Estimado Aprendiz participa en este foro temtico dando respuesta a las

siguientes preguntas:
Por qu es importante realizar la seguridad fsica y lgica de la informacin?
Permitir garantizar el funcionamiento de los procesos de cada rea para
cumplir con el objetivo de la organizacin.
Qu polticas de seguridad se deben establecer en el rea de sistemas para
proteger la informacin?
La seguridad informtica por lo regular se concentra ms en la seguridad lgica
que en la seguridad fsica ya que se piensa que por ah pueden llegar ms
ataques, pero muchas empresas llegan a dejar caminos abiertos de manera
fsica y resulta que es ms fcil acceder directamente al sitio haciendo una
copia de un archivo desde el mismo lugar en donde este se encuentra.
De acuerdo a este prrafo, la empresa ENERGIA S.A. tiene un portal web el cual
permite realizar los pagos oportunos en lnea de sus clientes y adems le
permite realizar otras operaciones de consulta establecidas por la organizacin.
El rea de tecnologa de informacin deber garantizar el servicio las 24 horas
para comodidad de sus clientes, por lo tanto deber tener polticas de
seguridad establecidas en esta rea en caso de un ataque ciberntico
(Hackers), si la pgina es vulnerada deber tenerse una copia de este servicio
al menos 24 horas antes en caso de perderse informacin y por ltimo se
deber garantizar que el servidor como parte fsica se encuentre en correcto
funcionamiento y si este falla tener una poltica de contingencia que permita
restablecer el servicio lo ms pronto posible.
La seguridad lgica Tiene que ver con todo lo relacionado con el control de
acceso a la informacin y software, por ejemplo el llevar un control de quin
acceso a una base de datos para consultar o para modificar informacin. Se
puede decir que una empresa est protegiendo su seguridad lgica cuando:
De acuerdo a este prrafo, el rea de tecnologa de informacin deber
garantizar que la informacin sea visualizada por los funcionarios a cargo del
proceso de acuerdo a los reas correspondientes y no por aquellas que no
tienen nada que ver que los procesos.
Las personas autorizadas son las que hacen uso de los archivos y programas.
De acuerdo a este punto, la informacin se protege creando grupos a travs de
polticas desde el software del servidor.
Los procesos y programas utilizan los datos correctos. Se asegurar la
informacin a travs de las aplicaciones de acuerdo a formatos o plantillas
establecidas segn las polticas de la organizacin el cual permitir recopilar y
almacenar la informacin necesaria.
La informacin que se enva por la red llega a al destinatario correctamente.
La empresa ENERGIA S.A. tiene convenios con cooperativas que permiten al
cliente la comodidad en el pago de sus facturas, estas cooperativas deben

notificar diariamente los pagos y a su vez la empresa de enviar la informacin

de los clientes que debern pagar el cual es validado durante el pago del
cliente este se encuentre dentro de esa informacin. Este proceso llamado
recaudo deber garantizar la transparencia e integridad en la informacin
La comunicacin falla y se tienen procesos alternativos. Este punto hace
referencia en caso de que se pierda la conexin a la base de datos, la
organizacin deber tener un plan de contingencia para recopilar la
informacin del da a da para no retrasar los objetivos de la empresa de
acuerdo al rea que afecte. Ejemplo, el rea de facturacin por ningn motivo
deber dejar de facturar a los clientes, el de cartera por ningn motivo deber
dejar de realizar el castigo a la deuda y del atencin clientes el de registrar
los PQR, convenios y/o ajustes estos procesos debern ser realizados de
acuerdo a los formatos establecidos en la organizacin para ser ejecutadas de
forma manual por el funcionario a cargo.
Los operadores realizan sus tareas y no se les permite modificar datos o
programas. Este punto hace referencia a los procesos que son sensibles, por
ejemplo: realizar un ajuste o un convenio por un funcionario a cargo en el rea
de atencin usuario, este proceso toca saldos, deuda del cliente.; por lo tanto
deber ser modificado (eliminado o editado algn valor) por un jefe inmediato
de acuerdo a las polticas del negocio.
Utiliza Firewalls. Utiliza y actualiza Antivirus. Utiliza y actualiza
Antispyware. Estos puntos debern estar a cargo del rea de tecnologa de
informacin, por el ingeniero a cargo de seguridad quien garantizara que la
informacin no sea vulnerable.
Actualiza los sistemas y los servidores continuamente. El encargado de
servidores en el rea de tecnologa de informacin es quien est a cargo de las
actualizaciones y deber garantizar que estas no afecten las aplicaciones del
uso diario en la organizacin, ejemplo que la interfaz que permite facturar no
abra, siendo afectada por una poltica de la organizacin.
Desactiva los servicios de red que no se utilizan. Estar a cargo de
infraestructura, ingeniero encargado de servidores quien definir como est
repartida la mscara de red y ser quien monitoree el correcto uso de los
puntos de red.
Crear respaldos (backups), Codificacin de informacin (Criptografa). Para
la parte lgica deber estar a cargo del ingeniero de BD, quien deber
establecer el tiempo de respaldo de informacin que por lo mnimo no deber
superar las 24 horas para garantizar la informacin de los clientes de la
organizacin.
Uso de passwords. Estas sern establecidas desde el inicio del sistema
operativos hasta la aplicacin ms bsica dentro de la organizacin, a travs
de roles establecidos dentro de la organizacin de acuerdo al perfil dentro del
rea.
Utilizar software con garanta (no pirata). Por ley, ninguna organizacin
deber tener un software sin licencia, las auditorias debern garantizar el

control y manejo de estas para que se conserven dentro de la organizacin y

por ningn motivo los funcionarios debern manipular esta informacin fuera
de ella.
Reducir los permisos de usuarios. Los permisos de escritura, modificacin,
ejecucin debern ser establecidos desde el rea de tecnologa de informacin
de acuerdo con el rea al que pertenece. Ejemplo, en el dia a dia se generan
reportes y estos son guardados en el servidor, el funcionario a cargo solo podr
realizar lectura y no permitirle modificacin alguna a menos que sea un
superior.
La seguridad fsica Va enfocada a la aplicacin de barreras fsicas y
procedimientos de control relacionados con todo el hardware utilizado para el
manejo de informacin incluyendo los dispositivos de almacenamiento y los
medios utilizados para el acceso remoto, aqu tambin es necesario incluir los
edificios y sitios en donde se tiene la informacin.
De acuerdo a este prrafo, el rea de tecnologa de informacin deber
garantizar la infraestrutura sea la correcta para los servidores y solo a estos
deber entrar los ingenieros encargados y por ningn motivo algn funcionario
de otra rea, esto deber ser restringido a travs de carnets de cdigo de barra
o bien con algn documento que los identifique.
Cuando una empresa est pensando y actuando teniendo en mente los riesgos
tanto naturales como humanos, a los cuales se enfrentan sus instalaciones
puede comenzar por establecer polticas y procedimientos de seguridad fsica.
Por ejemplo: proteccin contra incendios, terremotos, huracanes, humedad,
motines, disturbios sociales, robos, sabotajes, alteracin en equipo sensible,
fallas en equipo etc.
Se puede hacer uso de los siguientes puntos para disminuir los riesgos que
atentan contra la seguridad fsica: guardias, detectores de metales, sistemas
biomtricos, verificacin automticas de firmas, proteccin electrnica, etc.
Estos as, como otras medidas de seguridad deben ser evaluadas para ser
implementadas como polticas de seguridad informtica en la empresa.
Monitorear la entrada a la red por correo, pginas de web y la entrada a
bases de datos desde laptops. Aunque los puntos anteriores no son todos los
que se deben considerar, permiten tener
un panorama para definir los aspectos que deben ser cubiertos por polticas de
seguridad lgica.
La seguridad fsica deber ser garantizada por el rea de tecnologa de
informacin desde los servidores, un ejemplo claro seria que los aires que
estn en el sitio de los servidores se daen, afectando la temperatura y
provocando recalentamiento en ellos a pesar de que estos servidores tienen
tecnologa de apagado automtico en caso de que estos fallen dejaran de

funcionar. Daados los servidores se deber garantizar el servicio de acuerdo a

polticas ya establecidas en el rea de T.I y a las reas afectadas el cual
debern aplicar un plan de contingencia.