Plan de

Seguridad
Informtica

Confidencial

Ford Insure

Rev.
Nombre

Elaborado
Ramrez Lozano
Fernanda
Jacqueline

Cargo

Jefe del equipo

que confeccion
el plan.

Revisado
1. Bueno vila
Edgar
Raymundo
2. Hernndez
Hernndez
Karla
Elizabeth
3. Lpez Muoz
Diana
Elizabeth
4. Soto Gmez
Jos
5. Jimnez
Romero
Michelle
6. Rayas
Alemn Jorge
Armando
7. Snchez
Vzquez
ngeles
1. Seguridad
Lgica
(Gerente).
2. Seguridad en
las
Comunicacio
nes.
3. Seguridad de
las
Aplicaciones.
4. Seguridad
Fsica.
5. Administraci
n del Centro
de Cmputo.
6. Auditoras y
Revisiones.
7. Plan de
Contingencia.

Aprobado
Ortiz Surez
Brenda Isela.

Jefe de la
entidad en el
que el Plan ser
implementado.

Confidencial

Ford Insure

Firma

FJRL.

Fecha

5 de Octubre
2012.

1. LMDE.
2. HHKE.
3. BAER.
4. SGJ.
5. JRM.
6. RAJA.
7. SVA.
8 de Octubre
2012.

OSBI.

20 de Octubre
2012.

Alcance: Se aplica s los empleados de la Empresa Zurich, as como

los proveedores de Insure Ford y personal interno y externo que
desarrollen labores o algn servicio.
Vigencia: A partir del 1 de Noviembre de 2012.
NOTA: Cada uno de los empleados tiene su propio equipo para

administrar y repartir los procedimientos a realizar para cada cargo.

La entidad sobre la que realizar el Plan de Seguridad
desarrollado por Zurich es Ford Insure, con el objetivo de
desarrollar normas y procedimientos que pautan las actividades
relacionadas con la seguridad informtica.
Ford Insure consiste en un programa de seguros en alianza
estratgica con Ford, con amplia infraestructura de servicio y apoyo
en Mxico, diseado exclusivamente para vehculos Ford que
garantiza reparacin de vehculos con partes y refacciones originales.

Ms especficamente, trabajaremos sobre el rea de sistemas de

informacin:
Zurich, desarrolla software para el manejo de sistemas que

permitan brindar a los clientes mayor facilidad para el seguro de sus

autos.
Cuenta con soluciones de prevencin y proteccin e ingeniera
de riesgos que estn diseadas a partir del contacto cercano que
mantienen con sus clientes y socios de negocios, y se optimizan con

Confidencial

Ford Insure

los atributos y conocimiento adquirido de los mercados

internacionales.
Dentro del sistema, debe haber seguridad, puesto que hay
amenazas que pueden atacarlo, lo que pondra en riesgo desde los
datos de los profesionistas que all residen, hasta los de la misma
empresa y de las estrategias para ofrecer su servicio.

Los riesgos seran: Robo de informacin que puede ser de un alto

grado de confidencialidad para la empresa directamente, de los
usuarios que all trabajan, pues podran poner en peligro a los mismos
y de los componentes fsicos, pues all se contiene toda la base de
datos. Fallas en los equipos, virus informticos, equivocaciones y
accesos no autorizados.

La seguridad ahora es buena, pues se evala constantemente junto

con los riesgos que estn planteados dentro del rea de sistemas de
informacin, para evitar tanto amenazas lgicas como fsicas.

Por iniciativa de la gerencia de Zurich, se hizo la auditora de

seguridad y en base a ella, se establecen las polticas de seguridad:
1. Seguridad Lgica.
2. Seguridad en las Comunicaciones.
3. Seguridad de las Aplicaciones.
4. Seguridad Fsica.
5. Administracin del Centro de Cmputos.
6. Auditoras y Revisiones.
7. Plan de Contingencia.

Medidas y procedimientos a implementar:

Seguridad lgica y de las Aplicaciones.

Control de accesos: Identificacin de usuarios.

Confidencial

Ford Insure

El sistema de seguridad diseado es adecuado y aprobado por la

empresa.
Se trata de proteger principalmente la informacin de la

empresa Ford Insure, los datos de los empleados definidos como

usuarios en el rea de sistemas y el hardware ubicado en los centros
de cmputo, pues all se contiene la informacin empresarial.
Las polticas se implementan segn vayan surgiendo necesidades dentro
del rea de sistemas.

El gerente Bueno vila, ser encargado de la Seguridad

Lgica.
Su responsabilidad:
Implementar la identificacin de usuarios:

Dar de alta o baja el usuario.

Asignar permisos mnimos.
Hacer la lista de control de accesos.
Definir el rango de horarios.
Finalizar toda sesin interactiva.
Protector de pantalla con contrasea.

Autenticacin:

Nombre de usuario.
Fecha y hora de ltima conexin.
Localizacin de la ltima conexin.
Cantidad de intentos fallidos.

Password:

Fecha de expiracin.
Bloquear el acceso a los 5 intentos de introduccin de password.
Modificar segn el perodo.

Segregacin de Funciones:

Confidencial

Ford Insure

Separacin de funciones dentro del centro de cmputo.

Organigrama de la empresa.
Rotacin de las tareas del personal.

Hernndez Hernndez se encargar de la Seguridad de

Comunicaciones:
Su responsabilidad:
Topologa de Red:

Integridad, exactitud, disponibilidad y confidencialidad de los datos

transmitidos.
Documentacin detallada sobre los diagramas topolgicos de las

redes.
Medios alternativos de transmisin en caso de que alguna
contingencia afecte el medio primario de comunicacin.

Conexiones externas:

Control de las actividades de usuarios externos al organismo.

Autorizacin de Gerencia para la conectividad de Internet.
Recibir capacitacin especfica respecto a su funcionalidad, riesgos y

medidas de seguridad.
Filtrado y controlado por un firewall prohibiendo el pasaje de todo

trfico que no se encuentre autorizado.

Que las conexiones a Internet de la empresa traspasen un servidor

prximo una vez traspasado firewall.

Informacin privada enviada a travs de equipos de comunicaciones.
Monitorear el uso de Internet.
Mantenimiento remoto a los servidores.

Configuracin Lgica de Red:

Conectividad mnima necesaria.

Que el esquema de direcciones de la red interna no sea visible

ante conexiones externas.

Que la direccin IP de la empresa sea un nmero confidencial y
variable.

Confidencial

Ford Insure

Mail:

Los empleados contarn con una cuenta de correo electrnico

propio de la empresa.
Procedimiento formal para dar de alta y baja estas cuentas.
No debe ser utilizado para enviar Spam ni cadenas de mensajes.
Considerar los correos como documentos formales.
Asignar una capacidad de almacenamiento.

Antivirus:

En cada uno de los equipos.

Discos de rescate para servidores y puestos de trabajo.
Actualizacin de los antivirus.
Escanear peridicamente para identificar y eliminar virus.

Firewall:

Prohibir todos los protocolos y servicios, habilitando slo los

necesarios.
Los necesarios debern habilitarse on demand.

Ataques de red:

Procedimientos documentados para prevenirlos.

Deteccin de intrusos.
Disminuir el riesgo de sniffing, la red deber desfragmentarse

fsica y lgicamente.
Disminuir posibilidad de Spoofing. El firewall deber negar el

acceso a cualquier trfico de red externo.

Archivos de password y datos de usuarios no debern almacenarse
en el directorio por default destinado a tal fin.

Lpez Muoz toma el cargo de Seguridad de

Aplicaciones:
Su responsabilidad:
Software:

Confidencial

Ford Insure

Sistema Operativo:

Alta confiabilidad.
Equilibrio en costo y beneficio.
Compatibilidad e interoperatividad con los sistemas operativos en

las PCs.
Disponibilidad de Software.
Buena administracin y performance.
Cumplir con los requerimientos funcionales impuestos por la

empresa.
Amigable con el usuario.
Disponibilidad de documentacin.
Adems de las caractersticas relativas a la seguidad.

Seguridad de Bases de Datos:

Plan de migracin desde archivos indexados a bases de datos

racionales.
Estos archivos debern tener controles de acceso.
Chequeos regulares de la seguridad de bases de datos.
Los registros de la base de datos no se borrarn fsicamente, sino

marcarse como eliminados.

Clasificacin de los datos: Crtica, Confidencial o Pblica.

Control de Aplicaciones en PCs:

Estndares de configuracin de los puestos de trabajo, servidores

y dems equipos de la red informtica.

Actualizacin de aplicaciones slo debido al reporte de algn mal

funcionamiento.
Backup de la configuracin existente.
Procedimiento de emergencia para dejar sin efecto los cambios

efectuados y poder recuperar las versiones anteriores autorizadas.

Documentar los procedimientos de instalacin y reparacin de

equipos.
Nuevo usuario: Modificar y deber aceptar que tiene prohibida la

instalacin en los equipos.

Chequeos peridicos en las PCs, servidores y dems equipos.

Control de datos en las aplicaciones:

Confidencial

Ford Insure

Datos de entrada y salida con controles para verificar su

integridad, exactitud y validez.

Datos de salida con controles lgicos, de acuerdo a los permisos

de acceso.
Controles de acceso a las carpetas que almacenen archivos de las

aplicaciones.
Programa de sincronizacin horaria en el entorno de red, para
asegurar la consistencia de los datos de las aplicaciones.

Ciclo de vida:

Plan detallado de sistemas (Asignaciones de recursos,

establecimiento de prioridades y responsabilidades,

administracin de tiempos y utilizacin de mtricas de software).

Anlisis de impacto sobre modificacin del sistema.
Gestin de configuracin.
Documento formal de solicitud de cambios.
Documentacin del desarrollo.
Pruebas del software.
Todo desarrollo o modificacin deber ser probado y aprobado por

los usuarios.
Revisin de post-implantacin del sistema en operacin.
Contratos con terceros.
Analizar la compra de una aplicacin software.

Soto Gmez se encargar de la Seguridad Fsica:

Su responsabilidad:
Equipamiento: Proteccin Fsica y mantenimiento permanente de los
equipos e instalaciones que conforman los activos de la empresa.
Control de acceso fsico al centro de cmputo:

Restringir el acceso fsico a las reas crticas a toda persona no

autorizada.
Asegurar que todos los individuos que entren a reas restringidas
se identifiquen y sean autorizados.

Confidencial

Ford Insure

Persona ajena a la empresa que necesite ingresar al centro de

cmputo deber anunciarse en la puerta de entrada y ser

acompaado hasta l.
Sistemas de monitoreo.
Servidores, switch central y dems equipamiento crtico slo

tienen acceso los administradores.

Slo se puede estar en las instalaciones en horario autorizado.
Guardias de seguridad.
Adecuado mantenimiento y prueba de procedimientos para
restriccin de acceso fsico.

Control de acceso a equipos:

Deshabilitar disqueteras y lectoras de CD en mquinas que no se

necesiten.
Administrador del BIOS para gestionar el administrador del

sistema.
Servidores con llave de bloque de hardware.
Cualquier dispositivo externo que no se encuentre en uso, deber
permanecer guardado bajo llave. Al igual los gabinetes donde se

ubican los switches.

Chequeos peridicos.
Debern apagarse servidores.

Dispositivos de soporte:

Aire acondicionado y calefaccin.

Matafuegos.
Alarmas contra intrusos.
Generador de energa.
UPS.
Luz de emergencia.
Estabilizador de tensin.
Descarga a tierra.
Evaluacin peridica de esos dispositivos.
Llave de corte de energa general en la salida de emergencias.

Confidencial

Ford Insure

Estructura del edificio:

Piso superior: Protecciones contra ruidos e interferencias

electromagnticas.
Salidas hacia el exterior del centro de cmputo protegidas con

rejas.
Sectores de la empresa divididos entre s.

Cableado Estructurado.

Jimnez Romero Michelle estar encargado de la

Administracin del Centro de Cmputo:
Administracin del Centro de Cmputo,

Correcta organizacin y administracin del rea de sitemas.

Designar en la direccin del rea un profesional que acredite
experiencia en el manejo de los recursos informticos y

comprenda los riesgos y problemas.

Designarse un encargado de la seguridad del sistema.
Debern designarse responsabilidades claras y
Desarrollarse un plan de sistemas a corto plazo.
Deber desarrollarse de un plan estratgico a largo plazo.
Debern generarse reportes trimestrales dirigidos al Directorio de
la empresa informando sobre las actividades en el centro de
cmputos, el progreso de los planes propuestos y el cumplimiento

de las polticas impuestas.

Los usuarios solicitarn asesoramiento o servicios al centro de

cmputo.
Buzn de sugerencias.
Procedimiento para realizar la publicidad de polticas, planes o

normas de la empresa y sus modificaciones.

Los administradores debern informar en tiempo de suspensiones

en el servicio necesarias por mantenimiento.

Inventario detallado.

Confidencial

Ford Insure

Procesos para rotular, manipular y dar de baja el equipamiento

informtico.
Los medios de instalacin originales del software debern
respaldarse y resguardarse adecuadamente.

Capacitacin.
Backup.
Documentacin.

Rayas Alemn se encargar de Auditoras y

Revisiones:
Chequeos del sistema.
Responsabilidades de los encargados de seguridad.
Auditoras de Control de Acceso.
Auditoras de Redes.

Vzquez Snchez tiene el cargo de Plan de

Contingencias:
Plan de administracin de incidentes.
Backup de Equipamiento.
Estrategias de recuperacin de desastres.

Conclusin

Confidencial

Ford Insure

A lo largo de este trabajo, pude comprender que un plan de

seguridad es indispensable para que la informacin de una empresa
sea confidencial, ntegra y disponible para todos los usuarios que
participan en la empresa.
Estoy consciente de que no existe un esquema de seguridad
que cubra los riesgos y amenazas en su totalidad, pero se debe estar
bien preparado y dispuesto a reaccionar con rapidez y eficacia, ya que
las vulnerabilidades cambian constantemente conforme el progreso
de los sistemas de informacin.
Disponer de las polticas de seguridad es muy importante, as
como definir su alcance y vigencia, pues se deben plantear conforme
al entorno de trabajo de la entidad. La comunicacin con los usuarios
del sistema es clave para hacer que las polticas sean efectivas y se
genere la cultura de la seguridad.
La implantacin de un poltica de seguridad informtica en una
empresa, implica un gran desafo; pero se sabe que es imprescindible,
sobre todo si se tiene en cuenta que cada vez se desarrollan y
generan un mayor nmero de ataques.
Los resultados obtenidos sern muy satisfactorios, pues una vez
concluido el desarrollo del presente trabajo, la empresa que ser
auditada se ha de mostrar muy conforme con las recomendaciones
sugeridas, pues es un plan muy especfico y que permitir mayor
agilidad en el trabajo diario.
Por ltimo, espero que con este trabajo pueda generar en el
profesor una buena satisfaccin.

Confidencial

Ford Insure

Fernanda Jacqueline Ramrez Lozano.