Beruflich Dokumente
Kultur Dokumente
Integrantes: Meja Gmez Nallely Romanz vila Rigoberto Olvera Barrera Juan Antonio Colindres Mendieta Amelia Xchitl
INTEGRANTES DEL EQUIPO: MEJA GMEZ NALLELY OLVERA BARRERA JUAN ROMANIZ VILA RIGOBERTO AMELIA XOCHITL CONLINDRES MENDIETA
C ONTENIDO
INTRODUCCIN ............................................................................................................................................. 4 DESCRIPCIN DE LA ORGANIZACIN .................................................................................................................................... 5 Acerca de SSC................................................................................................................................................................................. 5 Relacin de sistemas .................................................................................................................................................................. 11 IMPORTANCIA DE LA SEGURIDAD INFORMATICA ............................................................................................................ 13 Seguridad fsica y ambiental ..................................................................................................................................................... 15 9.1 reas seguras ......................................................................................................................................................................... 16 9.1.1 Permetro de seguridad fsica ......................................................................................................................................... 16 9.1.2 Controles de ingreso fsico .............................................................................................................................................. 17 9.1.3 Asegurar las oficinas, habitaciones y medios ............................................................................................................ 18 9.1.4 Proteccin contra amenazas externas e internas ...................................................................................................... 19 9.1.6 reas de acceso pblico, entrega y carga ................................................................................................................... 19 9.2.1 Ubicacin y proteccin del equipo ................................................................................................................................ 20 9.2.2 Servicios pblicos de soporte ........................................................................................................................................ 21 9.2.3 Seguridad del cableado .................................................................................................................................................... 21 9.2.4 Mantenimiento de equipo ................................................................................................................ 22 9.2.5 Seguridad del equipamiento fuera de la organizacin ............................................................................................. 22 9.2.6 Baja segura o reutilizacin de equipamiento. ............................................................................................................. 23 9.2.7 Retiro de bienes .................................................................................................................................................................. 23 CONCLUSIONES Y CONSIDERACIONES ............................................................................................................................... 23
INTRODUCCIN
Desde sus orgenes la informtica ha revolucionado la forma de actuar de las empresas, llegando a desempear un papel decisivo en el xito de stas. La constante aparicin de nuevas plataformas tecnolgicas y la posibilidad de interconectarse a travs de redes reporta incrementos significativos de la productividad. Esto ha generado grandes beneficios pero tambin nuevos retos hasta entonces no cubiertos, siendo uno de los ms importantes la seguridad informtica. Entendemos por seguridad informtica al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la informacin que reside en un sistema de informacin.
La seguridad informtica consiste en certificar que los recursos del sistema de informacin de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. Por lo tanto, la seguridad informtica est vinculada con la proteccin de los sistemas informticos y de la informacin.
Lograr un sistema totalmente seguro es imposible, ya que constantemente aparecen nuevas amenazas, pero existen medidas de seguridad que permiten evitar los daos y problemas que puedan ocasionar los intrusos. En este sentido han ido apareciendo numerosas leyes, estndares y normas, cuyo objetivo ha sido el de encaminar a las empresas a hacia la prevencin de riesgos.
En el presente trabajo se hablara sobre el anlisis de seguridad informtica, y fsica bajo la NORMA ISO/IEC 17799, realizada a la Secretaria de Seguridad Ciudadana del Estado de Mxico, enfocndonos principalmente al rea de Aplicaciones del 066, la cual est encargada la lnea telefnica de fcil memorizacin y rpida marcacin que se le proporciona a la ciudadana que requiera la atencin de las instituciones o corporaciones de seguridad pblica (Polica, Proteccin Civil, Cruz Roja, Bomberos, Polica Ministerial, Trnsito, Ejrcito, Polica Federal), para la atencin de alguna emergencia que se presente.
Adems abordaremos el tema del sistema Safety Net CAD Sistema para la captura y seguimiento de reportes de emergencias del 066. Dicho sistema es con el que
se trabaja dentro del Departamento de Centro de Mando y Comunicacin, en el rea de Aplicaciones del 066. SSC SECRETARIA DE SEGURIDAD CIUDADANA
El presente organigrama es del rea de Centro de Mando y Comunicacin, el rea en la cual enfocaremos nuestro proyecto es en la de Aplicaciones 066.
APLICACIONES 066
El 066 es la lnea telefnica de fcil memorizacin y rpida marcacin que se le proporciona a la ciudadana que requiera la atencin de las instituciones o corporaciones de seguridad pblica (Polica, Proteccin Civil, Cruz Roja, Bomberos, Polica Ministerial, Trnsito, Ejrcito, Polica Federal), para la atencin de alguna emergencia que se presente. Los servicios que atiende este nmero de emergencia son, mdicos (atencin a persona enfermas, herido por cada, accidente de trnsito con heridos, persona inconsciente, atragantamiento, infarto, etctera); policial (robo a casa habitacin, robo a persona, individuo sospechoso, violencia familiar, vehculo sospechoso, ria, robo de vehculo, asalto, persona armada, persona agresiva); vial (accidentes de trnsito (volcaduras, choques, vehculo descompuesto), bloqueo de carreteras, vehculo obstruyendo entrada y/o salida, atropellado, vehculo en exceso de velocidad); proteccin civil (inundaciones, derrumbes, desbordes de ro), y otros servicios como prdida de documentos y/o equipaje, asesora jurdica y administrativa, extravo de personas, quejas e informes, estado del tiempo sobre lluvias, deslaves, sismos, y albergues temporales.
29- F
Lada
(722)
Direccin:
MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, EDIFICIO Telfonos: KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA mrojas@ssc.gob.mx
2758300 2758200
e-mail:
Extensin(es) 10540
FUNCIONES: El jefe del centro de mando y comunicacin es el encargado de llevar a cabo la administracin y el control de sta rea, colaborando con los trabajadores de nivel ms bajo para asegurar y mantener continuamente mecanismos para mejorar la calidad y cantidad de servicios relacionados con la atencin de emergencias. Asegurar que se cumpla el Servicio de Atencin a Llamadas de Emergencia (SALLE 066). Monitorear al personal del rea para su correcta operacin Coordinar a los trabajadores del rea para mantener en operacin el enlace con la Red Estatal de Telecomunicaciones. Mantener la Red Estatal de Radiocomunicacin al servicio de las instituciones de seguridad pblica que presten sus servicios en el Estado.
Proveer los mecanismos necesarios que permitan la comunicacin en redes de voz y datos efectiva y permanente entre las instituciones de seguridad pblica.
CENTRO DE MANDO Y COMUNICACIN Profesin: Nombre: Cargo: Nivel Rango LICENCIADO EN ADMINISTRACION DE EMPRESAS MAGDALIEL NAVA VAZQUEZ DIRECTOR DE ADMINISTRACION Y OPERACION DE LA RED
28- D
Lada
(722)
Direccin:
MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, EDIFICIO Telfonos: KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA mnava@ssc.gob.mx Extensin(es)
e-mail:
FUNCIONES: El director de administracin y operaciones de la red es el encargado principalmente de asegurar la correcta operacin de la red, con ayuda de personal que labora en esta rea, tomando acciones remotas o localmente. Se encarga monitorear la buen administracin de cualquier equipo de telecomunicaciones de voz, datos y video Se encarga de monitorear la correcta administracin remota de fallas, configuracin rendimiento, seguridad e inventarios realizada por el personal que est bajo su mando.
El personal que est bajo su mando se encarga de: Configuracin de la red: La configuracin comprende las funciones de monitoreo y mantenimiento del estado de la red. Fallas: La funcin de fallas incluye la deteccin, el aislamiento y la correccin de fallas en la red. Contabilidad: La funcin de contabilidad permite el establecimiento de cargos a usuarios por uso de los recursos de la red. Comportamiento: La funcin de comportamiento mantiene el comportamiento de la red en niveles aceptables. Seguridad: La funcin de seguridad provee mecanismos para autorizacin, control de acceso, confidencialidad y manejo de claves.
CENTRO DE MANDO Y COMUNICACIN Profesin: MAESTRO EN ADMINISTRACION DE EMPRESAS Nombre: Cargo: Nivel Rango JOSE DE JESUS DOMINGUEZ MAGDALENO DIRECTOR DE TECNOLOGIAS Y REGISTRO 28- D Lada (722) 2758360 2758200
MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, Telfonos: Direccin: EDIFICIO KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA e-mail: jjdominguezm@ssc.gob.mx
Extensin(es) 10553
FUNCIONES: El director de tecnologas y registro es el encargado de Planear, organizar, dirigir y controlar los esfuerzos, actividades y recursos de las reas y sistemas de informtica y desarrollo tecnolgico. Coordinar las actividades que en materia de informtica se realizan en las diferentes unidades administrativas del Ministerio; Apoyar la gestin de las autoridades a travs de una eficiente asesora en materia informtica, as como a las entidades del sector pblico, en la operacin y administracin de sistemas informticos propios y compartidos, fortaleciendo la red de informacin interna Definir criterios y velar por el cumplimiento de los mecanismos de disponibilidad, seguridad y acceso a la informacin Asegurar el buen funcionamiento de los sistemas informticos internos, que sirvan a los procesos tcnicos y administrativos de la institucin; Administrar los sistemas de telecomunicaciones Coordinar la actualizacin y administracin de las bases de datos, para garantizar un servicio de informacin accesible, confiable y oportuna Fortalecer el sistema de apoyo personalizado al usuario, as como el desarrollo o administracin de nuevas aplicaciones Administrar eficientemente los sistemas de informacin internos y externos del sector pblico que le sean asignados. Desarrollar profesionalmente al personal de Informtica, a travs de cursos con proveedores o centros especializados.
CENTRO DE MANDO Y COMUNICACIN Profesin: INGENIERO EN SISTEMAS COMPUTACIONALES Nombre: Cargo: Nivel Rango ISRAEL QUINTANA CARAPIA ENCARGADO DEL REA DE APLICACIONES DEL 066 26- D Lada (722) 2758300
Direccin:
MARIE CURIE NUMERO 1350 ESQUINA PASEO TOLLOCAN, Telfonos: EDIFICIO KOSA, PRIMER PISO, COLONIA SAN SEBASTIAN, CODIGO POSTAL 50090 TOLUCA
e-mail:
israelqc@ssc.gob.mx
Extensin(es) 10187
FUNCIONES: El responsable del rea de aplicaciones del 066 se encarga de asegurar que los operadores del 066 siempre tengan acceso al sistema. Asegurar el acceso al sistema de 066 Realizar respaldos de las llamadas que se realizan diariamente Solucionar problemas respecto al hardware y software de esta rea Realizar reportes de las fallas del sistema del 066 y enviarlos a departamento de desarrollo de sistemas Monitorear que los usuario de esta rea cumplan con su debido trabajo
Descripcin de procesos que se llevan a cabo en el rea de Aplicaciones del 066 Establecer y operar tecnologas de informacin y comunicacin necesarias para el cumplimiento de las atribuciones de la Secretara. Recopilar, analizar y procesar informacin derivada de llamadas de emergencias, denuncia ciudadana, reportes policiales y dems fuentes relacionadas, as como generar los reportes respectivos. Establecer y operar mecanismos para el oportuno intercambio de informacin con las unidades responsables de seguridad pblica, de proteccin civil y de prevencin y reinsercin social de los tres mbitos de gobierno, segn corresponda. Integrar, operar y desarrollar el sistema tecnolgico y de colaboracin denominado SafetyNet CAD. Actualizar permanentemente la informacin relacionada con los registros y bases de datos del sistema Safety Net CAD y generar los reportes correspondientes. Coordinar la elaboracin de los dictmenes tcnicos de equipo, vehculos, tecnologa, armamento y dems bienes necesarios para el desarrollo de la Secretara.
R E L AC I N
Nombre del sistema
D E S I S T E M AS
Safety Net CAD Sistema para la captura y seguimiento de reportes de emergencias del 066. Descripcin Es un Sistema de Despacho Asistido por Computadora en tiempo real que administra las llamadas de emergencia recibidas va 066. El sistema Safety Net CAD opera en un esquema cliente-servidor, esquema en el que toda la informacin capturada por los operadores se almacena en un servidor central. Permite el despacho de emergencias entre mltiples corporaciones: Polica Estatal, Polica Ministerial, Polica Municipal, Polica Federal, Sedena, Servicios de Emergencia, Bomberos, etc. Emplea una Interface grfica y amigable que funciona en tiempo real por medio de Fichas identificadas cada una con un Folio nico. Cuenta con varios niveles de seguridad que evitan la fuga de informacin. Cuenta con el Mdulo de Rplica de informacin, que permite respaldar la informacin de los Centros de Mando Regionales y Municipales en el servidor central en el Centro Estatal, empleando Oracle como manejador de base de datos.
Cuenta con ventanas de administracin de: unidades, llamadas en proceso y llamadas en recepcin, ventana de corporaciones. Emplea con catlogos de Corporaciones,
Municipios, Colonias, Tipos de Incidentes, Cdigos de Cierre. Contiene el mdulo CAD to CAD que permite, intercambiar informacin entre Centros Regionales, y con otros Estados que cuentan con la misma versin del software. Esta herramienta favorece la coordinacin en el combate a la delincuencia en los tres niveles de gobierno.
Es un sistema de Alto rendimiento y arquitectura altamente confiable y segura. Incluye una poderosa base de datos geogrfica inteligente que permite hacer la bsqueda de direcciones en la Cartografa con que cuenta el Centro de Mando y Comunicacin. Cuenta con la interface con el Sistema AVL de Radios Matra, para la localizacin en tiempo real de unidades vehiculares. Mediante el Mdulo de Servicios WEB, se tiene una consulta ejecutiva, en tiempo real, de los incidentes que se estn atendiendo en todo momento. El sistema opera con bases de datos de casetas telefnicas, residencias y comercios, bases de datos de escuelas, y de sucursales bancarias, de manera que al recibir una llamada telefnica, en la ficha de captura se precargan los datos generales del lugar donde se origina la llamada.
Adems, la seguridad informtica tambin es de gran importancia para hacer respaldos de la informacin y tenerla disponible sin correr el riesgo de perderla. De igual forma, es vital para tener en buen funcionamiento a todos los equipos que formen parte de la red del Departamento de Aplicaciones del 066, teniendo la capacidad de evitar prdidas o robos de la informacin u otros problemas que afecten a la infraestructura informtica.
Otra parte importante son los usuarios que tendrn acceso a los equipos computacionales, por ello el departamento responsable de la seguridad informtica deber de hacer ciertas restricciones en los perfiles y limitar la accesibilidad a determinados sitios con el fin de asegurar un estado ptimo en las equipos; aparte de dar cierta capacitacin a los usuarios antes mencionados.
Por todo esto, la importancia de la seguridad informtica radica en el reto de tener la capacidad de lograr todos los objetivos antes mencionados, para que as, la Secretaria de Seguridad Ciudadana pueda tener un desempeo ptimo basado en un buen estado de su infraestructura informtica, que en estos tiempos es vital importancia.
S E G URI D AD
F S I C A Y AM B I E N T AL
9.1 R E AS
S E GU R AS
OBJETIVO: controlar el acceso fsico, daos a la informacin (BASES DE DATOS) y equipos informticos contenidos en el departamento de atencin a emergencias de la Secretaria de Seguridad Ciudadana; as como asegurar la continuidad de los servicios y seguimiento de los daos en caso de que sucedan para no afectar a reas o departamentos contiguos; en caso de ser as contar con procedimientos para efectuar la continuidad del servicio en las reas, contar con servicios alternos que den seguimiento a las actividades del(as) rea(s) en caso de ser afectadas.
9.1.1 P E R M E T R O
D E S E GU R I D A D F S I C A
Control El centro de mando nicamente es una oficina que cuanta con paredes, sin embargo no se encuentra controlado por tarjetas electrnicas, sin embargo el acceso es nicamente para personas autorizadas que laboren en el rea. Debido a que el rea cuenta con informacin de alto riesgo como lo e la informacin confidencial de inters estatal que causa gran impacto en cuanto a la prdida de informacin; se debera considerar implementar algunos lineamientos de seguridad como: Estructura del rea: Identificar a los empleados y personas que laboren en el rea y/o departamento; es decir con credenciales autorizadas por el jefe de SSC que asegure y verifique su funcionalidad en el rea. Utilizar dispositivos magnticos o automticos que concedan el acceso al rea nicamente a las personas debidamente autorizadas. Acceso a terceras personas: Se considera como terceras personas al personal de mantenimiento y limpieza y cualquier otro personal ajeno al lugar; debern ser identificados plenamente, controlados y vigilados en sus actividades en el rea. Identificacin personal
Contar con identificaciones que incluyan algn cdigo magntico, estar codificadas o contar con algn color de acuerdo al rol que desempean en el rea. No brindar a nadie informacin confidencial y vital contenida y usada en el rea a personas desconocidas, es decir contar con el principio de confidencialidad de la informacin.
9.1.2 C ON T R OLE S
D E I N G R E S O F S I C O
Control Actualmente el rea de Aplicaciones del 066 es un rea monitoreada por cmaras de seguridad, las 24hrs del da. El rea deber estar debidamente monitoreada por personal de seguridad para verificar la entrada y salida de personal; para ello es considerable tomar en cuenta lo siguiente: *Elementos de seguridad Registro del personal, hora de entrada y salida. (CON EL QUE CUENTA EL AREA) El personal que entre al rea firmen un registro que indique la fecha, nombre, asunto, hora de entrada, hora de salida y firma. Puertas con chapas de control electrnico. Disponer de una tarjeta con cdigo magntico o implementar algn dispositivo que reconozca el objeto de identificacin del personal. Tarjetas de acceso y/o gafetes de identificacin Controlar con ello la hora de entrada y salida as como las funciones que desempea el personal en el rea y que permita monitorear la actividad que se desarrolla y cualquier intento de un acceso no autorizado sea detectado inmediatamente. Equipos de monitoreo (con los que cuenta el departamento) Utilizacin de dispositivos de circuito cerrado de televisin conectados a un panel de control manejado por guardias de seguridad, se permite controlar las reas vitales de la secretaria y concentrar la vigilancia en las entradas y salidas. Alarmas de seguridad. Es importante proteger a todas las reas contra introduccin fsica; alarmas contra robos e intrusiones de personas ajenas. Los dispositivos colocados en forma discreta de manera que no atraiga la atencin sobre el hecho de que existe un dispositivos de seguridad para monitoreo.
9.1.3 A S E G U R AR
L A S O FI C I N AS , H AB I T AC I O NE S Y M E DI OS
Control Todos los procesos desempeados en el rea son monitoreados por el jefe de departamento. Se ha determinado el valor y vitalidad del software y hardware utilizado en el rea para protegerlos de daos fsicos, humanos y lgicos. La informacin procesada en el rea es de vital importancia y es por ello que se establecieron los principales procesos o actividades y su nivel de importancia y continuidad. Se ha establecido un nivel de impacto para las actividades importantes y vitales del rea, as como las emergencias.
9.1.4 P R OT E C CI N
C ON T R A AM E N AZ AS E X T E RN AS E I NT E RN AS
Control Riesgos: mal funcionamiento de algn proceso en el equipo de cmputo o en el rea. Prevenciones: respaldos, extintores y detectores de humo, alarmas de temperatura, etc. Sistema de corriente regulada: regular la corriente elctrica y proporcionar energa elctrica continua. Sistemas de conexin a tierra: contar con sistema y equipos de conexin a tierra que tenga alto voltaje. RIESGO DE INCENDIOS: Tomar en cuenta consideraciones sobresalientes como el material de los equipos, canales aislantes al fuego, detectores de fuego, alarmas de incendio conectado al general. Todo esto se manejara en el plan de contingencia para tomar decisiones especficas dependiendo el tipo de amenaza y si es posible resolverla por personal del departamento o es necesario transferir a terceros. 9.1.5 Trabajo en reas aseguradas Control Es de vital importancia entender los riesgos a los que se enfrenta cada rea de la secretaria, es por ello que se deben establecer reas de riesgo aseguradas no solo para el personal si no para los servicios que se encargaran de combatir el riesgo en caso de que el personal no tenga la posibilidad de hacerlo. Se debe asegurar: El equipo El ambiente Programas y datos Recuperaciones Personal Responsabilidades a terceras personas. 1. Daos materiales a equipos: Amparar cualquier perdida o dao fsico, sbito que requiera de reparacin o reemplazo. Esto incluye prdidas por terremoto, temblor, prdidas o daos causados por robo, fallos de corriente, interrupciones de servicios y fallos en servidores. 2. Portadores externos de datos: Cubre los daos causados por dispositivos de almacenamiento de datos e informacin contenida en ellos. Sin embargo deberan considerar la compra de plizas adicionales que cubren lo siguiente: Huelgas y conmocin civil. Daos por fallo de la instalacin de climatizacin Robo sin violencia Daos mecnicos y elctricos internos Equipos de climatizacin
9.1.6 R E AS
DE AC C E S O P B L I C O , E NT R E G A Y C AR G A
Control Se controlan los puntos de acceso a personal como ya fue mencionado en el punto 9.1.1 Sin embargo no se cuenta con reas especficas para entrada de personal que labora en el lugar pues las entradas son compartidas para personal, cabe mencionar que el personal de limpieza y mantenimiento del rea y de los sistemas acceden de igual forma que el personal que labora en el lugar; nicamente se registran las horas de entrada y salida y la actividad a desempear.
Es considerable tomar en cuenta los puntos de entrada y salida para el personal que labora de manera constante en el lugar y para el personal que acude de manera ocasional al lugar para controlar accesos y lugares de entrada. Por ser la secretaria de seguridad ciudadana el acceso al pblico ser estrictamente controlado.
9.2.1 U B I C AC I N
Control
Y P R OT E C C I N D E L E Q UI P O
El equipo de cmputo as como las instalaciones es de vital importancia su proteccin por la informacin que se maneja dentro de la SSC y as evitar percances para ello se toman en cuenta los riesgos que se pueden suscitar y se lleva a cabo en la ubicacin y una proteccin pertinente para su resguardo. La infraestructura de sistemas de cmputo tambin representa una inversin considerable, los lineamientos sobre el uso adecuado del equipo de cmputo sugieren un tiempo de vida til ms extendido, minimizando reparaciones e inversin por perdidas de informacin. Se consideran los siguientes lineamientos: Para la proteccin de informacin y como medida provisoria es asignado a cada empleado un equipo de cmputo al cual debe ingresar con un usuario y contrasea proporcionada por el encargado de sistemas. Todo el personal tiene una cuenta de correo electrnico interno, que les permite recibir y enviar informacin indispensable para sus actividades. El uso de internet queda reservado solo para las actividades de trabajo que as lo requieran. En general se restringe el acceso mediante el uso de contrasea en el administrador de contenidos de cada equipo. El personal debe hacer uso adecuado de los recursos informticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas monitorea que se cumpla esta poltica. Adems, todo el personal deber informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cmputo, para su adecuado seguimiento. A todos los equipos se les realizar una revisin de virus por lo menos cada mes. Acceso restringido a personas no autorizadas que puedan interrumpir el lineamiento de trabajo.
En cuanto a ubicacin del equipo: Los escritorios estn ubicados para evitar los reflejos de luz que puede provocar la iluminacin. La iluminacin es de baja difusin pero adecuada para evitar reflejos. Cada escritorio cuenta con espacio suficiente para colocar objetos de uso (telfono, plumas, tarjetas, tabletas, etc.) Sillas ajustables para facilitar que las plantas de los pies se asienten completamente en el suelo, as como el que las rodillas queden a una altura adecuada. Colocacin del monitor a una distancia adecuada para no requerir de inclinaciones hacia el frente o hacia atrs mientras se lee la pantalla. La distancia al monitor es variable en funcin del usuario, las dimensiones de la pantalla y la resolucin elegida. Teclado y ratn ambos dispositivos se colocan a la misma altura y lo suficientemente cerca para el libre movimiento del ratn. Slo el teclado puede inclinarse ligeramente para facilitar la escritura.
Todos los espacios de trabajo cuentan con no-breaks como medida de seguridad a descargas elctricas as como conectores extras para otros dispositivos en caso de ser requeridos.
9.2.2 S E RV I CI OS
Control
P B L I C OS D E S O P OR T E
Medidas provisorias en cuanto a las instalaciones elctricas de todas las reas para proteger el hardware y la informacin que contiene y que es necesaria para llevar a cabo todas las actividades. Es importante contar con una planeacin adecuada que este al nivel de todo el equipo con el que cuenta la organizacin y que tambin soporte cualquier tipo de evento. Se consideran los siguientes lineamientos: En cuanto al cableado este est instalado por debajo del piso falso, donde se encuentran los cables de forma separada (de alto voltaje, de bajo voltaje y de telecomunicacin) Evitar conectar mltiples dispositivos en los mismos tomacorrientes y que se puedan sobrecargar los cables con extensiones o equipos de alto consumo. El sistema de iluminacin debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitar la incidencia directa del sol sobre los equipos. Contar con un sistema de energa interrumpible, respaldo por un tablero de transferencia y una planta de generacin de energa elctrica para emergencia. Los equipos deben estar conectados a su regulador de voltaje individual o de mayor capacidad o conectado a un equipo no-break con regulador de voltaje. La instalacin cuenta con tierra fsica la cual sirve para soportar descargas elctricas. Aunque la organizacin tenga un servicio de energa regular es importante proteger el equipo electrnico por fluctuaciones de poder, altibajos o picos que pueden ocasionar daos al equipo para ello es indispensable el sistema de suministro continuo de electricidad.
D E L C AB LE AD O
9.2.3 S E GU RI D AD
Control
La implementacin de un buen cableado asegura mejor operacin y seguridad de los equipos en el que se debe completar el consumo total de corriente se considera tambin la capacidad de los cables, la distribucin efectiva de contactos, el balanceo de las cargas elctricas y una buena tierra fsica. En cuanto a la instalacin del cableado elctrico este esta adecuado de manera subterrnea por debajo del piso donde los cables son separados de los que se utilizan para telecomunicaciones y transporte de informacin. Considerando lo siguiente: El cableado est instalado de forma subterrnea mediante tubos que evitan que sufran daos y que tambin sirven como separadores de cada tipo de cable que se utiliza. El cable es adecuado a la carga de voltaje que tiene que soportar es decir que se debe considerar la capacidad. Cada rea debe ser provista de los conectores suficientes para cada equipo y adems colocar extras pensando en la escalabilidad de la organizacin.
9.2.4 M ANT E N I M I E N T O
Control
DE EQUIPO
Consiste en la revisin peridica de ciertos aspectos, tanto de hardware como de software en los equipos de cmputo. Este influye en el desempeo fiable de toda la organizacin ya que es una herramienta primaria de trabajo y tambin en la integridad de los datos almacenados y en un intercambio de informacin correcta, a la mxima velocidad posible dentro de la configuracin optima del sistema de informacin de todas las reas de la SSC. Se consideran los siguientes lineamientos: Todos los equipos debern presentar las ltimas actualizaciones del sistema operativo en uso, parches de seguridad y antivirus instalado. Una vez al ao se debe realizar una revisin en la red para detectar desperfectos y dar as mantenimiento a la misma. Peridicamente, por espacio de 4 meses, se realizar una limpieza fsica a toda la infraestructura de equipo de cmputo por parte del personal encargado de sistemas. Todo informe de falla o problema debe ser documentado. El personal no est autorizado para realizar cualquier tipo de mantenimiento a su equipo esto es exclusivo a una persona encargada de sistemas.
9.2.5 S E GU RI D AD
Control
D E L E Q U I P AM I E N T O F UE R A DE L A OR G AN I Z ACI N
El uso de equipamiento destinado al procesamiento de informacin, fuera de la organizacin, debe ser autorizado por el nivel gerencial, sin importar quin es el propietario del mismo. La seguridad provista debe ser equivalente a la suministrada dentro del mbito de la organizacin, para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. El equipamiento de procesamiento de la informacin incluye todo tipo de computadoras personales, organizadores, telfonos mviles, papel u otros formularios, necesarios para el trabajo en el domiciliario o que es transportado fuera del lugar habitual de trabajo. Se deben considerar los siguientes lineamientos: El equipamiento y dispositivos retirados del mbito de la organizacin no deben permanecer desatendidos en lugares pblicos. Las computadoras personales deben ser transportadas como equipaje de mano y de ser posibles enmascaradas, durante el viaje. Se deben respetar permanentemente las instrucciones del fabricante, por ej. Proteccin por exposicin a campos electromagnticos fuertes. Los controles de trabajo en domicilio deben ser determinados a partir de un anlisis de riesgo y se aplicarn controles adecuados segn corresponda, por ej. Gabinetes de archivo con cerradura, poltica de escritorios limpios y control de acceso a computadoras. Una adecuada cobertura de seguro debe estar en orden para proteger el equipamiento fuera de la organizacin.
Los riesgos de seguridad, por ej. El dao, robo o escucha subrepticia, pueden variar considerablemente segn las ubicaciones y deben ser tenidas en cuenta al determinar los controles ms apropiados.
9.2.6 B AJ A
Control
S E GU R A O R E U T I LI Z AC I N DE E Q UI P AM I E N T O .
La informacin puede verse comprometida por una desafectacin descuidada o una reutilizacin del equipamiento. Los medios de almacenamiento conteniendo material sensitivo, deben ser fsicamente destruidos o sobrescritos en forma segura en vez de utilizar las funciones de borrado estndar. Todos los elementos del equipamiento que contengan dispositivos de almacenamiento, por ej. Discos rgidos no removibles, deben ser controlados para asegurar que todos los datos sensitivos y el software bajo licencia, han sido eliminados o sobrescritos antes de su baja. Puede ser necesario realizar un anlisis de riesgo a fin de determinar si medios de almacenamiento daados, conteniendo datos sensitivos, deben ser destruidos, reparados o desechados.
9.2.7 R E T I R O
Control
DE BIENES
El equipamiento, la informacin o el software no deben ser retirados de la sede de la organizacin sin autorizacin. Cuando sea necesario y procedente, los equipos debern ser desconectados ("logged out") y nuevamente conectados ("logged in") cuando se reingresen. Se deben llevar a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos de la organizacin. El personal debe conocer la posibilidad de realizacin de dichas comprobaciones.
NOTA:
El motivo que no se colocaron fotografas o evidencias de la SSC fue debido a que no contamos
con los permisos necesarios para realizar estas acciones, por lo que la informacin nos fue proporcionada fuera de las instalaciones.
Dado que la implementacin de controles acarrea grandes gastos en infraestructura, equipos y personal, alcanzar un balance equilibrado entre los niveles adecuados de proteccin y los costos de estos controles es una tarea difcil; no se quiere gastar en exceso, pero tampoco se desea dejar brechas de seguridad ocasionadas por la poca inversin de recursos. Una estrategia vlida, aparte de mitigar los riesgos, es la de asumir las posibles consecuencias de la vulneracin de una debilidad. Es de vital importancia contar con las instalaciones ptimas para el funcionamiento del rea de Aplicaciones del 066, puesto que alberga todo el hardware que soporta el procesamiento y la informacin relacionada con las emergencias de los ciudadanos, la cual es de vital importancia. Se debe educar al personal que labora en el rea de Aplicaciones del 066, incluyendo necesariamente temas relativos a la seguridad integral, tanto de las personas, como de los sistemas de informacin. Es importante recordar que una cadena se rompe por el eslabn ms dbil y, normalmente, este eslabn suele ser el elemento humano, por lo cual deber tener una particular importancia en cualquier Plan de Seguridad Corporativa, y ms para una organizacin de importancia como lo es la Secretaria de Seguridad Ciudadana. Es por todo esto que el contar con una buena implementacin de polticas de seguridad informtica debe ser un punto clave en toda la Secretaria de Seguridad Ciudadana, no solo para el rea de Aplicaciones del 066, de lo contrario se caer en un error que puede perjudicar y causar prdidas graves, que pudieran haberse prevenido, sin embargo, es necesario destacar que para que dicha implementacin sea efectiva debe tener el apoyo y participacin de todas las reas, departamentos que integran a la Secretaria de Seguridad Ciudadana. Todas estas recomendaciones se hacen con el fin de que la Secretaria de Seguridad Ciudadana, en especfico el rea de Aplicaciones del 066, aumente su eficiencia, en la realizacin de sus distintas actividades.