color amarillo a las PC's con Información importante o estratégica y color verde a las PC's de contenidos normales.  Tener siempre actualizada una relación de PC's requeridas como mínimo para cada Sistema permanente de la Institución (que por sus funciones constituyen el eje central de los Servicios Informáticos de la Institución), las funciones que realizaría y su posible uso en dos o tres turnos de trabajo, para cubrir las funciones básicas y prioritarias de cada uno de estos Sistemas. b) Obtención y Almacenamiento de los Respaldos de Información (BACKUPS).  Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los Sistemas o aplicativos de la Institución. Para lo cual se debe contar con: o Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contará con una copia de cada uno de ellos). o Backups del Software Base (Paquetes y/o Lenguajes de 137

Programación con los cuales han sido desarrollados o interactúan nuestros Aplicativos Institucionales). o Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que también trabaje con la data, para producir los resultados con los cuales trabaja el usuario final). Se debe considerar también las copias de los listados fuentes de los programas definitivos, para casos de problemas. o Backups de los Datos (Bases de Datos, Índices, tablas de validación, passwords, y todo archivo necesario para la correcta ejecución del Software Aplicativo de nuestra Institución). o Backups del Hardware. Se puede implementar bajo dos modalidades: Modalidad Externa. Mediante convenio con otra Institución quetenga equipos similares o mayores y que brinden la seguridad de poder procesar nuestra Información, y ser puestos a nuestra disposición, al ocurrir una contingencia y mientras se busca una solución definitiva al siniestro producido. Este tipo de convenios debe tener tanto las consideraciones de equipamiento como de ambientes y facilidades de trabajo que cada institución se compromete a brindar, y debe de ser actualizado cada vez que se efectúen cambios importantes de sistemas que afecten a cualquiera de las instituciones. Modalidad Interna. Si tenemos más de un local, en ambosdebemos tener señalados los equipos, que por sus características técnicas y capacidades, son susceptibles de ser usados como equipos de emergencia del otro local, debiéndose poner por escrito (igual que en el caso externo), todas las actividades a realizar y los compromisos asumidos. En ambos casos se deberá probar y asegurar que los procesos de restauración de Información posibiliten el funcionamiento adecuado de los Sistemas. En algunos casos puede ser necesario volver a recompilar nuestro software aplicativo bajo plataformas diferentes a la original, por lo que es imprescindible contar con los programas fuentes, al mismo grado de actualización que los programas objeto.

d) Políticas (Normas y Procedimientos de Backups) Se

debe

establecer

los

procedimientos, 138

normas,

determinación

responsabilidades en la obtención de los Backups mencionados anteriormente en el punto «c», debiéndose incluir:  Periodicidad de cada Tipo de Backup.  Respaldo de Información de movimiento entre los períodos que no se sacan Backups (backups incrementales).  Uso obligatorio de un formulario estándar para el registro y control de los Backups.  Correspondencia entre la relación de Sistemas e Informaciones necesarias para la buena marcha de la empresa, y los backups efectuados.  Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo del medio magnético empleado.  Reemplazo de los Backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar (reciclaje o refresco).  Almacenamiento de los Backups en locales diferentes donde reside la información primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local estudiado).  Pruebas periódicas de los Backups (Restore), verificando su funcionalidad, a través de los sistemas, comparando contra resultados anteriores confiables.  Formación de Equipos Operativos En cada unidad operativa de la Institución, que almacene información y sirva para la operatividad Institucional, se deberá designar un responsable de la seguridad de la Información de su unidad. Pudiendo ser el jefe de dicha Área Operativa. Sus labores serán:  Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos.  Proporcionar soporte técnico para las copias de respaldo de las aplicaciones.  Planificar y establecer los requerimientos de los sistemas operativos en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas.  Supervisar procedimientos de respaldo y restauración.  Supervisar la carga de archivos de datos de las aplicaciones, y la creación de los respaldos incrementales.  Coordinar líneas, terminales, módem, otros aditamentos para 139

      

comunicaciones. Establecer procedimientos de seguridad en los sitios de recuperación. Organizar la prueba de hardware y software. Ejecutar trabajos de recuperación. Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante. Realizar procedimientos de control de inventario y seguridad del almacenamiento en el local alternante. Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperación. Participar en las pruebas y simulacros de desastres.

 Formación de Equipos de Evaluación (Auditoría de cumplimiento de los procedimientos sobre Seguridad) Esta función debe ser realizada de preferencia por personal de Inspectoría, de no ser posible, la realizará el personal del área de Informática, debiendo establecerse claramente sus funciones, responsabilidades y objetivos:

 Revisar que las Normas y procedimientos con respecto a Backups y seguridad de equipos y data se cumpla.  Supervisar la realización periódica de los backups, por parte de los equipos operativos, comprobando físicamente su realización, adecuado registro y almacenamiento.  Revisar la correlación entre la relación de Sistemas e Informaciones necesarios para la buena marcha de la Institución, y los backups realizados.  Informar de los cumplimientos e incumplimientos de las Normas, para las acciones de corrección respectivas.

6.1.2. Actividades durante el desastre. Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente: a) Plan de Emergencias. 140

b) Formación de Equipos. c) Entrenamiento.

a) Plan de Emergencias En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así como la difusión de las mismas, es conveniente prever los posibles escenarios de ocurrencia del Siniestro:  Durante el día.  Durante la Noche o madrugada. Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar:  Vías de salida o escape.  Evacuación del Personal.  Puesta a buen recaudo de los activos (incluyendo los activos de Información) de la Institución (si las circunstancias del siniestro lo posibilitan).  Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.).  Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos. 6.1.3. Actividades después del desastre. Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Acción. a) b) c) d) e)

Evaluación de Daños. Priorización de Actividades del Plan de Acción. Ejecución de Actividades. Evaluación de Resultados. Retroalimentación del Plan de Acción. 141

a) Evaluación de Daños. Inmediatamente después que el siniestro ha concluido, se deberá evaluar la magnitud del daño que se ha producido, que sistemas se están afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc. Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual tenemos el convenio de respaldo, para ir avanzando en las labores de preparación de entrega de los equipos por dicha Institución. b) Priorización de Actividades del Plan de Acción. Toda vez que el Plan de Acción es general y contempla una pérdida total, la evaluación de daños reales y su comparación contra el Plan, nos dará la lista de las actividades que debemos realizar, siempre priorizándola en vista a las actividades estratégicas y urgentes de nuestra Institución. Es importante evaluar la dedicación del personal a actividades que puedan no haberse afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte técnico. c)

Ejecución de Actividades.

La ejecución de actividades implica la creación de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de acción. Cada uno de estos equipos deberá contar con un coordinador que deberá reportar diariamente el avance de los trabajos de recuperación y, en caso de producirse algún problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. Los trabajos de recuperación tendrán dos etapas, la primera la restauración del servicio usando los recursos de la Institución o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institución o local de respaldo.

142

Evaluación de Resultados

Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como se comportaron los equipos de trabajo, etc.

De la Evaluación de resultados y del siniestro en si, deberían de salir dos tipos de recomendaciones, una la retroalimentación del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro. e)

Retroalimentación del Plan de Acción.

Con la evaluación de resultados, debemos de optimizar el plan de acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cuál hubiera sido el costo de no haber tenido nuestra Institución el plan de contingencias llevado a cabo.

143

7. Implementación. 7.1. EVENTOS CONSIDERADOS. 7.1.1. Activos e interdependencias: en esta apartado debemos considerar los diferentes activos más valiosos de la empresa de los cuales podemos listar:  Oficinas centrales.  Centro de proceso de datos.  Computadoras y almacenamiento.  Información de pedidos y facturación.  Proceso de negocios de ventas.  Imagen corporativa.  Red LAN y WLAN.  Vehículos de reparto.  Copias de seguridad.  Papelería. 7.1.2 INCENDIOS (Amenaza) 7.1.2.1 Impacto.  Perdida de un 30% de clientes.  Imposibilidad de facturar durante en determinado tiempo.  Imposibilidad de admitir pedidos en determinado tiempo.  Reconstrucción manual de pedidos y facturas a partir de otras fuentes.  Sanciones por accidente laboral.  Inversiones en equipamiento y mobiliario.  Rehabilitación del local.  Pérdida parcial o total del recurso humano.  Pedidos sin completar por falta de los registros de facturación.  Pérdida parcial o total de vehículos. 7.1.2.2 Contramedidas.  Todas las personas que detecten fuego intentaran extinguirlo (siempre y cuando no sea una fuga encendida), o contener las llamas para que no se expanda, con los medios disponibles (extintores, arena, agua etc.)  El personal que se encuentre en el área de ocurrencia del incendio, notifica de inmediato a la Supervisión, para coordine las acciones a seguir en la extinción del fuego.  Se solicitara la presencia de Bomberos en áreas próximas a centros urbanos, para ello se dispondrá en lugares visibles los números telefónicos de emergencia, a efectos de obtener una pronta respuesta al 144



  



      

acontecimiento. La Supervisión del área deberá evacuar a todo el personal ajeno a la emergencia, destinándolo a lugares seguros preestablecidos (Puntos de reunión). La brigada de emergencia realizara, instruirá e implementará el plan de respuesta ante emergencias de fuego acorde a las características del área comprometida. Acudir a los procedimientos mínimos para el rescate de personal humano. Mantener la calma y cerciorase que se haya sofocado todo tipo de llamas asegurándose que no existan focos de reinicio de llamas o fuego. Realizar labores de rescate de personas si las hubiese brindándoles los primeros auxilios de ser el caso o transportándolas al centro médico más cercano. Acordonar o restringir el acceso a personas no autorizadas al establecimiento. Realizar trabajos de remoción o retiro de escombros y limpieza. Evaluar los daños ocasionados al entorno, vencidas y medio ambiente así como evaluar las pérdidas sufridas nivel humano, de infraestructuras y patrimonial. Elaborar un informe preliminar del incendio y remitirlo a la instancia correspondiente. dentro de las 24 horas de producido de acuerdo a los procedimientos y a los formatos establecidos. Informar a otras autoridades locales o centrales según corresponda. 7.1.2.3 Previsiones. Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

145

7.1.3 FUGAS (Amenaza). 7.1.3.1 Impacto.  Se verán afectados los siguientes ambientes: o Oficina de gerencia. o Bodega de repuestos. o Área de ventas. o Inventarios. o Fricciones. o Bodega de vehículos de reparto. o Intoxicación del recurso humano. o Desintegración de documentación.

         



  

7.1.3.2 Contramedidas. Detener el paso de personas y vehículos a una distancia de 100 m. del establecimiento. Retirar los vehículos que se encuentran a menos de 100 m. de la fuga, los cuales deberán ser movilizados con el motor apagado. Evacuar a las personas que se encuentran a menos de los 100 m de la fuga de gas. Movilizar el extintor y el equipo que fuera necesario para el control de la misma. Rociar el agua en forma de neblina (chorros niebla) para dispersar los vapores de G.L.P. Cortar toda posible fuente de ignición. No accionar interruptores os eléctricos. Sofocar cualquier llama abierta que exista en las inmediaciones. De estar encendida la fuga no sofocarla. No trate de buscar el origen de la fuga. Las instalaciones eléctricas y/o telefónicas de existir en el local de venta deben ser especiales (a prueba de explosiones), caso contrario deberán ser retiradas. La persona que es atrapada por el humo, debe permanecer lo más cerca del suelo (cubrirse la boca y nariz con un pañuelo humedecido), donde el aire es mejor. La respiración debe ser corta y por la nariz. Usar mascarillas. Buscar ambientes espaciosos. Si se trata de escapar del fuego, palpe las puertas antes de abrirlas, si 146

siente que están calientes y se filtra humo no abrirla. buscar otra salida.  Si se encuentra atrapado por el fuego y no puede utilizar la vía de escape, cierra la puerta y sella los bordes para evitar el ingreso del humo.  En el caso de lesiones, quemaduras u otros se deberán aplicar las técnicas de primero auxilios y brindar la atención inmediata de un médico y/o trasladar al accidentado al centro de salud más cercano.

     

7.1.3.3 Previsiones. Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

147

7.1.4 INUNDACIONES (Amenaza) 7.1.4.1 Impacto.  Se verán afectados los siguientes ambientes, locaciones. o Oficina de gerencia. o Bodega de repuestos. o Área de ventas. o Inventarios. o Fricciones. o Bodega de vehículos de reparto. o Humedad en las instalaciones. 7.1.4.2 Contramedidas.  Cuando se inicie lluvias intensas el personal dejara de operar y se dirigirá en primera instancia a los puntos de concentración o reunión preestablecidos para estos casos.  En caso se produzca fugas como consecuencia de lluvias intensas se implementara los pasos según señales de evacuación.  El personal deberá poner a salvo toda la información que se encuentra al alcance.  Se debe establecer un procedimiento para saber a quién acudir.  Contar con conocimiento de primeros auxilios por cualquier complicación del personal.  Instalar promedio de 20 cms del nivel del suelo para la ubicación de los servidores y los equipos de cómputo, evitando así inconvenientes con esta parte.  En lo posible los tomacorrientes deben ser instalados en un nivel considerable de altura.  Anular cualquier conexión eléctrica que este a nivel del suelo.  Para prevenir cortos circuitos, asegurarse de que no existan fuentes de líquidos cerca de las conexiones eléctricas.  Proveer cubiertas protectoras para cuando el equipo este apagado. 7.1.4.3 Previsiones. 148

     

Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

7.1.5 SISMOS (Amenaza) 7.1.5.1 Impacto.  Se verán afectadas los siguientes ambientes, locaciones. o Oficina de gerencia. o Bodega de repuestos. o Área de ventas. o Inventarios. o Fricciones. o Bodega de vehículos de reparto. o Toda la infraestructura del edificio. o Caída de los anaqueles, estanterías donde se tienen repuestos con la siguiente clasificación:  Alto valor.  Pesados.  Con fibra de vidrio.  Plástico.  Vidrio. 7.1.5.2 Contramedidas.  el personal del será instruido a mantener la calma en todo momento. Pensar con claridad es lo más importante en esos momentos.  Cuando comiencen los temblores es personal se dirigirá en primer instancia a los puntos de concentración o reunión.  En caso de no lograse tal cometido, se desplazaran para protegerse en área seguras (marco de puertas , debajo de mesas o escritorios fuertes si se está dentro de oficinas , de no existir muebles con esas características , deberán desplazarse hacia una esquina del ambiente o pasillo; son válidas también aquellas zonas abiertas , libres de cables eléctricos o escombros , etc.).  En el interior de la edificación colocarse en cuclillas o sentado, agarrado del mueble, cubriéndose la cabeza y el rostro. Protegerse de los objetos que puedan caer.  El mobiliario de las oficinas se dispondrán de manera tal que permanezcan estable durante un terremoto. 149

 Luego del primer temblor las personas deberán estar preparadas para recibir más sacudidas debido a las ondas del choque que siguen al primero. La intensidad puede ser moderada, pero aun así causara daños.  La brigada de emergencia, verificara la existencia de heridos. No se moverán las personas con heridas graves a menos que estén en peligro. Se realizará los primeros auxilios y se dará atención a las reacciones emocionales consecuencia del hecho.  Si las condiciones lo requieren, se solicitaran asistencia a Bomberos, y a la policía en aquellos lugares próximos a centros urbanos.  No deberán accionarse interruptores eléctricos.  Se tendrá precauciones con la posible existencia de cristales rotos y cables eléctricos derribados e instalaciones dañadas.  No actuar ningún punto eléctrico cercano.  En caso de producir incendio o fugas como consecuencia del temblor, se implementara la respuesta mencionada en los puntos 5.1 y 5.2.  Se inspeccionara con precaución los mobiliarios, estando atentos a objetos que puedan caer súbitamente de los estantes.

7.1.5.3 Previsiones. 150

     

7.1.6 PRESENCIA DE VIRUS INFORMATICO (Amenaza) 7.1.6.1 Impacto.  Perdida de datos.  Saturación de red.  Daño en software de equipos de cómputo.  Reglas antispam que me impiden el uso de correo electrónico.  Perdida de archivos.  Bloqueo al acceso al sistema.  Contaminación total o parcial de centro de cómputo. 7.1.6.2 Contramedidas. Dado el caso crítico que se presente virus en las computadoras se procederá a lo siguiente: SERVIDOR.  Se contará con antivirus para el sistema que aíslan el virus que ingresa al sistema llevándolo a un directorio para su futura investigación.  Verificar que tipo de virus se encuentra presente en el servidor.  El antivirus muestra el nombre del archivo infectado y quién lo usó.  Estos archivos (exe, com, ovl, nlm, etc.) serán reemplazados del disco original de instalación o del backup.  Si los archivos infectados son aislados y aún persiste el mensaje de que existe virus en el sistema, lo más probable es que una de las estaciones es la que causó la infección, debiendo retirarla del ingreso al sistema y proceder a su revisión. COMPUTADORAS DE LA RED.  Se revisará las computadoras que no estén en red con antivirus de disco.  Utilizar un disco que contenga sistema operativo igual o mayor en versión al instalado en el computador infectado. Reiniciar el computador con dicho disco.  Retirar el disco con el que arrancó el computador e insertar el disco antivirus, luego activar el programa de tal forma que revise todos los archivos y no sólo los ejecutables. De encontrar virus, dar la opción de 151



     

eliminar el virus. En caso de que no se pueda eliminar dicho virus se procede a eliminar el archivo infectado, llenado una bitácora de los archivos que se están eliminando. Si éstos son varios pertenecientes al mismo programa, reinstalar al término del Scaneado. Finalizado el scaneado, reconstruir el Master Boot del disco duro. 7.1.6.3 Previsiones. Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

152

7.1.7 ERROR EN BASE DE DATOS (Amenaza) 7.1.7.1 Impacto.  Imposibilidad de guardar los pedidos o compras de los clientes, proveedores.  Perdidas en las cuentas de sesión de clientes y usuarios.  Saturación de la caché, perdida de la caché.  Perdida de las transacciones de movimientos financieros.  Perdida de ventas al día, semana, mes según la gravedad del caso.  Perdida de toda la información almacenada en la base de datos. 7.1.7.2 Contramedidas. Estas acciones están muy ligadas a acciones que debiera realizar el personal encargado del área de informática de la empresa, de lo contrario deberá avocarse al proveedor del software de base de datos, refiriéndonos a acciones puramente de un DBA.  Llenar un formulario con datos personales y documentos de seguridad para poder manipular la base de datos.  Antes que nada debe establecerse con qué tipo de base de datos cuenta la empresa.  Verificar el estado de la conexión a la Base de Datos.  Revisar o avaluar la integridad referencial de la base de datos.  Verificar índices.  Revisión del modelo, si cumple con el rendimiento actual de la empresa.  Verificar el tipo de error, apoyándose de la documentación de software de base de datos.  Inspeccionar el origen de dicho error.  Reparar la base de datos. o Seleccione la base de datos que desea reparar. o Pulse o seleccione la opción reparar sobre dicha base de datos. o O ya bien ejecutar el script del último estado de la base de datos.  Hacer prueba de estrés para verificar el funcionamiento adecuado de la 153

base de datos.  Documentar todo el proceso de gestión, verificación, corrección y pruebas del error o errores corregidos.  Redactar informe completo a gerencia sobre el proceso utilizado para la corrección de dicho error. Estas acciones están referidas a los empleados, cajeros, personal en general.  Llenar una bitácora con los siguientes datos del error: o Número de error. o Breve descripción del error. o Horarios en los que sucede dicho error. o En qué escenario, formulario sucede dicho error. o Reportar dicho evento a quien corresponde, encargado del área de informática.  No intente corregir dicho error manipulando ya sea: o La aplicación. o El servidor de base de datos. o El software de dase de datos.  Al personal que se le ha brindado algún tipo de capacitación sobre el manejo de estos errores deberán seguir los siguientes procedimientos. o Llenar una ficha o bitácora con la descripción de error. o Seguir las indicaciones del manual de usuario del software de base de datos, o ya sea algún manual con que se cuenta por parte del administrador de base de datos. o Presentar informe completo de las acciones efectuadas relacionadas a dicho error. 7.1.7.3 Previsiones.  Plan de seguridad.  Procedimientos recuperación de desastres.  Procedimientos de planes de acción.  Plan de mantenimiento de equipo.  Plan de mantenimiento de red.  Manual de normas y procedimientos (se va considerar hacerlo).

154

7.1.8 FALLA EN EL SISTEMA OPERATIVO (Amenaza) 7.1.8.1 Impacto.  Imposibilidad de realizar las operaciones normales del negocio.  No poder acceder a las aplicaciones del sistema.  Bloqueo parcial o total de facturación, ventas de la empresa, por lo menos con registros del sistema.  Perdida de algunos dispositivos del computador.  Si el sistema operativo fallará, se perdería tiempo para poder reestablecerlo esto implica en función del costo-beneficio perdidas a la empresa, en ventas, pedidos, básicamente las operaciones del negocio.  7.1.8.2 Contramedidas. Estas se clasifican según el tipo de fallo o suceso, efectuar las siguientes acciones.  Fallas de memoria: o Apagar el equipo normalmente si lo permite, de lo contrario quitarlo de la toma de corriente. o Verificar el estado de dispositivos. o Verificar la versión de los dispositivos de memoria tanto RAM como Disco Duro. o Quitar la memoria y repararla. o De no ser posible la reparación, reemplazarla por una nueva. o Hacer pruebas de su funcionamiento, mediante un uso saturando el sistema.  Calentamiento del procesador: o Análisis previo de fallas anteriores. o Preguntarle al usuario de la computadora si anteriormente había presentado dichos sucesos. 155

o o o o o o

Verificar el escenario o ambiente en el que dio dicho evento. Llenar una bitácora de los sucesos, eventos relacionados. Verificar el estado del procesador. Verificar el estado del ventilador del procesador. Verificar el estado del disipador. Reparar el procesador por parte de personal firmado de la compañía fabricante. o De no poder repararse, reemplazarlo con uno que se encuentre certificado  Falla del disco duro: o Análisis previo de fallas anteriores. o Preguntarle al usuario de la computadora si anteriormente había presentado dichos sucesos. o Verificar el escenario o ambiente en el que dio dicho evento. o Llenar una bitácora de los sucesos, eventos relacionados. o Verificar el estado del procesador. o Verificar el estado del ventilador del procesador. o Verificar el estado del disipador. o Reparar el procesador por parte de personal firmado de la compañía fabricante. o De no poder repararse, reemplazarlo con uno que se encuentre certificado  Fallas del software o Verificar el origen de los programas que se encuentran instalados en cada computadora. o Verificar los accesos a la web. o Verificar el log de sucesos del sistema operativo. o Restablecer el sistema operativo con el live cd. o Recuperar el sistema con el live cd. o Configurara el cortafuegos para para prever que se infiltren programas maliciosos.  Conflicto entre programas: o Verificar la compatibilidad de los programas con la versión del sistema operativo. o Ver si los programas están desarrollados para el Service Pack que tienen las computadoras. o Verificar que no se cuenten con dos programas similares instalados que tengan la misma función. o 156

 Problemas de dispositivos: o Análisis previo de fallas anteriores. o Preguntarle al usuario de la computadora si anteriormente había presentado dichos sucesos. o Verificar el escenario o ambiente en el que dio dicho evento. o Llenar una bitácora de los sucesos, eventos relacionados. o Verificar el estado del procesador. o Verificar el estado del ventilador del procesador. o Verificar el estado del disipador. o Reparar el procesador por parte de personal firmado de la compañía fabricante. o De no poder repararse, reemplazarlo con uno que se encuentre certificado o

     

7.1.8.3 Previsiones. Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

157

7.1.9 ERROR LOGICO DE DATOS (Amenaza) 7.1.9.1 Impacto. La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una de las siguientes causas. o Caída del servidor de archivos por falla del software de red. o Falla en el suministro de energía eléctrica por mal funcionamiento del UPS. o Bajar incorrectamente el servidor de archivos. o Fallas causadas usualmente por un error de chequeo de inconsistencia física. En caso de ocurrir uno de las situaciones descritas se deben realizar las siguientes contramedidas, para tal impacto. 7.1.9.2 Contramedidas.  Verificar el suministro de energía eléctrica. En caso de estar conforme,proceder con el encendido del servidor de archivos, una vez mostrado el prompt de Dos, cargar el sistema operativo de red.  Deshabilitar el ingreso de usuarios al sistema.  Descargar todos los volúmenes del servidor, a excepción del volumen raíz.De encontrarse este volumen con problemas, se deberá descargarlo también.  Cargar un utilitario que nos permita verificar en forma global el contenidodel(os) disco(s) duro(s) del servidor.  Al término de la operación de reparación se procederá a habilitar entradasa estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos índices estén correctas, para ello se debe empezar a 158

correr los sistemas y así poder determinar si el usuario puede hacer uso de ellos inmediatamente. Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se debe recuperar con utilitarios.

     

7.1.9.3 Previsiones. Plan de seguridad. Procedimientos recuperación de desastres. Procedimientos de planes de acción. Plan de mantenimiento de equipo. Plan de mantenimiento de red. Manual de normas y procedimientos (se va considerar hacerlo).

7.1.10 ERROR FÍSICO DE DISCO DE UN SERVIDOR (Amenaza) 7.1.10.1 Impacto.  Interrupción de las transacciones.  Interrupción de la operación del negocio.  Fallas de software en los siguientes servidores.  7.1.10.2 Contramedidas.  Ubicar el disco malogrado.  Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área.  Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.  Bajar el sistema y apagar el equipo.  Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle partición.  Restaurar el último backup, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad.  Verificación el buen estado de los sistemas.  Habilitar las entradas al sistema para los usuarios.  Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área.  El servidor debe estar apagado, dando un correcto apagado del sistema.  Ubicar las memorias malogradas. 159

 Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.  Retirar la conexión del servidor con el concentrador, ello evitará que al encender el sistema, los usuarios ingresen  Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán las pruebas.  Probar los sistemas que están en red en diferentes estaciones.  Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios.  7.1.10.3 Previsiones.  Plan de seguridad.  Procedimientos recuperación de desastres.  Procedimientos de planes de acción.  Plan de mantenimiento de equipo.  Plan de mantenimiento de red.  Manual de normas y procedimientos (se va considerar hacerlo). 7.1.11 CAIDA DE RED (Amenaza) 7.1.11.1 Impacto.  Sin acceso a ningún equipo de cómputo.  Sin accesos a Internet.  Sin comunicación entre puntos de venta.  Descargas interrumpidas.  Ventas en línea afectadas.  Pedidos en línea canceladas, perdidas.  Transferencia de paquetes inactivo.  Sistema de facturación cliente-servidor. 7.1.11.2 Contramedidas. Causas posibles:    

Cableado o terminaciones dañadas o sucias Atenuación excesiva de la señal Insuficiente ancho de banda para el cableado Interferencia inalámbrica

Acciones a seguir: o Limpiar con frecuencia las terminaciones y canaletas por las que se conducen los cables, evitando la acumulación de polvo y otros 160

elementos que puedan provocar mal funcionamiento de los mismos. o Si se usan cables, par trenzado (UTP) para la red, es recomendable que la distancia entre las tarjetas o tarjeta y hub no sobrepase los 100 metros de distancia para evitar la atenuación de la señal. o Verificar y controlar el ancho de banda que el cableado necesita para el transporte de paquetes, si fuese necesario realizar cambios en el cableado para evitar problemas en un futuro. o Ubicar los accespoint en lugares en los cuales la señal no sea obstaculizada por ningún objeto.  Nivel de red: Ethernet e IP  Causas posibles:  Dispositivos de red dañados.  Configuraciones de dispositivo incorrectas o no óptimas.  Problemas de autenticación y asociación.  Ancho de banda de red insuficiente

Acciones a seguir: o Realizar revisiones constantes de los dispositivos de red para comprobar su funcionamiento, como se detalla en el esquema que continúa. o Comprobar que las configuraciones de los dispositivos sea la correcta para un óptimo desempeño de los mismos, haciendo esto mediante pruebas concretas y reales al momento de su instalación. o Verificar que la autenticación de los usuarios y dispositivos sea la correcta, esto para evitar problemas de conexión y comunicación. o Contratar un ISP que pueda brindar el ancho de banda que la organización necesita para el transporte de paquetes, con lo cual se evite el retraso en la transmisión. TABLA DE EFECTOS, PREVENCIÓN Y/O RECUPERACIÓN EN CASO DE DESASTRES. Desastre

Efectos

Prevención y/o Recuperación

161

Indisponibilidad sistema, pérdida corrupción de datos.

del Discos espejo o duplicados, o implementación del sistema RAID, Backup. del o Servidor espejo, Back-up.

Borrado accidental de Pérdida de datos. archivo Falta energía

Virus

Sistema de respaldo de datos efectivo, utilitarios de recuperación de archivos.

Falla de Indisponibilidad conectores comunicación. Falla router switch

Sistema de cableado estructurado, diseño apropiado, documentación, implementación de canaletas, herramientas de monitoreo y diagnostico.

de Testear conectores de red en el punto de falla, tener reservas en bodega.

CUADRO DE MANTENIMIENTO PREDICTIVO DE DISPOSITIVOS DE RED TAREA DE PREDICTIVO

MANTENIMIENTO

FRECUENCIA ¿ES AUTOMÁTICA?

Revisar temperatura

Diario

Revisar y controlar humedad

Diario

Revisar nivel de ruido

Diario

162

Revisar nivel de limpieza

Diario

Revisar los periféricos de E/S

Semanal

Revisar los equipos de conexión

Semanal

Revisar software utilizados en los Semanal equipos

Observar el tiempo de respuesta de Semanal los programas más utilizados

Inspeccionar el manejo archivos en busca de virus

Mensual

Controlar y penalizar los programas Mensual que sean de uso personal

Revisión de la señal del ISP

Diario

Semanal

Revisar los puntos de red

Mensual

Revisar Switch de conexión

Mensual

Revisar Cables de red

Semanal

Inspeccionar la velocidad de la red

Semanal

Controlar el mal uso de los equipos

Semanal

Revisar y Firewall.

controlar

Ruteador

Observar comportamiento equipos de comunicación

los

Cotejar el funcionamiento global del Semanal computador Observar de donde provienen los Cuando ruidos extraños (si lo hay) prudente

SI sea

Analizar las unidades ópticas y de Diario almacenamiento

Revisar los puntos de red y canaletas Semanal

Desfragmentar y liberar espacio en el Mensual disco duro

Ejecutar antivirus y scandisk

Diario

Medir el trabajo global del sistema Mensual operativo

Controlar

efectuar

cambio

de Mensual 163

contraseñas Controlar y revisar intrusión en la red

Diaria

Revisar el funcionamiento correcto de Semanal routers y switches

Testear conectores de red

Mensual

Revisar si el tipo de transmisor (cable) es el adecuado para la red y su Mensual funcionamiento.

Limpieza de tarjetas de red en los Mensual computadores

Revisar el funcionamiento correcto del Mensual firewall.

Al momento de Ubicar en lugares adecuados los implementar su No puntos de acceso inalámbrico. uso Cambiar la WEP del conexiones inalámbricas.

router

Mensual

 SWITCH: o Verificar si existe una posible solución al fallo. o Observar el comportamiento del dispositivo al ser encendido. o Explorar de manera externa las conexiones en el switch, las cuales puedan presentar el posible fallo. o Abrir el dispositivo y testear las fuentes de energía para tratar de descubrir el fallo. o Si se encuentra el fallo, hacer la reparación pertinente. o Contar con un dispositivo de la misma marca y capacidad para una posible sustitución en caso de no poder reparar el dispositivo.  SWITCH Y ROUTER DE INTERNET: o Observar y analizar el comportamiento del router al encenderse. o En caso de que no proporcione señal de internet, presionar el botón RESET que se encuentra en la parte trasera del dispositivo, hasta que se reinicie.

164

o Si el error persiste, llamar al técnico de la empresa que proporciona internet a la organización. o En caso de que se usen antenas, verificar que no se haya movido y que la dirección a la que apunta sea la correcta. o Si el problema fuera el anterior, tratar de mover la antena de manera que esta apunte al satélite.  CONECTORES RJ45: o Codificar cada conector para una fácil ubicación del mismo. o Testear el conector, el cual esté produciendo la falla en la Red. o Verificar que la combinación de colores del cable UTP sea correcto. o Verificar que los conectores hagan contacto correcto con el otro dispositivo. o Apretar nuevamente el conector, con ayuda de una ponchadora. o Si el error persiste cambiar el conector, el cual debe existir en bodega.

 CABLES DE RED UTP: o Revisar que el cableado sea estructurado. o Abrir las canaletas para revisar que el cable de red se encuentre en buen estado y no haya sido dañado por ningún roedor o cualquier otro agente. o Analizar los niveles de ruido y atenuación que podrían afectar la comunicación en la red. o Cambiar el tipo de cable que se está usando para la red, esto con el fin de evitar grandes porcentajes de atenuación y ruido en el mismo. o Descartar mediante el análisis y observación del comportamiento de la red posibles cortos circuitos en los cables utilizados. o De no solucionarse el problema, es necesario contar con un cable que reúna las mismas características del que va a ser sustituido (largo, ancho de banda, etc.)  CENTRAL TELEFÓNICA: o En caso de que el ISP sea una empresa de telefonía realizar lo siguiente: o Revisar que el cable telefónico no esté en mal estado (reventado, pelado). o Verificar que el DSL ó ADSL funcione correctamente. o Si el DSL ó ADSL es el que ocasiona el fallo, cambiar por uno igual. o Si el fallo persiste, contactar a la empresa proveedora de Internet. 165

 FIREWALL: o Indicar a los usuarios de la red las políticas de navegación para evitar percances que puedan afectar los procesos. o Verificar que los usuarios respeten las políticas de navegación de la organización. o Revisar que la configuración del Firewall sea la correcta. o En caso de que el error o la falla persista, configurar nuevamente el Firewall.  SERVIDOR: o Revisar que el servidor encienda y funcione de manera adecuada. o De no encender, verificar que los alimentadores de energía estén conectados de manera correcta. o Revisar que el sistema operativo no tenga fallos en el funcionamiento. o Si el S.O falla y no es posible su reparación, cambiar los discos duros, los cuales están siendo usados con el Back-up. o Implementar el sistema Raid en el servidor, esto con el fin de evitar la interrupción de procesos al momento de sustituir un disco duro. 7.1.11.3 Previsiones.  Plan de seguridad.  Procedimientos recuperación de desastres.  Procedimientos de planes de acción.  Plan de mantenimiento de equipo.  Plan de mantenimiento de red.  Manual de normas y procedimientos (se va considerar hacerlo).

7.1.12 ERROR DE MEMORIA RAM (Amenaza) 7.1.12.1 Impacto.  Imposibilidad de realizar las operaciones normales del negocio.  No poder acceder a las aplicaciones del sistema.  Bloqueo parcial o total de facturación, ventas de la empresa, por lo menos con registros del sistema.  Perdida de algunos dispositivos del computador.  Si el sistema operativo fallará, se perdería tiempo para poder 166

reestablecerlo esto implica en función del costo-beneficio perdidas a la empresa, en ventas, pedidos, básicamente las operaciones del negocio. 7.1.12.2 Contramedidas. En este caso se pueden dar los siguientes síntomas o El servidor no responde correctamente, por lentitud de procesos o por no rendir ante el ingreso masivo de usuarios. o Ante procesos mayores se congela el proceso. o Es recomendable que el servidor cuente con ECC(Error CorrectChecking), por lo tanto si hubiese un error de paridad, el servidor se autocorregirá. Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo fijado por la compañía, a menos que la dificultad apremie, cambiarlo inmediatamente. Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben tomar las acciones siguientes:  Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área.  El servidor debe estar apagado, dando un correcto apagado del sistema.  Ubicar las memorias malogradas.  Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.  Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del servidor, ello evitará que al encender el sistema, los usuarios ingresen.  Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán las pruebas.  Probar los sistemas que están en red en diferentes estaciones.  Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios.  7.1.12.3 Previsiones.  Plan de seguridad.  Procedimientos recuperación de desastres.  Procedimientos de planes de acción.  Plan de mantenimiento de equipo. 167

 Plan de mantenimiento de red.  Manual de normas y procedimientos (se va considerar hacerlo).

8. Monitoreo. La fase de Monitoreo nos dará la seguridad de que podamos reaccionar en el tiempo preciso y con la acción correcta. Esta fase es primordialmente de mantenimiento. Cada vez que se da un cambio en la infraestructura, debemos de realizar un mantenimiento correctivo o de adaptación. Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo riesgo o una nueva solución. En este caso, toda la evaluación del riesgo se cambia, y comienza un nuevo ciclo completo, a pesar de que este esfuerzo podría ser menos exigente que el primero. Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones ante nuevos casos que se puedan presentar. Podríamos enumerar las actividades principales a realizar:  Desarrollo de un mapa de funciones y factores de riesgo.  Establecer los procedimientos de mantenimiento para la documentación y la rendición de informes referentes a los riesgos.  Revisión continúa de las aplicaciones.  Revisión continua del sistema de backup  Revisión de los Sistemas de soporte eléctrico del Centro de Procesamiento de Datos.

9. Estados de emergencia. Permiten identificar cuáles pueden ser los eventos que se pueden presentar que afecten el normal funcionamiento de la plataforma y afecte el ingreso de datos y la operación de los Sistemas de Información.

Evento

Descripción

Proceso alterno Proceso alterno que que debe debe realizar el realizar el de usuario del personal sistemas sistema

168

Caída Los

De Se produce cuando: Ninguna estación de trabajo funciona, el Sistemas computador no ingresa a las aplicaciones o no hay comunicación con la red.

Mientras se restablece el sistema se debe realizar las operaciones de registro de manera manual.

Informar del problema a la Coordinación Administrativa, para asignar al personal del soporte.

Los usuarios deben verificar que los tomacorrientes estén bien conectados, o utilizar otra estación de trabajo disponible.

Verificar cada uno de los elementos que describen el problema y corregir el elemento en conflicto o reemplazarlo.

Algunos de los elementos principales que impiden que la red funcione adecuadamente, pueden ser: Servidor, UPS del servidor, concentrador o swichs, puntos de red. Estación de Se produce cuando: No trabajo no hay energía en él toma, funciona Cables de energía flojos o mal conectados, punto de red deteriorado, patchcord flojo en la conexión de equipo o la caja de punto de red, clave de acceso a la red bloqueada, problemas con el Hardware.

Los mismos que identifican cuál de los elementos no están funcionando y se procede a hacer el reemplazo.

Solicitar soporte a la Coordinación Administrativa. Si los elementos del equipo están dañados: Solicitar soporte a la Coordinación Administrativa.

El programa Se

puede

producir Utilizar 169

otra Verificar

caso

o aplicación transaccion al no ingresa al sistema

porque la conexión de red esta deshabilitada, borraron acceso directo o icono al programa, archivos de configuración del programa fueron borrados, servidor fuera de servicio

estación de trabajo para realizar sus tareas diarias, sino es posible realizarlas manualmente de acuerdo a las instrucciones dadas en caída de sistemas, reportar a la Coordinación Administrativa

mencionado y restaurar los elementos que están en conflicto.

Pérdida de datos en el programa o aplicación transaccion al

Ocurre cuando se pierden datos de registro diario del área operativa que ingresa a las aplicaciones transaccionales para realizar las operaciones.

Mientras se restablece el sistema se debe reportar a la Coordinación Administrativa

Restauración de archivos del backup si se realizo entre las fechas indicadas.

10.

Revisar tabla de referencia de realización de backup y las políticas de seguridad de la información.

Como resolver otro tipo de Contingencias.

CONTINGENCIA

POSIBLE SOLUCION

Se va la Luz eléctrica

Usar la energía de los UPS

Se agota la energía de los UPS

Usar la planta eléctrica de la empresa

Se daña o roban un UPS

Remplazarlo por otro de reserva o irlo a comprar. 170

Se daña o roban la planta eléctrica

Prestar otra inmediatamente

Se daña o roban un Switch

Remplazarlo por otro de reserva o irlo a comprar.

Se daña por completo o se roban un equipo de punto de venta

comprarla

Habilitar otro de los que tenemos en reserva o comparar uno. - Instalar el sistema nuevamente - Configurar el sistema - Realizar pruebas Se daña el disco duro de un punto de - Remplazarlo por otro de reserva venta o irlo a comprar. - Instalar el sistema nuevamente - Configurar el sistema - Realizar pruebas Se daña el disco duro del Servidor (Con - Detectar el disco dañado RAID) - Cambiar en tiempo real el disco dañado por otro bueno que tengamos en reserva o comprarlo Se daña el cableado de la red Arreglar la parte dañada o cambiar el cable por otro nuevo de los que tenemos en reserva o irlo a compara. Si ocurre una contingencia en el lugar donde tenemos almacenadas nuestras copias se seguridad

Si un equipo se daña por virus

Sacar inmediatamente copias se seguridad de todos los sistemas, en los siguientes medios  Discos duros externos  CD’s o DVD’s  En la nube - Aislarlo inmediatamente - Desinfectarlo - Realizar pruebas de funcionamiento Si no se pudiera eliminar el virus -

171

Formatear el equipo, Instalar el sistema nuevamente Configurar el sistema Realizar pruebas

11.

Duración de los CPU’s.

Cada UPS que se encuentra en la empresa tiene una duración de: - 500 AMP. = 15 minutos - 750 AMP. = 25 minutos El tiempo de duración de los amperios, da oportunidad a encender la planta o de lo contrario a apagar los equipo en el orden respectivo.

12.

Orden para apagar los equipos. o Salir del sistema y apagar los equipos que sean puntos de venta. o Salir del sistema y apagar los equipos que se utilicen en el departamento de inventarios. o Salir del sistema y apagar los equipos que se utilicen en el departamento de créditos. o Apagar el Servidor o Apagar los Switchs

13.

Después de la contingencia.

Los departamentos se habilitan o empiezan a funcionar de la siguiente manera:  Departamento de Ventas - se puede operar facturando a mano.  Departamento de Sistemas - Evaluar el estado del servidor y de los equipos - Poner en marcha el servidor - Poner en marcha los equipos  Departamento de Créditos  Departamento de inventarios

14.

Organismo de apoyo al Plan de Contingencia.

14.1. Procedimiento de coordinación entre empresas de entorno. Se deberá tener al alcance una comunicaron directa e inmediatas entre las empresas del sector que pueda prestar ayuda en caso de producirse una emergencia 172

14.2. Enlace con los comités de defensa civil Distritales/Provinciales, según corresponda. Se deberá tener un enlace directo con los comités de Defensa Civil, tanto los comités distritales como los omites provinciales a fin de poder prestar la ayuda necesaria en caso de ocurrir una emergencia. 14.3. Enlace con el cuerpo General de Bomberos Voluntarios. Se deberá tener una comunicaron directa con el Cuerpo General de Bomberos Voluntarios, quienes serán los que actuaran en caso de producirse una emergencia como órganos de respuesta. 14.4. Enlace con la Policía Nacional Civil. Se deberá tener una comunicación directa con la Policía Nacional Civil, a fin de que puedan ser ellos los que actúen manteniendo la seguridad en todo el momento de mitigar la emergencia. 14.5. Enlaces con los servicios de Salud Pública. En caso de emergencia el personal de turno será el responsable de efectuar las siguientes llamadas:

CUADRO DE ENLACES Nombre enlace

Número telefónico

Ambulancias Hospital Nacional

7764-1060

Bomberos Voluntarios

7764-1553

Emergencias Policiales Policía Nacional Civil

7764-1150

Entidades de Servicios Públicos Zona Militar

7764-1261

Empresa Eléctrica

7764-1107 173

14.6. Programa de Capacitación a Brigadas. Se ha considerado la realización anual de programas de capacitación de las brigadas y formación continua a los integrantes de los grupos de acción, para lo cual se debe contemplar lo siguiente:  Detectar errores u omisión tanto en el contenido del plan de contingencia, como en las actuaciones a realizar para su puesta en práctica.  Habituar al personal a evacuar el establecimiento.  Prueba de idoneidad y suficiencia de equipos y medios de comunicaron, alarma, señalización, luces de emergencia.  Estimación y optimización de tiempos de evacuación, de intervenciones de equipos propios y de intervención de ayudas externas.  Los simulacros deberán realizarse con el conocimiento y con la colaboración del cuerpo general de bomberos y ayudas externas que tengan que intervenir en caso de emergencia. 14.7. Programa de mantenimiento. Se ha elaborado un programa anual de actividades que comprenden las siguientes actividades  Cursos periódicos de formación y adiestramiento del personal en aspectos de seguridad  Mantenimiento de las instalaciones de detección, alarma y extinción.  Inspección de seguridad.  Simulacros de emergencia.

HALLAZGOS ENCONTRADOS RESGOS

No existen Políticas Seguridad Informática

ALTERNATIVAS DE SOLUCION

Elaborar conjuntamente con la alta gerencia, políticas de seguridad informática de tal manera que se proteja 174

todo lo relacionado con sistemas.

Distribución inadecuada de las estaciones de trabajo y servidores.

Inexistencia de bloqueo pantalla, al momento inactividad.

de de

Mala estructuración del cableado tanto de la electricidad como de la red.

No existe un inventario del equipo con que se cuenta dentro de la empresa.

Mala ubicación de los switch en todo el edificio.

Readecuar las áreas de trabajo para que no exista mala distribución, en las áreas existe suficiente espacio para realizar esto, la acción es rediseñar en entorno físico de todo el mobiliario, repuestos, etc. y colocar los servidores en un rack.

Es riesgoso tener equipos que no se bloqueen de forma automática por inactividad ya que alguien que no conoce de computadoras puede accidentalmente ocasionar daños en el equipo, implementar bloqueo de pantalla después de 2 minutos de inactividad. Dado que el cableado eléctrico, de red y teléfono se encuentran expuestos en muchos puntos del edificio, en un momento puede ocasionar interrupción de los servicios por lo que es necesario protegerlos para evitar lo mencionado.

Se lleva control solo visualmente de lo que se tiene pero no existe un inventario en si del equipo y accesorios con que se cuenta. Al tener switch en lugares como por ejemplo donde colocar repuestos o colgando como en el caso del switch de gerencia, existe la posibilidad de 175

golpearlos accidentalmente provocando deterioro o interrupción de la red, es necesario colocarlos en un rack donde se coloquen estos artefactos

No existe la cultura de no dejar alimentos o líquidos cerca de los equipos de cómputo.

Se pudieron encontrar latas de gaseosas sobre los servidores, si estos se regaran sobre ellos puede producir perdida de información, es necesario implementar cultura sobre los usuarios para mejorar este aspecto

Al carecer de planes de seguridad ante algún eventualidad en los equipos, la red o siniestros no se tienen procedimientos establecidos para actuar ante algo que pueda suceder, se implementaran planes como: Inexistencia de planes seguridad en la empresa.

- contingencia - seguridad - mantenimiento de red - mantenimiento de equipos.

En el departamento gerencial existe mucho desorden en los escritorios de los usuarios.

El desorden de papelería en los escritorios del departamento gerencial es hasta cierto punto entendible debido a que es aquí en donde se procesa toda la información, la forma de evitar el desorden es colocar escritorios tipo L en donde puedan operar en la computadora en una parte del escritorio y en otra llevar el control de informes, el desorden puede 176

ocasionar perdida de información.

Los controles gerenciales se manejan en hojas de cálculo y no en un sistema de información.

No se cuenta con un guardia de seguridad ni sistema de cámaras.

Falta de tierra física en la instalación eléctrica

Inadecuado método de copias de seguridad

Todo lo que la gerencia maneja se lleva en controles en hojas de cálculo no resguardando copias de seguridad de ello, esto es un punto crítico ya que la información manejada es importante como para llevarla de esta forma y no resguardarla, es necesario implementar un sistema para estos controles. Al no contar con el apoyo de un sistema de seguridad ya sea personal de seguridad o circuito de cámaras de seguridad todo el equipo informático y productos que vende la empresa está muy vulnerable al hurto, es necesario implementar un circuito de cámaras de seguridad para mantener vigilada, más que todo, el área de ventas que es donde se encuentran los servidores. No existe tierra física para toda la instalación eléctrica esto provoca daños, en muchas ocasiones, irreparables sobre cualquier equipo al momento de existir una descarga atmosférica, se debe implementar la colocación de una varilla de tierra física conectada en la línea negativa del medidor de energía eléctrica para que cuando exista este siniestro la descarga aterrice a tierra y no pase en la instalación eléctrica. Las copias de seguridad se realizan en DVD´s y se guardan en una bodega que es fácilmente accesible debido a que tiene chapas comunes, es necesario implementar un método mejorado de backup´s como conservar la información en disco duro externo pero ubicado en un 177

lugar seguro y que solo la gerencia tenga acceso por medio de un sistema biométrico.

de Seguridad y Operativos sin

Dado a que la gran mayoría de los equipos no tiene licencias en sus software de seguridad (antivirus) y sistemas de seguridad, están más vulnerables a la infiltración de código malicioso en los equipos y servidores lo que provocaría perdida de información o en algún momento puedan extraerla y robarla algún hacker, será necesario entonces adquirir licencias por el bien de la seguridad informática.

Inexistencia de manuales tanto de usuario para el uso de aplicaciones como descripción de puestos

Al no existir estos documentos si el usuario tiene dudas en el manejo de aplicaciones tendrá que llamar a encargado de sistemas, esto no debería de suceder, también es necesario que cada usuario tenga especificación de su puesto de trabajo para saber cuáles son sus obligaciones de trabajo, implementar manuales y descripción de puestos de trabajo.

Software Sistemas licencias

Espacio reducido en el departamento de Inventarios

Hay 2 estaciones de trabajo en espacio diseñado para almacenar (abajo de unas gradas), el usuario ubicado aca debe agacharse para no topar con el techo, sobre una pequeña caja existe un switch, esto puede provocar que por el espacio reducido pueda golpear accidentalmente este switch y provocar daño en el y caida de la red, es necesario ampliar este espacio y colocar el switch adecuadamente.

178

CONCLUSIONES  La empresa cuenta con una base de datos hecha a la medida de ella, esta elaborada en Visual FoxPro 9.0 con Service Pack 2, con nombre de código SEDNA, la empresa desarrolladora es N-Logic Systems y el nombre de la aplicación es © MERC TECH INTERPRISE, su versión es V.2.22.

 El 100% de los equipos de cómputo dentro de la empresa cuentan con sistema operativo Windows; mientras que el 90% de las mismas no cuentan con licencia de antivirus.

 Por ser un sistema comprado a una empresa externa, no se cuenta con documentos y registros sobre la elaboración del mismo.

 La empresa tiene comprado el dominio http://diferwa.com/ pero no cuenta con hosting, lo que impide que el dominio sea útil.

 Por la situación anterior la empresa cuenta con una página alternativa, siendo esta http://diferwa.webcindario.com/ que cuenta con la información más relevante de la misma.

179

 La estructura de comunicación entre los equipos de cómputo es LAN Y WLAN, las direcciones IP están asignadas estáticamente en rangos no públicos.

 La aplicación no cuenta con un manual de usuario en el cual se detallan los procesos a seguir durante el uso la misma.

 El proveedor de la aplicación al momento de vender la misma y las actualizaciones brinda capacitación al personal, pero principalmente al encargado de sistemas de la empresa

 El sistema es capaz de guardar registros de movimientos hechos por los diferentes usuarios que lo manipulan, esto se denomina campos de auditoría.

 Las copias de seguridad que se resguardan a cada 3 meses en DVD´s son trasladadas hacia la bodega dentro del mismo edificio ubicado en el cuarto nivel, estas son guardadas en cajas de cartón selladas y rotuladas. Solo la gerencia tiene acceso a esta bodega.

 Actualmente no se cuenta con un plan de mantenimiento formal, el mismo es realizado cada 3 meses promedio por el encargado de sistemas

 Actualmente el internet solo es utilizado para el departamento gerencial y para actualizar los equipos que se encuentran en la red LAN. Se cuenta con una velocidad de 1 Mb siendo el proveedor del servicio la empresa CLARO S.A.

 La empresa no cuenta con un departamento de TI porque no es lo suficientemente grande para contar con un departamento de este tipo. 180

ď&#x192;&#x2DC; Los controles gerenciales se llevan en hojas de cĂĄlculo, es necesario implementar un sistema de informaciĂłn gerencial para llevar este tipo de controles por la importancia que tienen.

181

182

CUESTIONARIO A LOS USUARIOS

A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el usuario.

1. ¿Considera que el Departamento de Sistemas de Información de los resultados esperados? Si () No () ¿Por qué?

2. ¿Cómo considera usted, en general, el servicio proporcionado por el departamento de Sistemas de Información? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por qué?

3. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) ¿Por qué?

4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) ¿Por qué?

5. ¿Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( ) 183

Ocasionalmente ( ) Generalmente ( ) Siempre ( ) ¿Por qué?

6. ¿Qué piensa de la presentación de los trabajadores solicitados al departamento de cómputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por qué? 7. ¿Qué piensa de la asesoría que se imparte sobre informática? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) ¿Por qué?

8. ¿Qué piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) ¿Por qué?

9. ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles?

10. ¿Cómo utiliza los reportes que se le proporcionan?

11. ¿Cuáles no Utiliza?

12. De aquellos que no utiliza ¿por qué razón los recibe? 184

13. ¿Qué sugerencias presenta en cuanto a la eliminación de reportes modificación, fusión, división de reporte?

14. ¿Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( )

15. ¿Es claro y objetivo el manual del usuario? SI ( ) NO ( )

17. ¿Quién interviene de su departamento en el diseño de sistemas?

18. ¿Qué sistemas desearía que se incluyeran?

CONTROL DE OPERACIÓN El objetivo del presente cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. 1. ¿Existen procedimientos formales para la operación del sistema de computo? SI ( ) NO ( ) 2. ¿Están actualizados los procedimientos? SI ( ) NO ( ) 3. Indique la periodicidad de la actualización de los procedimientos: Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( ) 4. Indique el contenido de los instructivos de operación para cada aplicación:

185

Identificación del sistema ( ). Identificación del programa ( ). Periodicidad y duración de la corrida ( ). Especificación de formas especiales ( ). Especificación de cintas de impresoras ( ). Etiquetas de archivos de salida, nombre, ( ). Archivo lógico, y fechas de creación y expiración. 5. ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y producción)? SI ( ) NO ( ) 6. ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO ( ) 7. ¿Existe una estandarización de las ordenes de proceso? SI ( ) NO ( ) 8. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que se están autorizados y tengan una razón de ser procesados. SI ( ) NO ( ) 9. ¿Cómo programan los operadores los trabajos dentro del departamento de cómputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( ) 10. ¿Los retrasos o incumplimiento con el programa de operación diaria, se revisa y analiza? SI ( ) NO ( ) 11. ¿Quién revisa este reporte en su caso? 12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cómputo, tomando en cuenta equipo y operador, a través de inspección visual, y describa sus observaciones. 13. ¿Existen procedimientos escritos para la recuperación del sistema en caso de falla? 14. ¿Cómo se actúa en caso de errores? 15. ¿Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?

186

16. ¿Se tienen procedimientos específicos que indiquen al operador que hacer cuando un programa interrumpe su ejecución u otras dificultades en proceso? 17. ¿Puede el operador modificar los datos de entrada?

18. ¿Se prohíbe a analistas y programadores la operación del sistema que programo o analizo? 19. ¿Se prohíbe al operador modificar información de archivos o bibliotecas de programas? 20. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran? 21. ¿Las intervenciones de los operadores son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique) __________________________________________________ 22. ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación? SI ( ) NO ( ) 23. ¿Cómo controlan los trabajos dentro del departamento de cómputo? 24. ¿Se rota al personal de control de información con los operadores procurando un entrenamiento cruzado y evitando la manipulación fraudulenta de datos? SI ( ) NO ( ) 25. ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos? Si ( ) por máquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. 27.¿Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) 28. ¿Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operación. 29. Verificar que sea razonable el plan para coordinar el cambio de turno. 187

30. ¿Se hacen inspecciones periódicas de muestreo? SI ( ) NO ( ) 31. Enuncie los procedimientos mencionados en el inciso anterior:

32. ¿Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del departamento de cómputo? SI ( ) NO ( ) 33. ¿Se controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias? SI ( ) NO ( ) ¿Cómo?___________________________________________________________ 34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificación de seguridad de operador. 35. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en operación, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) 36. ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) 37. ¿Durante cuánto tiempo? 38. ¿Qué precauciones se toman durante el periodo de implantación? 39. ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con los instructivos de operación. 40. ¿Se catalogan los programas liberados para producción rutinaria? SI ( ) NO ( ) 41. Mencione que instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema. 42. Indique que tipo de controles tiene sobre los archivos magnéticos de los archivos de datos, que aseguren la utilización de los datos precisos en los procesos correspondientes. 43. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo? SI ( ) NO ( ) 44. Indique como está organizado este archivo de bitácora. 188

   

Por fecha ( ) por fecha y hora ( ) por turno de operación ( ) Otros ( ) 45. ¿Cuál es la utilización sistemática de las bitácoras? 46. ¿Además de las mencionadas anteriormente, que otras funciones o áreas se encuentran en el departamento de cómputo actualmente? 47. Verifique que se lleve un registro de utilización del equipo diario, sistemas en línea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. 48. ¿Se tiene inventario actualizado de los equipos y terminales con su localización? SI ( ) NO ( ) 49. ¿Cómo se controlan los procesos en línea? 50. ¿Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) 51. ¿Conque compañía? Solicitar pólizas de seguros y verificar tipo de seguro y montos. 52. ¿Cómo se controlan las llaves de acceso (Password)?.

CONTROLES DE SALIDA 1. ¿Se tienen copias de los archivos en otros locales? 2. ¿Dónde se encuentran esos locales? 3. ¿Qué seguridad física se tiene en esos locales? 4. ¿Qué confidencialidad se tiene en esos locales? 5. ¿Quién entrega los documentos de salida? 6. ¿En qué forma se entregan? 7. ¿Qué documentos? 189

8. ¿Qué controles se tienen? 9. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismo sistema? 10. ¿Se destruye la información utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________ CONTROL DE ALMACENAMIENTO MASIVO 1. Los locales asignados a la cintoteca y discoteca tienen:  Aire acondicionado ( )  Protección contra el fuego ( )  (señalar que tipo de protección )__________________________________  Cerradura especial ( )  Otra  ¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI ( ) NO ( ) (señalar de que tipo)_______________________________________________ 2. ¿Qué información mínima contiene el inventario de la cintoteca y la discoteca? 3. Número de serie o carrete ( ) Número o clave del usuario ( ) Número del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de expiración del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros 4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? SI ( ) NO ( ) 5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) 6. ¿Qué tan frecuentes son estas discrepancias? ____________________________________________________________ 190

7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) ¿Cómo?_____________________________________________________ 9. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. ¿Qué medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bóveda ( ) Otro (especifique)__________________________________________________ 11. Este almacén está situado: En el mismo edificio del departamento ( ) En otro lugar ( ) ¿Cual?_______________________________________________________ 12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( ) 13. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( ) 14. ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15. 15 ¿Se tiene un responsable, por turno, de la cintoteca y discoteca? SI ( ) NO ( )

191

16. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO ( ) 17. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento? 18. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( ) 19. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) 20. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán? SI ( ) NO ( ) 21. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO ( ) 22. En caso de préstamo ¿Conque información Nombre de la institución a quién se hace el préstamo.  fecha de recepción ( )  fecha en que se debe devolver ( )  archivos que contiene ( )  formatos ( )  cifras de control ( )  código de grabación ( )  nombre del responsable que los presto ( )  otros

documentan?

23. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? SI ( ) NO ( ) 25. ¿Explique qué políticas se siguen para la obtención de archivos de respaldo? 192

26. ¿Existe un procedimiento para el manejo de la información de la cintoteca? SI ( ) NO ( ) 27. ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) 28. ¿Con qué frecuencia? SEGURIDAD FÍSICA 1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? SI ( ) NO ( ) 2. ¿Existen una persona responsable de la seguridad? SI ( ) NO ( ) 3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( ) 4. ¿Existe personal de vigilancia en la institución? SI ( ) NO ( ) 5. ¿La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO ( ) 7. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 8. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( ) 193

9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?. SI ( ) NO ( ) 10. ¿Existe vigilancia en el departamento de cómputo las 24 horas? SI ( ) NO ( ) 11. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas? a) Vigilante? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( ) 12. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? SI ( ) NO ( ) 13. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundación? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( ) 14. El centro de cómputo tiene salida al exterior al exterior? SI ( ) NO ( ) 15. Describa brevemente la construcción del centro de cómputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro del centro. 16. ¿Existe control en el acceso a este cuarto? a) Por identificación personal? ( ) b) Por tarjeta magnética? ( ) c) por claves verbales? ( ) d) Otras? ( ) 17. ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI ( ) NO ( )

194

18. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? SI ( ) NO ( ) 19. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 20. ¿Existe alarma para a) Detectar fuego (calor o humo) en forma automática? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnéticos? ( ) e) No existe ( ) 21. ¿Estás alarmas están a) En el departamento de cómputo? ( ) b) En la cintoteca y discoteca? ( ) 22. ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cómputo? ( ) b) En la cíntoteca y discoteca? ( ) c) En otros lados ( ) 23. ¿La alarma es perfectamente audible? SI ( ) NO ( ) 24. ¿Esta alarma también está conectada a) Al puesto de guardias? ( ) b) A la estación de Bomberos? ( ) c) A ningún otro lado? ( ) Otro_________________________________________ 25. Existen extintores de fuego a) Manuales? ( ) b) Automáticos? ( ) c) No existen ( )

195

26. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 27. ¿Los extintores, manuales o automáticos a base de TIPO SI NO a) Agua, ( ) ( ) b) Gas? ( ) ( ) c) Otros ( ) ( ) 28. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 29. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? SI ( ) NO ( ) 30. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el agua cause más daño que el fuego? SI ( ) NO ( ) 31. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el gas cause más daño que el fuego? SI ( ) NO ( ) 32. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energía Eléctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( ) d) Es inmediata su acción? SI ( ) NO ( ) 33. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO ( ) 34. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 196

35. ¿El personal ajeno a operación sabe qué hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 36. ¿Existe salida de emergencia? SI ( ) NO ( ) 37. ¿Esta puerta solo es posible abrirla: a) Desde el interior? ( ) b) Desde el exterior? ( ) c) Ambos Lados ( ) 38. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( ) 39. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 40. ¿Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el departamento de cómputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el sistema eléctrico? ( ) d) No se ha previsto ( ) 41. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? SI ( ) NO ( ) 42. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( ) 43. ¿Se controla el acceso y préstamo en la a) Discoteca? ( ) 197

b) Cintoteca? ( ) c) Programoteca? ( ) 44. Explique la forma como se ha clasificado la información vital, esencial, no esencial etc. 45. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 46. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc. 47. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO ( ) 48. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la información: 0123 49. ¿Existe departamento de auditoría interna en la institución? SI ( ) NO ( ) 50. ¿Este departamento de auditoría interna conoce todos los aspectos de los sistemas? SI ( ) NO ( )

198

E-GRAFIA Fuente de Informaciรณn: DIFERWA S.A. http://clubensayos.com/Tecnolog%C3%ADa/ALCANCES-DE-LAAUDITORIA/581038.html http://www.monografias.com/trabajos/maudisist/maudisist.shtml http://www.authorstream.com/Presentation/licciardi87-645111-plan-decontingencia/ http://www.linuxparatodos.net/web/comunidad/base-de-conocimiento//wiki/Base+de+Conocimiento/Manual+de+Administraci%C3%B3n+de+Usuarios http://www.authorstream.com/Presentation/licciardi87-645111-plan-decontingencia/ http://www.monografias.com/trabajos15/auditoria-comunicaciones/auditoriacomunicaciones.shtml 199

http://www.segu-info.com.ar/politicas/contingencia.htm http://www.monografias.com/trabajos90/seguridad-informatica-empresa/seguridadinformatica-empresa.shtml http://es.wikipedia.org/wiki/Plan_de_contingencias http://es.scribd.com/doc/58580697/PLAN-DE-CONTINGENCIA-INFORMATICO http://www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf http://www.imarpe.pe/imarpe/archivos/informes/imarpe_resol_de_158_2012_contin g.pdf http://es.wikipedia.org/wiki/Plan_de_contingencias http://www.monografias.com/trabajos90/seguridad-informatica-empresa/seguridadinformatica-empresa.shtml

200