Estimación de Riesgos

ESTIMACION DE RIESGO
INDICE
INTRODUCCION ................................................................................................................ 3
PLAN DE CONTINGENCIA .................................................................................................. 4
I.
Esquema General ...................................................................................................... 4
1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD) .................................................................. 5

1.1.1 ANALISIS DE RIESGOS ........................................................................................... 5
ANALISIS DE FALLAS EN LA SEGURIDAD ....................................................................... 8
PROTECCIONES ACTUALES ............................................................................................ 8
1.2 PLAN DE RECUPERACION DE DESASTRES ................................................................... 9
1.2.1 Actividades Previas al Desastre ........................................................................... 9
1.2.1.1 Establecimiento de Plan de Accin ............................................................. 10
1.2.1.2 Formacin de Equipos Operativos .............................................................. 12
1.2.1.3 Formacin de Equipos de Evaluacin (Auditora de cumplimiento de los
procedimientos sobre Seguridad) ........................................................................... 13
1.2.2 Actividades Durante el Desastre ........................................................................ 13
1.2.2.1 Plan de Emergencias ................................................................................... 14
1.2.2.2 Formacin de Equipos ................................................................................. 14
1.2.2.3 Entrenamiento ............................................................................................ 14
1.2.3 Actividad Despues del Desastre ......................................................................... 15
1.2.3.1 Evaluacin de Daos. .................................................................................. 15
1.2.3.2 Priorizacin de actividades del Plan de Accin. .......................................... 15
1.3.2.3 Ejecucin de Actividades. ............................................................................ 16
1.3.2.4 Evaluacin de Resultados. ........................................................................... 16
1.3.2.5 Retroalimentacin del Plan de Accin. ....................................................... 16
II.
ASPECTOS GENERALES DE LA SEGURIDAD DE LA INFORMACION .......................... 17

2.1. CONCEPTOS GENERALES ...................................................................................... 17
2.2. Seguridad Integral de la Informacin .................................................................. 19
III.
SEGURIDAD DE LA INFORMACION ...................................................................... 20
3.1 Acceso no Autorizado ........................................................................................... 20

3.2 Destruccin ........................................................................................................... 23
TCNICAS DE SEGURIDAD ELCTRICA
3.3 Revelacin o Infidencia ......................................................................................... 24
3.4 Modificaciones ...................................................................................................... 25
IV.
POLITICAS DE SEGURIDAD ................................................................................... 26
4.1 Responsables de la Seguridad............................................................................... 27

V.
AMENAZAS MS COMUNES CONTRA LA SEGURIDAD ............................................ 28

5.1 Desastres Naturales .............................................................................................. 28
5.1.1 El Fuego .......................................................................................................... 28
5.1.2 El Aguas .......................................................................................................... 32
5.2 Fallas en Infraestructura: Servicios ....................................................................... 33
5.2.1 Instalaciones Elctricas .................................................................................. 33
5.3 Acciones Hostiles .................................................................................................. 34
VI.
MEDIDAD DE PRECUACION Y RECOMENDACION................................................ 35
6.1 EN RELACION AL CENTRO DE COMPUTO .............................................................. 35

6.2 Medios de Almacenamientos ............................................................................... 37
6.3 Respecto a los Monitores ..................................................................................... 39
6.4 Recomendacin para el cuidado del Equipo de Computo ................................... 39
CONCLUSIONES............................................................................................................... 40
BIBLIOGRAFA ................................................................................................................. 41
INTRODUCCION
El presente Plan de Contingencias describe los principales procedimientos y medidas a
adoptar frente a eventos que pudieran acontecer durante las etapas de construccin y
operacin, a fin de obtener una respuesta, rpida, adecuada y oportuna que pueda
mitigar el accidente, incidente o estado emergencia.
En este plan se han identificado claramente los diferentes tipos de emergencia que
pudieran acontecer en el desarrollo de las actividades del proyecto y cada uno de ellos
tendr un componente de respuesta y control.
El Plan de Contingencias es un documento interno que es utilizado como gua, en los
casos de emergencia o eventos fortuitos, como son:
Desastres naturales
Desastres fortuitos o imprevistos
Desastres provocados o sabotaje
Incluir procedimientos, detalle de equipos, comunicaciones y personal, especialmente

asignado y debidamente capacitado para estos eventos.
El siguiente plan de contingencia se elabora bajo el cumplimiento de las obligaciones
ambientales para el sector energtico, las cuales estn reguladas por un conjunto de
leyes y reglamentos, entre los cuales podemos mencionar:
Reglamento de Proteccin Ambiental en las Actividades Elctricas, D.S. N 02994-EM.

Reglamento de Seguridad y Salud en el Trabajo en las Actividades Elctricas
R.M. N 161-2007-MEM/DM.
Reglamento de Proteccin Ambiental en las Actividades de Hidrocarburos, D.S.
N 046-93-EM. Cdigo Nacional de Electricidad- Suministros 2001.
Ley 28551, Gua para la Elaboracin del Plan de Contingencia INDECI.
Reglamento de la Ley de Concesiones Elctricas D.S. N 009-93-EM.
PLAN DE CONTINGENCIA
I.
Esquema General
El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden
estar expuestos nuestros equipos de cmputo y la informacin contenida en los
diversos medios de almacenamiento, por lo que en este Manual haremos un anlisis
de los riesgos, cmo reducir su posibilidad de ocurrencia y los procedimientos a seguir
en caso que se presentara el problema.
Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es
necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres,
el cual tendr como objetivo, restaurar el Servicio de Cmputo en forma rpida,
eficiente y con el menor costo y prdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace
necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de
Contingencias lo ms completo posible.
Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro local, el
cual nos ha dejado sin equipos de cmputo y sin los archivos magnticos (programas y
datos) contenidos en dichos equipos y en las oficinas del local.
Hay dos mbitos que vamos a analizar. El primero abarca las actividades que se deben
realizar y los grupos de trabajo o responsables de operarlas. El segundo, el control,
esto es, las pruebas y verificaciones peridicas de que el Plan de Contingencias est
operativo y actualizado.
Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos:
1.- Plan de Reduccin de Riesgos (Plan de Seguridad).
2.- Plan de Recuperacin de Desastres.
2.1.- Actividades Previas al Desastre.
2.1.1.- Establecimiento del Plan de Accin.
2.1.2.- Formacin de Equipos Operativos.
2.1.3.- Formacin de Equipos de Evaluacin (auditora de cumplimiento de
procedimientos de Seguridad).
2.2.- Actividades durante el Desastre.
2.2.1.- Plan de Emergencias.
2.2.2.- Formacin de Equipos.
2.2.3.- Entrenamiento.
2.3.- Actividades despus del Desastre.

2.3.1.- Evaluacin de Daos.
2.3.2.- Priorizacin de Actividades del Plan de Accin sealadas en 2.1.1
2.3.3.- Ejecucin de Actividades
2.3.4.- Evaluacin de Resultados.
2.3.5.- Retroalimentacin del Plan de Accin.
1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD)

Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar
una lista de todos los riesgos conocidos, para lo cual se deber realizar un anlisis de
riesgos.
1.1.1 ANALISIS DE RIESGOS

El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran
cosas negativas. Se ha de poder obtener una evaluacin econmica del impacto de
estos sucesos negativos. Este valor se podr utilizar para contrastar el costo de la
proteccin de la Informacin en anlisis, versus el costo de volverla a producir
(reproducir).
La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma
personalizada para cada organizacin.
La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin
estimar el coste que supondra. Se ha de tener en cuenta la probabilidad de que
sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los
problemas y su coste potencial desarrollando un plan de accin adecuado.
El anlisis de riesgos supone responder a preguntas del tipo:
Qu
puede ir mal?
qu frecuencia puede ocurrir?
Cules seran sus consecuencias?
Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
Con
En lo fundamental la evaluacin de riesgos que se ha de llevar a cabo ha de contestar,

con la mayor fiabilidad posible, a las siguientes preguntas:
Qu
se intenta proteger?
Cul es su valor para uno o para la organizacin?
Frente a qu se intenta proteger?
Cul es la probabilidad de un ataque?
A continuacin se muestra un ejemplo de cmo se realiza una evaluacin de riesgos.
El o los responsables de la oficina de informtica se sentarn con los responsables de
las reas usuarias y realizarn el siguiente conjunto de puntualizaciones:
A qu riesgos en la seguridad informtica se enfrenta la Institucin?
Al
fuego, que puede destruir los equipos y archivos.

Al robo comn, llevndose los equipos y archivos.
Al vandalismo, que daen los equipos y archivos.
A fallas en los equipos, que daen los archivos.
A equivocaciones, que daen los archivos.
A la accin de virus, que daen los equipos y archivos.
A terremotos, que destruyen el equipo y los archivos.
A accesos no autorizados, filtrndose datos no autorizados.
Al robo de datos, difundindose los datos sin cobrarlos.
Al fraude, desviando fondos merced a la computadora.
Esta lista de riesgos que se puede enfrentar en la seguridad, es bastante corta. La
Institucin deber profundizar en el tema para poder tomar todas las medidas del
caso.
Luego de elaborar esta lista, el personal de la Institucin estar listo para responder a
los efectos que estos riesgos tendrn para su Institucin.
Qu probabilidad hay de que tenga efecto alguno de los riesgos mencionados?
Al
fuego, que puede destruir los equipos y los archivos

Institucin cuenta con proteccin contra incendios?
Se cuenta con sistemas de aspersin automtica?
Diversos extintores?
Detectores de humo?
Los empleados estn preparados para enfrentar un posible incendio?
A un robo comn, llevndose los equipos y archivos
En qu tipo de vecindario se encuentra la Institucin?
Hay venta de drogas?
Las computadoras se ven desde la calle?
Hay personal de seguridad en la Institucin?
Cuntos vigilantes hay?
Los vigilantes, estn ubicados en zonas estratgicas?
Al vandalismo, que daen los equipos y archivos
Existe la posibilidad que un ladrn desilusionado o frustrado cause daos?
Hay la probabilidad que causen algn otro tipo de dao intencionado?
A fallas en los equipos, que daen los archivos
Los equipos tienen un mantenimiento continuo por parte de personal calificado?
Cules son las condiciones actuales del hardware?
Es posible predecir las fallas a que estn expuestos los equipos?
A equivocaciones que daen los archivos
Cunto saben los empleados de computadoras o redes?
La
Los
que no conocen del manejo de la computadora, saben a quin pedir ayuda?

Durante el tiempo de vacaciones de los empleados, qu tipo de personal los
sustituye y qu tanto saben del manejo de computadoras?
A la accin de virus, que daen los archivos
Se prueba software en la oficina sin hacerle un examen previo?
Est permitido el uso de disquetes en la oficina?
Todas las mquinas tienen unidades de disquetes?
Se cuentan con procedimientos contra los virus?
A terremotos, que destruyen los equipos y archivos
La Institucin se encuentra en una zona ssmica?
El edificio cumple con las normas antissmicas?
Un terremoto, cunto dao podra causar?
A accesos no autorizados, filtrndose datos importantes
Cunta competencia hay para la Institucin?
Qu probabilidad hay que un competidor intente hacer un acceso no autorizado?
El modem se usa para llamar fuera y tambin se puede utilizar para comunicarse
hacia dentro?
Contamos con Sistemas de Seguridad en el Correo Electrnico o Internet?
Al robo de datos; difundindose los datos.
Cunto valor tienen actualmente las Bases de Datos?
Cunta prdida podra causar en caso de que se hicieran pblicas?
Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el
robo?
La lista de sospechosos, es amplia o corta?
Al fraude, desviando fondos merced a la computadora.
Cuntas personas se ocupan de la contabilidad de la Institucin?
El sistema de contabilidad es confiable?
Las personas que trabajan en el departamento de contabilidad, qu tipo de
antecedentes laborales tienen?
Existe acceso al Sistema Contable desde otros Sistemas o Personas?
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como
ejemplo se mencionan algunos factores de riesgo:
Factor
de riesgo bajo
de riesgo muy bajo
Factor de riesgo alto
Factor de riesgo muy alto
Factor de riesgo medio
Factor
Luego se efectuar un resumen de los riesgos ordenados por el factor de riesgo de

cada uno. Ejemplo:
ANALISIS DE FALLAS EN LA SEGURIDAD

Esto supone estudiar las computadoras, su software, localizacin y utilizacin con el
objeto de identificar los resquicios en la seguridad que pudieran suponer un peligro.
Por ejemplo, si se instala una computadora personal nueva, para recibir informes de
inventario desde otras PCs va modem situados en lugares remotos, y debido a que el
modem se ha de configurar para que pueda recibir datos, se ha abierto una va de
acceso al sistema informtico. Habr que tomar medidas de seguridad para protegerlo,
como puede ser la validacin de la clave de acceso.
PROTECCIONES ACTUALES
Generales,
se hace una copia casi diaria de los archivos que son vitales para la
Institucin.
Robo comn, se cierran las puertas de entrada y ventanas.
Vandalismo, se cierra la puerta de entrada.
Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma
regular, no se permite fumar, est previsto el prstamo de otros equipos.
Dao por virus, todo el software que llega se analiza en un sistema utilizando
software antivirus. Los programas de dominio pblico y de uso compartido
(Shareware), slo se usan si proceden de una fuente fiable.
Equivocaciones, los empleados tienen buena formacin. Cuando son necesarios, se
intenta conseguir buenos trabajadores temporales.
Terremoto, nada. Aparte de la proteccin contra incendios, la cual es buena.
Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen
de llave de bloqueo del teclado.
Robo de datos, se cierra la puerta principal. Varias computadoras disponen de llave
de bloqueo del teclado
Fuego, en la actualidad se encuentra instalado Sistemas contra incendios,
extinguidores, en sitios estratgicos y se brinda entrenamiento en el manejo de los
sistemas o extinguidores al personal, en forma peridica.
En los Captulos siguientes se brinda informacin completa y detallada de la Seguridad
de Equipos y de la Informacin.
1.2 PLAN DE RECUPERACION DE DESASTRES

Es importante definir los procedimientos y planes de accin para el caso de una posible
falla, siniestro o desastre en el rea Informtica, considerando como tal todas las reas
de los usuarios que procesan informacin por medio de la computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la
origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el
proceso perdido.
La elaboracin de los procedimientos que se determinen como adecuados para un
caso de emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de
los encargados de la realizacin de los mismos, debiendo haber procesos de
verificacin de su cumplimiento. En estos procedimientos estar involucrado todo el
personal de la Institucin.
Los procedimientos de planes de recuperacin de desastres deben de emanar de la
mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento.
Las actividades a realizar en un Plan de Recuperacin de Desastres se pueden clasificar
en tres etapas:
1.2.1 Actividades Previas al Desastre.
1.2.2 Actividades Durante el Desastre.
1.2.3 Actividades Despus del Desastre.
1.2.1 Actividades Previas al Desastre

Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de
las actividades de resguardo de la informacin, que nos aseguren un proceso de
Recuperacin con el menor costo posible a nuestra Institucin.
Podemos detallar las siguientes Actividades Generales:
2.1.1 Establecimiento del Plan de Accin.
2.1.2 Formacin de Equipos Operativos.
2.1.3 Formacin de Equipos de Evaluacin (auditora de cumplimiento de los
procedimientos sobre Seguridad).
1.2.1.1 Establecimiento de Plan de Accin
En esta fase de Planeamiento se debe de establecer los procedimientos relativos a:

a) Sistemas e Informacin.
b) Equipos de Cmputo.
c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS).
d) Polticas (Normas y Procedimientos de Backups).
a) Sistemas e Informacin. La Institucin deber tener una relacin de los
Sistemas de Informacin con los que cuenta, tanto los realizados por el centro
de cmputo como los hechos por las reas usuarias. Debiendo identificar toda
informacin sistematizada o no, que sea necesaria para la buena marcha
Institucional.
La relacin de Sistemas de Informacin deber detallar los siguientes datos:
Nombre del Sistema.
Lenguaje o Paquete con el que fu creado el Sistema. Programas que lo conforman
(tanto programas fuentes como programas objetos, rutinas, macros, etc.).
La Direccin (Gerencia, Departamento, etc) que genera la informacin base (el
dueo del Sistema).
Las unidades o departamentos (internos/externos) que usan la informacin del
Sistema.
El volumen de los archivos que trabaja el Sistema.
El volumen de transacciones diarias, semanales y mensuales que maneja el sistema.
El equipamiento necesario para un manejo ptimo del Sistema.
La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia.
El nivel de importancia estratgica que tiene la informacin de este Sistema para la
Institucin (medido en horas o das que la Institucin puede funcionar
adecuadamente, sin disponer de la informacin del Sistema). Equipamiento mnimo
necesario para que el Sistema pueda seguir funcionando (considerar su utilizacin en
tres turnos de trabajo, para que el equipamiento sea el mnimo posible).
Actividades a realizar para volver a contar con el Sistema de Informacin
(actividades de Restore).
Con toda esta informacin se deber de realizar una lista priorizada (un ranking) de los
Sistemas de Informacin necesarios para que la Institucin pueda recuperar su
operatividad perdida en el desastre (contingencia).
b) Equipos de Cmputo. Aparte de las Normas de Seguridad que se vern en los

10
captulos siguientes, hay que tener en cuenta:
Inventario actualizado de los equipos de manejo de informacin (computadoras,
lectoras de microfichas, impresoras, etc.), especificando su contenido (software que
usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional.
Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos
Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la
restitucin del Computador siniestrado se podr hacer por otro de mayor potencia
(por actualizacin tecnolgica), siempre y cuando est dentro de los montos
asegurados.
Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su
contenido, para ser priorizados en caso de evacuacin. Por ejemplo etiquetar (colocar
un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin
importante o estratgica y color verde a las PC's de contenidos normales.
Tener siempre actualizada una relacin de PC's requeridas como mnimo para cada
Sistema permanente de la Institucin (que por sus funciones constituyen el eje central
de los Servicios Informticos de la Institucin), las funciones que realizara y su posible
uso en dos o tres turnos de trabajo, para cubrir las funciones bsicas y prioritarias de
cada uno de estos Sistemas.
c) Obtencin y almacenamiento de los Respaldos de Informacin
(BACKUPS).
Se deber establecer los procedimientos para la obtencin de copias de Seguridad de
todos los elementos de software necesarios para asegurar la correcta ejecucin de los
Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con:
1) Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contar con una copia de cada uno de ellos).
2) Backups del Software Base (Paquetes y/o Lenguajes de Programacin con los cuales
han sido desarrollados o interactan nuestros Aplicativos Institucionales).
3) Backups del Software Aplicativo (Considerando tanto los programas fuentes, como
los programas objetos correspondientes, y cualquier otro software o procedimiento
que tambin trabaje con la data, para producir los resultados con los cuales trabaja el
usuario final). Se debe considerar tambin las copias de los listados fuentes de los
programas definitivos, para casos de problemas.
4) Backups de los Datos (Bases de Datos, Indices, tablas de validacin, passwords, y
todo archivo necesario para la correcta ejecucin del Software Aplicativo de nuestra
Institucin).
5) Backups del Hardware. Se puede implementar bajo dos modalidades:
Modalidad Externa. Mediante convenio con otra Institucin que tenga equipos
similares o mayores y que brinden la seguridad de poder procesar nuestra
Informacin, y ser puestos a nuestra disposicin, al ocurrir una contingencia y mientras
se busca una solucin definitiva al siniestro producido. Este tipo de convenios debe
tener tanto las consideraciones de equipamiento como de ambientes y facilidades de
trabajo que cada institucin se compromete a brindar, y debe de ser actualizado cada
11
vez que se efectuen cambios importantes de sistemas que afecten a cualquiera de las
instituciones.
Modalidad Interna. Si tenemos ms de un local, en ambos debemos tener sealados
los equipos, que por sus caractersticas tcnicas y capacidades, son susceptibles de ser
usados como equipos de emergencia del otro local, debindose poner por escrito
(igual que en el caso externo), todas las actividades a realizar y los compromisos
asumidos.
En ambos casos se deber probar y asegurar que los procesos de restauracin de
Informacin posibiliten el funcionamiento adecuado de los Sistemas. En algunos casos
puede ser necesario volver a recompilar nuestro software aplicativo bajo plataformas
diferentes a la original, por lo que es imprescindible contar con los programas fuentes,
al mismo grado de actualizacin que los programas objeto.
d) Polticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinacin de responsabilidades
en la obtencin de los Backups mencionados anteriormente en el punto c,
debindose incluir:
Periodicidad de cada Tipo de Backup.
Respaldo de Informacin de movimiento entre los perodos que no se sacan
Backups (backups incrementales).
Uso obligatorio de un formulario estndar para el registro y control de los Backups
(se incluye un formato tipo en el anexo IV.)
Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la
buena marcha de la empresa (mencionado en el punto a), y los backups efectuados.
Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo
del medio magntico empleado.
Reemplazo de los Backups, en forma peridica, antes que el medio magntico de
soporte se pueda deteriorar (reciclaje o refresco).
Almacenamiento de los Backups en locales diferentes donde reside la informacin
primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado).
Pruebas peridicas de los Backups (Restore), verificando su funcionalidad, a travs
de los sistemas, comparando contra resultados anteriores confiables.
1.2.1.2 Formacin de Equipos Operativos
En cada unidad operativa de la Institucin, que almacene informacin y sirva para la

operatividad Institucional, se deber designar un responsable de la seguridad de la
Informacin de su unidad. Pudiendo ser el jefe de dicha Area Operativa.
Sus labores sern:
Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos.
12
Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos en cuanto a
archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas.
Supervisar procedimientos de respaldo y restauracin.
Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los
respaldos incrementales.
Coordinar lneas, terminales, modem, otros aditamentos para comunicaciones.
Establecer procedimientos de seguridad en los sitios de recuperacin.
Organizar la prueba de hardware y software.
Ejecutar trabajos de recuperacin.
Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el
local alternante.
Realizar procedimientos de control de inventario y seguridad del almacenamiento
en el local alternante.
Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin.
Participar en las pruebas y simulacros de desastres.
1.2.1.3 Formacin de Equipos de Evaluacin (Auditora de cumplimiento de
los procedimientos sobre Seguridad)
Esta funcin debe ser realizada de preferencia por personal de Inspectora, de no ser
posible, la realizar el personal del rea de Informtica, debiendo establecerse
claramente sus funciones, responsabilidades y objetivos:
Revisar que las Normas y procedimientos con respecto a Backups y seguridad de
equipos y data se cumpla.
Supervisar la realizacin peridica de los backups, por parte de los equipos
operativos, comprobando fsicamente su realizacin, adecuado registro y
almacenamiento.
Revisar la correlacin entre la relacin de Sistemas e Informaciones necesarios para
la buena marcha de la Institucin (detallados en a), y los backups realizados.
Informar de los cumplimientos e incumplimientos de las Normas, para las acciones
de correccin respectivas.
1.2.2 Actividades Durante el Desastre

Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes
actividades, planificadas previamente:
1.2.2.1 Plan de Emergencias.
1.2.2.2 Formacin de Equipos.
1.2.2.3 Entrenamiento.
13
1.2.2.1 Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando se presente un

Siniestro, as como la difusin de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:
Durante el da.
Durante la Noche o madrugada.
Este plan deber incluir la participacin y actividades a realizar por todas y cada una de
las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro,
debiendo detallar:
Vas de salida o escape.

Plan de Evacuacin del Personal.
Plan de puesta a buen recaudo de los activos (incluyendo los activos de
Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan)
Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores,
cobertores contra agua, etc.)
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de
iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura
de Seguridad y de su personal (equipos de seguridad) nombrados para estos
casos.
1.2.2.2 Formacin de Equipos
Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones
claramente definidas a ejecutar durante el siniestro.
Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que
el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber
de existir dos equipos de personas que actuen directamente durante el siniestro, un
equipo para combatir el siniestro y otro para el salvamento de los recursos
Informticos, de acuerdo a los lineamientos o clasificacin de prioridades, para salvar
los equipos sealados en el acpite 1.2.1.1.
1.2.2.3 Entrenamiento
Establecer un programa de prcticas peridicas de todo el personal en la lucha contra
los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en
los planes de evacuacin del personal o equipos, para minimizar costos se puede
aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros
14
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y
tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es
conveniente que participen los elementos directivos, dando el ejemplo de la
importancia que la alta direccin otorga a la Seguridad Institucional.
1.2.3 Actividad Despues del Desastre

Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se
detallan, las cuales deben estar especificadas en el Plan de Accin elaborado en el
punto 1.2.1.1
1.2.3.1 Evaluacin de Daos.
1.2.3.2 Priorizacin de Actividades del Plan de Accin.
1.2.3.3 Ejecucin de Actividades.
1.2.3.4 Evaluacin de Resultados.
1.2.3.5 Retroalimentacin del Plan de Accin.
1.2.3.1 Evaluacin de Daos.
Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud

del dao que se ha producido, que sistemas se estan afectando, que equipos han
quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos el
convenio de respaldo, para ir avanzando en las labores de preparacin de entrega de
los equipos por dicha Institucin.
1.2.3.2 Priorizacin de actividades del Plan de Accin.
Toda vez que el Plan de accin es general y contempla una prdida total, la evaluacin
de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades
que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y
urgentes de nuestra Institucin.
Es importante evaluar la dedicacin del personal a actividades que puedan no haberse
afectado, para ver su asigna miento temporal a las actividades afectadas, en apoyo al
personal de los sistemas afectados y soporte tcnico.
15
1.3.2.3 Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las
actividades previamente planificadas en el Plan de accin (1.2.1.1). Cada uno de estos
equipos deber contar con un coordinador que deber reportar diariamente el avance
de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de
inmediato a la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del
servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es
volver a contar con los recursos en las cantidades y lugares propios del Sistema de
Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para
no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no
perjudicar la operatividad de la Institucin o local de respaldo.
1.3.2.4 Evaluacin de Resultados.
Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron
afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades
realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias
modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se
comportaron los equipos de trabajo, etc.
De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de
recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista
de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro.
1.3.2.5 Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, debemos de optimizar el plan de accin original,

mejorando las actividades que tuvieron algun tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
El otro elemento es evaluar cul hubiera sido el costo de no haber tenido nuestra
Institucin el plan de contingencias llevado a cabo.
16
II.
ASPECTOS GENERALES DE LA SEGURIDAD DE LA

INFORMACION
2.1. CONCEPTOS GENERALES

a) Privacidad
Se define como el derecho que tienen los individuos y organizaciones para determinar,
ellos mismos, a quin, cundo y qu informacin referente a ellos sern difundidas o
transmitidas a otros.
b) Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar los datos o informacin
que en forma no autorizada, sea accidental o intencionalmente, puedan ser
modificados, destruidos o simplemente divulgados.
En el caso de los datos de una organizacin, la privacidad y la seguridad guardan
estrecha relacin, aunque la diferencia entre ambas radica en que la primera se refiere
a la distribucin autorizada de informacin, mientras que la segunda, al acceso no
autorizado de los datos.
El acceso a los datos queda restringido mediante el uso de palabras claves, de forma
que los usuarios no autorizados no puedan ver o actualizar la informacin de una base
de datos o a subconjuntos de ellos.
c) Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las tcnicas de integridad sirven para prevenir que
existan valores errados en los datos provocados por el software de la base de datos,
por fallas de programas, del sistema, hardware o errores humanos.
El concepto de integridad abarca la precisin y la fiabilidad de los datos, as como la
discrecin que se debe tener con ellos.
d) Datos
Los datos son hechos y cifras que al ser procesados constituyen una informacin, sin
embargo, muchas veces datos e informacin se utilizan como sinnimos.
En su forma ms amplia los datos pueden ser cualquier forma de informacin: campos
de datos, registros, archivos y bases de datos, texto (coleccin de palabras), hojas de
clculo (datos en forma matricial), imgenes (lista de vectores o cuadros de bits), video
(secuencia de tramas), etc.
e) Base de Datos
17
Una base de datos es un conjunto de datos organizados, entre los cuales existe una
correlacin y que adems, estn almacenados con criterios independientes de los
programas que los utilizan.
Tambin puede definirse, como un conjunto de archivos interrelacionados que es
creado y manejado por un Sistema de Gestin o de Administracin de Base de Datos
(Data Base Management System-DBMS).
Las caractersticas que presenta un DBMS son las siguientes:
Brinda seguridad e integridad a los datos.

Provee lenguajes de consulta (interactivo).
Provee una manera de introducir y editar datos en forma interactiva.
Existe independencia de los datos, es decir, que los detalles de la organizacin
de los datos no necesitan incorporarse a cada programa de aplicacin.
f) Acceso
Es la recuperacin o grabacin de datos que han sido almacenados en un sistema de
computacin. Cuando se consulta a una base de datos, los datos son primeramente
recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.
g) Ataque
Trmino general usado para cualquier accin o evento que intente interferir con el
funcionamiento adecuado de un sistema informtico, o intento de obtener de modo
no autorizado la informacin confiada a una computadora.
h) Ataque activo
Accin iniciada por una persona que amenaza con interferir el funcionamiento
adecuado de una computadora, o hace que se difunda de modo no autorizado
informacin confiada a una computadora personal. Ejemplo: El borrado intencional de
archivos, la copia no autorizada de datos o la introduccin de un virus diseado para
interferir el funcionamiento de la computadora.
i) Ataque pasivo
Intento de obtener informacin o recursos de una computadora personal sin interferir
con su funcionamiento, como espionaje electrnico, telefnico o la intercepcin de
una red. Todo sto puede dar informacin importante sobre el sistema, as como
permitir la aproximacin de los datos que contiene.
j) Amenaza
18
Cualquier cosa que pueda interferir con el funcionamiento adecuado de una
computadora personal, o causar la difusin no autorizada de informacin confiada a
una computadora. Ejemplo: Fallas de suministro elctrico, virus, saboteadores o
usuarios descuidados.
k) Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente,
como por ejemplo las fallas de suministro elctrico o un intento de borrado de un
archivo protegido
l) Golpe (breach)
Es una violacin con xito de las medidas de seguridad, como el robo de informacin,
el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.
2.2. Seguridad Integral de la Informacin

La funcin del procesamiento de datos es un servicio de toda la institucin, que apoya
no slo a los sistemas de informacin administrativa sino tambin a las operaciones
funcionales. La Seguridad un aspecto de mucha importancia en la correcta
Administracin Informtica, lo es tambin de toda la Institucin.
Las medidas de seguridad estn basadas en la definicin de controles fsicos,
funciones, procedimientos y programas que conlleven no slo a la proteccin de la
integridad de los datos, sino tambin a la seguridad fsica de los equipos y de los
ambientes en que stos se encuentren.
En relacin a la seguridad misma de la informacin, estas medidas han de tenerse en
cuenta para evitar la prdida o modificacin de los datos, informacin o software
inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una
serie de medidas, entre las cuales figurarn el asignar nmeros de identificacin y
contraseas a los usuarios.
19
III.
SEGURIDAD DE LA INFORMACION
La seguridad de la informacin y por consiguiente de los equipos informticos, es una

cuestin que llega a afectar, incluso, a la vida privada de la persona humana, de ah
que resulte obvio el inters creciente que da a da se evidencia sobre este aspecto de
la nueva sociedad informtica.
Ladrones, manipuladores, saboteadores, espas, etc. reconocen que el centro de
cmputo de una institucin es su nervio central, que normalmente tiene informacin
confidencial y que, a menudo, es vulnerable a cualquier ataque.
La seguridad de la informacin tiene dos aspectos. El primero consiste en negar el
acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual tambin
se le puede llamar proteccin de la privacidad, si se trata de datos personales, y
mantenimiento de la seguridad en el caso de datos institucionales.
Un segundo aspecto de la proteccin es garantizar el acceso a todos los datos
importantes a las personas que ejercen adecuadamente su privilegio de acceso, las
cuales tienen la responsabilidad de proteger los datos que se les ha confiado.
En general, la proteccin de los datos requiere ejercer un control sobre la lectura,
escritura y empleo de esa informacin. Para obtener mayor eficiencia en la proteccin
se debe tener siempre presente la proteccin de los datos, el mantenimiento de la
privacidad y la seguridad del secreto.
El secreto se logra cuando no existe acceso a todos los datos sin autorizacin. La
privacidad adecuada puede lograrse cuando los datos que puedan obtenerse no
pueden enlazarse a individuos especficos o no pueden utilizarse para imputar hechos
acerca de ellos.
Por otro lado, es importante incorporar dispositivos de seguridad durante el diseo del
sistema en vez de aadirlas despus. Los diseadores de sistemas deben entender que
las medidas de seguridad han llegado a ser criterios de diseo tan importantes como
otras posibilidades funcionales, as como el incremento de costos que significa agregar
funciones, despus de desarrollado un Sistema de Informacin.
3.1 Acceso no Autorizado

Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a:
Area de Sistemas.
Computadoras personales y/o Terminales de la red.
Informacin Confidencial.
20
3.1.1 Control de Acceso al Area de Sistemas
La libertad de acceso al rea de sistemas puede crear un significativo problema de
seguridad.
El acceso normal debe ser dado solamente a la gente que regularmente trabaja en esta
rea. Cualquier otra persona, de otro modo puede tener acceso nicamente bajo
control.
Mantener la seguridad fsica de su rea de sistema es su primera lnea de defensa. Para
ello deber tomar en consideracin el valor de sus datos, el costo de proteccin, el
impacto que su prdida podra tener en su organizacin y la motivacin, competencia
y oportunidades de la gente que podra querer daar los datos o el sistema.
Existen diferentes formas de implementarlo:
Forma Institucional.- El acceso al Area de Sistemas se identifica en el rea de
Recepcin Institucional, asignndole un color especfico: rojo por ejemplo.
Slo en el Area.- Asignando un puesto de vigilancia en el ingreso al Area de
Sistemas.
3.1.2 Acceso Limitado a los Terminales
Los terminales que son dejados sin proteccin pueden ser mal usados. Cualquier
terminal que puede ser utilizado como acceso a los datos de un Sistema controlado,
debe ser encerrado en un rea segura o guardado, de tal manera que no sean usados,
excepto por aquellos que tengan autorizacin para ello.
Igualmente, se deber considerar la mejor manera de identificar a los operadores de
terminales del Sistema, y el uso de contraseas, cuando un terminal no sea usado
pasado un tiempo predeterminado (5 - 10 Min.).
Restricciones que pueden ser aplicadas:
Determinacin de los perodos de tiempo para los usuarios o las terminales.
Designacin del usuario por terminal o del terminal por usuario.
Limitacin del uso de programas para usuario o terminales.
Lmite de tentativas para la verificacin del usuario.
Tiempo de validez de las seas.
3.1.3 Control de acceso a la Informacin
Algunos usuarios o extraos (personal no autorizado) pueden encontrar alguna forma
mediante la cual, logren el acceso al sistema o la base de datos y descubrir informacin
clasificada o datos no autorizados.
Se deber considerar la existencia de:

21
Programas de Control. Deben existir programas protegidos que mantengan y controlen

a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente.
El uso de tal programa puede conferir al usuario algunos de los privilegios que
corresponden al controlador de dichos programas. La transferencia de privilegios es
adecuada si el programa acta como filtro de la informacin.
Palabra de Acceso (Password). Es una palabra especial o cdigo que debe teclearse al
sistema de computadora antes que se realice un proceso. Constituye un procedimiento
de seguridad que protege los programas y datos contra los usuarios no autorizados.
La identificacin de un individuo debe ser muy difcil de imitar y copiar. Aunque su
nombre pueda ser nico, es fcil que cualquiera que observe a quienes tienen acceso
al sistema lo copie, por lo que no es una clave adecuada.
Una vez que se obtiene una clave de acceso al sistema, sta se utiliza para entrar al
sistema de la base de datos desde el sistema operativo. La responsabilidad del manejo
de la clave corresponde tanto al que accesa como al sistema operativo.
A fin de proteger el proceso de obtencin de una llave del sistema, cuando el usuario
realiza la entrada (en ingls LOGIN), solicita una clave de acceso con el nombre del
usuario, la cual consiste de unas cuantas letras elegidas por el usuario.
Un intruso puede intentar descubrirla de dos maneras: una, observando el ingreso de
la clave y otra, utilizando un mtodo de ensayo y error para introducir posibles claves
de acceso y lograr entrar.
El sistema de computacin debe cerrarse despus que un individuo no autorizado falle
dos veces al intentar ingresar una clave de acceso.
Las claves de acceso no deben ser largas puesto que son ms difciles de recordar.
En todo proceso corporativo es recomendable que el responsable de cada rea asigne
y actualice en forma peridica el password a los usuarios.
No se puede depender de que la ausencia de un operador o responsable de un
computador trabe la operatividad normal de una institucin, por lo que puede ser
necesario el establecimiento de un procedimiento de tener un duplicado de los
passwords asignados, bajo un esquema de niveles jerrquicos, en sobre lacrado.
Esto es, el Jefe Inmediato superior tendr en un sobre lacrado, los passwords de su
personal, debiendo utilizar un cuaderno de control, cuando exista la necesidad de
romper el sobre lacrado (anotando fecha, hora, motivo, etc.), as como un
procedimiento de cambio de passwords peridicos y por dichas eventualidades.
Niveles de Acceso. Los programas de control de acceso debern identificar a los

22
usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de
acceso. Las distinciones que existen en los niveles de acceso estn referidas a la lectura
o modificacin en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la informacin:
Nivel de consulta de la informacin no restringida o reservada.
Nivel de mantenimiento de la informacin no restringida o reservada.
Nivel de consulta de la informacin incluyendo la restringida o reservada.
Nivel de mantenimiento de la informacin incluyendo la restringida.
a) Nivel de consulta de la informacin
El privilegio de lectura est disponible para cualquier usuario y slo se requiere un
conocimiento de la estructura de los datos, o del Sistema de otro usuario para lograr el
acceso.
La autorizacin de lectura permite leer pero no modificar la base de datos.
b) Nivel de mantenimiento de la informacin
El concepto de mantenimiento de la informacin consiste en:
Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes.
Actualizacin. Permite modificar la informacin pero no la eliminacin de datos.
Borrado. Permite la eliminacin de datos.
Un usuario puede tener asignados todos, ninguno o una combinacin de los tipos de
autorizacin anteriores. Adems de las formas de autorizacin de acceso de datos
antes mencionados, es posible autorizar al usuario para que modifique el esquema de
la base de datos, pero es preferible que esta funcin sea de responsabilidad del Centro
de Cmputo.
Cada palabra clave debe tener asignado uno de los niveles de acceso a la informacin
mencionados anteriormente.
La forma fundamental de autoridad es la que se le da al administrador de la base de
datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar la base de
datos, etc. Esta forma de autorizacin es anloga a la que se provee a un "super
usuario" o al operador para un sistema operativo.
3.2 Destruccin
Sin adecuadas medidas de seguridad las empresas pueden estar a merced no slo de la
destruccin de la informacin sino tambin de la destruccin de su equipo informtico.
La destruccin del equipo puede darse por una serie de desastres como son: incendios,
inundaciones, sismos, o posibles fallas elctricas, etc.
Cuando se pierden los datos y no hay disponibles copias de seguridad, se han de volver
23
a crear los datos o trabajar sin ellos. De hecho, se puede comprobar cmo una gran
parte del espacio en disco est ocupado por archivos, que es til tener a mano pero
que no son importantes para el funcionamiento normal. Un ejemplo tpico son las
copias de la correspondencia en forma de archivos del procesador de textos. Estos
archivos se guardan muchas veces como referencia o, por si hubiera que enviar cartas
parecidas en un futuro. Sin embargo, probablemente tambin existe copia en papel de
estas cartas. Si se borran los archivos, puede ser molesto, pero las consecuencias en la
organizacin pueden ser mnimas.
Los archivos de contabilidad suponen una situacin diferente, ya que volver a crearlos
puede necesitar de mucho tiempo y costo. Muchas organizaciones basan en estos
archivos la toma de decisiones diaria. Sin los datos al da, el funcionamiento se vera
seriamente daado. Para evitar daos mayores al ser destruida la informacin, debe
hacerse backupsde la informacin vital para la empresa y almacenarse en lugares
adecuadamente preparados para ese fin y de preferencia aparte del local donde se
encuentran los equipos que usualmente lo manejan.
Hay que protegerse tambin ante una posible destruccin del hardware o software por
parte de personal no honrado. Por ejemplo: hay casos en los que, empleados que han
sido recientemente despedidos o estn enterados que ellos van a ser despedidos, han
destruido o modificado archivos para su beneficio inmediato o futuro.
3.3 Revelacin o Infidencia

La revelacin o infidencia es otra forma que utilizan los malos empleados para su
propio beneficio. La informacin, que es de carcter confidencial, es vendida a
personas ajenas a la institucin. Para tratar de evitar este tipo de problemas se debe
tener en cuenta lo siguiente:
Control del uso de informacin en paquetes abiertos o cintas y otros datos residuales
La informacin puede ser conocida por personas no autorizadas, cuando se deja en
paquetes abiertos o cintas que otras personas pueden usar.
Se deben tomar medidas para deshacerse del almacenaje secundario de informacin
importante o negar el uso de sta a aquellas personas que pueden usar mal los datos
residuales de stas.
Mantener datos sensitivos fuera del trayecto de la basura
El material de papel en la plataforma de la descarga de la basura puede ser una fuente
altamente sensitiva de recompensa para aquellos que esperan el recojo de la basura.
Los datos sensitivos deben ser apartados de este procedimiento para tener una mayor
seguridad de proteccin de la informacin, cuando stos son descartados o
eliminados, debiendo recurrirse a destructores o picadoras de papel.
Preparar procedimientos de control para la distribucin de informacin
24
Una manera de controlar la distribucin y posible diversificacin de informacin, es

mantener un rastro de copias mltiples indicando confidencialidad o usando
numeracin como "Pg. 1 de 9".
Desafortunadamente, es muy comn ver grandes volmenes de informacin sensitiva
tirada alrededor de las oficinas y relativamente disponible a gran nmero de
personas.
3.4 Modificaciones
La importancia de los datos que se modifican de forma ilcita, est condicionada al
grado en que la organizacin depende de los datos para su funcionamiento y toma de
decisiones. Si fuera posible, sto podra disminuir su efecto si los datos procedentes de
las computadoras que forman la base de la toma de decisiones, se verificarn antes de
decidir. Hay que estar prevenido frente a la tendencia a asumir que si viene de la
computadora, debe ser correcto.
Determinar procedimientos para controlar los programas de aplicacin
Adicionalmente a proteger sus programas de Aplicacin como activos, es a menudo
necesario establecer controles rgidos sobre las modificaciones a los programas, para
estar seguros de que los cambios no causan daos accidentales o intencionados a los
datos o a su uso no autorizado.
Deben ser considerados como medidas de seguridad para proteger los datos en el
sistema, las limitaciones en el mbito de los programas de aplicacin, auditoras y
pruebas, revisiones de modificaciones, exclusin cuando sea necesario de los
programas de aplicacin de las reas de sistemas (pase al "Area de Produccin" o a
"Biblioteca de Programas") y restricciones efectivas en los programas de aplicacin de
las reas de sistemas (necesidad de documento de autorizacin para tener acceso a los
programas de aplicacin).
Particular atencin debe ser dada al dao potencial que pueda efectuar un
programador a travs de una modificacin no autorizada.
Nuestra mejor proteccin contra la prdida de datos consiste en hacer copias de
seguridad, almacenando copias actualizadas de todos los archivos valiosos en un lugar
seguro.
Los usuarios deben ser concientizados de la variedad de formas en que los datos
pueden perderse o deteriorarse. Una campaa educativa de este tipo puede iniciarse
con una reunin especial de los empleados, profundizarse con una serie de seminarios
y reforzarse con carteles y circulares relacionados al tema.
Para la realizacin de las copias de seguridad se tiene que tomar algunas decisiones
25
previas como por ejemplo Qu soporte de copias de seguridad se va usar? ,Se van a
usar dispositivos especializados para copia de seguridad?, Con qu frecuencia se
deben realizar copias de seguridad?, Cules son los archivos a los que se le sacar
copia de seguridad y donde se almacenar?, etc. Las empresas podran desear
establecer directrices claras en estas materias, para que los usuarios tengan claras
cules son sus responsabilidades. Tales reglas y normativas pueden incorporase en una
campaa educativa.
Las empresas deben tener muy en cuenta los siguientes puntos para la proteccin de
sus datos de una posible contingencia.
1. Hacer de la copia de seguridad una poltica, no una opcin.
2. Hacer que la copia de seguridad resulte deseable.
3. Facilitar la ejecucin de la copia de seguridad (equipos adecuados, disponibilidad,
suministros).
4. Hacer la copia de seguridad obligatoria.
5. Asegurarse de que los usuarios cumplen la poltica de copias de seguridad (Poltica
de Auditora a las Copias de Seguridad).
IV.
POLITICAS DE SEGURIDAD
Es necesario que la institucin defina polticas de seguridad, en las cuales se deben

tener en cuenta que:
La Seguridad debe ser considerada desde la fase de diseo de un Sistema, como parte
integral del mismo.
Debe darse mayor importancia a la toma de medidas de seguridad, teniendo siempre
presente que es indispensable, no slo para el buen funcionamiento sino tambin para
el mantenimiento del sistema.
Las polticas de seguridad deben ser definidas por los funcionarios de alto nivel, los
cuales deben ser motivados de manera que tengan un rol importante.
Los encargados de soporte, aquellos que son responsables de gestionar la seguridad
informtica en la organizacin, han de considerar las siguientes medidas:
Distribuir las reglas de seguridad. Escribir en una lista las reglas bsicas de seguridad
que los usuarios han de seguir, para mantener la seguridad y ponerlas en un lugar
pblico destacado. Se puede incluir un dibujo en un pster para dar mayor referencia.
Se debe considerar la posibilidad de distribuir las reglas por todas las computadoras
personales.
Hacer circular regularmente avisos sobre la seguridad. Utilice ejemplos de daos y
problemas procedentes de peridicos, revistas, para ilustrar la necesidad de la
vigilancia por mantener la seguridad. Intente que estos avisos sean interesantes, sin
entrar en muchos detalles, ya que en caso contrario podra inspirar imitaciones.
Establecer incentivos para la seguridad. Las personas que rompen la seguridad
26
poseen un incentivo para hacerlo. D a las personas de su organizacin un incentivo
para mantenerla. Establezca premios para las ideas que supongan trucos de seguridad
y que apoyen las medidas de seguridad oficiales. Haga que los responsables ofrezcan
recompensas sustanciosas a los ganadores
Establezca una lnea de comunicacin sobre seguridad. El personal debe conocer
dnde puede obtener consejos sobre los temas de seguridad. Tambin deben de poder
informar sobre violaciones de la seguridad o actividades sospechosas de forma
annima. Por otro lado, ofrezca recompensas por informar de las violaciones de
seguridad.
Las normas de seguridad tambin describen el modo de funcionamiento de los
dispositivos de seguridad y su administracin. Por ejemplo, supongamos un dispositivo
simple de bloqueo de teclado. En las normas de seguridad se podra indicar:
Todos los usuarios bloquearn su teclado cada vez que dejen sin atencin su sistema.
Pero sto no es suficiente. Debe estar reglamentado quin ha de disponer de la llave
principal y quin ha de controlar las copias.
4.1 Responsables de la Seguridad

Como las normas de personal o de contratacin, las normas o poltica de seguridad
constituyen un documento fundamental para una empresa que se apoye en
computadoras. En este documento se ha de fijar la responsabilidad de cada nivel
dentro de la organizacin respecto a las medidas de seguridad.
Definicin de responsabilidades para la Seguridad de Datos, Sistemas y

Programas.
Definicin de responsabilidades para la Seguridad de Datos, Sistemas y
Programas.
Las responsabilidades especficas para la proteccin de los datos, sistemas, programas,

unidades de equipo, etc. deben ser firmemente mantenidos si se desea una seguridad
adecuada.
En general, la persona con el control fsico en un activo (datos, sistemas y programas),
debe ser el responsable inmediato de su proteccin. En el caso de datos del Centro de
Procesamiento de Datos, esta persona es el Jefe de dicho Centro.
Los Auditores internos y el personal de seguridad deben revisar que se les d una
adecuada proteccin a los datos. Debido a que ellos no tienen control fsico sobre sto,
no pueden tener la responsabilidad principal de su cuidado, pero s del cumplimiento
de las normas y procedimientos de seguridad.
Hasta el grado permitido por el tamao de sus operaciones, la responsabilidad de

27
escribir, procesar o autorizar un programa, trabajo o especficamente un cambio, debe
ser asignado a diferentes personas. La separacin efectiva de funciones sensitivas
relacionadas, ayudar a reducir los errores y el riesgo de actos no autorizados
cometidos deliberadamente por el personal de Procesamiento de Datos.
Las normas se han de trasladar en la jerarqua para que las personas clave,
implementen las medidas de seguridad dadas y ejecuten las acciones adicionales
necesarias. Por ejemplo:
Cualquiera que utilice una computadora personal deber grabar su trabajo y
desconectar la computadora, siempre que la deje de usar.
El responsable del servicio de informtica realizar comprobaciones puntuales para
asegurar que las copias de seguridad se realizan segn el plan aprobado.
Cuando se elabora la poltica de seguridad, tambin se debe tener muy en cuenta:
Adoctrinar al personal de procesamiento de datos en la importancia de la

seguridad y la responsabilidad de cada uno en su mantenimiento.
Es necesario que el personal de Procesamiento de Datos est enterado de cmo afecta

su rol clave, en cada una de las reas que soporta. Esto puede ayudarlos a entender la
magnitud de los problemas que pueden crear, si no estn continuamente alertas a la
necesidad de proteger los datos encargados a ellos.
Cuando la gente de Procesamiento de Datos est consciente de la importancia de sus
actividades, la organizacin entera puede beneficiarse.
V.
AMENAZAS MS COMUNES CONTRA LA SEGURIDAD
5.1 Desastres Naturales

5.1.1 El Fuego
El fuego es un elemento comprendido dentro de las principales amenazas contra la

seguridad. El fuego es un problema crtico en un centro de cmputo por varias
razones: primero, porque el centro est lleno de material combustible como papel,
cajas, etc. El hardware y el cableado del suelo falso pueden ser tambin fuente de
serios incendios. Desgraciadamente los sistemas antifuego dejan mucho que desear,
causando casi igual dao que el propio fuego, sobre todo a los elementos electrnicos.
El dixido de carbono, actual alternativa del agua, resulta peligroso para los propios
empleados si quedan atrapados en la sala de cmputo.
28
El fuego es considerado el principal enemigo del computador ya que puede destruir
fcilmente los ficheros de informacin y programas.
Adems de la prdida de ficheros o del equipo, el fuego puede causar otras prdidas
no cubiertas por el seguro. La ms importante es la prdida del "momento del
negocio". Un contratiempo de semanas o meses causa irreparables daos a cualquier
organizacin, aunque lograra situarse en las condiciones originales.
A continuacin presentaremos algunos elementos en la lucha contra este tipo de
amenaza.
5.1.1.1 Sistemas Automaticos Antifuego
a) Sprinklers. Es un sistema ''Tipo Ducha. La instalacin de este sistema se efecta en
la parte superior del ambiente, como el techo.
Cuando se activa el sprinklers se abren las vlvulas y como si fuera una ducha, cae el
agua al lugar donde los detectores de humo y/o calor detectan la seal de incendio.
Este sistema es bastante eficaz para combatir un posible incendio, pero no es
recomendable en los departamentos con equipos de cmputo, ya que este sistema
puede daar los equipos, adems de ser el agua un excelente conductor de la
electricidad.
b) Inundacin del rea con gas. Otro de los mtodos muy eficaces para combatir el
fuego es la inundacin del rea con gas antifuego. En una emergencia por fuego, el
rea se inunda con un determinado gas como:
Dixido de Carbono,
Haln.
Este sistema no causa dao al equipo, pero el personal tiene que abandonar el lugar
con rapidez, porque este tipo de gas quita el oxgeno, por tanto las personas no
pueden respirar y consecuentemente, causar la muerte por ahogamiento.
5.1.1.2 Extinguidores Manuales
Cuando no se cuenta con sistemas automticos antifuego y se vea o perciba seales de
fuego, entonces se debe actuar con rapidez para poder sofocar el incendio. Para ello,
se debe tener en cuenta el material que est siendo consumido por el fuego. Para cada
tipo de situacin hay un agente antifuego ideal, as tenemos:
29
PAPEL, MADERA
este tipo de material
que deja brasa
o ceniza requiere un
agente que moje o enfre.
GAS
CARBONICO
(CO2)
ESPUMA
AGUA
apaga solamente
en la superficie
sofoca
excelente
enfra y empapa
apaga totalmente
EQUIPAMIENTO
ELECTRICO
excelente
no deja residuos,
no daa el
conduce la electricidad y
equipamiento y no adems daa el equipo.
es conductor de
electricidad
LIQUIDOS INFLAMABLES
(aceites, gasolina, grasa, etc.) ,
requieren
accin rpida de sofocar y enfriar.
Bueno; no deja
residuos y es
inofensivo
Materia
MATERIAL
CO2
conductora de
electricidad.
Excelente; produce una

sbana de espuma que
sofoca y enfra.
MODO DE OPERARLOS
MODO DE OPERARLOS
1.- Retirar la traba de seguridad
2.- Asegure firmemente el mango difusor
3.- Apretar el gatillo
4.- Oriente el chorro hacia la base del fuego haciendo un barrido.
Alcance: 1 a 2 metros.
Substancia: Bixido de carbono
Momento del Recargo: Prdida del 10% o mas del peso.
1.- Abra la ampolla de gas.

2.- Asegure firmemente el mango difusor.
3.- Apretar el gatillo.
4.- Oriente el chorro de manera de crear una cortina de polvo sobre
el fuego.
POLVO QUIMICO
Alcance: 2 a 4 metros
Substancia: Polvo Qumico seco y CO2 producido por el contacto
del polvo con el fuego
Momento del Recargo: Prdida de peso de la ampolla superior al
10%
ESPUMA
1.- Inversin del aparato para abajo

2.- Oriente el chorro para la base del fuego
Alcance: 9 a 18 metros
Substancia: Espuma formada por burbujas consistentes llenas de
CO2
Momento del Recargo: Anualmente
AGUA - GAS
Simple maniobra de apertura de la ampolla de CO2 que sirve de

propagador.
Alcance: 9 a 20 metros.
Substancia: Agua
Momento del Recargo: Anualmente
30
7.1.1.3 Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.
Ellos deben recibir algunas lecciones de instrucciones en el mecanismo de lucha contra
el fuego y luego, estar enseados de cmo operar el extinguidor de mano.
Si hay sistemas de deteccin de fuego que activaron el Sistema de Extincin, todo el
personal de esa rea debe estar entrenado en la forma cmo usarlos. Es muy
importante que todo el personal reciba la instruccin de no interferir con este proceso
automtico y evitar su actuacin en el sistema de extincin, a menos que estn
seguros que no hay fuego.
Muchas veces la sensibilidad de comienzo de fuego en los aparatos de deteccin es
muy alta. Esto genera falsas alarmas y el personal de operacin se acostumbra a
detener el sistema automtico de extincin de fuego, sin observar realmente si hay
incendio.
CUIDADO AL SELECCIONAR E IMPLEMENTAR DETECTOR DE FUEGOS Y SISTEMA

DE EXTINCION Y SU CONEXION SI ES EFECTUADA CON FUERZA ELECTRICA.
El detector de fuego y el sistema de extincin deben ser seleccionados e instalados,

con la mejor informacin de la tasacin del riesgo, el costo y los posibles orgenes de
fuego.
Tambin, considerar cmo estos sistemas de deteccin y extincin pueden ser
integrados a su fuerza elctrica. Esto ahorrara el costo de la instalacin inicial y con
algunos sistemas de extincin, daos por agua en el caso de fuego.
Una consideracin ms contra el incendio estara dada por el uso de paredes
protectoras de fuego alrededor de las reas que se desea proteger del incendio, que
podra originarse en las reas adyacentes.
PROTEJA SU SISTEMA CONTRA DAOS DE HUMO
El humo, en particular la clase que es principalmente espeso, negro y de materiales

especiales, puede ser muy daino y requiere una lenta y costosa operacin de
limpieza.
La mayora de humos que llegan y daan el Sistema de Procesamiento de Datos, son
originados por fuegos externos al Centro de Procesamiento de Datos. Es frecuente
introducirlos en el Centro, a travs del sistema de aire acondicionado.
Se debe examinar el potencial del problema y tomar las medidas apropiadas para
operar reguladores e impedir la entrada de humo. Colocando adecuadas cubiertas
plsticas para todo el equipo, escritorios y cabinas, puede ayudar a reducir el dao
ocasionado por el humo y/o agua.
Se consigue sacar el humo del rea de sistemas, tan rpido como sea posible, con el
uso de diferentes ventiladores. Estos son provechosos luego de que la generacin o
ingreso del humo ha sido eliminado.
MANTENER BUENAS RELACIONES CON EL DEPARTAMENTO LOCAL DE
31
BOMBEROS
Conseguir informacin con el Departamento local de Bomberos, antes de que ellos
sean llamados en una emergencia. Hacer que el Departamento est consciente de las
particularidades y vulnerabilidades del sistema por excesivas cantidades de agua que
provienen de arriba y la conveniencia de una salida para el humo, tanto que minimice
la cantidad de penetracin al rea de Procesamiento de Datos.
No es razonable anticipar que el Departamento de Bomberos puede estar
completamente enterado de la situacin peculiar presentada por su particular
instalacin. Ellos no podran proporcionar intereses apropiados para la proteccin del
sistema de Procesamiento de Datos, si no se les ha dado la oportunidad de revisarlo.
Adems, ellos pueden, usualmente, ofrecer excelentes consejos como precauciones,
los cuales deben ser tomados para prevenir incendios.
MANTENER PROCEDIMIENTOS PLANEADOS PARA RECIBIR Y ALMACENAR

ABASTECIMIENTOS DE PAPEL
La plataforma de recepcin, a menudo provee un fcil acceso a todos los servicios de

oportunidades para hacer entrega de materiales incendiarios, que puedan destruir los
servicios. Debe proveerse mucho cuidado para limitar el uso de plataformas de
recepcin como un medio de acceso al edificio. Por consiguiente, el abastecimiento de
papel en demasa, de aquel que se necesita para satisfacer los requerimientos
inmediatos del Centro de Procesamiento de Datos, debe ser almacenado en un lugar
apropiado para proveer deteccin de fuego y servicios de extincin.
5.1.2 El Aguas
Otro de los peligros relevantes es el agua. El agua puede entrar en una sala de
computadores por varios conductos.
Computadores en stanos o a nivel de calle son vulnerables a inundaciones, los
centros de cmputo tambin pueden quedar inundados por caeras reventadas en el
suelo, falso techo o paredes.
Aunque realmente el agua es una amenaza para los componentes del computador y
cables, no constituye un verdadero peligro para las cintas magnticas. Se ha
demostrado en pruebas, que cintas sumergidas en agua durante varias horas han
podido ser ledas de nuevo (libres de errores), despus de secarlas durante dos das. Si
el agua, por si sola, no constituye un serio peligro y el calor por debajo de 120 grados
no es perjudicial, ambos elementos juntos pueden causar serios problemas.
Las cintas magnticas pueden ser destruidas por temperaturas de slo 54 grados
32
cuando la humedad relativa es del 85 por 100. Estas condiciones pueden producirse
fcilmente dentro de un coche cerrado en un da caluroso.
5.2 Fallas en Infraestructura: Servicios

5.2.1 Instalaciones Elctricas
Para que funcionen adecuadamente, las computadoras personales necesitan de una
fuente de alimentacin elctrica fiable, es decir, una que se mantenga dentro de
parmetros especficos. Si se interrumpe inesperadamente la alimentacin elctrica o
vara en forma significativa, fuera de los valores normales, las consecuencias pueden
ser serias. Pueden perderse o daarse los datos que hay en memoria, se puede daar
el hardware, interrumpirse las operaciones activas y la informacin podra quedar
temporal o definitivamente inaccesible.
Por lo general las computadoras personales toman la electricidad de los circuitos
elctricos domsticos normales, a los que se llama tomas de corriente Esta corriente es
bastante fuerte, siendo una corriente alterna (ac), ya que alterna el positivo con el
negativo. La mayor parte de las computadoras personales incluyen un elemento
denominado fuente de alimentacin, la cual recibe corriente alterna de las tomas de
corriente y la convierte o transforma en la corriente continua de baja potencia que
utilizan los componentes de la computadora.
La fuente de alimentacin es un componente vital de cualquier computadora personal,
y es la que ha de soportar la mayor parte de las anomalas del suministro elctrico.
Actualmente existe el concepto de fuente de alimentacin redundante, la cual entrar
en operacin si de detecta una falla en la fuente de alimentacin principal.
En nuestro medio se han podido identificar siete problemas de energa ms frecuente:
1. Fallas de energa.
2. Transistores y pulsos.
3. Bajo voltaje.
4. Ruido electromagntico.
5. Distorsin.
6. Alto voltaje.
7. Variacin de frecuencia.
Existen dispositivos que protegen de estas consecuencias negativas, los cuales tienen
nombres como:
Supresores de picos.
Estabilizadores, y
Sistemas de alimentacin ininterrumpida (SAI o UPS: UNINTERRRUPTIBLE
POWER SISTEM.
33
5.3 Acciones Hostiles

Los equipos de cmputo son posesiones muy valiosas de las empresas y estn
expuestas al "robo", de la misma forma que lo estn las piezas de stock e incluso el
dinero. Es frecuente que los operadores utilicen el computador de la empresa en
realizar trabajos privados para otras organizaciones y, de esta manera, robar tiempo
de mquina. La informacin importante o confidencial puede ser fcilmente copiada.
Muchas empresa invierten millones de dlares en programas y archivos de
informacin, a los que dan menor proteccin que la que otorgan a una mquina de
escribir o una calculadora. El software, es una propiedad muy fcilmente sustrada,
cintas y discos son fcilmente copiados sin dejar ningn rastro
Cmo evitar el robo:
Colocar
plataformas de anclaje en los diferentes elementos del computador

(monitor, la caja del ordenador e impresora, modem, etc.)
Disear muebles para ordenadores de forma que se pueda asegurar fcilmente la
mquina y los perifricos (Tapas con llave, puertas, etc.).
Evitar que quiten la tapa del ordenador y se lleven la unidad y tarjetas adaptadoras.
Cmo prevenir contra los robos con computadora
Creacin de un equipo con misin especial que establezca y compruebe tcnicas de
seguridad para la computadora. Este equipo deber incluir representantes de los
departamentos de procesamiento de datos, seguridad, auditora y usuario
Ejecucin de un anlisis de riesgos en los sistemas que abarquen prdidas
potenciales por accidentes, as como por delitos intencionados.
Compilacin de una lista con las aplicaciones de la computadora identificando
posibles oportunidades para delinquir y estableciendo un sistema de defensas.
Establecer
inspecciones y entrevistas que abarquen:
Estado
fsico del local de la computadora y departamentos de usuarios.

Control de acceso.
Documentacin.
Segregacin de deberes. Separar (Planeamiento/Desarrollo, de Ejecucin y de
Verificacin/Control).
Trabajo excesivo o innecesario del personal.
Entorno general personal.
Prestar atencin especial a la informacin contable.
Evitar
Depender
de una sola persona para las funciones vitales.

Repeticin peridica de comprobaciones de seguridad. Emplear inspecciones ad-hoc.
Trabajo no supervisado, especialmente durante el turno de noche. Malas tcnicas de
contratacin, evaluacin y de despido de personal.
34
VI.
MEDIDAD DE PRECUACION Y RECOMENDACION
6.1 EN RELACION AL CENTRO DE COMPUTO
Es recomendable que el Centro de Cmputo no est ubicado en las reas de

alto trfico de personas o con un alto nmero de invitados.
Hasta hace algunos aos la exposicin de los Equipos de Cmputo a travs de
grandes ventanales, constituan el orgullo de la organizacin, considerndose
necesario que estuviesen a la vista del pblico, siendo constantemente
visitados. Esto ha cambiado de modo radical, principalmente por el riesgo de
terrorismo y sabotaje.
Se deben evitar, en lo posible, los grandes ventanales, los cuales adems de
que permiten la entrada del sol y calor (inconvenientes para el equipo de
cmputo), puede ser un riesgo para la seguridad del Centro de Cmputo.
Otra precaucin que se debe tener en la construccin del Centro de Cmputo,
es que no existan materiales que sean altamente inflamables, que despiden
humos sumamente txicos o bien paredes que no quedan perfectamente
selladas y despidan polvo.
El acceso al Centro de Cmputo debe estar restringido al personal autorizado.
El personal de la Institucin deber tener su carn de identificacin siempre en
un lugar visible.
Se debe establecer un medio de control de entrada y salida de visitas al centro
de cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas.
Se recomienda que al momento de reclutar al personal se les debe hacer
adems exmenes psicolgicos y mdico y tener muy en cuenta sus
antecedentes de trabajo, ya que un Centro de Cmputo depende en gran
medida, de la integridad, estabilidad y lealtad del personal.
El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de
informacin contenidos en dichos sistemas, debe estar controlado mediante la
verificacin de la identidad de los usuarios autorizados.
Deben establecerse controles para una efectiva disuasin y deteccin, a
tiempo, de los intentos no autorizados de acceder a los sistemas y a los
archivos de informacin que contienen.
Se recomienda establecer polticas para la creacin de los password y
establecer periodicidad de cambios de los mismos.
Establecer polticas de autorizaciones de acceso fsico al ambiente y de
revisiones peridicas de dichas autorizaciones.
Establecer polticas de control de entrada y salida del personal , as como de los
paquetes u objetos que portan.
La seguridad de las terminales de un sistema en red podrn ser controlados por
medios de anulacin del disk drive, cubrindose de esa manera la seguridad
contra robos de la informacin y el acceso de virus informticos.
Los controles de acceso, el acceso en s y los vigilantes deben estar ubicados de
tal manera que no sea fcil el ingreso de una persona extraa. En caso que
ingresara algn extrao al centro de Cmputo, que no pase desapercibido y
35
que no le sea fcil a dicha persona llevarse un archivo.

Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sin
permiso por escrito de la Direccin.
Asignar a una sola persona la responsabilidad de la proteccin de los equipos
en cada rea.
El modelo de seguridad a implementar, estar basado en el entorno y en la
poltica y estrategias de la instalacin.
Respecto a la Administracin de la Cintoteca:
Debe ser administrada bajo la lgica de un almacn. Esto implica ingreso y

salida de medios magnticos (sean cintas, disquetes cassetes, cartuchos, Discos
remobibles, CD's, etc.), obviamente teniendo ms cuidado con las salidas.
La cintoteca, que es el almacn de los medios magnticos (sean cintas,
disquetes cassetes, cartuchos, Discos remobibles, CD's, etc.) y de la informacin
que contienen, se debe controlar para que siempre haya determinado grado de
temperatura y de la humedad.
Todos los medios magnticos debern tener etiquetas que definan su
contenido y nivel de seguridad.
El control de los medios magnticos debe ser llevado mediante inventarios
peridicos.
Respecto a la Administracin de Impresoras:
Todo listado que especialmente contenga informacin confidencial, debe ser

destruido, as como el papel carbn de los formatos de impresin especiales.
Establecer controles de impresin, respetando prioridades de acuerdo a la cola
de impresin.
Establecer controles respecto a los procesos remotos de impresin.
Niveles de Control:
Existen dos tipos de activos en un Centro de Cmputo. Los equipos fsicos y la

informacin contenida en dichos equipos. Estos activos son susceptibles de robo o
dao del equipo, revelacin o destruccin no autorizada de la informacin clasificada,
o interrupcin del soporte a los procesos del negocio, etc.
El valor de los activos a proteger, est determinado por el nivel de clasificacin de la
informacin y por el impacto en el negocio, causado por prdida o destruccin del
Equipo o informacin. Hay que distinguir los activos en nivel clasificado y no
clasificado. Para los de nivel no clasificado, no ser necesario control. Cualquier control
debe basarse nicamente en el valor del equipo y servicios que ellos prestan.
En cambio tratndose de nivel clasificado, deben observarse adems todas la medidas
de seguridad de la informacin que estos equipos contengan.
36
6.2 Medios de Almacenamientos

6.2.1 Recomendaciones para el mantenimiento de Cintas Magnticas y
Cartuchos.
Las cintas magnticas y cartuchos deben guardarse bajo ciertas condiciones, con la
finalidad de garantizar una adecuada conservacin de la informacin almacenada.
Cintas Magnticas:
a. La temperatura y humedad relativa del ambiente en que se encuentran
almacenados deben estar en el siguiente rango:
Temperatura : 4C a 32C
Humedad Relativa : 20 % a 80 %
b. El ambiente debe contar con aire acondicionado.
c. Las cintas deben colocarse en estantes o armarios adecuados.
d. Deber mantenerse alejados de los campos magnticos.
e. Se les debe dar un mantenimiento preventivo en forma peridica a fin de
desmagnetizar impurezas que se hayan registrado sobre ellas.
Cartuchos:
a. La temperatura y humedad relativa del ambiente en que se encuentran
almacenados deben estar en el siguiente rango:
Temperatura : 16C a ms
Humedad Relativa : 20 % a 80 %
b. La temperatura interna del Drive puede oscilar entre: 5C a 45C.
c. Deben ser guardados dentro de su caja de plstico.
d. Deben mantenerse alejados de campos magnticos.
6.2.2 Recomendaciones para el mantenimiento de Discos Magnticos
Las recomendaciones para el buen mantenimiento de los discos magnticos son:
a. En general los discos magnticos son medios de almacenamiento "delicados", pues
si sufren un pequeo golpe puede ocasionar que la informacin se dae o producir un
CRASH al sistema.
b. El cabezal de lectura-escritura debe estar lubricado para evitar daos al entrar en
contacto con la superficie del disco.
c. Se debe evitar que el equipo sea colocado en una zona donde se acumule calor, ya
que el calor interfiere en los discos cuando algunas piezas se dilatan ms que otras, o
se secan los lubricantes. Con ello se modifican la alineacin entre el disco y los
cabezales de lectura-escritura, pudindose destruir la informacin.
37
d. Las ranuras de los ventiladores de refrigeracin deben estar libres.
e. Se debe evitar, en lo posible, la introduccin de partculas de polvo que pueden
originar serios problemas.
6.2.3 Recomendaciones para el mantenimiento de los Discos Duros.
Aunque el conjunto de cabezales y discos viene de fbrica sellado hermticamente,
debe evitarse que los circuitos electrnicos que se encuentran alrededor se llenen de
partculas de polvo y suciedad que pudieran ser causa de errores.
El ordenador debe colocarse en un lugar donde no pueda ser golpeado, de preferencia
sobre un escritorio resistente y amplio.
Se debe evitar que la microcomputadora se coloque en zonas donde haya acumulacin
de calor. Esta es una de las causas ms frecuentes de las fallas de los discos duros,
sobre todo cuando algunas piezas se dilatan ms que otras.
No se debe mover la CPU conteniendo al disco duro cuando est encendido, porque
los cabezales de lectura-escritura pueden daar al disco.
Una de las medidas ms importantes en este aspecto, es hacer que la gente tome
conciencia de lo importante que es cuidar un microcomputador.
6.2.4 Recomendaciones para el mantenimiento de Disquetes
Las recomendaciones que a continuacin se sugieren se aplican en general para los
diferentes tipos de disquetes: de 5 " y 3 " de alta y baja densidad en ambos casos.
a. Debe mantenerse a una temperatura normal, en un rango comprendido entre los
10C y 52C, con la finalidad de evitar que se deteriore el material del cual est hecho.
b. Para coger el disquete debe hacerse por la parte plstica y nunca por la parte fsica
interna, debido a que por su tecnologa, el proceso de almacenamiento es magntico y
el cuerpo humano ejerce cierta fuerza magntica y puede desmagnetizarse.
c. De manera similar, no debe acercarse a los disquetes ningn cuerpo con
propiedades magnticas (como los imanes), ya que podran provocar la prdida
irrecuperable de los datos ya almacenados.
d. Cuando se est grabando o borrando informacin no se debe levantar la compuerta
del disk drive (disquete de 5 ") o presionar el botn (disquete de 3 "), porque puede
ocurrir que no slo se dae la informacin restante, sino tambin el formato lgico,
tomndolos como bloques de sectores daados.
e. Los disquetes deben mantenerse en sus respectivas fundas y en su manipuleo se
debe evitar:
* Doblar los disquetes
* Colocar un peso sobre ellos, debiendo mantenerse en zonas libres.
* Tratarlos como una placa simple de plstico, es decir, no se debe usar clips o grapas
para unirlos con otros materiales (hojas u otros disquetes).
38
6.3 Respecto a los Monitores

La forma ms fcil y comn de reducir la fatiga en la visin que resulta de mirar a una
pantalla todo el da, es el uso de medidas contra la refeccin.
Generalmente stos vienen en forma de una pantalla con un terminado spero o algn
tipo de capa contra brillo con una base de slice, sobre la superficie de la pantalla del
monitor.
Se recomienda sentarse por lo menos a 60 cm. (2 pies) de la pantalla. No slo sto
reducir su exposicin a las emisiones (que se disipan a una razn proporcional al
cuadrado de la distancia), sino que puede ayudar a reducir el esfuerzo visual.
Tambin mantngase por lo menos a 1 m. o 1.20 m. (3 o 4 pies) del monitor de su
vecino, ya que la mayora de los monitores producen ms emisiones por detrs, que
por delante.
Finalmente apague su monitor cuando no lo est usando
6.4 Recomendacin para el cuidado del Equipo de Computo

Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entre las teclas,
puede causar un cruce de funcin.
Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10cm. Para
asegurar as una ventilacin mnima adecuada.
Mouse. Poner debajo del mouse una superficie plana y limpia, de tal manera que no se
ensucien los rodillos y mantener el buen funcionamiento de ste.
Protectores de pantalla. Estos sirven para evitar la radiacin de las pantallas a color
que causan irritacin a los ojos.
Impresora. El manejo de las impresoras, en su mayora, es a travs de los botones,
tanto para avanzar como para retroceder el papel.
Caso Epson FX-1170/LQ-1070 no usar rodillo cuando est prendido.
Caso Epson DFX-5000/8000 tratar con cuidado los sujetadores de papel y no apagar de
sbito, asegurarse que el ON LINE est apagado, as evitaremos problemas de cabezal
y sujetador.
Caso de mala impresin, luego de imprimir documentos o cuadros generados, apagar
por unos segundos la impresora para que se pierda el set dejado.
6.4.1 Mantener Las Areas Operativas Limpias Y Pulcras
Todas las razones para mantener las reas operativas limpias y pulcras son numerosas,
para enunciarlas aqu. Sin embargo, algunos de los problemas que usted puede evitar
son: el peligro de fuego generado por la acumulacin de papeles bajo el falso piso, el
dao potencial al equipo por derramar el caf, leche o chocolate en los componentes
del sistema, el peligro de fuego que se presentan por el excesivo almacenamiento de
hojas continuas, el peligro por fumar y las falsas alarmas creadas por detectores de
humo. Estos son solamente algunos de los problemas encontrados en las reas
operativas con reglas poco estrictas de limpieza.
39
CONCLUSIONES
Un plan de contingencias es un instrumento de gestin para el buen gobierno de
las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el
desempeo.
Al finalizar este documento se hace notar los siguientes objetivos:
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta
una estructura estratgica y operativa que ayudar a controlar una situacin de
emergencia y a minimizar sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos alternativos al
funcionamiento normal de una organizacin, cuando alguna de sus funciones usuales
se ve perjudicada por una contingencia interna o externa.
Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento
de la organizacin frente a cualquier eventualidad, ya sean materiales o personales. Un
plan de contingencia incluye cuatro etapas bsicas: la evaluacin, la planificacin, las
pruebas de viabilidad y la ejecucin.
Los especialistas recomiendan planificar cuando an no es necesario; es decir, antes de
que sucedan los accidentes. Por otra parte, un plan de contingencia debe ser dinmico
y tiene que permitir la inclusin de alternativas frente a nuevas incidencias que se
pudieran producir con el tiempo. Por eso, debe ser actualizado y revisado de forma
peridica.
Un plan de contingencia tambin tiene que establecer ciertos objetivos estratgicos y
un plan de accin para cumplir con dichas metas.
En concreto podemos establecer que todo plan de contingencia tiene que estar
conformado a su vez por otros tres planes que sern los que establezcan las medidas a
realizar, las amenazas a las que se hace frente y el tiempo de establecimiento de
aquellas.
En primer lugar, est el plan de respaldo que es aquel que se encarga de determinar lo
que son las medidas de prevencin, es decir, las que se tienen que llevar a cabo con el
claro objetivo de evitar que pueda tener lugar la materializacin de una amenaza en
concreto.
En segundo lugar, tambin integra al proyecto de contingencia lo que es el plan de
emergencia que, como su propio nombre indica, est conformado por el conjunto de
acciones que hay que llevar a efecto durante la materializacin de la amenaza y
tambin despus de la misma. Y es que gracias a aquellas se conseguir reducir y
acabar con los efectos negativos de aquella.
Y en tercer lugar est el plan de recuperacin que se realiza despus de la amenaza
con el claro objetivo de recuperar el estado en el que se encontraban las cosas antes
de que aquella se hiciera real.
40
BIBLIOGRAFA
http://www.minem.gob.pe/minem/archivos/Cap%C3%83%C2%ADtulo%208%20%20Plan%20de%20Contingencias.pdf
http://www.seguridad-la.com/artic/segcorp/7209.htm
http://es.wikipedia.org/wiki/Plan_de_contingencias
http://www.indeci.gob.pe/prev_desat/pdfs/ley28551.pdf
http://intranet2.minem.gob.pe/web/archivos/dgaae/publicaciones/resumen/calidda/
9.pdf
http://www.osinerg.gob.pe/newweb/uploads/GFH/08.-PCGrifoFlotante.pdf
http://gasnatural.osinerg.gob.pe/contenidos/uploads/GFGN/PlandeContingencia_Ago
sto11.pdf
http://www.osinerg.gob.pe/newweb/uploads/GFH/08.-PCGrifoFlotante.pdf
http://www.ongei.gob.pe/publica/metodologias/Lib5007/0300.htm
http://es.slideshare.net/Chenny3/plan-de-contingencia-8874360
http://www.digesa.sld.pe/Plan.pdf
http://www.indeci.gob.pe/prev_desat/pdfs/ley28551.pdf
http://www.forodeseguridad.com/artic/segcorp/7209.htm
http://www.minsa.gob.pe/portada/especiales/2011/temporadadelluvias/Contingencia
/Plan_Contingencia-San-Mateo.pdf
http://norma-ohsas18001.blogspot.com/2013/09/planes-de-contingencia.html
http://www.sedapal.com.pe/Contenido/ambiental/ambiental/disco1/018%20CAPITUL
O%2017%20Plan%20de%20Contingencias.pdf
http://www.monografias.com/trabajos24/plan-contingencia/plan-contingencia.shtml
http://www.monografias.com/trabajos96/plan-contingencia-mercado-modelo/plancontingencia-mercado-modelo.shtml
41

Estimación de Riesgos

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Estimación de Riesgos

Hochgeladen von

Copyright:

Verfügbare Formate

ESTIMACION DE RIESGO

Esquema General ...................................................................................................... 4

1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD) .................................................................. 5

ASPECTOS GENERALES DE LA SEGURIDAD DE LA INFORMACION .......................... 17

SEGURIDAD DE LA INFORMACION ...................................................................... 20

3.1 Acceso no Autorizado ........................................................................................... 20

TCNICAS DE SEGURIDAD ELCTRICA

POLITICAS DE SEGURIDAD ................................................................................... 26

4.1 Responsables de la Seguridad............................................................................... 27

AMENAZAS MS COMUNES CONTRA LA SEGURIDAD ............................................ 28

MEDIDAD DE PRECUACION Y RECOMENDACION................................................ 35

6.1 EN RELACION AL CENTRO DE COMPUTO .............................................................. 35

TCNICAS DE SEGURIDAD ELCTRICA

Incluir procedimientos, detalle de equipos, comunicaciones y personal, especialmente

Reglamento de Proteccin Ambiental en las Actividades Elctricas, D.S. N 02994-EM.

TCNICAS DE SEGURIDAD ELCTRICA

2.3.- Actividades despus del Desastre.

1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD)

1.1.1 ANALISIS DE RIESGOS

En lo fundamental la evaluacin de riesgos que se ha de llevar a cabo ha de contestar,

fuego, que puede destruir los equipos y archivos.

fuego, que puede destruir los equipos y los archivos

TCNICAS DE SEGURIDAD ELCTRICA

que no conocen del manejo de la computadora, saben a quin pedir ayuda?

Luego se efectuar un resumen de los riesgos ordenados por el factor de riesgo de

ANALISIS DE FALLAS EN LA SEGURIDAD

1.2 PLAN DE RECUPERACION DE DESASTRES

1.2.1 Actividades Previas al Desastre

TCNICAS DE SEGURIDAD ELCTRICA

En esta fase de Planeamiento se debe de establecer los procedimientos relativos a:

b) Equipos de Cmputo. Aparte de las Normas de Seguridad que se vern en los

En cada unidad operativa de la Institucin, que almacene informacin y sirva para la

1.2.2 Actividades Durante el Desastre

TCNICAS DE SEGURIDAD ELCTRICA

En este plan se establecen las acciones se deben realizar cuando se presente un

Vas de salida o escape.

1.2.2.2 Formacin de Equipos

1.2.3 Actividad Despues del Desastre

Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud

TCNICAS DE SEGURIDAD ELCTRICA

Con la evaluacin de resultados, debemos de optimizar el plan de accin original,

TCNICAS DE SEGURIDAD ELCTRICA

ASPECTOS GENERALES DE LA SEGURIDAD DE LA

2.1. CONCEPTOS GENERALES

TCNICAS DE SEGURIDAD ELCTRICA

Brinda seguridad e integridad a los datos.

TCNICAS DE SEGURIDAD ELCTRICA

2.2. Seguridad Integral de la Informacin

TCNICAS DE SEGURIDAD ELCTRICA

La seguridad de la informacin y por consiguiente de los equipos informticos, es una

3.1 Acceso no Autorizado

TCNICAS DE SEGURIDAD ELCTRICA

Se deber considerar la existencia de:

Programas de Control. Deben existir programas protegidos que mantengan y controlen

Niveles de Acceso. Los programas de control de acceso debern identificar a los

3.3 Revelacin o Infidencia

Una manera de controlar la distribucin y posible diversificacin de informacin, es

Es necesario que la institucin defina polticas de seguridad, en las cuales se deben

4.1 Responsables de la Seguridad

Definicin de responsabilidades para la Seguridad de Datos, Sistemas y

Las responsabilidades especficas para la proteccin de los datos, sistemas, programas,

Hasta el grado permitido por el tamao de sus operaciones, la responsabilidad de

Adoctrinar al personal de procesamiento de datos en la importancia de la

Es necesario que el personal de Procesamiento de Datos est enterado de cmo afecta