ANLISIS DE SEGURIDAD INFORMTICA

Secretaria de Seguridad Ciudadana

Integrantes: Meja Gmez Nallely Romanz vila Rigoberto Olvera Barrera Juan Antonio Colindres Mendieta Amelia Xchitl

UNIVERSIDAD AUTONOMA DEL ESTADO DE MXICO

FACULTAD DE CONTADURIA Y AMDINISTRACIN

MATERIA: INSTALACIONES Y SEGURIDAD INFORMATICA

DOCENTE: JOSE LUIS RUIZ DRITRITT

PROYECTO: ANLISIS DE SEGURIDAD INFORMTICA BAJO LA NORMA ISO/IEC 17799

INTEGRANTES DEL EQUIPO: MEJA GMEZ NALLELY OLVERA BARRERA JUAN ROMANIZ VILA RIGOBERTO AMELIA XOCHITL CONLINDRES MENDIETA

FECHA DE ENTREGA 25/11/2013

C ONTENIDO
INTRODUCCIN ............................................................................................................................................. 4 DESCRIPCIN DE LA ORGANIZACIN .................................................................................................................................... 5 Acerca de SSC................................................................................................................................................................................. 5 Relacin de sistemas .................................................................................................................................................................. 11 IMPORTANCIA DE LA SEGURIDAD INFORMATICA ............................................................................................................ 13 Seguridad fsica y ambiental ..................................................................................................................................................... 15 9.1 reas seguras ......................................................................................................................................................................... 16 9.1.1 Permetro de seguridad fsica ......................................................................................................................................... 16 9.1.2 Controles de ingreso fsico .............................................................................................................................................. 17 9.1.3 Asegurar las oficinas, habitaciones y medios ............................................................................................................ 18 9.1.4 Proteccin contra amenazas externas e internas ...................................................................................................... 19 9.1.6 reas de acceso pblico, entrega y carga ................................................................................................................... 19 9.2.1 Ubicacin y proteccin del equipo ................................................................................................................................ 20 9.2.2 Servicios pblicos de soporte ........................................................................................................................................ 21 9.2.3 Seguridad del cableado .................................................................................................................................................... 21 9.2.4 Mantenimiento de equipo ................................................................................................................ 22 9.2.5 Seguridad del equipamiento fuera de la organizacin ............................................................................................. 22 9.2.6 Baja segura o reutilizacin de equipamiento. ............................................................................................................. 23 9.2.7 Retiro de bienes .................................................................................................................................................................. 23 CONCLUSIONES Y CONSIDERACIONES ............................................................................................................................... 23

INTRODUCCIN
Desde sus orgenes la informtica ha revolucionado la forma de actuar de las empresas, llegando a desempear un papel decisivo en el xito de stas. La constante aparicin de nuevas plataformas tecnolgicas y la posibilidad de interconectarse a travs de redes reporta incrementos significativos de la productividad. Esto ha generado grandes beneficios pero tambin nuevos retos hasta entonces no cubiertos, siendo uno de los ms importantes la seguridad informtica. Entendemos por seguridad informtica al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la informacin que reside en un sistema de informacin.

La seguridad informtica consiste en certificar que los recursos del sistema de informacin de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. Por lo tanto, la seguridad informtica est vinculada con la proteccin de los sistemas informticos y de la informacin.

Lograr un sistema totalmente seguro es imposible, ya que constantemente aparecen nuevas amenazas, pero existen medidas de seguridad que permiten evitar los daos y problemas que puedan ocasionar los intrusos. En este sentido han ido apareciendo numerosas leyes, estndares y normas, cuyo objetivo ha sido el de encaminar a las empresas a hacia la prevencin de riesgos.

En el presente trabajo se hablara sobre el anlisis de seguridad informtica, y fsica bajo la NORMA ISO/IEC 17799, realizada a la Secretaria de Seguridad Ciudadana del Estado de Mxico, enfocndonos principalmente al rea de Aplicaciones del 066, la cual est encargada la lnea telefnica de fcil memorizacin y rpida marcacin que se le proporciona a la ciudadana que requiera la atencin de las instituciones o corporaciones de seguridad pblica (Polica, Proteccin Civil, Cruz Roja, Bomberos, Polica Ministerial, Trnsito, Ejrcito, Polica Federal), para la atencin de alguna emergencia que se presente.

Adems abordaremos el tema del sistema Safety Net CAD Sistema para la captura y seguimiento de reportes de emergencias del 066. Dicho sistema es con el que

se trabaja dentro del Departamento de Centro de Mando y Comunicacin, en el rea de Aplicaciones del 066. SSC SECRETARIA DE SEGURIDAD CIUDADANA

DESCRIPCIN DE LA ORG ANIZACIN

A C E R C A D E SSC Mediante el Decreto 359, publicado en el Peridico Oficial del Estado Libre y Soberano de Mxico Gaceta de Gobierno, en fecha 19 de octubre de 2011, se reforman los artculos 19 y 21 y se adiciona el 21 Bis de la Ley Orgnica de la Administracin Pblica del Estado de Mxico, dando paso a la creacin de la Secretara de Seguridad Ciudadana, como una dependencia auxiliar del Poder Ejecutivo del Estado, mediante la cual se ejercern nuevas polticas en materia de seguridad, a travs de una nueva estructura que permita sumar esfuerzos con los tres rdenes de gobierno y la ciudadana. Misin Avanzar decididamente en la consolidacin de una sociedad protegida en la que todos los ciudadanos gocen de seguridad, cuenten con las condiciones de confianza y certidumbre en las cuales fincar el desarrollo personal. Visin Construir una slida seguridad ciudadana como la forma de seguridad primordial de las personas y los grupos sociales, que considere a la persona en el centro de la poltica pblica misma que se fundamente en la prevencin social del delito, en la adecuada reinsercin social, la proteccin civil de la ciudadana y el respeto irrestricto a los derechos humanos. Objetivos Fomentar la seguridad ciudadana. Utilizar la prevencin como una herramienta para el combate de la delincuencia. Fortalecer los mecanismos de coordinacin interinstitucional. Avanzar en el uso de tecnologas. Mantener una sociedad protegida ante riesgos.

El presente organigrama es del rea de Centro de Mando y Comunicacin, el rea en la cual enfocaremos nuestro proyecto es en la de Aplicaciones 066.

CENTRO DE MANDO Y COMUNICACION

DIRECCION DE ADMINISTRACION Y OPERACION DE LA RED

DIRECCION DE TECNOLOGIA Y REGISTROS

APLICACIONES 066

El 066 es la lnea telefnica de fcil memorizacin y rpida marcacin que se le proporciona a la ciudadana que requiera la atencin de las instituciones o corporaciones de seguridad pblica (Polica, Proteccin Civil, Cruz Roja, Bomberos, Polica Ministerial, Trnsito, Ejrcito, Polica Federal), para la atencin de alguna emergencia que se presente. Los servicios que atiende este nmero de emergencia son, mdicos (atencin a persona enfermas, herido por cada, accidente de trnsito con heridos, persona inconsciente, atragantamiento, infarto, etctera); policial (robo a casa habitacin, robo a persona, individuo sospechoso, violencia familiar, vehculo sospechoso, ria, robo de vehculo, asalto, persona armada, persona agresiva); vial (accidentes de trnsito (volcaduras, choques, vehculo descompuesto), bloqueo de carreteras, vehculo obstruyendo entrada y/o salida, atropellado, vehculo en exceso de velocidad); proteccin civil (inundaciones, derrumbes, desbordes de ro), y otros servicios como prdida de documentos y/o equipaje, asesora jurdica y administrativa, extravo de personas, quejas e informes, estado del tiempo sobre lluvias, deslaves, sismos, y albergues temporales.

Descripcin funcional de puestos

CENTRO DE MANDO Y COMUNICACIN Profesin: Nombre: Cargo: Nivel Rango MAESTRO EN DERECHO EDGARD ARMANDO GRANADOS GODFREY JEFE DEL CENTRO DE MANDO Y COMUNICACION

29- F

Lada

(722)

Direccin:

MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, EDIFICIO Telfonos: KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA mrojas@ssc.gob.mx

2758300 2758200

e-mail:

Extensin(es) 10540

FUNCIONES: El jefe del centro de mando y comunicacin es el encargado de llevar a cabo la administracin y el control de sta rea, colaborando con los trabajadores de nivel ms bajo para asegurar y mantener continuamente mecanismos para mejorar la calidad y cantidad de servicios relacionados con la atencin de emergencias. Asegurar que se cumpla el Servicio de Atencin a Llamadas de Emergencia (SALLE 066). Monitorear al personal del rea para su correcta operacin Coordinar a los trabajadores del rea para mantener en operacin el enlace con la Red Estatal de Telecomunicaciones. Mantener la Red Estatal de Radiocomunicacin al servicio de las instituciones de seguridad pblica que presten sus servicios en el Estado.

Proveer los mecanismos necesarios que permitan la comunicacin en redes de voz y datos efectiva y permanente entre las instituciones de seguridad pblica.
CENTRO DE MANDO Y COMUNICACIN Profesin: Nombre: Cargo: Nivel Rango LICENCIADO EN ADMINISTRACION DE EMPRESAS MAGDALIEL NAVA VAZQUEZ DIRECTOR DE ADMINISTRACION Y OPERACION DE LA RED

28- D

Lada

(722)

Direccin:

MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, EDIFICIO Telfonos: KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA mnava@ssc.gob.mx Extensin(es)

2758244 2758200 10061

e-mail:

FUNCIONES: El director de administracin y operaciones de la red es el encargado principalmente de asegurar la correcta operacin de la red, con ayuda de personal que labora en esta rea, tomando acciones remotas o localmente. Se encarga monitorear la buen administracin de cualquier equipo de telecomunicaciones de voz, datos y video Se encarga de monitorear la correcta administracin remota de fallas, configuracin rendimiento, seguridad e inventarios realizada por el personal que est bajo su mando.

El personal que est bajo su mando se encarga de: Configuracin de la red: La configuracin comprende las funciones de monitoreo y mantenimiento del estado de la red. Fallas: La funcin de fallas incluye la deteccin, el aislamiento y la correccin de fallas en la red. Contabilidad: La funcin de contabilidad permite el establecimiento de cargos a usuarios por uso de los recursos de la red. Comportamiento: La funcin de comportamiento mantiene el comportamiento de la red en niveles aceptables. Seguridad: La funcin de seguridad provee mecanismos para autorizacin, control de acceso, confidencialidad y manejo de claves.

CENTRO DE MANDO Y COMUNICACIN Profesin: MAESTRO EN ADMINISTRACION DE EMPRESAS Nombre: Cargo: Nivel Rango JOSE DE JESUS DOMINGUEZ MAGDALENO DIRECTOR DE TECNOLOGIAS Y REGISTRO 28- D Lada (722) 2758360 2758200

MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, Telfonos: Direccin: EDIFICIO KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA e-mail: jjdominguezm@ssc.gob.mx

Extensin(es) 10553

FUNCIONES: El director de tecnologas y registro es el encargado de Planear, organizar, dirigir y controlar los esfuerzos, actividades y recursos de las reas y sistemas de informtica y desarrollo tecnolgico. Coordinar las actividades que en materia de informtica se realizan en las diferentes unidades administrativas del Ministerio; Apoyar la gestin de las autoridades a travs de una eficiente asesora en materia informtica, as como a las entidades del sector pblico, en la operacin y administracin de sistemas informticos propios y compartidos, fortaleciendo la red de informacin interna Definir criterios y velar por el cumplimiento de los mecanismos de disponibilidad, seguridad y acceso a la informacin Asegurar el buen funcionamiento de los sistemas informticos internos, que sirvan a los procesos tcnicos y administrativos de la institucin; Administrar los sistemas de telecomunicaciones Coordinar la actualizacin y administracin de las bases de datos, para garantizar un servicio de informacin accesible, confiable y oportuna Fortalecer el sistema de apoyo personalizado al usuario, as como el desarrollo o administracin de nuevas aplicaciones Administrar eficientemente los sistemas de informacin internos y externos del sector pblico que le sean asignados. Desarrollar profesionalmente al personal de Informtica, a travs de cursos con proveedores o centros especializados.

CENTRO DE MANDO Y COMUNICACIN Profesin: INGENIERO EN SISTEMAS COMPUTACIONALES Nombre: Cargo: Nivel Rango ISRAEL QUINTANA CARAPIA ENCARGADO DEL REA DE APLICACIONES DEL 066 26- D Lada (722) 2758300

Direccin:

MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, Telfonos: EDIFICIO KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA

e-mail:

israelqc@ssc.gob.mx

Extensin(es) 10187

FUNCIONES: El responsable del rea de aplicaciones del 066 se encarga de asegurar que los operadores del 066 siempre tengan acceso al sistema. Asegurar el acceso al sistema de 066 Realizar respaldos de las llamadas que se realizan diariamente Solucionar problemas respecto al hardware y software de esta rea Realizar reportes de las fallas del sistema del 066 y enviarlos a departamento de desarrollo de sistemas Monitorear que los usuario de esta rea cumplan con su debido trabajo

Descripcin de procesos que se llevan a cabo en el rea de Aplicaciones del 066 Establecer y operar tecnologas de informacin y comunicacin necesarias para el cumplimiento de las atribuciones de la Secretara. Recopilar, analizar y procesar informacin derivada de llamadas de emergencias, denuncia ciudadana, reportes policiales y dems fuentes relacionadas, as como generar los reportes respectivos. Establecer y operar mecanismos para el oportuno intercambio de informacin con las unidades responsables de seguridad pblica, de proteccin civil y de prevencin y reinsercin social de los tres mbitos de gobierno, segn corresponda. Integrar, operar y desarrollar el sistema tecnolgico y de colaboracin denominado SafetyNet CAD. Actualizar permanentemente la informacin relacionada con los registros y bases de datos del sistema Safety Net CAD y generar los reportes correspondientes. Coordinar la elaboracin de los dictmenes tcnicos de equipo, vehculos, tecnologa, armamento y dems bienes necesarios para el desarrollo de la Secretara.

R E L AC I N
Nombre del sistema

D E S I S T E M AS

Safety Net CAD Sistema para la captura y seguimiento de reportes de emergencias del 066. Descripcin Es un Sistema de Despacho Asistido por Computadora en tiempo real que administra las llamadas de emergencia recibidas va 066. El sistema Safety Net CAD opera en un esquema cliente-servidor, esquema en el que toda la informacin capturada por los operadores se almacena en un servidor central. Permite el despacho de emergencias entre mltiples corporaciones: Polica Estatal, Polica Ministerial, Polica Municipal, Polica Federal, Sedena, Servicios de Emergencia, Bomberos, etc. Emplea una Interface grfica y amigable que funciona en tiempo real por medio de Fichas identificadas cada una con un Folio nico. Cuenta con varios niveles de seguridad que evitan la fuga de informacin. Cuenta con el Mdulo de Rplica de informacin, que permite respaldar la informacin de los Centros de Mando Regionales y Municipales en el servidor central en el Centro Estatal, empleando Oracle como manejador de base de datos.

Cuenta con ventanas de administracin de: unidades, llamadas en proceso y llamadas en recepcin, ventana de corporaciones. Emplea con catlogos de Corporaciones,

Municipios, Colonias, Tipos de Incidentes, Cdigos de Cierre. Contiene el mdulo CAD to CAD que permite, intercambiar informacin entre Centros Regionales, y con otros Estados que cuentan con la misma versin del software. Esta herramienta favorece la coordinacin en el combate a la delincuencia en los tres niveles de gobierno.

Es un sistema de Alto rendimiento y arquitectura altamente confiable y segura. Incluye una poderosa base de datos geogrfica inteligente que permite hacer la bsqueda de direcciones en la Cartografa con que cuenta el Centro de Mando y Comunicacin. Cuenta con la interface con el Sistema AVL de Radios Matra, para la localizacin en tiempo real de unidades vehiculares. Mediante el Mdulo de Servicios WEB, se tiene una consulta ejecutiva, en tiempo real, de los incidentes que se estn atendiendo en todo momento. El sistema opera con bases de datos de casetas telefnicas, residencias y comercios, bases de datos de escuelas, y de sucursales bancarias, de manera que al recibir una llamada telefnica, en la ficha de captura se precargan los datos generales del lugar donde se origina la llamada.

IMPORTANCI A DE LA SEGURIDAD INFORMATICA

La seguridad informtica se puede definir de forma general como los recursos y procesos mediantes los cuales un sistema o sistemas informticos tienen la capacidad de prevenir y hacer frente de manera efectiva a amenazas cibernticas. La seguridad informtica ha adquirido una gran importancia en los tiempos ms recientes, sobre todo para las organizaciones como las empresas y los miembros de estos. Esta situacin se debe a que da con da las amenazas informticas, como lo son los intrusos o programas maliciosos, representan un problema serio que merece tener una atencin especial, ya que podran tener efectos catastrficos si accedieran a informacin oficial y confidencial de la SSC pudiendo usarla con fines poco ticos y ventajosos, o modificando dicha informacin causando problemas.

Adems, la seguridad informtica tambin es de gran importancia para hacer respaldos de la informacin y tenerla disponible sin correr el riesgo de perderla. De igual forma, es vital para tener en buen funcionamiento a todos los equipos que formen parte de la red del Departamento de Aplicaciones del 066, teniendo la capacidad de evitar prdidas o robos de la informacin u otros problemas que afecten a la infraestructura informtica.

Otra parte importante son los usuarios que tendrn acceso a los equipos computacionales, por ello el departamento responsable de la seguridad informtica deber de hacer ciertas restricciones en los perfiles y limitar la accesibilidad a determinados sitios con el fin de asegurar un estado ptimo en las equipos; aparte de dar cierta capacitacin a los usuarios antes mencionados.

Por todo esto, la importancia de la seguridad informtica radica en el reto de tener la capacidad de lograr todos los objetivos antes mencionados, para que as, la Secretaria de Seguridad Ciudadana pueda tener un desempeo ptimo basado en un buen estado de su infraestructura informtica, que en estos tiempos es vital importancia.

ANLISIS DE SEGURIDAD INFORMTICA BAJO LA NORMA ISO/IEC 17799

DEPARTAMENTO CENTRO DE MANDO Y COMUNICACIN AREA DE APLICACIONES DEL 066

S E G URI D AD

F S I C A Y AM B I E N T AL

9.1 R E AS

S E GU R AS

OBJETIVO: controlar el acceso fsico, daos a la informacin (BASES DE DATOS) y equipos informticos contenidos en el departamento de atencin a emergencias de la Secretaria de Seguridad Ciudadana; as como asegurar la continuidad de los servicios y seguimiento de los daos en caso de que sucedan para no afectar a reas o departamentos contiguos; en caso de ser as contar con procedimientos para efectuar la continuidad del servicio en las reas, contar con servicios alternos que den seguimiento a las actividades del(as) rea(s) en caso de ser afectadas.

9.1.1 P E R M E T R O

D E S E GU R I D A D F S I C A

Control El centro de mando nicamente es una oficina que cuanta con paredes, sin embargo no se encuentra controlado por tarjetas electrnicas, sin embargo el acceso es nicamente para personas autorizadas que laboren en el rea. Debido a que el rea cuenta con informacin de alto riesgo como lo e la informacin confidencial de inters estatal que causa gran impacto en cuanto a la prdida de informacin; se debera considerar implementar algunos lineamientos de seguridad como: Estructura del rea: Identificar a los empleados y personas que laboren en el rea y/o departamento; es decir con credenciales autorizadas por el jefe de SSC que asegure y verifique su funcionalidad en el rea. Utilizar dispositivos magnticos o automticos que concedan el acceso al rea nicamente a las personas debidamente autorizadas. Acceso a terceras personas: Se considera como terceras personas al personal de mantenimiento y limpieza y cualquier otro personal ajeno al lugar; debern ser identificados plenamente, controlados y vigilados en sus actividades en el rea. Identificacin personal

Contar con identificaciones que incluyan algn cdigo magntico, estar codificadas o contar con algn color de acuerdo al rol que desempean en el rea. No brindar a nadie informacin confidencial y vital contenida y usada en el rea a personas desconocidas, es decir contar con el principio de confidencialidad de la informacin.

9.1.2 C ON T R OLE S

D E I N G R E S O F S I C O

Control Actualmente el rea de Aplicaciones del 066 es un rea monitoreada por cmaras de seguridad, las 24hrs del da. El rea deber estar debidamente monitoreada por personal de seguridad para verificar la entrada y salida de personal; para ello es considerable tomar en cuenta lo siguiente: *Elementos de seguridad Registro del personal, hora de entrada y salida. (CON EL QUE CUENTA EL AREA) El personal que entre al rea firmen un registro que indique la fecha, nombre, asunto, hora de entrada, hora de salida y firma. Puertas con chapas de control electrnico. Disponer de una tarjeta con cdigo magntico o implementar algn dispositivo que reconozca el objeto de identificacin del personal. Tarjetas de acceso y/o gafetes de identificacin Controlar con ello la hora de entrada y salida as como las funciones que desempea el personal en el rea y que permita monitorear la actividad que se desarrolla y cualquier intento de un acceso no autorizado sea detectado inmediatamente. Equipos de monitoreo (con los que cuenta el departamento) Utilizacin de dispositivos de circuito cerrado de televisin conectados a un panel de control manejado por guardias de seguridad, se permite controlar las reas vitales de la secretaria y concentrar la vigilancia en las entradas y salidas. Alarmas de seguridad. Es importante proteger a todas las reas contra introduccin fsica; alarmas contra robos e intrusiones de personas ajenas. Los dispositivos colocados en forma discreta de manera que no atraiga la atencin sobre el hecho de que existe un dispositivos de seguridad para monitoreo.

9.1.3 A S E G U R AR

L A S O FI C I N AS , H AB I T AC I O NE S Y M E DI OS

Control Todos los procesos desempeados en el rea son monitoreados por el jefe de departamento. Se ha determinado el valor y vitalidad del software y hardware utilizado en el rea para protegerlos de daos fsicos, humanos y lgicos. La informacin procesada en el rea es de vital importancia y es por ello que se establecieron los principales procesos o actividades y su nivel de importancia y continuidad. Se ha establecido un nivel de impacto para las actividades importantes y vitales del rea, as como las emergencias.

9.1.4 P R OT E C CI N

C ON T R A AM E N AZ AS E X T E RN AS E I NT E RN AS

Control Riesgos: mal funcionamiento de algn proceso en el equipo de cmputo o en el rea. Prevenciones: respaldos, extintores y detectores de humo, alarmas de temperatura, etc. Sistema de corriente regulada: regular la corriente elctrica y proporcionar energa elctrica continua. Sistemas de conexin a tierra: contar con sistema y equipos de conexin a tierra que tenga alto voltaje. RIESGO DE INCENDIOS: Tomar en cuenta consideraciones sobresalientes como el material de los equipos, canales aislantes al fuego, detectores de fuego, alarmas de incendio conectado al general. Todo esto se manejara en el plan de contingencia para tomar decisiones especficas dependiendo el tipo de amenaza y si es posible resolverla por personal del departamento o es necesario transferir a terceros. 9.1.5 Trabajo en reas aseguradas Control Es de vital importancia entender los riesgos a los que se enfrenta cada rea de la secretaria, es por ello que se deben establecer reas de riesgo aseguradas no solo para el personal si no para los servicios que se encargaran de combatir el riesgo en caso de que el personal no tenga la posibilidad de hacerlo. Se debe asegurar: El equipo El ambiente Programas y datos Recuperaciones Personal Responsabilidades a terceras personas. 1. Daos materiales a equipos: Amparar cualquier perdida o dao fsico, sbito que requiera de reparacin o reemplazo. Esto incluye prdidas por terremoto, temblor, prdidas o daos causados por robo, fallos de corriente, interrupciones de servicios y fallos en servidores. 2. Portadores externos de datos: Cubre los daos causados por dispositivos de almacenamiento de datos e informacin contenida en ellos. Sin embargo deberan considerar la compra de plizas adicionales que cubren lo siguiente: Huelgas y conmocin civil. Daos por fallo de la instalacin de climatizacin Robo sin violencia Daos mecnicos y elctricos internos Equipos de climatizacin

9.1.6 R E AS

DE AC C E S O P B L I C O , E NT R E G A Y C AR G A

Control Se controlan los puntos de acceso a personal como ya fue mencionado en el punto 9.1.1 Sin embargo no se cuenta con reas especficas para entrada de personal que labora en el lugar pues las entradas son compartidas para personal, cabe mencionar que el personal de limpieza y mantenimiento del rea y de los sistemas acceden de igual forma que el personal que labora en el lugar; nicamente se registran las horas de entrada y salida y la actividad a desempear.

Es considerable tomar en cuenta los puntos de entrada y salida para el personal que labora de manera constante en el lugar y para el personal que acude de manera ocasional al lugar para controlar accesos y lugares de entrada. Por ser la secretaria de seguridad ciudadana el acceso al pblico ser estrictamente controlado.

9.2.1 U B I C AC I N
Control

Y P R OT E C C I N D E L E Q UI P O

El equipo de cmputo as como las instalaciones es de vital importancia su proteccin por la informacin que se maneja dentro de la SSC y as evitar percances para ello se toman en cuenta los riesgos que se pueden suscitar y se lleva a cabo en la ubicacin y una proteccin pertinente para su resguardo. La infraestructura de sistemas de cmputo tambin representa una inversin considerable, los lineamientos sobre el uso adecuado del equipo de cmputo sugieren un tiempo de vida til ms extendido, minimizando reparaciones e inversin por perdidas de informacin. Se consideran los siguientes lineamientos: Para la proteccin de informacin y como medida provisoria es asignado a cada empleado un equipo de cmputo al cual debe ingresar con un usuario y contrasea proporcionada por el encargado de sistemas. Todo el personal tiene una cuenta de correo electrnico interno, que les permite recibir y enviar informacin indispensable para sus actividades. El uso de internet queda reservado solo para las actividades de trabajo que as lo requieran. En general se restringe el acceso mediante el uso de contrasea en el administrador de contenidos de cada equipo. El personal debe hacer uso adecuado de los recursos informticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas monitorea que se cumpla esta poltica. Adems, todo el personal deber informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cmputo, para su adecuado seguimiento. A todos los equipos se les realizar una revisin de virus por lo menos cada mes. Acceso restringido a personas no autorizadas que puedan interrumpir el lineamiento de trabajo.

En cuanto a ubicacin del equipo: Los escritorios estn ubicados para evitar los reflejos de luz que puede provocar la iluminacin. La iluminacin es de baja difusin pero adecuada para evitar reflejos. Cada escritorio cuenta con espacio suficiente para colocar objetos de uso (telfono, plumas, tarjetas, tabletas, etc.) Sillas ajustables para facilitar que las plantas de los pies se asienten completamente en el suelo, as como el que las rodillas queden a una altura adecuada. Colocacin del monitor a una distancia adecuada para no requerir de inclinaciones hacia el frente o hacia atrs mientras se lee la pantalla. La distancia al monitor es variable en funcin del usuario, las dimensiones de la pantalla y la resolucin elegida. Teclado y ratn ambos dispositivos se colocan a la misma altura y lo suficientemente cerca para el libre movimiento del ratn. Slo el teclado puede inclinarse ligeramente para facilitar la escritura.

Todos los espacios de trabajo cuentan con no-breaks como medida de seguridad a descargas elctricas as como conectores extras para otros dispositivos en caso de ser requeridos.

9.2.2 S E RV I CI OS
Control

P B L I C OS D E S O P OR T E

Medidas provisorias en cuanto a las instalaciones elctricas de todas las reas para proteger el hardware y la informacin que contiene y que es necesaria para llevar a cabo todas las actividades. Es importante contar con una planeacin adecuada que este al nivel de todo el equipo con el que cuenta la organizacin y que tambin soporte cualquier tipo de evento. Se consideran los siguientes lineamientos: En cuanto al cableado este est instalado por debajo del piso falso, donde se encuentran los cables de forma separada (de alto voltaje, de bajo voltaje y de telecomunicacin) Evitar conectar mltiples dispositivos en los mismos tomacorrientes y que se puedan sobrecargar los cables con extensiones o equipos de alto consumo. El sistema de iluminacin debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitar la incidencia directa del sol sobre los equipos. Contar con un sistema de energa interrumpible, respaldo por un tablero de transferencia y una planta de generacin de energa elctrica para emergencia. Los equipos deben estar conectados a su regulador de voltaje individual o de mayor capacidad o conectado a un equipo no-break con regulador de voltaje. La instalacin cuenta con tierra fsica la cual sirve para soportar descargas elctricas. Aunque la organizacin tenga un servicio de energa regular es importante proteger el equipo electrnico por fluctuaciones de poder, altibajos o picos que pueden ocasionar daos al equipo para ello es indispensable el sistema de suministro continuo de electricidad.
D E L C AB LE AD O

9.2.3 S E GU RI D AD
Control

La implementacin de un buen cableado asegura mejor operacin y seguridad de los equipos en el que se debe completar el consumo total de corriente se considera tambin la capacidad de los cables, la distribucin efectiva de contactos, el balanceo de las cargas elctricas y una buena tierra fsica. En cuanto a la instalacin del cableado elctrico este esta adecuado de manera subterrnea por debajo del piso donde los cables son separados de los que se utilizan para telecomunicaciones y transporte de informacin. Considerando lo siguiente: El cableado est instalado de forma subterrnea mediante tubos que evitan que sufran daos y que tambin sirven como separadores de cada tipo de cable que se utiliza. El cable es adecuado a la carga de voltaje que tiene que soportar es decir que se debe considerar la capacidad. Cada rea debe ser provista de los conectores suficientes para cada equipo y adems colocar extras pensando en la escalabilidad de la organizacin.

9.2.4 M ANT E N I M I E N T O
Control

DE EQUIPO

Consiste en la revisin peridica de ciertos aspectos, tanto de hardware como de software en los equipos de cmputo. Este influye en el desempeo fiable de toda la organizacin ya que es una herramienta primaria de trabajo y tambin en la integridad de los datos almacenados y en un intercambio de informacin correcta, a la mxima velocidad posible dentro de la configuracin optima del sistema de informacin de todas las reas de la SSC. Se consideran los siguientes lineamientos: Todos los equipos debern presentar las ltimas actualizaciones del sistema operativo en uso, parches de seguridad y antivirus instalado. Una vez al ao se debe realizar una revisin en la red para detectar desperfectos y dar as mantenimiento a la misma. Peridicamente, por espacio de 4 meses, se realizar una limpieza fsica a toda la infraestructura de equipo de cmputo por parte del personal encargado de sistemas. Todo informe de falla o problema debe ser documentado. El personal no est autorizado para realizar cualquier tipo de mantenimiento a su equipo esto es exclusivo a una persona encargada de sistemas.

9.2.5 S E GU RI D AD
Control

D E L E Q U I P AM I E N T O F UE R A DE L A OR G AN I Z ACI N

El uso de equipamiento destinado al procesamiento de informacin, fuera de la organizacin, debe ser autorizado por el nivel gerencial, sin importar quin es el propietario del mismo. La seguridad provista debe ser equivalente a la suministrada dentro del mbito de la organizacin, para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. El equipamiento de procesamiento de la informacin incluye todo tipo de computadoras personales, organizadores, telfonos mviles, papel u otros formularios, necesarios para el trabajo en el domiciliario o que es transportado fuera del lugar habitual de trabajo. Se deben considerar los siguientes lineamientos: El equipamiento y dispositivos retirados del mbito de la organizacin no deben permanecer desatendidos en lugares pblicos. Las computadoras personales deben ser transportadas como equipaje de mano y de ser posibles enmascaradas, durante el viaje. Se deben respetar permanentemente las instrucciones del fabricante, por ej. Proteccin por exposicin a campos electromagnticos fuertes. Los controles de trabajo en domicilio deben ser determinados a partir de un anlisis de riesgo y se aplicarn controles adecuados segn corresponda, por ej. Gabinetes de archivo con cerradura, poltica de escritorios limpios y control de acceso a computadoras. Una adecuada cobertura de seguro debe estar en orden para proteger el equipamiento fuera de la organizacin.

Los riesgos de seguridad, por ej. El dao, robo o escucha subrepticia, pueden variar considerablemente segn las ubicaciones y deben ser tenidas en cuenta al determinar los controles ms apropiados.

9.2.6 B AJ A
Control

S E GU R A O R E U T I LI Z AC I N DE E Q UI P AM I E N T O .

La informacin puede verse comprometida por una desafectacin descuidada o una reutilizacin del equipamiento. Los medios de almacenamiento conteniendo material sensitivo, deben ser fsicamente destruidos o sobrescritos en forma segura en vez de utilizar las funciones de borrado estndar. Todos los elementos del equipamiento que contengan dispositivos de almacenamiento, por ej. Discos rgidos no removibles, deben ser controlados para asegurar que todos los datos sensitivos y el software bajo licencia, han sido eliminados o sobrescritos antes de su baja. Puede ser necesario realizar un anlisis de riesgo a fin de determinar si medios de almacenamiento daados, conteniendo datos sensitivos, deben ser destruidos, reparados o desechados.

9.2.7 R E T I R O
Control

DE BIENES

El equipamiento, la informacin o el software no deben ser retirados de la sede de la organizacin sin autorizacin. Cuando sea necesario y procedente, los equipos debern ser desconectados ("logged out") y nuevamente conectados ("logged in") cuando se reingresen. Se deben llevar a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos de la organizacin. El personal debe conocer la posibilidad de realizacin de dichas comprobaciones.

NOTA:

El motivo que no se colocaron fotografas o evidencias de la SSC fue debido a que no contamos

con los permisos necesarios para realizar estas acciones, por lo que la informacin nos fue proporcionada fuera de las instalaciones.

CONCLUSIONES Y CONSIDERACI ONES

De acuerdo a los procedimientos de seguridad informtica y fsica que observamos en el rea de Aplicaciones del 066 se lleg a las siguientes conclusiones. En cuanto a la Seguridad informtica, la implementacin de polticas de Seguridad Informtica en la SSC sera una solucin integral que no solo busca proteger, preservar, administrar de una manera eficiente todo tipo de recursos con los que cuenta el rea de Aplicaciones del 066, si no tambin se buscara dar solucin, prevenir, evitar, controlar y minimizar los daos de incidentes que afectan a la organizacin, para esto debern preparar y capacitar al personal en temas asociados con la seguridad informtica y como hacer frente a incidentes que llegaran a presentar con el fin de responder de una manera adecuada a cualquier circunstancia de riesgo. La Seguridad Fsica se compone de capas; previniendo inicialmente ataques e intrusiones al permetro de la empresa y seguidamente accesos no autorizados a las reas internas de la instalacin del rea de Aplicaciones del 066. Para lograr un elevado nivel de seguridad, primero deben determinarse los potenciales peligros y amenazas presentes en el entorno.

Dado que la implementacin de controles acarrea grandes gastos en infraestructura, equipos y personal, alcanzar un balance equilibrado entre los niveles adecuados de proteccin y los costos de estos controles es una tarea difcil; no se quiere gastar en exceso, pero tampoco se desea dejar brechas de seguridad ocasionadas por la poca inversin de recursos. Una estrategia vlida, aparte de mitigar los riesgos, es la de asumir las posibles consecuencias de la vulneracin de una debilidad. Es de vital importancia contar con las instalaciones ptimas para el funcionamiento del rea de Aplicaciones del 066, puesto que alberga todo el hardware que soporta el procesamiento y la informacin relacionada con las emergencias de los ciudadanos, la cual es de vital importancia. Se debe educar al personal que labora en el rea de Aplicaciones del 066, incluyendo necesariamente temas relativos a la seguridad integral, tanto de las personas, como de los sistemas de informacin. Es importante recordar que una cadena se rompe por el eslabn ms dbil y, normalmente, este eslabn suele ser el elemento humano, por lo cual deber tener una particular importancia en cualquier Plan de Seguridad Corporativa, y ms para una organizacin de importancia como lo es la Secretaria de Seguridad Ciudadana. Es por todo esto que el contar con una buena implementacin de polticas de seguridad informtica debe ser un punto clave en toda la Secretaria de Seguridad Ciudadana, no solo para el rea de Aplicaciones del 066, de lo contrario se caer en un error que puede perjudicar y causar prdidas graves, que pudieran haberse prevenido, sin embargo, es necesario destacar que para que dicha implementacin sea efectiva debe tener el apoyo y participacin de todas las reas, departamentos que integran a la Secretaria de Seguridad Ciudadana. Todas estas recomendaciones se hacen con el fin de que la Secretaria de Seguridad Ciudadana, en especfico el rea de Aplicaciones del 066, aumente su eficiencia, en la realizacin de sus distintas actividades.