Tesis de Lic. en Sistemas

UNIVERSIDAD AUTONOMA
VILLA RICA
TEMA: AUDITORIA DE SEGURIDAD

INFORMATICA AL DEPARTAMENTO
DE INFORMATICA ZONA POZA RICA
VERACRUZ.
COMISION FEDERAL DE ELECTRICIDAD.
ALUMNO:
JOSHUA RAMON CORTES PIÑA
INDICE
CAPITULO 1 METODOLOGIA……………………………………………………..…1
1.1PLANTEAMIEMTO DEL PROBLEMA……………………………………..……..2
1.1.1 FUNDAMENTOS DEL PROBLEMA……………………………………..……..2
1.1.2 PROBLEMÁTICA ACTUAL……………………………………………….……2
1.1.3 ALCANCE DEL PROBLEMA…………………………………………….……..3
1.1.4 PREGUNTA DEL PROBLEMA…………………………………………………4
1.2 JUSTIFICACION………………………………………………………………..….4
1.2.1 OBJETIVOS GENERAL……………………………………………………..…..5
1.3OBJETIVOS ESPECIFICOS………………………………………………….……5
1.4DELIMITACIÓN DEL PROYECTO ………………………………………...……..6
1.5 PROCEDIMIENTOS PARA LA ELABORACION DE LA AUDITORIA

INFORMATICA………………………………………………………………………..7
CAPITULO 2
MARCO TEORICO…………………..………………………………………………..8
2.1 DEFINICIONES DE AUDITORIA INFORMATICA………………………….…..9
2.2 DEFINICIONES DE SEGURIDAD INFORMATICA………………………........10
2.2.1 AMENAZA…………………………………………………………………........10
2.2.2 SISTEMA DE SEGURIDAD……………………………………………...…..11
2.2.3 QUÉ DEBEMOS PROTEGER………………………………………......…...12
2.2.4 TIPOS DE ATAQUE ………………………………………………………...…13
2.2.5 SEGURIDAD INFORMÁTICA……………………………………………......14
2.2.6 NIVELES DE SEGURIDAD INFORMÁTICA………………………….....14
2.3 ÁREA DE INFORMATICA…………………………………………………...…18
2.4 ADMINISTRACIÓN DEL ÁREA DE INFORMÁTICA………………….…….19
2.5 ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA……………….……20
2.6 AUDITORIA EN INFORMÁTICA…………………………………………..….21

2.6.1 AUDITORIA CON INFORMÁTICA…………………………………………21
2.6.2 DEFINICIÓN DE AUDITORIA EN INFORMÁTICA……………………….23
2.6.2.1 CAMPO DE LA AUDITORIA EN INFORMÁTICA………………….……24
CAPITULO 3
ANTECEDENTES DE LA EMPRESA Y DEPARTAMENTO A AUDITAR
3.1INFORMACIÓN DE LA EMPRESA……………………………………………27
3.2 INFORMACIÓN DEL ÁREA DE INFORMÁTICA C.F.E. GENERAL DIVISIÓN

DE DISTRIBUCIÓN ORIENTE ZONA DE DISTRIBUCIÓN POZA
RICA…………………………………………………………………………………..31
3.3 DESCRIPCIÓN DE PUESTOS……………………………………………..…….32
3.3.1 CAPACITACIÓN……………………………………………………………....32
3.4 SERVICIOS QUE PROPORCIONA EL ÁREA DE INFORMÁTICA CFE……45
3.5 SISTEMAS INTERNOS QUE UTILIZA CFE………………………………..…46
3.5.1 COORDINACIÓN DE REDES Y TELECOMUNICACIONES……………....47
3.5.2 DISEÑADORES DE REDES…………………………………………………..47
3.5.3 RESPONSABLES DE LA CONFIGURACIÓN DE SERVIDORES……...…..47
CAPITULO 4
POLITICAS Y PROCEDIMIENTOS…………………………………….…………49
4.1DESCRIPCIÓN DETALLADO DE LOS MANUALES……………………..…..50
CAPITULO 5 CUESTIONARIOS Y ENTREVISTAS…………………………..….77
CAPITULO 6 DIAGNOSTICO………………………………………………….…..93
6.1 DIAGNÓSTICO DE LA SEGURIDAD INFORMATICA………………….…..94
6.2 DIAGNÓSTICO EN LA SEGURIDAD DE LA RED…………………………..95
6.3 DIAGNÓSTICO SEGURIDAD EN REDES DE TELECOMUNICACIONES…96
CAPITULO 7 CONCLUSIONES…………………………………………………..…98
CAPITULO 1
METODOLOGIA
1
1.1 PLANTEAMIENTO DEL PROBLEMA
1.1.1 FUNDAMENTOS DEL PROBLEMA
Lo que queremos promover y, conocer en la auditoria informática es, si los requerimientos como
las políticas internas y externas se llevan a cabo, como lo indican sus manuales de seguridad
informática.
La Comisión Federal de Electricidad es una empresa del gobierno mexicano que genera,
transmite, distribuye y comercializa energía eléctrica para cerca de 27.9 millones de clientes, lo
que representa a casi 80 millones de habitantes, e incorpora anualmente más de un millón de
clientes nuevos.
La función de esta empresa satisfacer la demanda de energía eléctrica que exige la sociedad
mexicana.
La infraestructura para generar la energía eléctrica está compuesta por 177 centrales
generadoras, con una capacidad instalada de 51,081 megawatts (MW).
Saber si el personal está capacitado en el uso de la computadora tanto en la parte del hardware
como en la parte de la información, programas y redes. Para esto el personal tiene que tener los
conocimientos de sistemas como el de WINDOWS y programas subyacentes que utilicen
internamente.
El problema que se plantea en esta auditoría es el posible, seria el robo o extravío de información
confidencial como hacer que los trabajadores no recurran a estos delitos que pueden
comprometer a la empresa en el ámbito de arriesgar la información que tengan una seguridad
informática invulnerable.
Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la
seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.
Y revisar bien sus estatutos como sus políticas externas e internas a nivel de seguridad
informática.
1.1.2 PROBLEMÁTICA ACTUAL
La problemática más específica en el área de informática en comisión federal de electricidad en

cuanto a seguridad en redes son las siguientes:
En ocasiones el personal sustrae información de la empresa, valiosa muy importante para la

institución de Comisión federal de electricidad.
2
Las claves de seguridad no tienen una encriptación para la substracción de robo de información o
que puedan realizar cambios importantes en la información sin que el encargado de seguridad se
dé cuenta de los cambios producidos por personal mal intencionado o foráneos.
Las cuestiones de seguridad son muy vulnerables a nivel red porque cualquier usuario puede
descargar material peligroso de internet e infectar las computadoras de virus y perder la
información que es valiosa para la empresa o que entre un personal ajeno a esta empresa e
infecte de virus la computadoras que puede ocurrir en esta empresa.
Otro punto a tocar muy interesante es que los del área de informática de CFE deben tener bien
seriadas las computadoras para una mejor administración de ellos para tenerlos en la red por su
serial y restringir así las páginas web en las que puedan descargar virus e infectar las máquinas
de los trabajadores.
La red de Comisión Federal de Electricidad tiene 4Mb para el uso de la institución, esto hace que
el personal no pueda enviar rápidamente la información, y como consecuencia, los procesos son
lentos y generan un problema en el momento de ejecutar requerimientos de información
CFE carece de un centro de operaciones para la seguridad, deja al descubierto "el procesamiento
de información para proporcionar servicios tales como: generación, transmisión, distribución y
comercialización de la energía eléctrica a 20 millones de usuarios/clientes; correo, seguridad,
internet con capacidad de dar servicio a cerca de 45 mil usuarios/trabajadores de la propia
empresa, por lo cual es necesario un centro de seguridad informática.
También hay un posible manipuleo no autorizado del sistema de datos permitiendo fraudes o
afectando la operación central de CFE, en la manipulación pueden participar personas internas
de la empresa como externas.
1.1.3 ALCANCE DEL PROBLEMA
Si la problemática de la empresa de Comisión Federal de electricidad no tiene la iniciativa de

poner a cargo un departamento solo de seguridad informática tendrá o tiene consecuencias
graves en cuanto a la información y su validez para la empresa, como la afectación a nivel red de
las actividades lentas para los procesos administrativos de ellos como para los trabajadores de la
misma empresa no seria conveniente tanta perdida de la información sería un gasto muy fuerte
para la empresa recuperar o poner sanciones a las personas que ocurran en este delito.
1.1.4 PREGUNTA DEL PROBLEMA
Tomando en cuenta los objetivos de la auditoría en informática, El control de la función

informática, El control de la función informática, El análisis de la eficiencia de los Sistemas
Informáticos, La verificación del cumplimiento de la Normativa en este ámbito, La revisión de la
eficaz gestión de los recursos informáticos y los aspectos de Seguridad Informática, Monitoreo
de indicadores de controles de seguridad, Detección de necesidades y vulnerabilidades de
seguridad, Alta, baja y modificación de accesos a sistemas y aplicaciones, Soporte de seguridad.
3
Analizando estos objetivos de la auditoria y anteriormente observamos las deficiencias de la
empresa en el área de seguridad, viendo las políticas internas de Comisión Federal de
Electricidad, teniendo en cuenta las normativas, reglamentos y políticas del área de informática,
¿Considerando que realicemos pruebas sustantivas para el estudio de confiabilidad de seguridad
informática, estudiar los mecanismos de control de la seguridad informática de la cual carece la
empresa (CFE) para así establecer un área de seguridad informática de la cual carece, qué tan
conveniente o factible es realizar esta Auditoría de S.I. a CFE e implementar la propuesta de un
depto. Independiente y no implícito de S.I.?
1.2 JUSTIFICACION
Esta auditoria informática será basada solo en el área de informática de Comisión federal de
Electricidad, este departamento tiene que resolver la seguridad en la red pues es lo que más
interesa a la empresa brindar un buen servicio en la red de la empresa.
El motivo de la auditoria informática es saber las problemática o funciones que no se realizan

bien en la empresa, para que con la auditoria le demos una formalización y normatividades para
un mejor servicio para los trabajadores de la empresa y dar un diagnostico formal y deductivo de
lo que esta ocurriendo internamente en Comisión Federal de Electricidad.
Mantenimiento de la red de comisión federal de electricidad.
Es de mencionar que a través de esta auditoria usaremos las herramientas de las que
disponen los auditores informáticos:
• Observación
• Realización de cuestionarios
• Entrevistas a auditados y no auditados
• Muestreo estadístico
• Flujogramas
• Listas de chequeo
• Mapas conceptuales
Para esto se disponen para una mejor auditoria informática y la factibilidad de realizarla bien en
esta empresa de clase mundial.
De las cuales me gustaría nombrar algunas características para mejora de la empresa al empezar
el proyecto de la auditoria:
• Eficiencia
• Eficacia
• Rentabilidad
4
• Seguridad
Las razones de estos puntos es la fiabilidad de la auditoria informática a nivel empresa de clase
mundial para levarla a cabo con la mejor eficiencia y calidad.
La auditoría se fundamenta en los puntos que acabo de mencionar para una mejor calidad en las
actividades y menor perdida de trabajo o de documentos valiosos para la empresa que no tengan
perdidas de información.
Como finalidad de la auditoria informática es que su red no tenga problemas internos en la

empresa que sus procesos aumenten para una mayor productividad y menores fallos posibles a
largo o corto plazo según vayan cambiando los errores o vulnerabilidad de la red.
Por consecuencia de los procesos realizados en el área de informática y observando sus errores o
fallos podríamos realizar una mejor función a nivel seguridad en la red para que allá mayor
seguridad en la empresa.
1.2.1 OBJETIVOS GENERAL
El objetivo primordial de esta auditoria informática es el estudio de los procesos, políticas para
su verificación que esté en condiciones óptimas para una mejor calidad en la protección de su
información en Comisión Federal de Electricidad Zona Poza Rica Veracruz.
1.3 OBJETIVOS ESPECIFICOS
• Conocimientos de políticas de CFE de los procedimientos de manejo de los S.O.
• Servicios otorgados de seguridad.
• Identificación de las funciones y puestos de la empresa.
• Realizar las entrevistas necesarias.
• Control de sus actividades diarias de la empresa
• Que se actualice constantemente la base de datos
• Factibilidad de datos
• Verificación de políticas y objetivos de la empresa
• Revisión de las políticas de la redes informáticas de la empresa
5
• Mejorar el servicio de la empresa
• Mejorar la eficiencia administrativas
• Facilitar el trabajo al auditor y a la empresa

• Diagnóstico de auditoría.
• Elaboración de graficas
• Conclusiones
• Recomendaciones en base a los resultados de la Auditoría
1.4 DELIMITACIÓN DEL PROYECTO
La presenta auditoría va dirigida a la Comisión Federal de Electricidad Zona Poza Rica Veracruz
para evaluar los procesos de seguridad informática, mejorarlos y poder brindar un mejor
servicio a la sociedad y un control efectivo a la empresa auditada (CFE).
En el proceso de promover la auditoría informática se necesita de un buen planteamiento,
mantenimiento de la ejecución y estar preparados para cualquier cambio que pueda traer con el
pasar del tiempo, el entrenamiento de un personal para nuevos enfrentamientos también es una
labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto se han
obtenido muy buenos resultados, como meta para el futuro es el de poner más esfuerzo en el
entrenamiento del personal de la auditoria informática, crear secciones especialmente encargadas
de la auditoria informática, también a la vez crear un Sistema de Soporte a la Tecnología de la
Información y reglamentos para el progreso de la auditoria informática, elevar y brindar un
mejor servicio de calidad poner los esfuerzos que se debe en el trabajo de la Auditoria.
Y para mejora de la empresa de Comisión Federal de electricidad en cuestión en la seguridad
informática y eficiencia en los protocolos de red a nivel seguridad.
1.5 PROCEDIMIENTOS PARA LA ELABORACION DE LA AUDITORIA

INFORMATICA.
1.- Obtener organigrama de la empresa
2.- Descripción de cada puesto del área de informática
3.- Tener visión, misión, objetivos, políticas y reglamentos de CFE
4.- Tener manual de procedimientos a nivel de seguridad de red
5.- Identificación de riesgos
6.- Recopila la información para obtener una visión general
7.- Diseñar cuestionarios
8.-Aplicar cuestionarios y realizar entrevistas
9.- Estudiar la viabilidad
10.- Tener un informe de la auditoria
6
11.- elaboración de soluciones para la problemática presente
12.- estudio generalizado de la problemática
13.- Inspección
14.-Estudio general del área
15.- Obtener conocimientos del control interno.
16.-Analizar las características del control interno.
17.-Verificar los resultados de control interno.
18.- Evaluación de los costes actuales
19.- soluciones a la problemática
7
CAPITULO 2
MARCO
TEORICO
8
2.1 DEFINICIONES DE AUDITORIA INFORMATICA
Es imprescindible reconocer que el área de informática es una de las más importantes dentro de
cualquier empresa o sistema de información, ya que sin ella toda información que radique en la
organización seria lenta e inoportuna, o simplemente con algún fallo de esta área toda
organización se vería en graves problemas.
Auditoria (general)
Un examen o estudio que evalúa e informa sobre la medida en que una condición, proceso o
desempeño se ajusta a estándares o criterios predeterminados.
Revisión de los resultados de una empresa que generalmente realiza una entidad externa a ella.
Auditoría informática
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar

si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas. También permiten detectar de forma
sistemática el uso de los recursos y los flujos de información dentro de una organización y
determinar qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en
una empresa u organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de
detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
• El control de la función informática

• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
• Eficacia
• Rentabilidad
• Seguridad
9
Para comenzar el análisis de la Seguridad Informática se deberá conocer las
características de lo que se pretende proteger: la Información
DATO
Así, definimos Dato como “la unidad mínima con la que compone cierta información. Datum
es una palabra latina, que significa “lo que se da”.
INFORMACION
La Información “es una agregación de datos que tiene un significado específico más allá de
cada uno de éstos”, y tendrá un sentido particular según cómo y quién la procese.
Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso
que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no
ocurre con los equipos, las aplicaciones y la documentación.
Existe Información que debe o puede ser pública: puede ser visualizada por cualquier persona
(por ejemplo índice de analfabetismo en un país); y aquella que debe ser privada: sólo
puede ser visualizada por un grupo selecto de personas que trabaja con ella (por ejemplo
antecedentes médicos). En esta última debemos maximizar nuestros esfuerzos para preservarla
de ese modo reconociendo las siguientes características en la Información:
1. Es Crítica: es indispensable para garantizar la continuidad operativa.
2. Es Valiosa: es un activo con valor en sí misma.
3. Es Sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.
La Integridad de la Información es la característica que hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y esta
modificación sea registrada para posteriores controles o auditorias. Una falla de integridad
puede estar dada por anomalías en el hardware, software, virus informáticos y/o modificación
por personas que se infiltran en el sistema.
2.2 DEFINICIONES DE SEGURIDAD INFORMATICA
2.2.1 AMENAZA
Cabe definir Amenaza, en el entorno informático, como cualquier elemento que
comprometa al sistema.
10
Gráfico 1.1 – Amenazas para la Seguridad
Las amenazas pueden ser analizadas en tres momentos: antes del ataque durante y
después del mismo. Estos mecanismos conformarán políticas que garantizarán la seguridad de
nuestro sistema informático.
a. La Prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de

un sistema durante su funcionamiento normal. Por ejemplo el cifrado de
información para su posterior transmisión.
b. La Detección (durante): mecanismos orientados a revelar violaciones a la
seguridad. Generalmente son programas de auditoría.
c. La Recuperación (después): mecanismos que se aplican, cuando la violación del
sistema ya se ha detectado, para retornar éste a su funcionamiento normal. Por
ejemplo recuperación desde las copias de seguridad (backup) realizadas.
2.2.2 SISTEMA DE SEGURIDAD
Se estudiarán las distintas funciones que se deben asegurar en un sistema informático.
1. Reconocimiento: cada usuario deberá identificarse al usar el sistema y cada

operación del mismo será registrada con esta identificación. En este proceso se
quiere conseguir que no se produzca un acceso y/o manipulación indebida de los
datos o que en su defecto, esta quede registrada.
2. Integridad: un sistema integro es aquel en el que todas las partes que lo
constituyen funcionan en forma correcta y en su totalidad.
3. Aislamiento: Los datos utilizados por un usuario deben ser independientes de los
de otro física y lógicamente (usando técnicas de ocultación y/o compartimiento).
También se debe lograr independencia entre los datos accesibles y los considerados
críticos.
11
4. Auditabilidad: procedimiento utilizado en la elaboración de exámenes,
demostraciones, verificaciones o comprobaciones del sistema. Estas
comprobaciones deben ser periódicas y tales que brinden datos precisos y aporten
confianza a la dirección. Deben apuntar a contestar preguntas como:
• ¿El uso del sistema es adecuado?
• ¿El sistema se ajusta a las normas internas y externas vigentes?
• ¿Los datos arrojados por el sistema se ajustan a las expectativas creadas?
• ¿Todas las transacciones realizadas por el sistema pueden ser registradas
adecuadamente?
• ¿Contienen información referente al entorno: tiempo, lugar, autoridad, recurso,
empleado, etc.?
5. Controlabilidad: todos los sistemas y subsistemas deben estar bajo control
permanente.
6. Recuperabilidad: en caso de emergencia, debe existir la posibilidad de recuperar
los recursos perdidos o dañados.
7. Administración y Custodia: la vigilancia nos permitirá conocer, en todo
momento, cualquier suceso, para luego realizar un seguimiento de los hechos y
permitir una realimentación del sistema de seguridad, de forma tal de mantenerlo
actualizado contra nuevas amenazas.
2.2.3 QUÉ DEBEMOS PROTEGER
En cualquier sistema informático existen tres elementos básicos a proteger: el

hardware, el software y los datos.
Por hardware entendemos el conjunto de todos los sistemas físicos del sistema
informático: CPU, cableado, impresoras, CD–ROM, cintas, componentes de comunicación.
El software son todos los elementos lógicos que hacen funcional al hardware: sistema
operativo, aplicaciones, utilidades.
Entendemos por datos al conjunto de información lógica que maneja el software y el
hardware: bases de datos, documentos, archivos.
Además, generalmente se habla de un cuarto elemento llamado fungible; que son los aquellos
que se gastan o desgastan con el uso continuo: papel, tonner, tinta, cintas magnéticas, disquetes.
De los cuatro, los datos que maneja el sistema serán los más importantes ya que son el resultado
del trabajo realizado. Si existiera daño del hardware, software o de los elementos fungibles,
estos pueden adquirirse nuevamente desde su medio original; pero los datos obtenidos en
el transcurso del tiempo por el sistema son imposibles de recuperar: hemos de pasar
obligatoriamente por un sistema de copias de seguridad, y aún así es difícil de devolver los
datos a su forma anterior al daño.
12
2.2.4 TIPOS DE ATAQUE
Para cualquiera de los elementos descriptos existen multitud de amenazas y ataques que se
los puede clasificar en:
1. Ataques Pasivos: el atacante no altera la comunicación, sino que únicamente la
“escucha” o monitoriza, para obtener información que está siendo transmitida. Sus
objetivos son la intercepción de datos y el análisis de tráfico. Generalmente se
emplean para:
• Obtención del origen y destinatario de la comunicación, a través de la lectura
de las cabeceras de los paquetes monitorizados.
• Control del volumen de tráfico intercambiado entre las entidades
monitorizadas, obteniendo así información acerca de actividad o inactividad
inusuales.
• Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.
Es posible evitar el éxito, si bien no el ataque, mediante el cifrado de la
información y otros mecanismos que se verán posteriormente.
2. Ataques Activos: estos ataques implican algún tipo de modificación del flujo de
datos transmitido o la creación de un falso flujo de datos. Generalmente son
realizados por hackers, piratas informáticos o intrusos remunerados y se los puede
subdividir en cuatro categorías:
• Interrupción: si hace que un objeto del sistema se pierda, quede inutilizable o
no disponible.
• Intercepción: si un elemento no autorizado consigue el acceso a un
determinado objeto del sistema.
• Modificación: si además de conseguir el acceso consigue modificar el objeto.
• Fabricación: se consigue un objeto similar al original atacado de forma que es
difícil distinguirlos entre sí.
• Destrucción: es una modificación que inutiliza el objeto.
“La Seguridad es hoy día una profesión compleja con funciones especializadas”.
Para dar una respuesta satisfactoria es necesario eliminar la incertidumbre y distinguir entre la
seguridad filosófica y la operacional o práctica.
Como se sabe los problemas nunca se resuelven: la energía del problema no
desaparece, sólo se transforma y la “solución” estará dada por su transformación en problemas
diferentes, más pequeños y aceptables. Por ejemplo: la implementación de un sistema
informático puede solucionar el problema de velocidad de procesamiento pero abrirá
problemas como el de personal sobrante o reciclable. Estos, a su vez, descontentos pueden
generar un problema de seguridad interno.
Analicemos:
1. El poseedor del valor: Protector.
13
2. Un aspirante a poseedor: Competidor–Agresor
3. Un elemento a proteger: Valor
Luego, la Seguridad se definirá como:

“La interrelación dinámica (competencia) entre el agresor y el protector para obtener (o
conservar) el valor tratado, enmarcada por la situación global.”
2.2.5 SEGURIDAD INFORMÁTICA
La seguridad informática es el área de la informática que se enfoca en la protección de la

infraestructura computacional y todo lo relacionado con esta (incluyendo la información). Para
ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La
seguridad de la información es una subárea de la seguridad informática que se enfoca
exclusivamente en la protección de la información, lo que comprende software, bases de datos,
metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta
llega a manos de otras personas. Este tipo de información se conoce como información
privilegiada o confidencial.
2.2.6 NIVELES DE SEGURIDAD INFORMÁTICA
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange

Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel
B2 abarca los subniveles B1, C2, C1 y el D.
Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables,
no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación
con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas
operativos que responden a este nivel son MS–DOS y System 7.0 de Macintosh.
14
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada

usuario puede manejar su información privada y se hace la distinción entre los usuarios y el
administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este “súper usuario”; quien tiene gran responsabilidad en la seguridad del
mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una
organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues
no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir
grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes de
comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser
accedido por un usuario sin autorización o identificación.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe llevar una
auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir
aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos,
permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino
también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas
las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para
estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de
administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta
de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien
ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede
modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto
15
del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico
(alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas,
etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen
controles para limitar la propagación de derecho de accesos a los distintos objetos.
Nivel B2: Protección estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a
un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos
usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios De Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de

administración de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un
monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las
deniega según las políticas de acceso que se hayan definido
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir
análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se
conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación,

mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un
usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar
análisis de canales encubiertos y de distribución confiable. El software y el hardware son
protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
16
Informática
La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento

automático de la información, utilizando sistemas computacionales, generalmente
implementados como dispositivos electrónicos. También está definida como el procesamiento
automático de la información.
Conforme a ello, los sistemas informáticos deben realizar las siguientes tres tareas básicas:
• Entrada: captación de la información.

• Proceso: tratamiento de la información.
• Salida: transmisión de resultados.
En los inicios del procesado de información, con la informática sólo se facilitaban los trabajos
repetitivos y monótonos del área administrativa. La automatización de esos procesos trajo como
consecuencia directa una disminución de los costes y un incremento en la productividad.
En la informática convergen los fundamentos de las ciencias de la computación, la programación

y metodologías para el desarrollo de software, la arquitectura de computadores, las redes de
computadores, la inteligencia artificial y ciertas cuestiones relacionadas con la electrónica. Se
puede entender por informática a la unión sinérgica de todo este conjunto de disciplinas.
Esta disciplina se aplica a numerosas y variadas áreas del conocimiento o la actividad humana,
como por ejemplo: gestión de negocios, almacenamiento y consulta de información,
monitorización y control de procesos, industria, robótica, comunicaciones, control de
transportes, investigación, desarrollo de juegos, diseño computarizado,
aplicaciones/herramientas multimedia, medicina, biología, física, química, meteorología,
ingeniería, arte, etc. Una de la aplicaciones más importantes de la informática es proveer
información en forma oportuna y veraz, lo cual, por ejemplo, puede tanto facilitar la toma de
decisiones a nivel gerencial (en una empresa) como permitir el control de procesos críticos.
Actualmente es difícil concebir un área que no use, de alguna forma, el apoyo de la informática.
Ésta puede cubrir un enorme abanico de funciones, que van desde las más simples cuestiones
domésticas hasta los cálculos científicos más complejos.
Entre las funciones principales de la informática se cuentan las siguientes:
• Creación de nuevas especificaciones de trabajo.

• Desarrollo e implementación de sistemas informáticos.
• Sistematización de procesos.
• Optimización de los métodos y sistemas informáticos existentes.
17
2.3 ÁREA DE INFORMÁTICA
Área informática
Al Área de Informática le corresponde diagnosticar, analizar, diseñar y aplicar la reingeniería de

sistemas, redes y equipos , así como llevar el inventario y actualizar la plataforma informática
adecuada a las necesidades de la dependencia, con el fin de organizar, desarrollar y facilitar el
soporte técnico en materia de informática que requieran las demás áreas.
El área de Informática de una Empresa se encarga de la recolección, manejo y almacenamiento

de datos de la misma, ya sea hacia el mundo externo de la empresa o la parte interna de la
misma. Para esto hay un entrecruzamiento constante de datos e información entre los distintos
empleados de esta área en virtud de lograr un mejor desempeño de la empresa.
El área de informática tiene como objetivo la estructuración de la información de la empresa,

para su mejor organización de datos por medio de la base de datos que podrán constatar o
visualizar por medio de la red interna de la empresa para un mayor control de la información.
En Comisión Federal de electricidad el área informática funciona para todos los departamentos
de la empresa ya mencionada tiene como función la organización de cada empleado
encomendado a un área específica que ellos monitorean para que no tenga ningún fallo en el
sistema de información a nivel software, hardware o red que no tengan fallos.
Red de computadoras
Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto
de equipos conectados por medio de cables, señales, ondas o cualquier otro método de transporte
de datos, que comparten información (archivos), recursos (CD-ROM, impresoras, etc.), servicios
(acceso a internet, e-mail, chat, juegos), etc.
Una red de comunicaciones es, también, un conjunto de medios técnicos que permiten la
comunicación a distancia entre equipos autónomos (no jerárquica -master/slave-). Normalmente
se trata de transmitir datos, audio y vídeo por ondas electromagnéticas a través de diversos
medios (aire, vacío, cable de cobre, cable de fibra óptica, etc.).
Para simplificar la comunicación entre programas (aplicaciones) de distintos equipos, se definió

el Modelo OSI por la ISO, el cual especifica 7 distintas capas de abstracción. Con ello, cada capa
desarrolla una función específica con un alcance definido.
18
2.4 ADMINISTRACIÓN DEL ÁREA DE INFORMÁTICA
Áreas funcionales en el departamento de informática
Coordinar las labores pertinentes a la administración y buen funcionamiento de los servidores y

de nuestra red LAN, WAN, Intranet e Internet de las oficinas centrales de CFE y de las oficinas
destacadas en las diferentes ciudades adyacentes a Poza Rica Veracruz, así como los servicios
prestados a las diferentes agencias de CFE.
Realizar labores de recuperación, y/o reinstalación de programas, necesarios para que el personal
profesional de CFE realice sus labores correspondientes. Esto implica mantener una disposición,
dado que somos un ente de servicio a muchos organismos, medios periodísticos, público en
general, etc.
Planear e implementar políticas de seguridad informática para la Institución.
Mantener y actualizar el sitio Web.
Evaluar las nuevas tecnologías y técnicas existentes, con la finalidad de mantener actualizada la
plataforma tecnológica de la organización.
Optimizar los Sistemas Informáticos para garantizar la gestión eficiente y efectiva en atención a
la visión de la organización.
Administración de las listas de correo de los diferentes departamentos
Administración de la dirección Ip de cada departamento de CFE
Seguridad de los sistemas de información.

Una de las preocupaciones a nivel empresa es la seguridad de la información, por ello se
incrementa más la evaluación de la seguridad informática en la empresa (CFE).
Seguridad informática sigue siendo, para varios entendidos, de carácter utópico, ya que no se ha
revelado en la actualidad un sistema que pueda ser 100% seguro, para que la seguridad en
sistemas de información sea eficiente debe cumplir con los siguientes requisitos. Un sistema
seguro debe constar de disponibilidad, es decir, la información debe estar disponible cuando se
la necesita; debe ser íntegro, dicha información no puede ser modificada por personal no
autorizado; debe ser confidencial, la información debe ser legible sólo por quienes están
autorizados y por último, debe ser irrefutable, su autoría no puede negarse.
19
Por lo cual la información, la documentación y registros que lleve el sistema debe ser de muy
reguardada ya sea por password en los discos duros y las bases de datos de la empresa solo
acceda información de la empresa, la evaluación constante de los usuarios del área de
informática para que tengan una buena estructuración y organización de la información.
Sistemas de red
En esta parte de sistemas de red intervienen mucho el área de informática como la auditoria
informática por que conlleva con la información de la empresa que con lleva con todos los
departamentos y agencias subyacentes a la empresa.
Para la auditoria de la seguridad de la red es conveniente tener bien organizadas las direcciones
Ip para una mayor organización en la auditoria y por medio de la direcciones saber en qué
departamento está la información auditar.
Software
Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital;
comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización
de tareas específicas, en contraposición a los componentes físicos del sistema, llamados
hardware.
Hardware
Corresponde a todas las partes físicas y tangibles de una computadora.
2.5 ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA
Primero que nada se define la administración de la función informática como un fenómeno que
se presenta ante la necesidad y exigencia del despilfarro de tecnología.
En el área de informática también es importante que los ingenieros o licenciados que estén en
este departamento, funge como administrador de la función informática de las organizaciones de
los departamentos por que como entes de la empresa deben llevar a cabo los requerimientos de la
información y apoyar a los demás departamentos administrativamente a que lleven una buena
organización de sus actividades que tengan que ver con los sistema operativo o software que
ocupen para mayor fluidez de desempeño.
Cabe destacar que toda información de esta empresa está centralizada en el área de informática
para su manejo adecuado de la información para proveer mejor seguridad.
20
Es importante que el departamento de informática este actualizado de la información de las
demás áreas para que el mejor uso de esta.
2.6 AUDITORIA EN INFORMÁTICA
Auditoria
Con frecuencia la palabra auditoria se ha empleado incorrectamente y se le ha considerado una

evaluación cuyo único fin es detectar errores y señalar fallas. Por eso se ha llegado a usar la frase
“tiene auditoria” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por
lo tanto se está haciendo la auditoria. El concepto de auditoria es más amplio; no solo detecta
errores: es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una
sección o de un organismo, y determinar cursos alternativos de acción para mejorar la
organización, y lograr los objetivos propuestos.
El boletín C de normas de auditoria del instituto mexicano de contadores nos dice:
La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos

procedimientos, cuyos resultados, una vez llevados a cabo, son de carácter indudable. La
auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los
procedimientos que deben de seguirse y estimar los resultados obtenidos.
Así como existen normas y procedimientos específicos para realización de auditorías, debe haber
también normas y procedimientos para la realización de auditorías en informática como parte de
una profesión. Estas pueden estar basadas en las experiencias de otras profesiones, pero con
algunas características propias y siempre guiándose por el concepto de que la auditoria debe ser
más amplia que la simple detección de errores, y que además la auditoria debe evaluar lo
existente, corregir errores y proponer alternativas de solución.
2.6.1 AUDITORIA CON INFORMÁTICA
Concepto de auditoria con informática
Los procedimientos de auditoria con informática varían de acuerdo con la filosofía y técnica de
cada organización y departamento de auditoria e particular. Sin embargo, existen ciertas
técnicas y/o procedimientos que son compatibles con la mayoría de los ambientes de
informática. Estas técnicas caen en dos categorías: métodos manuales y métodos por
computadora.
Utilización de las técnicas de auditorías asistidas por computadora
21
En general, el auditor debe utilizar la computadora en la ejecución de la auditoria, ya que esta
herramienta permitirá ampliar la cobertura del examen, reduciendo el tiempo / costo de las
pruebas y procedimientos del muestreo, que de otra manera tendrían que efectuarse
manualmente. Existen paquetes de computadoras (software) que permiten elaborar auditorías a
sistemas financieros y contables que se encuentran en medios informáticos. Además, el empleo
de la computadora por el auditor en:
• La utilización de programas de auditoria desarrollados por proveedores de equipo,

básicamente verifican la eficiencia en el empleo del computador
• Supervisan la elaboración de programas que permitan el desarrollo de la auditoria

interna.
Técnicas avanzadas de auditoria con informática
Pruebas integrales. Consiste en el procedimiento de datos de un departamento ficticio,

comparando estos resultados con resultados predeterminados. En otras palabras. Las
transacciones iniciadas por el auditor son independientes de la aplicación normal, pero son
procesadas al mismo tiempo. Se debe tener especial cuidado con las particiones que se están
utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar situaciones
anormales.
Simulación. Consiste en desarrollar programas de aplicación para determinada prueba y

comparar los resultados de la simulación con la aplicación real.
Revisión de acceso. Se conserva un registro computarizado de todos los accesos a determinados

archivos; ejemplo, información de la identificación de la terminal como el usuario.
Operación en paralelo. Consiste en verificar la exactitud de la información sobre los resultados

que produce un sistema nuevo que sustituye a uno ya auditado.
Evaluación de un sistema con datos de prueba. Esta verificación consiste en probar los resultados
producidos en la aplicación con datos de prueba contra los resultados que fueron obtenidos
inicialmente en las pruebas del programa (solamente aplicable cuando se hacen modificaciones
en un sistema)
Registros extendidos. Consiste en agregar un campo de control a un registro determinado, como

un campo especial a un registro extra, que puedan incluir datos de todos los programas de
aplicación que formen parte del procedimiento de determinada transacción.
22
Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares.
Cuando la información es necesaria, puede localizarse y recobrarse manualmente de área de
almacenamiento físico. En las aplicaciones computarizadas, la mayoría de los archivos están en
medios magnéticos. Deben utilizarse programas extractivos para recobrar la información de tales
medios, los cuales son normalmente muy rápidos y exactos, por ejemplo, en el caso de base de
datos.
Planeación de los procedimientos de auditoria con informática
El propósito principal de la planeación de las medidas de auditoria es incluir dentro de las

aplicaciones las facilidades que permiten realizar las actividades de auditoria de la manera más
fluida.
Existen ciertas habilidades fundamentales que deben ser consideradas como las más mínimas
que todo auditor de informática debe tener:
• Habilidad para manejar paquetes de procesadores de textos.

• Habilidad para manejo de hojas de cálculo.
• Habilidad para el uso del E-mail y conocimientos de internet.
• Habilidad para manejo de base de datos.
• Habilidad para el uso de al menos un paquete básico de contabilidad.
Las habilidades técnicas requerida por el auditor en informática son las de implantar, ejecutar y
comunicar los resultados de la evaluación en el contexto de la tecnología de información, de
acuerdo con estándares profesionales que gobiernen el objetivo de la auditoria.
2.6.2 DEFINICIÓN DE AUDITORIA EN INFORMÁTICA.
Concepto de auditoria en informática.
¿Qué es auditoria en informática? ¿Cuál es su campo de acción?
Esta es la definición de Ron Weber en Auditing Conceptual Foundations and Practice sobre
auditoria informática:
Es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los
sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la
organización en forma eficaz y eficiente.
Mientras que la definición de Mair William es la siguiente:
23
Auditoria en informática es la verificación de los controles en las siguientes tres áreas de la
organización (informática):
• Aplicaciones (programa de producción)

• Desarrollo de sistemas
• Instalación del centro de computo
Por tanto podemos decir que auditoria en informática es la revisión y evaluación de los
controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad; de la organización que participa en el procedimiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente, confiable y segura de la información que servirá de una adecuada toma
de decisiones.
La información contenida depende de la habilidad de reducir la incertidumbre depende del pago

asociado con la decisión que se realiza.
Los factores que pueden influir en una organización a través del control y la auditoria en
informática son:
• Necesidad de controlar el uso evolucionando de las computadoras

• Controlar el uso de la computadora, que cada día se vuelva más importante y costosa
• Los altos costos que producen los errores en una organización.
• Abuso en las computadoras
• Posibilidad de pérdida de capacitaciones de procedimientos de datos
• Posibilidad de decisiones incorrectas
• Valor del hardware, software y personal
• Necesidad de mantener la privacidad individual
• Posibilidad de pérdida de información o de mal uso de la misma
• Tomas de decisiones incorrectas
• Necesidad de mantener la privacidad de la organización
La información es un recurso necesario para la organización y para la continuidad de las

operaciones, ya que provee de una imagen de su ambiente actual, su pasado y su futuro. Si la
imagen de la organización es apropiada, esta crecerá adaptándose a los cambios de su entorno.
En el proceso de la información de deben detectar sus errores u omisiones, y evitar su

destrucción por causa naturales (temblores, terremotos, inundaciones etc.) o cualquier
contingencia que pudiera suscitarse.
24
La auditoría informática deberá comprender no solo evaluación de los equipos de cómputo o de
un sistema o procedimientos especifico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas; procedimientos, comunicación, controles, archivos,
seguridad, personal (desarrollador, operador, usuarios) y obtención de información. En esto se
deben incluir los equipos de cómputo, por ser la herramienta que permita obtener una
información adecuada y organización especifica.
2.6.2.1 CAMPO DE LA AUDITORIA EN INFORMÁTICA
El campo de acción de la auditoria en informática es:
• La evaluación administrativa del área de informática

• La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso
de la información. La evaluación de la eficiencia y eficacia con la que se trata.
• Seguridad y confiabilidad de la información
• Aspectos legales de los sistemas y de la información.
Los principales objetivos de la auditoria en informática son los siguientes:
• Salvaguardar los activos. Se refiere a la protección del hardware, software y recursos

humanos, como en la seguridad.
• Integridad de datos. Los datos deben mantener consistencia y no duplicarse
25
CAPITULO 3
ANTECEDENTES
DE LA EMPRESA Y
DEPARTAMENTO
A AUDITAR
26
3.1 INFORMACIÓN DE LA EMPRESA
La información fue obtenida de los manuales de información de la empresa COMISION

FEDERAL DE ELECTRICIDAD, DIVISION DE DISTRIBUCION ORIENTE ZONA DE
DISTRIBUCION POZA RICA VERACRUZ, la cual fue proporcionada, del área de informática
de esta institución.
La Comisión Federal de Electricidad (CFE) es una empresa pública encargada de controlar,

generar, transmitir y comercializar energía eléctrica en todo el territorio mexicano. Fue fundada
el 14 de agosto de 1937 por el Gobierno Federal y sus primeros proyectos se realizaron en
Teloloapan, Guerrero; Pátzcuaro, Michoacán; Suchiate y Xía, en Oaxaca, y Ures y Altar, en
Sonora. La CFE abastece cerca de 26.9 millones de clientes e incorpora anualmente más de un
millón.
Fundación
Antes de su fundación, el suministro eléctrico era proporcionado por tres compañías privadas,
The Mexican Light and Power Company, en el centro; el consorcio The American and Foreign
Power Company, con tres sistemas interconectados en el norte y, la Compañía Eléctrica de
Chapala, en el occidente de México.
Para 1937, México tenía 18.3 millones de habitantes de los cuales, solo siete millones de
mexicanos contaban con suministro eléctrico que era proporcionado con serias dificultades, por
lo que las interrupciones de luz eran constantes y las tarifas muy elevadas. Además, las empresas
encargadas del suministro no permitía el desarrollo del país porque únicamente se enfocaban a
los mercados urbanos más redituables, dejando a un lado las poblaciones rurales.
Por ello, el 14 de agosto de 1937, se creó la Comisión Federal de Electricidad, teniendo como
objeto un sistema nacional de generación, transmisión y distribución de electricidad, basado en
principios técnicos y económicos, sin fines de lucro y con un costo mínimo en beneficio de los
intereses generales.2 El 27 de septiembre de 1960, el Presidente Adolfo López Mateos, concluye
la nacionalización de la industria eléctrica, y se establece en el sexto párrafo del artículo 27
constitucional la exclusividad de la nación de generar, conducir, transformar, distribuir y
abastecer energía para la prestación del servicio público
27
NOMBRE DE LA EMPRESA:
COMISION FEDERAL DE ELECTRICIDAD
SISTEMA INTEGRAL DE GESTION

MISIÓN
Asegurarse, dentro de un marco de competencia y actualizado tecnológicamente, el servicio de
energía eléctrica, en condiciones de cantidad, calidad y precio, con la adecuada diversificación
de fuentes de energía.
Optimizar la utilización de su infraestructura física, comercial de recursos humanos.
Proteger el medio ambiente, promover el desarrollo social y respetar los valores de las
poblaciones donde se ubican las obras de electrificación.
VISIÓN
Ser una empresa de energía, una de las mejores en el sector a nivel mundial, con presencia
internacional, fortaleza financiera e ingresos adicionales por servicios relacionados con su
capital intelectual e infraestructura.
Una empresa reconocida por su competitividad, atención al cliente, calidad en el servicio,

capacidades de su personal, vanguardia tecnológica y aplicación de criterios de desarrollo
sustentable.
POLITICA INTEGRAL
Satisfacer las necesidades de energía de la sociedad, mejorando la competitividad asegurando la

eficacia de los procesos de la Dirección de Operación, sustentados en la autonomía de gestión de
sus áreas y con el compromiso de:
• Desarrollar el Capital Humano

• Prevenir y controlar los riesgos que afecten la integridad de los trabajadores e
instalaciones
• Cumplir con la legislación, reglamentación y otros requisitos aplicables y
• Prevenir la contaminación
• Mejorando continuamente la eficacia de nuestro Sistema integral de Gestión
28
OBJETIVOS E INDICADORES
1.- Satisfacer los requisitos y expectativas del cliente

• Satisfacción del cliente
• Compromisos de servicio
• Inconformidades por cada 1000 usuarios (sin imp.)
2.- operar sobre las bases de indicadores en materia de productividad y competitividad.

• Tiempo de interrupción por usuario (sin afecciones)
• Perdidas de energía
• Usuario por trabajador de operación
• Costo de kWh
3.- Promover la alta calificación y desarrollo profesional de los trabajadores

• Días anuales de capacitación
• Trabajadores evaluados en competencia laboral
4.- Garantizar la seguridad, salud y bienestar del personal

• Frecuencia
• Gravedad
• Ausentismo por enfermedad general
• Clima organizacional
5.- Optimizar la administración de los recursos materiales y financieros

• Ejecución del Despacho económico
• Cobranza
6.- Implementar acciones que contribuyan al desarrollo sustentable

• Capacidad efectiva con fuentes alternas
• Cumplimiento de matas ambientales
7.- Mejorar continuamente la eficacia del Sistema Integral de Gestión

• Eficacia del SIG
29
Organigrama de C.F.E. General División de distribución Oriente Zona de Distribución
Poza Rica
ORGANIGRAMA COORDINACION GENERAL
30
3.2 INFORMACIÓN DEL ÁREA DE INFORMÁTICA C.F.E. GENERAL DIVISIÓN DE
DISTRIBUCIÓN ORIENTE ZONA DE DISTRIBUCIÓN POZA RICA
La misión, visión y objetivos del área de informática están impresos y en la red, pagina web de
CFE, por lo que son concretos y específicos de la empresa, la información de dichos puntos son
internos de la empresa.
El organigrama del área de informática C.F.E. General División de distribución Oriente Zona de
Distribución Poza Rica
31
3.3 DESCRIPCIÓN DE PUESTOS
3.3.1 CAPACITACIÓN
La descripción de los puestos del área de informática están descriptos por puntos para su
mayor entendimiento por grados y especificaciones de cada puesto.
PERFIL DEL PUESTO
Puesto: Jefe de departamento zona

(Informática)
Área de responsabilidad:
Zona de distribución Poza Rica
Reporta a: Superintendente de zona
Descripción
Función general:
Planear, dirigir y supervisar las acciones necesarias para mantener el equipo de cómputo y los
sistemas que manejen en óptimas condiciones de operación; coadyuvar con los usuarios de la
informática en los proyectos, implementaciones, modificaciones y explotaciones de nuevos
sistemas, establecer la planeación estratégica e índices de productividad meta pro ejercicio.
Funciones del puesto:
Generales:
1. Administrar los procesos de su departamento, así como los recursos materiales y
humanos del mismo.
2. Participar en la elaboración de los presupuestos de gastos de inversión y explotación de
su departamento, así como vigilar y controlar su ejercicio.
3. Atender y dar seguimiento a las observaciones que se deriven de las verificaciones por
parte de los órganos de control externos e internos.
4. Evaluar el desempeño y los méritos del personal a su cargo de acuerdo al convenio de
productividad.
5. Participar en la evaluación y selección de personal se su departamento de acuerdo a las
políticas y procedimientos establecidos por la empresa.
6. Participar en las actividades del programa de ahorro de energía del sector eléctrico.
7. Participar en la formulación, integración y cumplimiento de las políticas que emanan de
la administración por calidad.
32
8. Promover e implementar nuevos métodos de trabajo que tiendan la mejora continua y
clima laboral
9. Coordinar la elaboración y cumplimiento de programas de trabajo de su departamento.
10. Definir las metas e indicadores de gestión de su área y coordinar las acciones para su
cumplimiento.
11. Promover y mantener en alto grado la apreciación e imagen de la institución en todo
ámbito de sus funciones.
12. Aplicar y promover el cumplimiento de la normatividad oficial, reglamentos ,
procedimientos y convenios vigentes
13. Promover el desarrollo profesional y calidad de vida del personal a su cargo
14. Participar en el proceso de elaboración de la planeación estratégica de su área y elabora
la planeación operativa de su departamento para lograr los objetivos estratégicos
15. Practicar y fomentar el equilibrio en las relaciones laborales con las representaciones
sindicales
16. Proporcionar el establecimiento de una cultura de seguridad industrial en el personal a su
cargo, utilizando los equipos y medios de protección personal
17. Cumplir con la normatividad, vigente, en materia de protección ambiental para el manejo
de materiales peligrosos y contaminantes, emisiones, reciclajes y cultura ecológica.
18. Mantener en buenas condiciones de operación del equipo, herramientas y vehículos
asignados a su departamento.
19. Realizar la gestión para la adquisición de equipos , materiales y servicios requeridos en el
área a su cargo
20. Participar en la elaboración, revisión y actualización de perfiles de puesto. Baterías de
capacitación y manuales de su área
21. Elaborar el programa de capacitación de su área así como asistir a cursos de capacitación
como instructor o participante.
22. Supervisar el cumplimiento de la normatividad vigente aplicable a su área
23. Conducir los vehículos oficiales respetando a los conductores y observando lo estipulado
en la normatividad de manejo defensivo.
Específicas:
1. Elaborar el programa para satisfacer los requerimientos de información de las áreas, en

base a datos existentes.
2. Participar en la planeación de la utilización del equipo de cómputo involucrado en
distintos sistemas, con la finalidad de que se encuentren disponibles en fechas u horarios
requeridos.
3. Colaborar con el desarrollo de metodología de trabajo para su área de acción,
asegurándose de su implementación
33
4. Coordinar la administración y seguimiento de fallas en el hardware y software para
determinar las causas avisando a sistematización divisional y al ingeniero del servicio y
tomando acciones necesarias para su corrección
5. Analizar y establecer planes de puesta en marcha y mantenimiento de hardware y
software, para que reúnan los rangos de calidad que permitan dar un servicio continuo
6. Analizar y proponer las dimensiones de los locales, ubicación estratégica, seguridad de la
instalación, así como configuración optima de equipos e instalaciones de
acondicionamiento.
7. Analizar las cargas de trabajo del personal bajo su dirección, estableciendo equilibrio
8. Establecer mecanismos de medición que le permitan detectar a tiempo desviaciones de
los calendarios establecidos y el control de la papelería así como el material de cómputo
necesario.
9. Capacitar el personal bajo si dirección y al nuevo ingreso y participar en el
adiestramiento del personal usuario del sistema
10. Atender caídas del sistema de cómputo, además de tomar parte para una rápida
continuidad, informar a los usuarios sobre la situación y, en su caso solicitar apoyo al
departamento de sistematización divisional.
11. Llevar registro de uso de dispositivos magnéticos papelería y diversos para mantener
continuamente una disponibilidad suficiente.
12. Establecer capacitación de mantenimientos del área en función de los requerimientos
13. Responsable de mantener en línea los servicios de la red (según horaio establecido para
cada tipo de servicios).
14. Elaborar informes avances, requerimientos, compromisos adquiridos, asi como datos
solicitados por las áreas servidas.
Requerimientos
Escolaridad (titulado en algunas de las siguientes licenciaturas):

1. Ingeniero o licenciado en sistemas computacionales
Conocimientos:
1. Introducción a cfe
2. Ley orgánica de la administración pública federal
3. Ley de responsabilidades de los servicios públicos
4. Ley federal de trabajo
5. Ley de servicio público de energía eléctrica
6. Administración básica
7. Manejo de la defensiva
8. Reglamento de seguridad e higiene en el trabajo
9. Contabilidad básica
34
10. Planeación estratégica
11. Calidad total
12. Sistema, procedimientos y normatividad relativas a la función
13. Lenguaje de programación
14. Sistemas operativos
15. Administración de sistemas
16. Administración de centro de cómputo.
Habilidades
1. Capacitación de negociación
2. Facilidad de comunicación y expresión
3. Trabajo bajo presión
4. Trabajo en equipo
5. De supervisión
6. Capacidad de evaluación y toma de decisiones
7. Manejo de conflictos
8. Capacidad de análisis
9. Motivación
10. Liderazgo
11. Creatividad
12. Objetividad
13. Planeación
14. Asertividad
15. Persuasión
16. Autocontrol
17. Tacto y diplomacia
Actitudes:
1. Honestidad
2. Lealtad
3. Responsabilidad
4. Respeto
5. De servicio
6. Tacto y sentido común
7. Trato amable y cortes
8. Innovación
9. iniciativa
10. cooperación
11. discreción
35
12. apertura a la critica
13. compañerismo
14. puntualidad y asistencia
Experiencia:
1. cuatro años en áreas técnicas o administración
Características físicas:
1. Buenos reflejos y autocontrol

2. Agudeza visual auditiva
3. Capacidad de atención y raciocinio
4. Facilidad de palabra
6. Capacidad para trabajar bajo presión
Disponibilidad:
1. Para laborar fuera de la jornada de trabajo cuando se requiera

2. Para recibir e impartir capacitación
Otros:
Acreditar exámenes
1. Psicométrico
2. Medico
3. Conocimientos
4. Compresión del idioma ingles
PERFIL DEL PUESTO
Puesto: Jefe de Oficina

(Informática)
36
Zona de distribución poza rica
Reporta a: Jefe de departamento
Descripción:
Planear, dirigir, y supervisar las acciones necesarias para mantener el equipo de cómputo y los
sistemas que se manejen en óptimas condiciones de operación, coadyuvar con los usuarios de la
informática en los proyectos, implementaciones, modificaciones y explotaciones de nuevos
sistemas, así como elaborar y analizar informes, reportes, procedimientos y métodos en su área
de trabajo.
Generales:
1. Administrar los procesos de su departamento, así como los recursos materiales y humanos
de la misma.
2. Estructurar los presupuestos de gastos de inversión y explotación para revisión del jefe de
departamento.
3. Atender y con oportunidad las observaciones que se deriven de las verificaciones por
parte de los órganos de control externos e internos.
4. Evaluar el desempeño y los méritos del personal a su cargo de acuerdo al convenio de
productividad.
5. Participar en la evaluación de personal de nuevo ingreso al área
6. Atender las actividades del programa de ahorro de energía del sector eléctrico.
7. Difundir y aplicar y verificar el cumplimiento de las política de calidad
8. implementar nuevos métodos de trabajo que tiendan la mejora continua y clima laboral
9. elaboración y cumplimiento de programas de trabajo de su departamento.
10. Conformar propuestas de las metas e indicadores de gestión de su área para revisión y
aprobación de jefe de departamento y coordinar las acciones para su cumplimiento
11. Promover y mantener en alto grado la apreciación e imagen de la institución
12. Ejercer y promover el cumplimiento de la normatividad oficial, reglamentos ,
procedimientos y convenios vigentes
13. Promover el desarrollo laboral y profesional a si cargo
14. Participar en la elaboración de la planeación estratégica de su área y elabora la planeación
operativa de su departamento para lograr los objetivos
15. Practicar y fomentar el equilibrio en las relaciones laborales con las representaciones
sindicales
16. Participar en las supervisiones para el reconocimiento, evaluación y control de los riesgos
de trabajo en su área de responsabilidad.
37
17. Cumplir con la normatividad, vigente, en materia de protección ambiental para el manejo
de materiales peligrosos y contaminantes, emisiones, reciclajes y cultura ecológica.
18. Mantener en buenas condiciones de operación del equipo, herramientas y vehículos
asignados a su departamento.
19. Realizar la gestión para la adquisición de equipos , materiales y servicios requeridos en el
área a su cargo
20. Participar en la elaboración, revisión y actualización de perfiles de puesto. Baterías de
capacitación y manuales de su área
21. Elaborar el programa de capacitación de su área así como asistir a cursos de capacitación
como instructor o participante.
22. Supervisar el cumplimiento de la normatividad vigente aplicable a su área
23. Conducir los vehículos oficiales respetando a los conductores y observando lo estipulado
en la normatividad de manejo defensivo.
Específicas:
1. Elaborar el programa para satisfacer los requerimientos de información de las áreas, en

base a datos existentes.
2. Participar en la planeación de la utilización del equipo de cómputo involucrado en
distintos sistemas, con la finalidad de que se encuentren disponibles en fechas u horarios
requeridos.
3. Colaborar con el desarrollo de metodología de trabajo para su área de acción,
asegurándose de su implementación
4. Coordinar la administración y seguimiento de fallas en el hardware y software para
determinar las causas avisando a sistematización divisional y al ingeniero del servicio y
tomando acciones necesarias para su corrección
5. Analizar y establecer planes de puesta en marcha y mantenimiento de hardware y
software, para que reúnan los rangos de calidad que permitan dar un servicio continuo
6. Analizar y proponer las dimensiones de los locales, ubicación estratégica, seguridad de la
instalación, así como configuración optima de equipos e instalaciones de
acondicionamiento.
7. Capacitar el personal bajo si dirección y al nuevo ingreso y participar en el
adiestramiento del personal usuario del sistema
8. Atender caídas del sistema de cómputo, además de tomar parte para una rápida
continuidad, informar a los usuarios sobre la situación y, en su caso solicitar apoyo al
departamento de sistematización divisional.
9. Llevar registro de uso de dispositivos magnéticos papelería y diversos para mantener
continuamente una disponibilidad suficiente.
10. Responsable de mantener en línea los servicios de la red (según horaio establecido para
cada tipo de servicios).
38
11. Elaborar informes avances, requerimientos, compromisos adquiridos, asi como datos
solicitados por las áreas servidas.
12. Analizar y evaluar los sistemas para lograr la calidad total de su servicio
13. Desarrollar en coordinación con el usuario las actividades relativas al análisis diseños e
implementación de los sistemas
14. Efectuar las adecuaciones y correcciones a los usuarios
15. Realizar pruebas pertinentes, modificaciones a los programas y obtener del usuario
correspondiente al aval de los resultados.
16. Las actividades aquí plasmadas son enunciadas mas no limitadas
Conocimientos:
1. Introducción a cfe
2. Ley orgánica de la administración pública federal
3. Ley de responsabilidades de los servicios públicos
4. Ley federal de trabajo
5. Ley de servicio público de energía eléctrica
8. Reglamento de seguridad e higiene en el trabajo
10. Planeación estratégica
11. Calidad total
12. Sistema, procedimientos y normatividad relativas a la función
13. Lenguaje de programación
14. Sistemas operativos
15. Administración de sistemas
16. Administración de centro de cómputo.
18. Manejo del equipo especializado en su área
Habilidades
1. Capacitación de negociación
2. Facilidad de comunicación y expresión
3. Trabajo bajo presión
5. De supervisión
6. Capacidad de evaluación y toma de decisiones
7. Manejo de conflictos
39
9. Motivación
10. Liderazgo
11. Creatividad
12. Objetividad
13. Planeación
14. Asertividad
15. Persuasión
16. Autocontrol
17. Tacto y diplomacia
Actitudes:
1. Honestidad
2. Lealtad
3. Responsabilidad
4. Respeto
5. De servicio
6. Tacto y sentido común
7. Trato amable y cortes
8. Innovación
9. Iniciativa
10. Cooperación
11. Discreción
12. Apertura a la crítica
13. Compañerismo
14. Puntualidad y asistencia
Experiencia:
1. cuatro años en áreas técnicas o administración
1. Buenos reflejos y autocontrol

2. Agudeza visual auditiva
3. Capacidad de atención y raciocinio
4. Facilidad de palabra
40
Disponibilidad:

Otros:
Acreditar exámenes
1. Psicométrico
2. Medico
3. Conocimientos
PERFIL DEL PUESTO
Puesto: Profesionista
(Informática)
Zona de distribución Poza Rica
Reporta a: Jefe de oficina o/

Jefe de Departamento
Descripción
Función general:
Proporcionar mantenimiento al hardware y software que opera en la empresa asi como

implementar y proporcionar soluciones informáticas que contribuyan al logro de las estrategias
empresariales vigentes.
Generales:
1. Participar en las actividades del programa de ahorro de energía del sector eléctrico.
2. Cumplir con las políticas que emanan del sistema de gestión por calidad
3. Promover y aplicar nuevos métodos de trabajo que tiendan la mejora continua y
relaciones con el personal de su área de descripción
41
4. Desarrollar las actividades inherentes a su puesto teniendo en conciencia y cuidados
pertinentes para evitar impactos ambientales adversos a los ecosistemas.
5. Cumplir con lo establecido en la reglamentación laboral acordada entre CFE y SURTEM
6. Elaborar en forma oportuna los reportes rutinarios y extraordinarios inherentes al
desarrollar al desarrollo de su función para las áreas que lo requieran
7. Promover y mantener en alto grado la apreciación e imagen de la institución en todo
ámbito de sus funciones.
8. Mantener en condiciones óptimas las instalaciones, equipo y herramienta de trabajo
necesario para el desempeño de su función, reportando a su jefe inmediato las pérdidas o
anomalías que presenten.
9. Utilizar y atender adecuadamente los medios de comunicación instalados en su lugar de
trabajo
10. Interpretar, aplicar los procedimientos, reglamentos instrucciones de trabajo, necesarios
para el correcto desempeño de su trabajo
11. Asistir a cursos de capacitación ya sea como participante o instructor cuando se le
requiera, así como la elaboración, revisión y actualización de manuales de instrucción.
12. Acatar promover y vigilar el cumplimiento de normas reglamentos, manuales,
programas, procedimientos y convenios vigentes aplicables en materia de seguridad
industrial, salud ocupacional, protección civil y políticas disciplinarias o de
reconocimiento a las actitudes seguras establecidas en el ámbito de la división.
13. Mantener en óptimas condiciones de presentación y limpieza el lugar de trabajo
mobiliario y equipo reportando a su jefe inmediato cualquier desperfecto o anomalía.
14. Participar con su jefe inmediato en la elaboración y planeación operativa
correspondiente a su función, teniendo como referencia la planeación estratégica de la
división
15. Cuidar y mantener su imagen personal ante los usuarios
16. Conducirse y comportarse con respeto y probidad ante el usuario, clientes y ciudadanía,
dirigiéndose a ellos con educación.
Específicas:
1. Analizar y evaluar los sistemas para lograr la calidad total en un servicio

2. Efectuar las adecuaciones y correcciones de los sistemas
3. Desarrollar en coordinación con el usuario las actividades relativas al análisis
4. Realizar pruebas pertinentes, modificaciones a los programas y obtener del usuario
correspondiente el aval de los resultados
5. Las actividades aquí plasmadas son enunciativas mas no limitativas
Requerimientos
Escolaridad (titulado en algunas de las siguientes licenciaturas):

42
1. Ingeniero o licenciado en sistemas computacionales
Conocimientos:
1. Introducción C.F.E. – S.U.T.E.R.M.

2. Relaciones humanas
3. Calidad total
4. Computación básica
5. Seguridad e higiene
8. Sistemas normas y procedimientos del área
9. Amplios conocimientos acerca de la materia de su especialidad
10. Contrato colectivo de trabajo
11. Manejo del equipo especializado en su área
12. Organización y objetivos C.F.E
14. Presupuesto C.F.E
15. Contabilidad C.F.E
16. Instructor de su especialidades
17. Electricidad básica
18. Sistemas informáticos
19. Sistemas informativos de diferentes procesos
Habilidades.
1. Razonamiento abstracto
2. Habilidad de negociación
3. Habilidad de evaluación de problemas interpersonales
4. Comprobación
5. Calculo aritmético
6. Clasificación
7. Toma de decisiones
8. Agilidad mental
9. Capacidad de análisis evaluación y síntesis
11. Razonamiento verbal
Actitudes:
1. Iniciativa
43
2. Organización
3. Disciplina
4. Responsabilidad
5. Honestidad
7. Presentación personal
8. Discreción
9. Trato amable y cortes interno y externo
Experiencia:
Ocho años en las áreas de su especialidad
1. Buena salud física y mental

2. Resistencia para permanecer sentado o por periodos prolongados
3. Agudeza visual y auditiva
Disponibilidad:

3. Para viajar en el desempeño de sus actividades
Otros:
Acreditar exámenes
1. Medico (según preceptos contemplados en el manual de medicina laboral de CFE)
2. De conocimientos
3. Psicométrico
3.4 SERVICIOS QUE PROPORCIONA EL ÁREA DE INFORMÁTICA CFE
Se encarga de todas las áreas de CFE para su mayor efectividad a la hora de elaborar todos los
usuarios (trabajadores de la empresa), se encarga del desarrollo y actualizaciones de nuevos
sistemas operativos a fines de la empresa la organización administrativa de los manuales del área
de informática para su mayor desempeño.
A continuación será clasificado el tipo de servicios que otorga el área de informática:
• Consulta de información en línea
• Modificación y actualización de la página web

44
• Actualización de S.O.
• Verificación de licencias
• Consulta y actualización de la base de datos
• Mantenimiento correctivo y preventivo de CFEmaticos
• Manteamiento preventivo y correctivo de PC´S
• Seguridad de la red
• Directorio activo
• Actualización y modificaciones de los manuales de informática
• Verificación de la seguridad de la base de datos de los servidores
• Servicio de e-mail
• Video conferencia en línea
• Telefonía IP
• Mantenimiento de usuarios y password
• Monitoreo de la red por medio de IP´S
• Auditoria interna al área
• Verificación de los sistemas de información
3.5 SISTEMAS INTERNOS QUE UTILIZA CFE
Los S.O. y software utilizados por CFE son verificados por los expertos del área y utilizados
antes por ellos para la aprobación de estos los cuales mencionaremos a continuación lo que
utiliza la empresa:
• Lotus : es un sistema cliente/servidor de colaboración y correo electrónico
• Windows XP: Un sistema operativo está compuesto por un conjunto de programas
• VNC: Esta aplicación, permite acceder desde un ordenador llamado cliente, a otro
ordenador llamado servidor, separados físicamente pero sin embargo, conectados
mediante una red. Una vez se ha establecido la comunicación, el equipo cliente
puede utilizar el equipo servidor, sin limitación alguna, salvo las que le imponga el
ancho de banda de la red. El resultado, es una visualización en pantalla del equipo
remoto, de su escritorio y todos sus programas. Normalmente, se puede utilizar el
45
ratón y ejecutar todas las aplicaciones. Para ello, es preciso instalar dos programas.
Un servidor VNC, en la máquina a la que queramos acceder, y un visualizador
VNC en la máquina cliente. Si utilizamos un visualizador en un sistema operativo
dado, y un servidor en otro diferente, ejecutaremos todo el sistema servidor en el
cliente. De esta forma, es posible ejecutar un sistema Windows completo, desde un
Macintosh, o Gnu/Linux
• Microsoft SQL Server: es un sistema para la gestión de bases de datos producido

por Microsoft basado en el modelo relacional. Sus lenguajes para consultas son T-
SQL y ANSI SQL. Microsoft SQL Server constituye la alternativa de Microsoft a
otros potentes sistemas gestores de bases de datos como son Oracle, Sybase ASE,
PostgreSQL, Interbase, Firebird o MySQL.
• Software para Tp`s terminal portátil cfwitzard: formateo de Tp´s y actualizaciones

según de su localidad.
• Siad: funcionamiento para solución interno y control de CFE
• Paquetería office 2003
• Mcafee: antivirus
• Macromedia flash - dreamweaver – Fireworks: creación y actualización de pagina

web
• Etc.
3.5.1 COORDINACIÓN DE REDES Y TELECOMUNICACIONES
• Es el responsable del establecimiento y funcionamiento de las redes

• computacionales del grupo.
• Es el responsable de los equipos de comunicación.
• Es el encargado de mantener comunicados los equipos de cómputo.
• Es el encargado de investigar y proponer soluciones de redes y comunicación.
3.5.2 DISEÑADORES DE REDES.
• Es el encargado del diseño e implementación de dichas redes.

• Analizar los puntos de conexión para determinar la instalación.
• Determinar el tipo de cable y la cantidad a utilizar en instalación.
• Determinar los tipos de dispositivos requeridos para la instalación.
• Proponer el software necesario para la red.
3.5.3 RESPONSABLES DE LA CONFIGURACIÓN DE SERVIDORES.

46
Es el responsable de la configuración e instalación del software necesario.
Administrar los canales de datos existentes y el hosting de la página WEB.
Manejar y controlar las licencias de software.
Gestión de direccionamiento IP
Manejo de contingencia de red
Manejo del inventario de equipos de red y servidores.
Manejo de planos de redes
Administrar el sistema de antivirus y las herramientas asociadas a éste.
Además:
• Configuración de Sistema Operativo
• Registro y ajustes de parámetros bases de Sistema Operativo(Drivers, Servicios, etc.)
• Configuraciones Conectividad de Sistema Operativo.(Ethernet, Conectividad, etc.)
• Creación y definición de políticas de acceso al Servidor.(Usuarios, Accesos, Carpetas,
etc.)
• Instalación Servicios WEB y FTP.
• Instalación Servicio Internet Information Server (IIS)
• Configuración de servicio WEB (Usuarios, rutas, permisos, etc.)
• Instalación Servicio FTP Microsoft en forma Privada
• Configuración de accesos a FTP bajo control autentificado.
• Instalación y configuración de módulos WEB
• ASP y ASP .NET versión 3, x
• PHP versión 5.x
• HTM y HTML Dinaminco Versiones 1 a 5.x
• Preinstalación de módulo PHPMyAdmin.
• Configuración de conectividad a servidor JSP existente (Resin sobre Linux).
47
CAPITULO 4
POLITICAS Y
PROCEDIMIENTOS
48
4.1 DESCRIPCIÓN DETALLADO DE LOS MANUALES
En los manuales otorgados por CFE del área de informática de Zona Poza Rica serán descriptas
para su información detallada de las políticas de seguridad y procedimientos.
POLÍTICAS DE INFORMACIÓN
POLÍTICA DE ADMINISTRACIÓN DE LA INFORMACIÓN
Toda la información de CFE está clasificada determinando el nivel de importancia de la
información de la organización de acuerdo a los procesos de negocio, facilitando a los
empleados su familiarización y los requisitos para su manejo.
VISIÓN GENERAL
Esta política está diseñada para promover mediante la administración de la información, el uso
eficiente de los activos de información para las diferentes áreas de proceso de negocio de la
CFE, contribuyendo en la toma de decisiones informada, facilitando la rendición de cuentas, la
transparencia y la colaboración, preservando y garantizando el acceso a la información y sus
registros para el beneficio de las generaciones presentes y futuras.
La política de Administración de Información proporciona también un marco para la gestión de
la información que complementa a las políticas existentes y futuras y las estrategias de CFE y
encarna las normas de la CFE, mientras que apoya a la consecución de los objetivos de negocio
de CFE.
Los procesos sustantivos de la CFE producen, a través de los sistemas correspondientes y como
parte de sus activos, información valiosa y de misión crítica para alcanzar metas y objetivos
estratégicos, por lo que dicha información se debe manejar responsablemente con el objeto de
mantener su integridad, privacidad y disponibilidad.
ALCANCE
Esta política aplica a toda la información que es propiedad de CFE, así como a los empleados,
contratistas, consultores, practicantes y toda persona asociada a la CFE, en el manejo de
información de la CFE.
ESTATUTO / POSTULADO DE LA POLÍTICA DE LA INFORMACION
La información es considerada como un activo propiedad de la CFE. La colección (captura), uso
y manejo de la información es responsabilidad del usuario. Las áreas de TICs de cada área de
proceso de negocio son guardianes de la información.
Se cuenta con un marco compuesto por estándares y procedimientos que especifican la
metodología de captura, almacenaje, análisis e intercambio de la información con el fin de
soportar lo siguiente:
• Un Modelo Común para el Intercambio de Información de CFE
• Que los usuarios lleven a cabo sus actividades cotidianas de manera eficiente y eficaz
• Disponibilidad de la información relevante y adecuada
• Operar dentro de los requisitos de la normatividad de CFE
• Apoyar e informar la toma de decisiones en CFE
• Responder adecuadamente a las peticiones de información y de datos
• Coadyuvar con el establecimiento de una cultura de orden y uso adecuado de los
49
Recursos de la empresa.
PLANEACIÓN DE LA INFORMACIÓN
Todos los procesos de la CFE planifican la información de acuerdo a sus necesidades de acceso,
distribución, capacidad de almacenamiento, procesamiento, cumpliendo con el Estándar de
Clasificación de Información y la Política de Administración del Ciclo de Vida de la
Información.
CANTIDAD DE LA INFORMACIÓN
La organización se asegura que la información es la mínima necesaria para el desempeño de
cada uno de los procesos de la CFE, evitando su duplicidad con el fin de maximizar su
aprovechamiento. Cuando la información deja de ser necesaria se procura una adecuada
depuración de la información tomando como referencia la Política de Administración del Ciclo
de Vida de la Información.
ACCESO A LA INFORMACIÓN
Las TICs garantizan el acceso a la información para que los usuarios lleven a cabo sus funciones.
La información está disponible en base a las funciones y responsabilidades de los usuarios;
cumpliendo con las directrices establecidas en la Política General de Seguridad.
Las áreas de proceso de negocio de la CFE implementan las acciones necesarias para cumplir
con el Modelo Común para el Intercambio de Información en CFE, para facilitar la
comunicación de la información entre los diversos procesos de la empresa.
MANEJO DE LA INFORMACIÓN
Cualquier información clasificada como sensible y/o vulnerable es cifrada cumpliendo con el
método contenido en la Política General de Seguridad. Las directrices sobre la clasificación de la
información están contempladas en el Estándar de Clasificación de Información.
Cada proceso de TICs protege los datos y/o la información considerando los mecanismos de
verificación, acceso y cifrado, como se especifica en la Política
General de Seguridad.
Todas las actividades de la CFE que generen información registran dicha información de manera
adecuada y precisa, tomando como referencia, en el caso de sistemas que usan bases de datos el
Estándar de Arquitectura de Información, y en otros casos considerando el Estándar de
Clasificación de Información así como los procedimientos y normas que cada área de proceso de
CFE considere aplicables.
Se administra el ciclo de vida de la información de acuerdo a la Política de Administración del
Ciclo de Vida de la Información, en el cual se define el proceso de almacenamiento, archivo y
disposición de información de manera que se mantiene su rentabilidad como activo generador de
valor para la CFE.
CLASIFICACIÓN DE LA INFORMACIÓN
La información se clasifica conforme a los criterios establecidos en el Estándar de Clasificación
de Información.
POLÍTICAS
• Política de Administración del Ciclo de Vida de la Información
• Política General de Seguridad
50
ESTÁNDARES
• Estándar de Clasificación de Información
• Estándar de Arquitectura de Información
OTRAS
• Modelo Común para el Intercambio de Información de CFE
CONSECUENCIAS DE LA NO APLICACIÓN DE LA POLÍTICA
El incumplimiento accidental o deliberado de las políticas, normas y procedimientos, es
considerado una falta administrativa y tendrá consecuencias laborales, administrativas y/o
penales a consideración de la CFE, dependiendo de la gravedad de la falta.
POLÍTICA ORGANIZACIONAL DE LA SEGURIDAD DE TICS.

VISIÓN GENERAL
Esta política dicta los lineamientos en materia de organización para que la CFE haga frente a los
compromisos que en materia de seguridad de TICs se deben llevar, cumpliendo con los objetivos
estratégicos.
ALCANCE
Esta política es de aplicación nacional para todas las áreas de proceso de negocio de la CFE y de
observancia por todo el personal interno y externo.
ESTATUTO / POSTULADO DE LA POLÍTICA DE LAS TICS
La CFE conforma, en el ámbito de su competencia, una estructura organizacional compuesta por
un grupo multidisciplinario que se enfoca a la seguridad de TICs, garantizando la
implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de la
seguridad.
ORGANIZACIÓN DE LA SEGURIDAD DE TICs
Para una correcta gestión de la seguridad de TICs, la estructura organizacional se conforma por
los siguientes órganos:
• Comité de Seguridad de TICs
• Área Coordinadora de la Seguridad
• Unidad de Auditoría de Seguridad
• Unidad de Respuesta a Incidentes
COMITÉ DE SEGURIDAD DE TICS
El Comité de Seguridad de TICs está presidido por el Director General de la CFE, lo integran los
Directores de la empresa y tiene las siguientes funciones:
• Aprobar la estrategia institucional en materia de seguridad
• Garantizar que las acciones del Sistema de Gestión de la Seguridad de TICs estén alineadas a
las atribuciones y los requerimientos e integrados a los procesos de CFE
• Vigilar el cumplimiento del Sistema de Gestión de la Seguridad de TICs
• Aprobar las principales iniciativas propuestas por el Área de Seguridad, tendientes a
incrementar la seguridad
• Supervisar que el Área Coordinadora y las Unidades de Auditoría y Respuesta a
51
Incidentes cumplan de manera efectiva con sus obligaciones en materia de seguridad
• Autorizar el manual de operación y funcionamiento del Comité, y
• Las demás que sean necesarias para el cumplimiento de sus funciones o sean encomendadas
por el Director General de la CFE.
ÁREA COORDINADORA DE SEGURIDAD
El Área Coordinadora de Seguridad está conformada por representantes de TICs de las áreas de
proceso de negocio de la CFE, presidido por un encargado de la Seguridad a nivel nacional
(CISO, por sus siglas en inglés) y tiene las siguientes funciones:
• Elaborar las estrategias de seguridad de la información, tomando en consideración los
requerimientos de seguridad de las unidades administrativas y operativas de la
CFE y el análisis de riesgo correspondiente.
• Coadyuvar con las unidades administrativas y operativas de la CFE a garantizar la
confidencialidad, integridad y disponibilidad de la información que posean en el ejercicio de sus
funciones.
• Diseñar soluciones de seguridad de la información.
• Coordinar las actividades de implementación de los controles de seguridad dispuestos
procedimientos y estándares.
• Documentar constantemente el estatus de seguridad dentro de la CFE, para la generación
continua de una base de datos de conocimientos y soluciones a los incidentes reportados.
• Conformar grupos de trabajo que permitan garantizar la seguridad de TICs.
• Proponer al Comité de Seguridad la Política General de Seguridad y sus objetivos para su
aprobación,
• Establecer, operar, monitorear, mantener y mejorar un Sistema de Gestión de Seguridad de
TICs
• Acordar y aprobar metodologías y procesos específicos relativos a la seguridad
• Elaborar el análisis de riesgos necesario para la implementación del Sistema de Gestión de
Seguridad de TICs de acuerdo con la Política de Administración de Riesgos
• Monitorear cambios significativos en los riesgos que afectan a los activos frente a las amenazas
más importantes
• Desarrollar y actualizar la Política de Continuidad de los procesos de CFE
• Promover la difusión de la cultura de seguridad dentro de la CFE
• Ser el representante de la CFE en los consejos técnicos y grupos de trabajo de seguridad que se
realicen en la Administración Pública Federal, y
• Las demás que sean necesarias para el cumplimiento de su objeto y las que le sean
encomendadas por el Director General de la CFE Para la ejecución de sus funciones, el Área
Coordinadora de Seguridad podrá contar con personal interno de la CFE o bien a través de la
contratación de terceros.
UNIDAD DE AUDITORIA DE LA SEGURIDAD
La Unidad de Auditoría de la Seguridad está conformada por un grupo de especialistas en
auditoria de Seguridad de TICs en el cual figura un representante del Órgano Interno de Control
de CFE, teniendo como funciones las siguientes:
52
• Desarrollar y mantener actualizada la Política de Cumplimiento.
• Llevar a cabo auditorías en materia de seguridad para revisar el cumplimiento de las
políticas, estándares y procedimientos, para lo cual, podrá apoyarse del personal que estime
necesario o un tercero contratado;
• Promover la cultura de seguridad en la CFE, y
• Las demás que sean necesarias para el cumplimiento de sus funciones.
CAPACITACIÓN
Todo el personal de la CFE cursa y acredita en su perfil de capacitación el Curso de Inducción a
la Seguridad de TICs de la CFE.
El personal involucrado en la Seguridad de TICs de la CFE recibe capacitación periódica (1 vez
al año como mínimo) en esta materia.
Todo el personal de la CFE es provisto de recursos que contribuyen a desarrollar una cultura de
Seguridad de TICs.
• Concientización.
Se aplican métodos para afianzar la cultura de seguridad en el personal tales como:
• Correos electrónico
• Videos institucionales
• Pláticas de seguridad de TICs
• Carteles o trípticos en materia de seguridad de TICs
POLÍTICA DE CUMPLIMIENTO DE SEGURIDAD EN TICS
VISIÓN GENERAL
Define los aspectos legales y de seguridad que se cumplen de manera permanente en la
Administración de la Seguridad de TICs, los mecanismos para mantenerlos actualizados y los
lineamientos para la ejecución de revisiones y auditorias.
ALCANCE
Esta política es de aplicación nacional para todas las áreas de la Institución y de observancia por
todo el personal interno y externo.
ESTATUTO / POSTULADO DE LA POLÍTICA DE LA SEGURIDAD DE LA TICS
La administración de la Seguridad de TICs en la CFE identifica y cumple con los requisitos
legales y de la Política General de Seguridad y ejecuta revisiones de auditoría para mantener la
mejora continua de los procesos.
CUMPLIMIENTO
REQUERIMIENTOS LEGALES
La persona encargada de la seguridad de TICs en cada área de la CFE documenta explícitamente
las legislaciones federal y local y supervisa el apego a las mismas en materia de comercio
electrónico, de acceso a sistemas y equipos de TICs y protección de datos personales.
La persona encargada de la seguridad de TICs en cada área de la CFE, documenta
explícitamente las legislaciones federal y local y supervisa el apego a las mismas en materia de
uso de licencias de software y derechos de autor de toda aplicación y herramienta de software.
53
Todo el software instalado en las computadoras de la CFE es licenciado o desarrollado
internamente y está de acuerdo a las disposiciones descritas para tal efecto en la Política de
Adquisición de TICs.
El Comité de Seguridad de la CFE identifica las restricciones y condiciones para la utilización de
tecnologías de cifrado descritas en el Estándar de Cifrado de Información.
REQUERIMIENTOS DE SEGURIDAD
La persona encargada de la Seguridad de TICs en cada área de la CFE supervisa el cumplimiento
de las políticas, estándares y procedimientos de seguridad.
REALIZACIÓN DE REVISIONES
Se establecen revisiones técnicas periódicas que cumplen con el Estándar de Auditoria de
Seguridad de TICs, para evaluar el grado de adecuación y cumplimiento con los controles de la
Seguridad de TICs y los requerimientos legales. Para lograr este objetivo, se consideran los
siguientes puntos:
Disponer de especialistas técnicos internos o externos para la revisión de cumplimiento de los
sistemas de TIC con relación a las políticas de seguridad y los requerimientos legales.
Considerar las herramientas o aplicaciones de software generador de reportes que puedan ser
interpretados por especialistas en detección de debilidades e incidentes de seguridad. La persona
encargada de la seguridad de TICs en cada área de la CFE, lleva el control de estas herramientas
y cuenta con un respaldo que la suple en caso de ser necesario.
Considerar pruebas periódicas de intrusión, realizadas por especialistas independientes
contratados exclusivamente para esa función.
Es la persona encargada de la Seguridad de TICs en cada área de la CFE quien supervisará las
actividades realizadas por externos que involucren detección de vulnerabilidades, pruebas de
intrusión y otras debilidades e incidentes de seguridad relacionados.
POLÍTICAS DE TELECOMUNICACIONES
POLÍTICA DE ARQUITECTURA DE RED DE
TELECOMUNICACIONES DE LA CFE
VISIÓN GENERAL
CFE cuenta con una Red de Telecomunicaciones que es compartida por todas sus áreas de
proceso de negocio. Para asegurar el oportuno intercambio de información entre sus áreas y la
interoperabilidad de los componentes de la Red, el crecimiento de la misma se realiza en forma
planeada, ordenada y homogénea. Por ello se ha definido una arquitectura para esta
Red que soporta los servicios existentes de voz, datos y video, al mismo tiempo que facilita la
actualización de plataformas tecnológicas, sin comprometer la seguridad de la información que
circula sobre la Red.
La Red de Telecomunicaciones brinda un soporte confiable que proporciona agilidad a la
empresa, permitiendo la difusión inmediata de información, facilitando la toma de decisiones,
contribuyendo al logro de las metas y objetivos de los procesos del negocio y a la mejora en la
experiencia total de los clientes finales de la empresa.
ALCANCE
54
Esta política aplica a todas las áreas de proceso de negocio de la Comisión Federal de
Electricidad, incluyendo la totalidad de los sistemas de transporte de información de voz, datos y
video.
ESTATUTO / POSTULADO DE LA POLÍTICA DE TELECOMUNICACIONES
Las áreas de proceso de negocio de la CFE se apegan a una sola Arquitectura de Red de
Telecomunicaciones para la planeación, instalación y operación de los sistemas de transporte de
información de voz, datos y video, utilizando a los estándares y procedimientos afines a esta
política, contribuyendo así el crecimiento eficiente, ordenado y homogéneo de la Red de
Telecomunicaciones de acuerdo a las necesidades de la empresa.
FACULTAMIENTO
El Artículo 14 del Estatuto Orgánico de la Comisión Federal de Electricidad, en su fracción IV
establece que es facultad de la Dirección de Modernización el establecer las políticas y
lineamientos en materia de Tecnologías de Información de la Comisión y establecer mecanismos
de gestión y seguimiento. La Dirección de Modernización ejercerá esta facultad a través de la
Gerencia de Tecnologías de Información (GTI).
La GTI podrá a su vez delegar funciones de acuerdo a la granularidad de la gestión de TICs y
necesidades de los diferentes procesos de la Comisión.
El ámbito de competencia de la GTI comprende el establecimiento y supervisión de las
obligaciones específicas que hayan de cumplir todos los procesos y áreas de la CFE en el ámbito
de las Telecomunicaciones, la resolución de conflictos y demarcación de fronteras operativas y
funcionales entre los distintos procesos, así como la administración y control de los recursos
limitados de Telecomunicaciones, como son el direccionamiento IP, la numeración telefónica y
el espectro radioeléctrico.
Las plataformas tecnológicas y componentes de la Red de Telecomunicaciones están definidos
en los estándares y procedimientos de tecnologías de información de CFE relacionados con esta
política. La Gerencia de Tecnologías de Información es responsable de controlar los documentos
de los estándares y procedimientos, así como de coordinar con los diferentes procesos de CFE la
actualización periódica y oportuna de éstos documentos, a fin de garantizar la modernidad y
funcionalidad de la Red de Telecomunicaciones.
El cumplimiento con estos estándares es requisito para la autorización de proyectos de
modificación o crecimiento de la Red de Telecomunicaciones.
Previo a su ejecución, todo proyecto de TICs que está basado y cumple con la normatividad
vigente en materia de TICs cuenta con una pre-aprobación para recibir el Aval de
Conformidad Técnica que otorga la Dirección de Modernización, a través de la Gerencia de
Tecnologías de Información. No obstante, los responsables de cada proyecto de TICs realizan las
gestiones correspondientes para obtener su Aval de Conformidad Técnica siguiendo el
Procedimiento de Solicitud de Aval de Conformidad Técnica.
RED DE TELECOMUNICACIONES DE LA COMISIÓN FEDERAL DE
ELECTRICIDAD
La Red de Telecomunicaciones de la Comisión Federal de Electricidad es un sistema privado de
cobertura nacional integrado por medios de transmisión de información tales como canales o
55
circuitos que utilizan bandas de frecuencias del espectro radioeléctrico, enlaces satelitales,
cableados, redes de fibra óptica o cualquier otro medio de transmisión, así como, en su caso,
centrales, dispositivos de conmutación o cualquier equipo terminal necesario para el transporte
de información.
La Red de Telecomunicaciones de la CFE está compuesta a su vez por diversos Sistemas de
Comunicaciones, que se clasifican en función de la naturaleza de la información que transportan,
el medio y la tecnología que utilizan. Los principales Sistemas de Comunicaciones son los
siguientes:
• Sistema General de Transporte de Información
• Sistema de la Red de datos TCP/IP
• Sistema de Telefonía
• Sistema de Radiocomunicación
• Sistema de Videoconferencia
Estos Sistemas de Comunicaciones están especificados en los estándares correspondientes
relacionados con esta política.
PRINCIPIOS GENERALES DE LA ARQUITECTURA DE LA RED DE
TELECOMUNICACIONES
La planeación, diseño e implementación de la Arquitectura de la Red de Telecomunicaciones
toma en cuenta los siguientes principios:
La Red de Telecomunicaciones provee la infraestructura necesaria para soportar las áreas de
proceso de negocio y áreas administrativas.
La Red de Telecomunicaciones tiene los atributos de disponibilidad, confiabilidad y operatividad
con un nivel de servicio que garantice la continuidad del negocio.
La Red de Telecomunicaciones se planea con facilidad de crecimiento y adaptabilidad al
cambio.
La Red de Telecomunicaciones está soportada por tecnologías de arquitectura abierta, basadas en
estándares tecnológicos industriales de amplia aceptación y facilidad de integración e
interoperabilidad.
La Red de Telecomunicaciones privilegia la seguridad de la información en función de su
sensibilidad.
La Arquitectura de la Red de Telecomunicaciones está orientada hacia la convergencia
tecnológica para que la red sea compartida por las aplicaciones de voz, datos y video de las áreas
de proceso de negocio de CFE.
La Arquitectura de la Red de Telecomunicaciones optimiza el aprovechamiento de las
inversiones de infraestructura sin sacrificar las necesidades de los procesos de la empresa y
garantizando la capacidad suficiente de transporte de información requerida por estos procesos.
La Arquitectura de la Red de Telecomunicaciones se orienta hacia la simplicidad y eficiencia,
eliminando elementos que puedan resultar innecesarios y que retrasen el transporte de la
información.
La Arquitectura de la Red de Telecomunicaciones está alineada con la Arquitectura Empresarial
de TICs de la Comisión Federal de Electricidad.
56
OBJETIVOS
Son objetivos de esta política los siguientes:
Lograr una infraestructura de Telecomunicaciones de primera clase, confiable, segura y
asequible a todos los trabajadores de la CFE que la requieran para el óptimo desempeño de sus
funciones.
Simplificar y armonizar las normas, elaboración y condiciones de autorización de los proyectos
de ampliación o modificación de la Red de Telecomunicaciones, a fin de facilitar su suministro.
Lograr la independencia orgánica y funcional de la Comisión Federal de Electricidad frente a las
entidades suministradoras de redes, equipos o servicios de telecomunicaciones.
POLÍTICA DE CONVERGENCIA TECNOLÓGICA Y COMUNICACIONES
UNIFICADAS
VISIÓN GENERAL
Con el objetivo de hacer más eficientes los procesos, manteniendo la seguridad y confiabilidad
de los mismos, se busca que los servicios de comunicaciones de voz, datos y video sean
provistos utilizando infraestructura compartida y arquitecturas simplificadas, teniendo como
objetivo complementario el desarrollo de una plataforma tecnológica que facilite las
comunicaciones unificadas entre aplicaciones de colaboración, mensajería, correo electrónico y
tele presencia.
Dicha estrategia permite que se reduzca la inversión y se empleen menos recursos para la
operación y mantenimiento de la infraestructura de transporte de información sin afectar la
continuidad del negocio. De la misma forma, la convergencia eficiente de los servicios permite
la interacción entre aplicaciones así como una operación más ágil, confiable y productiva.
También mejora las comunicaciones internas, incrementando la capacidad de colaboración entre
los empleados y los tomadores de decisiones, ayudando en la reducción de costos e impulsando
el incremento de la productividad del capital humano.
Debido a que la red de telecomunicaciones de CFE permite la comunicación entre cualquier par
de puntos en la red, es necesario que cada componente a lo largo de la trayectoria que utilizará el
tráfico de voz, datos y video, cumpla con los requisitos mínimos que permitan garantizar el
correcto funcionamiento, gestión y seguridad de la información.
ALCANCE
Esta política aplica a todas las áreas de proceso de negocio de la CFE que utilicen servicios de
voz, datos y video para desempeñar sus funciones.
La presente política es aplicable a la adquisición de equipo nuevo (ya sea para redes existentes o
por ser instaladas) para servicios de telecomunicaciones (voz, datos y video). En el caso de
dichos equipos, se considera la convergencia, consolidación e integración eficientes,
manteniendo una visión de comunicaciones unificadas como un aspecto fundamental. Esta
política no aplica a las TICs involucradas en el manejo de información de tiempo real de acuerdo
a lo definido a la Política de Infraestructura de Telecomunicaciones para el Sistema Eléctrico
Nacional.
ESTATUTO / POSTULADO DE LA POLÍTICA TECNOLÓGICA Y
COMUNICACIONES UNIFICADAS
57
Las aplicaciones de TICs y sistemas de telecomunicaciones que utilicen la red de datos de la
CFE son planeados, implementados, operados y administrados considerando la simplificación y
consolidación de recursos, con objeto de lograr un esquema de convergencia, interoperabilidad y
comunicaciones unificadas que abarque a todas las áreas y procesos de la CFE y que utilice una
sola infraestructura de transporte de información.
GENERALES
Todas las aplicaciones y servicios de TICs que utilicen la red de datos de la CFE como medio de
transporte deben utilizar el protocolo de red IPv4 (Internet Protocol versión 4).
Todas las aplicaciones y servicios de TICs que utilizan la red de datos de la CFE como medio de
transporte son capaces de convivir con otras aplicaciones sobre la misma infraestructura de
transporte de información.
DE LA RED DE DATOS
Todos los componentes de la red de datos de la CFE son aptos para administrar el tráfico
combinado de las aplicaciones y servicios de TICs, teniendo la capacidad de diferenciar de
manera lógica el tráfico de las distintas aplicaciones para conducir adecuadamente la
información a su destino.
La red de datos de la CFE es capaz de proporcionar a cada aplicación la calidad de servicio de
transporte de información que requiere para su adecuado funcionamiento entre dos puntos
cualesquiera que circule la información.
La red de datos tiene las siguientes características que le permiten soportar la convergencia de
servicios y aplicaciones:
• Capacidad de controlar el acceso a la red, aplicando mecanismos de detección, identificación,
autorización y otorgamiento de facultades a personas o dispositivos conectados a la red de datos.
• Protección de dispositivos y aplicaciones, evitando el uso y propagación de aplicaciones que
afecten el desempeño de los mismos.
• Respuesta dinámica a los cambios, adaptando de manera inmediata el comportamiento de la
red a los cambios en los patrones de tráfico y modificaciones de topología.
DE LAS COMUNICACIONES UNIFICADAS
Los servicios de telecomunicaciones y aplicaciones colaborativas son interoperables, usando el
protocolo IPv4 en la capa de red del modelo de interconexión de sistemas abiertos y teniendo la
capacidad de iniciar sesiones interactivas entre ellos mediante el uso de protocolos comunes en
las capas superiores de transporte, sesión, presentación y aplicación, operando así dentro de un
ambiente de comunicaciones unificadas.
La interoperabilidad de los sistemas de telecomunicaciones y aplicaciones colaborativas se
mantiene también hacia el exterior de la infraestructura de transporte de información de la
CFE, soportando el intercambio de información y el establecimiento de sesiones de manera
segura y confiable a través de redes privadas virtuales.
Los servicios de telecomunicaciones y aplicaciones colaborativas que están orientados hacia el
esquema de comunicaciones unificadas incluyen de manera no limitativa a los siguientes:
• Telefonía IP (Funcionando también como interfaz hacia la telefonía externa)
• Videoconferencia
58
• Tele presencia
• Mensajería instantánea (Chat)
• Correo de voz
• Correo electrónico
• Mensajes de texto breve (SMS)
• Fax
• Directorio de contactos
• Agenda electrónica
• Aplicaciones de procesamiento y edición de documentos
La manera en que cada una de estas aplicaciones y servicios cumple con lo establecido en la
presente política se describe en los estándares correspondientes.
DE LOS OBJETIVOS
Son objetivos de esta política los siguientes:
Disminuir los costos operativos al satisfacer las necesidades de transporte de información de las
aplicaciones y servicios de TICs con una sola infraestructura.
Garantizar la continuidad de las operaciones de la empresa enfocando el uso de las inversiones
de TICs en una sola infraestructura robusta y confiable, en lugar de dispersar los recursos en el
mantenimiento de múltiples infraestructuras fragmentadas.
Incrementar la productividad de los trabajadores de la CFE facilitando el establecimiento de
canales de comunicación eficientes que agilicen la colaboración y la toma de decisiones.
DE LAS RESPONSABILIDADES
Las áreas y procesos de CFE formulan sus proyectos de convergencia y comunicaciones
unificadas con apego a lo establecido en la Política de Arquitectura Empresarial de TICs.
La Gerencia de Tecnologías de Información es responsable de publicar y mantener actualizados
los estándares que afectan el cumplimiento de esta política de acuerdo a las tendencias
tecnológicas.
POLÍTICA DE ASIGNACIÓN DE EQUIPO Y SERVICIOS DE
TELECOMUNICACIONES
VISIÓN GENERAL
La Comisión Federal de Electricidad pone a la disposición de su personal diferentes equipos y
servicios de telecomunicaciones para el desarrollo de sus funciones cotidianas, mismos que por
naturaleza están encaminados a lograr los objetivos y metas del negocio de la empresa.
ALCANCE
Esta política es de carácter obligatorio para todas las áreas que conforman la Comisión.
Federal de Electricidad y se aplica a servicios como son la red de datos, el sistema de
videoconferencia, los servicios de radiocomunicación, los sistemas telefónicos y todos aquellos
equipos de telecomunicaciones que hacen uso de la infraestructura de transporte de información
de la CFE o que son utilizados para el aprovechamiento de uno de los servicios de
telecomunicaciones descritos.
59
ESTATUTO / POSTULADO DE LA POLÍTICA DE ASIGNACIÓN DE EQUIPO Y
SERVICIOS DE TELECOMUNICACIONES
Los equipos y servicios de Telecomunicaciones en la Comisión Federal de Electricidad son
asignados racionalmente, atendiendo las necesidades del proceso de negocio y manteniendo su
seguridad y confiabilidad.
PRINCIPIOS GENERALES PARA LA ASIGNACIÓN DE EQUIPO Y SERVICIOS DE
TELECOMUNICACIONES
Todos los equipos y servicios de Telecomunicaciones son asignados de acuerdo a los siguientes
principios:
Utilidad. Los equipos y servicios de Telecomunicaciones requeridos por las áreas de
CFE son útiles a los objetivos y metas del negocio.
Necesidad. Las áreas solicitan exclusivamente los equipos y/o servicios que son necesarios para
el desempeño de sus funciones.
Rentabilidad. El beneficio obtenido de la asignación y uso de los recursos de
Telecomunicaciones es suficiente en términos financieros para justificar su autorización.
Seguridad del Personal. Cuando la asignación de un equipo o servicio de telecomunicaciones se
traduce en una mejora sustantiva para la seguridad física del personal se procurará su inmediata
provisión.
Responsabilidad. Cada usuario de los equipos o servicios de telecomunicaciones es responsable
de su uso, cuidado físico y del contenido de la información que el mismo usuario envíe haciendo
uso de estos recursos, independientemente del origen de esta información.
Exclusividad. Cada equipo o servicio de telecomunicaciones que provee CFE y que es
susceptible de abuso tiene una asignación y uso exclusivos, es decir que son utilizados única y
exclusivamente por el usuario al cual fue asignado y que está facultado para ello, en beneficio de
los objetivos y metas de la organización. De esta manera se evita que exista ambigüedad en la
responsabilidad de su uso.
ENDURECIMIENTO DE SEGURIDAD PARA SISTEMAS OPERATIVOS
ACERCA DEL ENDURECIMIENTO DE SEGURIDAD PARA UNIX SCO OPEN
SERVER 5.06
Propósito: El endurecimiento a un Sistema Operativo es una estrategia de seguridad esencial,
posicionada entre la red y la aplicación. El propósito del endurecimiento es reducir un sistema a
su funcionalidad objetiva, y hacerlo tan seguro como sea posible. “La reducción del tamaño del
sistema operativo, implica menos servicios y mayor seguridad”.
Alcance: SCO por ende es un sistema operativo razonablemente seguro, sin embargo tiene
algunas vulnerabilidades. En este documento se pretenden dar los pasos detallados para
endurecer la seguridad contra esas vulnerabilidades. Asumimos que al sistema operativo le han
sido aplicados los respectivos parches de seguridad recomendados por el fabricante antes de
comenzar el procedimiento de endurecimiento.
Audiencia: Las entidades que deben conocer este documento son:
El personal de CFE el cual asumimos que cuenta con un buen conocimiento sobre la
administración de los sistemas SCO
60
Prerrequisitos: Para un mejor entendimiento de este reporte, se sugiere que el lector tenga un
nivel básico de conocimiento en los rubros de:
Instalación y administración del Sistema Operativo SCO, servidores de correo electrónico, Web,
bases de datos, file server y sistema de archivos en SCO
PROTEGER LOS ARCHIVOS DE CONFIGURACIÓN
VALIDACIÓN DE ESPACIO DISPONIBLE EN DISCO DURO O FILESYSTEM
SOBRE UNIX OPEN SERVER SCO 5.06
Ejecutar el comando para visualización de espacio en sistema
VALIDACIÓN DE RESPALDOS
1. Respaldar los archivos originales de configuración, bases de datos, aplicaciones y directorios
necesarios (Ejecutados por el administrador de sistema).
2. Enviar mensaje de aviso de mantenimiento a los usuarios con login en el sistema:
3. Respaldar tablas de rutas estáticas actuales en el archivo rutas_estaticas.txt.
4. Respaldo de archivos de configuración al igual que sus ligas, necesarios para roll back
Inmediato.
5. Capturar procesos en ejecución y puertos antes de hardening.
REVISIÓN DE RELEASES INSTALADOS DE SISTEMA OPERATIVO
Validar contra información del fabricante los paquetes o parches disponibles para su aplicación
previo análisis de impacto por el administrador del sistema.
ADMINISTRACIÓN DE USUARIOS Y POLÍTICAS DE CONTRASEÑAS
BÚSQUEDA DE ARCHIVOS CON PERMISOS ESPECIALES
Creación de lista de directorios y archivos con permisos y privilegios especiales (SUID-SGID)
para análisis de información en el archivo de salida files_perm.txt por el administrador del
sistema.
La recomendación es localizar y borrar/modificar los ejecutables SUID(4000)/SGID(2000)
innecesarios.
Un ejecutable SUID (set user ID, establecer identificador de usuario) o SGID (set group ID,
establecer identificador de grupo) es aquel que permite a un usuario ordinario ejecutarlo con
privilegios mayores de los que tiene por defecto. Un ejemplo común es el binario passwd el cual,
entre otras cosas, permite a un usuario normal cambiar su contraseña. Estas contraseñas están
almacenadas en un archivo que solo puede ser alterado por el usuario root. Los permisos de
acceso para este ejecutable son:
Búsqueda de archivos con SUID-SGID
Deberá el administrador recorrer cada uno de los elementos de las lista intentado reducir el
número de los archivos cuyo dueño sea el usuario root o que estén en el grupo root a lo mínimo
imprescindible bien borrando los binarios SUID/SGID innecesarios y/o borrando el bit
SUID/SGID.
IMPLEMENTACIÓN DE LA POLÍTICA INSTITUCIONAL DE USUARIOS Y
CONTRASEÑAS
Modificar los archivos de configuración de usuarios y contraseñas en base a la política
institucional de la organización, sino existe recomendar la definición de una.
61
Nota: La política institucional se encuentra en proceso de validación.
ASIGNAR PERMISOS DE ARCHIVOS DE AUDITORIA DE SISTEMA, SOLO A
CUENTAS Y GRUPOS DE ADMINISTRACIÓN
Revisar que no existan permisos de escritura en los archivos de registro de bitácoras de sistema o
aplicaciones. Revisar que el dueño y grupo de los archivos de log de sistema no pertenezcan a
cualquier usuario no valido o autorizado.
Ejemplo:
Revisar permisos de archivos de log de sistema.
ANÁLISIS DE SERVICIOS DEL SISTEMA OPERATIVO

SYSLOG
Editar el archivo de configuración de syslog : /etc/syslog.conf para agregar auditorias de sistema
personalizadas por el administrador.
Envío de mensajes de tipo alerta a los usuarios root y paco(ejemplo).
Se recomienda utilizar programas de detección de intrusos que compruebe los archivos de su
sistema de manera periódica para ver si alguno de ellos ha sido modificado. Si alguno se ha
modificado y no debería haberlo sido. Tripwire es un programa que generará un informe para
que puedas tomar decisiones según esta información.
ENDURECIMIENTO DE SEGURIDAD PARA WINDOWS XP PROFESIONAL
su funcionalidad objetiva, y hacerlo tan seguro como sea posible.
Alcance: Este documento contiene modificaciones a la seguridad de Windows, incluyendo,
procedimientos de instalación, la afinación, despliegue y mantenimiento en curso. Además el
documento contribuirá a:
• Desarrollar una metodología de endurecimiento
• Recolectar los requerimientos y especificaciones
• Desarrollar un endurecimiento total de un equipo de Windows XP
Aplicación de Endurecimiento en Capa 1
• Éste es un documento que es más adecuado para el personal de IT, el cual deberá de
contar con un buen conocimiento técnico de los sistemas Windows.
Prerrequisitos: Para un mejor entendimiento de este reporte, se sugiere que el lector tengaun
Instalación del Sistema Operativo, roles y asignaciones, manejo de políticas y permisos,
TCP/IP, esquema de servicios del Sistema Operativo.
62
REQUERIMIENTOS
Basados en el procedimiento de endurecimiento para poder aplicar ese lineamiento de
endurecimiento de configuración es necesario lo siguiente:
• Se debió realizar una validación previa de lo servicios con los que cuenta el sistema
Windows y que estos estén contemplados dentro de este documento.
En caso de que el servidor a endurecer cuente con servicios no considerados en el lineamiento se
debe hacer lo siguiente:
• Montar un laboratorio de prueba.
• Adecuar el o los nuevo(s) servicio(s) a la base de configuración.
• Validar servicios en el laboratorio de funcionalidad con el área usuaria.
• Documentar los cambios y generar una nueva versión de la base de configuración.
Para llevar a cabo las actividades de endurecimiento en un equipo en Producción se debe realizar
lo siguiente:
• Tener llenado el cuestionario de levantamiento de información.

• Validar el plan de trabajo con el área usuaria.
• Identificación de la capa que pertenece.
• Tener un respaldo de por lo menos 2 horas de diferencia.
• Contar con procedimiento de Roll-Back
• Solicitar ventana de mantenimiento.
• Efectuar matriz de pruebas previó al endurecimiento para validar funcionalidad.
• Aplicar endurecimiento basado en los pasos del lineamiento de endurecimiento.
• Aplicar matriz de pruebas posterior.
• Validar funcionalidad
• Generar Memoria Técnica para firma de satisfacción.
RESPALDO DE POLÍTICAS
Se deberá realizar un respaldo de la configuración del equipo.
Al abrir la aplicación de respaldo, poner la opción de elegir manualmente lo que se desea
respaldar y ya estando en el árbol de directorios, seleccionar dentro de MI PC únicamente el
System State.
Seguir las instrucciones y salvarlo en una unidad externa USB, Floppy o CD.
ENDURECIENDO LOS SERVICIOS

Para cada equipo en particular se debe hacer una revisión de los servicios que se encuentran
habilitados y usados. Para esto es necesario utilizar la herramienta “depends.exe” (Se encuentra
en un archivo comprimido). Esta herramienta nos va mostrar todas las dependencias de los
63
servicios que utilizan el equipo, y así poder identificar los necesarios requeridos y los que no
están siendo utilizados.
Es importante deshabilitar lo que no se use ya que así se disminuye los riesgos de puertas
abiertas que en un determinado tipo de ataque puedan explotar ese servicio.
SERVICIOS DE RED
ASEGURANDO LAS CUENTAS “CONOCIDAS”.
Se deben renombrar las cuentas conocidas tales como Administrador o Administrador.
De igual manera se deben cambiar sus descripciones.
CONFIGURACIÓN DEL SERVICIO DE IPSEC.
Para el caso de servidores con más de una tarjeta de red, será necesario desligar los servicios que
no son necesarios para la operación del servidor en cada tarjeta instalada. Esto no aplicará para
servidores sobre una DMZ o Firewalls.
FILTRADO DE CONEXIONES TCP IP
En cada adaptador de red será necesario filtrar los puertos a utilizar,
Seleccionar el adaptador de red a configurar→clic derecho→Properties→Advanced
→Options→TCPIP Filtering.
Configurar los parámetros en la siguiente llave del registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
CONFIGURACIÓN SEGURA DE ARCHIVOS DE SISTEMA
Se debe validar que los únicos usuarios dentro del directorio %SystemRoot%\system32 con
permisos de “FULL CONTROL” se encuentren de la siguiente manera:
• Administrator: Full Control
• Administrators: Full Control
• System: Full Control
Con esto se asegurarán los siguientes archivos de sistema:
regedit.exe arp.exe
• at.exe
• attrib.exe
• cacls.exe
• debug.exe
• edlin.exe
• eventcreate.exe
• eventtriggers.exe
• ftp.exe
• nbtstat.exe
• net.exe
• net1.exe
• netsh.exe
• netstat.exe
• nslookup.exe
64
• ntbackup.exe
• rcp.exe
• reg.exe
• regedt32.exe
• regini.exe
• regsvr32.exe
• rexec.exe
• route.exe
• rsh.exe
• sc.exe
• secedit.exe
• subst.exe
• systeminfo.exe
• telnet.exe
• tftp.exe
• tlntsvr.exe
INSTALACIÓN DE HOT-FIX Y SERVICE PACKS

Después de instalar el Sistema Operativo, las aplicaciones y los servicios a utilizar en el servidor,
será necesario instalar los respectivos Service Packs y Hotfixes recomendados por el fabricante.
Para realizar este proceso es necesario accesar al sitio: www.windowsupdate.com
Entre ellos se encuentran:
• Windows XP Server Service Pack 2
En caso de realizar solo el endurecimiento en CAPA 1, pasar al final de documento para realizar
el Escaneo de Vulnerabilidad.
ESCANEO DE VULNERABILIDADES
Una vez que se termina de realizar el endurecimiento se debe realizar un escaneo de
vulnerabilidades utilizando alguna de las siguientes herramientas:
• Nessus
• Internet Scanner
• Retina
El resultado de este escaneo servirá para validar el resultado del endurecimiento y la situación
postendurecimiento del equipo.
RESTAURACIÓN DE RESPALDO EN CASO DE ROLL-BACK
En caso de requerir regresar a la configuración previa al inicio de endurecimiento, se deberá
regresar la configuración del servidor previa utilizando el respaldo realizado de acuerdo a este
procedimiento Ver Respaldo.
Seleccionar restaurar desde el archivo de respaldo. Una vez seleccionado, continuar con las
instrucciones y finalizar la herramienta.
ENDURECIMIENTO DE SEGURIDAD PARA WINDOWS 2003 SERVER
65
su funcionalidad objetiva, y hacerlo tan seguro como sea posible.
Alcance: Este documento contiene modificaciones a la seguridad de Windows, incluyendo,
procedimientos de instalación, la afinación, despliegue y mantenimiento en curso. Además el
documento contribuirá a:
• Recolectar los requerimientos y especificaciones
• Desarrollar un endurecimiento total de un servidor de Windows
• Aplicación de Endurecimiento en Niveles de Seguridad 1 y 2
contar con un buen conocimiento técnico de los sistemas Windows.
Instalación del Sistema Operativo, roles y asignaciones, manejo de políticas y permisos,
TCP/IP, esquema de servicios del Sistema Operativo.
REQUERIMIENTOS
Basados en el procedimiento de endurecimiento para poder aplicar ese lineamiento de
endurecimiento de configuración es necesario lo siguiente:
• Se debió realizar una validación previa de lo servicios con los que cuenta el sistema
Windows y que estos estén contemplados dentro de este documento.
• En caso de que el servidor a endurecer cuente con servicios no considerados en el
lineamiento se debe hacer lo siguiente:
• Montar un laboratorio de prueba.
• Adecuar el o los nuevo(s) servicio(s) a la base de configuración.
• Validar servicios en el laboratorio de funcionalidad con el área usuaria.
• Documentar los cambios y generar una nueva versión de la base de configuración.
Para llevar acabo las actividades de endurecimiento en un equipo en Producción se deb realizar
lo siguiente:
• Tener llenado el cuestionario de levantamiento de información.
• Validar el plan de trabajo con el área usuaria.
• Identificación del nivel de seguridad al que pertenece.
• Tener un respaldo de por lo menos 2 horas de diferencia.
• Contar con procedimiento de Roll-Back
• Solicitar ventana de mantenimiento.
• Efectuar matriz de pruebas previó al endurecimiento para validar funcionalidad.
• Aplicar endurecimiento basado en los pasos del lineamiento de endurecimiento.
• Aplicar matriz de pruebas posterior.
66
• Validar funcionalidad
• Generar Memoria Técnica para firma de satisfacción.
ESCANEO DE VULNERABILIDADES PRE ENDURECIMIENTO

Se deberá realizar un escaneo de vulnerabilidades previo utilizando alguna de las siguientes
herramientas:
• Nessus
• Internet Scanner
• Retina
El resultado de este escaneo servirá como referencia de la situación actual del equipo, las
vulnerabilidades con las que cuenta y se utilizará para validar el resultado del escaneo.
RESPALDO DE POLÍTICAS
Se deberá realizar un respaldo de la configuración del equipo, para esto se debe realizar lo
siguiente:
Programas – Accesorios – Herramientas de Sistema - Backup.
Al abrir la aplicación de respaldo, poner la opción de elegir manualmente lo que se desea
respaldar y ya estando en el árbol de directorios, seleccionar dentro de MI PC únicamente el
System State.
Seguir las instrucciones y salvarlo en una unidad externa USB, Floppy o CD.
ENDURECIMIENTO DESEGURIDAD PARA COMUNICACIONES
INALAMBRICAS
Endurecimiento de Seguridad para Access Point 3com
Propósito: El endurecimiento de un Access Point es una estrategia de seguridad esencial, cuyo
propósito es reducir el riesgo de permitir un acceso no valido a través de las redes inalámbricas.
Alcance: Este documento contiene modificaciones a la seguridad Access Points 3com,
incluyendo medidas de administración segura, configuración de métodos de asociación,
configuración de registro de bitácoras, configuración de servicios, etc. Además el documento
contribuirá a:
• Tener un conocimiento más claro de algunos ataques y como evitarlos
contar con un buen conocimiento técnico en administración e instalación de Access
Points.
buen nivel de conocimiento en los rubros de:
Redes de datos, tecnologías de ruteadores, switches, ruteo, TCP/IP, y esquemas de seguridad y
redes inalámbricas.
Guías para el Endurecimiento
67
Las recomendaciones o lineamientos para el endurecimiento de Access Points, se agruparon de
acuerdo al propósito que tienen para restringir los servicios que se dan a través del mismo y del
aseguramiento del dispositivo.
No todas las recomendaciones que se indican en la guía deberán ser aplicadas. La aplicación de
muchas de ellas dependerá del tipo de Access Point, la capacidad tecnológica que tengan los
clientes que se asociarán, el tipo de tráfico que estará pasando por él.
Las recomendaciones generales de endurecimiento las agrupamos en los siguientes incisos, que
representan una forma ordenada para aplicar las mismas para restringir la administración del
dispositivo y la forma de asociación de los clientes al mismo.
4 NIVEL DE SEGURIDAD 1.
A. Seguridad Física: Verificación de las condiciones físicas del equipo y del lugar donde se
encuentra instalado.
B. Respaldo de la configuración: El primer paso de un endurecimiento es cerciorarnos que
exista un respaldo actualizado de la configuración y del sistema operativo del equipo al que se
aplicarán las medidas de endurecimiento.
C. Actualización del Sistema Operativo: Es importante debido a que muchas de las fallas o
vulnerabilidades en el código de los sistemas operativos son solucionadas por el fabricante el
cual emite una nueva versión del Sistema Operativo y lo recomendable es mantener los
dispositivos actualizados.
D. Administración remota segura. Son lineamientos generales para asegurar y restringir el
acceso al Access Point.
E. Configuración del Service Set Identifier (SSID). El Service Set Identifier conocido como
SSID es el identificador de la red inalámbrica utilizado por los clientes para asociarse a dicha
red.
F. Configuración de bitácoras: El objetivo de registrar los eventos del Access Point es tener al
igual que con los demás elementos de la red como son los ruteadores y los switches información
sobre los eventos que están presentándose en cada uno de los dispositivos.
G. Configuración de Servicios: Es necesario asegurar la correcta configuración de los servicios
que pueden ser ofrecidos por el Access Point los cuales son SNMP, DHCP y
CDP.
H. Restricciones mínimas de configuración para asociaciones: Definición de las restricciones
mínimas para asociación de clientes al Access Point.
NIVEL DE SEGURIDAD 2.
I. Esquemas de asociación recomendados: configuración de esquemas de asociación con
mayor nivel de seguridad dependientes de la capacidad tecnológica del Access Point y de los
clientes que se asociarán a él.
NIVEL DE SEGURIDAD 3.
No existen mediada asociada en un nivel 3 para estos dispositivos, todas aquellas redes que se
encuentren a un nivel de seguridad 3 no tendrán permitido la conexión por redes inalámbricas.
68
De acuerdo con la metodología desarrollada para el endurecimiento de los dispositivos de CFE,
todo proceso de endurecimiento debe iniciar con la generación de un respaldo del IOS y del
archivo de configuración del dispositivo.
A continuación se describen de manera detallada las recomendaciones previamente mencionadas
para la definición de las listas de accesos bajo un orden metodológico, conjuntadas en grupos de
listas de accesos que tienen propósitos específicos.
69
CAPITULO 5
CUESTIONARIOS
Y ENTREVISTAS
70
EVALUACION DE RECURSOS HUMANOS
ZONA POZARICA VERACRUZ
CUESTIONARIO
OBJETIVO: DESEMPEÑO Y CUMPLIMIENTO

El desarrollo del personal implica:
Establecer promociones y oportunidades de desarrollo
Educación y capacitación. Estas actividades mantienen la moral y las habilidades de los
empleados en un nivel adecuado para cumplir con los objetivos y metas encomendadas, y les
permitirá tener mayor motivación y mejores remuneraciones.
El cuestionario es para obtener información:
• Desempeño y comportamiento
• Condiciones de ambiente de trabajo
• Organización en el trabajo
• Desarrollo y motivación
• Capacitación y supervisión
DESEMPEÑO Y CUMPLIMIENTO
¿Es suficiente el número de personal para el desarrollo de las funciones de área?

Sí No
¿Se deja realizar alguna actividad por falta de personal?
Sí No
¿Está capacitado el personal para realizar con eficacia sus funciones?
Sí No
No, ¿Por qué?
¿Es eficaz en el cumplimiento de sus funciones?

Sí No
No, ¿Por qué?
¿Es adecuada la calidad del trabajo del personal?
Sí No
No, ¿Por qué?
¿Es frecuente la repetición de los trabajos encontrados?
Sí No
No, ¿Por qué?
No porque todo tiene seguimiento de las realizaciones de los trabajados que desempeñan los
empleados de Comisión Federal de Electricidad
71
En general ¿acata el personal las políticas, sistemas y procedimientos establecidos?
Sí No
No, ¿Por qué?
¿Alguna de las situaciones anteriores provoca un equilibrio de las cargas de trabajo?
Sí No
Si, ¿Qué se hace al respecto?
¿Respeta el personal la autoridad establecida?
Sí No
No, ¿Por qué?
¿Existe cooperación por parte del personal para la realización del trabajo?
Sí No
No, ¿Por qué?
¿El personal tiene afán de superación?
Sí No
¿Presenta el personal sugerencias para mejorar el desempeño actual?
Sí No
¿Cómo consideras las sugerencias?
Como secuencia de labor del trabajador para un mejor desempeño
¿Qué tratamiento se les da?
Actualizaciones al desempeño que cada trabajador realiza, como cursos y conferencias.
¿Se toman en cuenta las sugerencias de los empleados?
Sí No
¿En qué forma?
En forma de juntas que se desempeñan dentro de la empresa
¿Cómo se les da respuesta a las sugerencias?
Por medio de escritos firmados por el jefe del departamento ya que estén supervisados y
aprobados.
CAPACITACIÓN
Uno de los puntos que se deben evaluar con más detalle dentro del área de informática es la
capacitación; esto se debe al proceso de cambiante y el desarrollo de nuevas tecnologías en el
área.
Los programas de capacitación incluyen el personal de:
• Dirección. (x)
• Análisis. (x)
• Programación. (x)
• Operación. (x)
• Administración. (x)
72
• Administración de bases de datos. (x)
• Comunicaciones redes. (x)
• Captura. (x)
• Otros (especificas) ( )
¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área?
Sí No
No, ¿Por qué?
¿Se desarrolló programas de capacitación para el área?
Sí No
No, ¿Por qué?
¿Apoya la superioridad la realización de estos programas?
Sí No
¿Se evalúan los resultados de los programas de capacitación?
Sí No
No, ¿Por qué?
Solicite el plan de capacitación para el presente año
SUPERVISIÓN
¿Cómo se lleva a cabo la supervisión del personal?

Por medio de encuestas y por productividad del personal
En caso de no realizarse, ¿Por qué no se realiza?
¿Cómo se controlan el ausentismo y los retardos del personal?
Con un control internos por medio de lector de huellas que lleva un reloj que dicta la hora de
entrada y salida del personal.
¿Por qué no se llevan controles?
¿Cuál es la finalidad de la evaluación del personal?
Tener como base un panorama de cómo se comporta a nivel profesional en la empresa a nivel del
personal que trabaja en CFE
LIMITANTES
¿Cuáles son los principales factores internos que limitan el desempeño del personal?
No hay limitantes
¿Cuál es el índice de rotación de personal en;
• Análisis? ()
• Operación ()
• Administración ()
73
• Captura ()
• Programación ()
• Dirección ()
• Administración de base de datos ()
• Comunicaciones redes ()
• Técnicos ()
• Otros? (especifique) (x)
En términos generales, ¿se adapta el personal al mejoramiento administrativo (resistencia al

cambio)?
Si se adapta al cambio administrativo.
¿Cuál es el grado de disciplina del personal?
El grado de disciplina es alto en CFE porque tiene reglas y normativas que acatan y para ellos es
un orgullo pertenecer a esta empresa.
¿Cuál es el grado de asistencia y puntualidad del personal?
Un grado de puntualidad del 99%
¿Existe una política uniforme y consistente para sancionar la indisciplina del personal?
Sí No
¿Se lleva a efecto esta política?

Sí No
¿Puede el personal presentar quejas y/o problemas?
Sí No
Sí ¿Cómo se solucionan?
Se solucionan a través del diálogo con su superior.
¿Cómo se otorgan los ascensos, promociones y aumentos salariales?
Por la experiencia, seriedad, capacidad de organización, profesionalismo, honestidad, criterio,
etc.
¿Cómo se controlan las faltas y ausentismo?
Se controlan por el lector de huellas que va integrado a una computadora que lleva el registro de
los trabajadores y de ahí se basa para ver quienes faltan.
¿Cuáles son las principales causas de faltas y ausentismo?
Enfermedad.
CONDICIONES DE TRABAJO
Para poder trabajar se requiere que se tenga una adecuada área de trabajo, con mayor razón en un
área en la que se debe hacer un trabajo de investigación e intelectual.
¿Conoce el reglamento interior de trabajo el personal del área?
74
Sí No
¿Se apoyan en el para solucionar los conflictos laborales?
Sí No
No ¿Por qué?
¿Cómo son las relaciones laborales del área con el sindicato?

Son separadas una cosa es el sindicato para los trabajadores y la otra es el área de trabajo solo
ocupan el sindicato para accesorias o disgustos en el labor pero los trabajadores se acatan a las
normativas de la empresa.
¿Se presenta problemas con frecuencia?
Sí No
Sí ¿en qué aspectos?
¿Cómo se resuelven?
REMUNERACIONES
Normalmente las personas están inconformes con su remuneración. Es importante evaluar que
tan cierta es esta inconformidad o si está dada por otros malestares aunque sean señalados como
inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa
a la persona para poder darle una mejor remuneración.
¿Está el personal adecuadamente remunerado con respecto a:
• Trabajo desempeño? Sí No
• Puestos similares en otras organizaciones? Sí No
• Puestos similares en otras áreas? Sí No
Sí ¿cómo repercute?
No ¿cómo repercute?
AMBIENTE
El ambiente en el área de informática, principal en programación, es muy importante para lograr

un adecuado desarrollo.
¿El personal está integrado como grupo de trabajo?
Sí No
No, ¿por qué?
¿Cuál es el grado de convivencia del personal?
75
La convivencia es laboral
¿Son adecuadas las condiciones ambientales con respecto a:
• Espacio del área? Sí No
• Iluminación? Sí No
• ventilación? Sí No
• equipo de oficina? Sí No
• mobiliario? Sí No
• ruido? Sí No
• limpieza y/o aseo? Sí No
• instalación de comunicación? Sí No
DESARROLLO Y MOTIVACIÓN
¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área?

Por medio de capacitación.
En caso de no realizarse, ¿por qué no se realiza?
¿Cómo se realiza la motivación del personal del área?
Con pláticas de motivación
¿Cómo se estimula y se recompensa al personal del área?
En asistencias a cursos y seminarios para su actualización en su área de trabajo para ser mejor
empleados
¿Existe oportunidad de ascensos y promociones?
Sí No
¿Qué política hay al respecto?
La política es el desempeño del trabajador en su área
FACTORES A EVALUAR
INFORMACIÓN EMPRESA Sí No IMAGEN

Terminología estándar Sí No
Existe manual de operación Sí No
Auto descriptivo Sí No
Fuente de información debidamente identificada Sí No
Requiere otros datos de referencia Sí No
Tiene suficientes espacios Sí No
Datos que contiene Sí No
76
Necesita datos adicionales Sí No
Tiene datos necesarios Sí No
ETAPA DE IMPLEMENTACION Y PRUEBAS DEL SISTEMA

1. ¿Quiénes intervienen al diseñar un sistema?

• Usuario
• Analista
• Gerente de departamento
• Administradores de base de datos
• Personal de comunicaciones y redes
• Auditores internos
• Asesores
• Otros
2. ¿Qué lenguaje o lenguajes conocen los analistas?
Visual Basic, Java, orientado a objetos y c++
3. ¿Cuántos analistas hay y que experiencia tienen?
Dos analistas un tiene 8 años, el otro analista tiene 15 años
4. ¿Cómo se controla el trabajo de los analistas?
5. Indique que pasos se siguen en el desarrollo de in sistema:

• definición del problema (x )
• desarrollo de objetivos del sistema ()
• estudio de factibilidad (x )
• estudio costo/beneficio ( x)
• estudio de factibilidad técnico (x )
• definición de tiempos y costos del proyecto (x )
• desarrollo del modelo lógico (x )
• propuestas de diferentes alternativas ()
• especificaciones para el sistema físico ()
• especificaciones de programas ()
77
• diseño de implementación (x )
• diseño de carga de datos (x )
• codificación (x )
• discusión con el usuario ()
• elaborar datos de prueba (x )
• revisión de resultados (x )
• documentación (x )
• someter resultados de prueba ( x)
6. ¿Qué documentación acompaña al programa cuando se entrega?
La documentación es como se creó el programa y un manual a seguir para los usuarios y

programadores.
DISEÑO DE CUESTIONARIO
COMISIÓN FEDERAL DE ELECTRICIDAD
ZONA POZA RICA VERACRUZ
1. ¿considera que la dirección de informática le da resultados esperados?
Sí No ¿Por qué?
2. ¿Cómo considera usted, en general, el servicio proporcionado por la dirección de

informática?
A. Deficiencia B. Aceptable C. Satisfactorio D. Excelente

¿Por qué?
3. ¿cubre sus necesidades de procedimiento?
A. No las cubre B. Parcialmente C. la mayor parte D. Todas
¿Por qué?
4. ¿Cómo considera la calidad procesamiento que se le proporciona?

¿Por qué?
5. ¿Hay disponibilidad de procesamiento para sus requerimientos?
78
A. Generalmente no existe B. Ocasionalmente
C. Regularmente D. Siempre
¿Por qué?
6. ¿Conoce los costos de los servicios proporcionados?
Sí No
7. ¿Qué opinión del costo del servicio proporcionado por el departamento de procesos
electrónicos?
A. Excesivo B. Mínimo C. Regular D. Adecuada E. No lo conoce
8. ¿son entregados con puntualidad los trabajos?
A. Nunca B. Rara vez C. Ocasionalmente D. Generalmente E. Siempre
9. ¿Qué piensa de la presentación de los trabajos solicitados?
10. ¿Qué piensa de la asesoría que se imparta sobre informática?
A. No se proporciona B. Es insuficiente C. Satisfactoria D. Excelente
11. ¿Qué piensa de la seguridad en el manejo de información proporcionada para su

procesamiento?
A. Nula B. Riesgosa C. Satisfactoria D. Excelente E. Lo desconoce
12. ¿Existe fallas de exactitud en los procesos de información?
Sí No
13. ¿se cuenta con un manual del usuario de sistema? Sí No
14. ¿es claro y objetivo el manual del usuario? Sí No
15. ¿Qué opinión tiene el manual?

Que está diseñado para uno manejo completo del área
16. ¿De su departamento, quien interviene en el diseño de sistemas?

79
Los analistas con la supervisión del jefe del área
17. ¿En qué sistema tiene actualmente su servicio de computación?
Windows XP
CONTROL DE OPERACIÓN
Evaluar el cumplimiento de los mismos.

1. ¿Existen procedimientos formales para la operación del sistema de cómputo?
SI NO
2. ¿Esos procedimientos describen detalladamente tanto la organización de la sala de
máquinas como la operación del sistema de cómputo?
SI NO
3. ¿Están actualizados los procedimientos?
SI NO
4. Indique la periodicidad de la actualización de los procedimientos:
Semestral ( x )
Anual ( )
Cada vez que haya cambio de equipo ( )
5. Observe la forma en que está operando la máquina, ¿cómo se distribuyen los trabajos en
lotes? ¿cuál es el límite de trabajos en lotes y si se tiene un adecuado orden y control en
los procesos por lotes?
SI NO
6. Indique el contenido de los instructivos de operación para cada aplicación:
Identificación del sistema. ( x )

Periodicidad y duración de la corrida. ( )
Especificación de formas especiales. ( )
Etiquetas de archivos de salida, nombre del archivo Lógico y fechas de creación y

expiración.
( x )
Instructivo sobre materiales de entrada y salida.
(x)
80
Altos instructivos específicos para los operadores en caso de falla el equipo.
(x)
Puntos de reinicio, procedimientos de recuperación para proceso de gran duración o

criterios. ( x )
Identificación de todos los dispositivos de la máquina a ser usados.
( x )
Especificaciones de resultados (cifras de control, registros de salida por archivo, etc.)
( x )
7. ¿Existen órdenes de proceso para cada corrida en computadora (incluyendo pruebas,

compilaciones y producción)? SI
NO
8. ¿Son suficientemente claras para los operadores estas órdenes?
SI NO
9. ¿Existe una estandarización de las órdenes de proceso?

SI NO
10. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que
los procesos que se están trabajando estén autorizados y tengan una razón de ser
procesados)
SI NO
11. ¿Cómo programan los operadores los trabajos dentro de la sala de máquinas?
Primero que entra, primero que sale. ( )

Se respetan las prioridades. ( x)
Otra (especifique).
12. ¿Los retrasos o incumplimiento del programa de operación diaria, se revisa y analiza?
SI NO
13. ¿Quién revisa este reporte en su caso?
El supervisor del programa
81
14. ¿Existen procedimientos escritos para la recuperación del sistema en caso de fallas?
SI NO
15. ¿Cómo se actúa en caso de errores?
Revisión de los manuales realizados con los procesos del sistema y la capacitación
16. ¿Existen instrucciones específicas para cada proceso, con las indicaciones pertinentes?
SI NO
17. ¿Se tienen procedimientos especifiquen al operador qué hacer cuando un programa
interrumpe su ejecución u otras dificultades en proceso?
SI NO
18. ¿Puede el operador modificar los datos de entrada? SI NO
19. ¿Se prohíbe a analistas y otro personal ajeno al área la operación de la máquina?
SI NO
20. ¿Se prohíbe al operador modificar información de archivos o biblioteca de programas?
SI NO
21. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo
requieran?
SI NO
22. ¿Las intervenciones de los operadores:
Son muy numerosas? SI NO
Se limitan a los mensajes esenciales? SI NO
Otras? (especifique). SI NO
23. Se tiene un control adecuado sobre los sistemas que están en operación?
SI NO
24. ¿Se rota al personal del control de información con los operadores, procurando un
entrenamiento cruzado y evitando la manipulación fraudulenta de datos?
SI NO
82
25. ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y
acción tomada por ellos?
Si cuentan con bitácora de operacional.
83
CAPITULO 6
DIAGNÓSTICO
84
DIAGNÓSTICO DE LA AUDITORIA DE SEGURIDAD INFORMATICA
A NIVEL COMISION FEDERAL ELECTRICIDAD
EN EL DEPARTAMENTO DE INFORMATICA
6.1 DIAGNÓSTICO DE LA SEGURIDAD INFORMATICA

Por medio de la auditoria informática en Comisión Federal de Electricidad sondeamos la
seguridad informática ya mencionada, lo cual por medio de las entrevistas y procedimientos el
jefe de área de informática nos confirmó que se llevan en un cien por ciento, los procedimientos
y políticas, para que la información resguardada no corra peligro.
La capacitación de cada personal del área de informática en base a la seguridad están altamente
capacitados para que no haya fallos o si los hay los resuelvan de la mejor manera para una mejor
funcionalidad en la información que este vulnerable. El personal acata las normativas de la
empresa.
De acuerdo a la revisión de la documentación, estrategia, políticas de seguridad y mapas de
topología de las redes verificamos la estructura física y lógica de acuerdo con estos parámetros
se observó que no hay vulnerabilidad en la información por que el usuario se acata a los aspectos
del reglamento.
El jefe del área de informática tiene auditorías internas muy a menudo pero externas son
esporádicas, tomando en cuenta lo dicho, la empresa como tal tiene que tener más revisiones de
las estandarizaciones, normas y políticas de una empresa externa para su mejoramiento en fallos
mínimos que tengan en cuestión de seguridad informática.
Por lo cual las auditorías internas pueden ser fraudulentas para favor al área y no tener una
empresa que los rija en lo que estén fallando y tener un mejor desempeño y actualización de la
vulnerabilidad de información que en cuestión de esto se trata la auditoria.
De acuerdo con un estudio realizado en el área de informática se requiere de sistemas que
verifiquen las redes por medio de IP que sean fijas y no rotativas para que cada computadora
tenga su propia dirección IP.
Toda la información y los programas están respaldados pero en la misma instalación y sin
ninguna protección física, por lo cual no cuentan con seguridad física que es apropiada para la
seguridad de la empresa a nivel de información o software que solo ellos requieren.
Por lo cual deben tener una seguridad física tangible para el equipo de cómputo ya que con ellos
no serían nada a nivel de redes y telecomunicaciones.
6.2 DIAGNÓSTICO EN LA SEGURIDAD DE LA RED
La seguridad de la red está muy ligada a las bases de datos de nuestros usuarios, información de
distintos ámbitos, registros de información y demás, por lo general esta información se encuentra
sustentada sobre la infraestructura informática de la empresa y que en algún momento puede ser
vulnerada por distintos tipos de amenazas, que van desde
Virus, ataques de terceros hasta usuarios mal intencionados.
85
Adoptar una postura responsable, entender que podemos tomar acciones que pueden prevenir y
protegernos de estas amenazas, representa hoy en día una tarea que no podemos eludir.
Contar con un concienzudo diagnóstico de seguridad le permitirá a CFE determinar los
principales riesgos a los que se encuentra expuesta la información de su empresa, detectando
vulnerabilidades a nivel de infraestructura de sistemas informáticos. Además tendrá una mayor
factibilidad de dirigir su información de modo de protegerlos de personas mal intencionado,
maximizando así la posibilidad de éxito en la seguridad.
Verificación de la rede de CFE que no haya fallos en el servidor en los datos que tengan sus
debidos candados para que no cualquier usuario o trabajador por medio de la red pueda
infiltrarse y sabotear o manipular información de máxima seguridad para la empresa.
Por lo cual cada computadora debe estar registrada debidamente por departamento de CFE por
medio de la MAC y de IP con sus debidas restricciones para que no puedan manipular la
información
Por lo cual se recomienda a la empresa que verifique los siguientes mecanismos.

Primero que nada daremos un concepto de IEEE 802.11
El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas
física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN.
Mecanismos de seguridad para redes wlan.

La especificación del estándar 802.11 originalmente utiliza tres métodos para la protección de la
red.
SSID (identificador de servicio): es una contraseña simple que identifica la wlan. cada uno de los
clientes deben tener configurado el ssid correcto para acceder a la red inalámbrica.
Filtrado de direcciones mac. se definen tablas que contienen las direcciones mac de los clientes
que accesarán a la red.
Web (privacidad equivalente a cable): es un esquema de encriptación que protege los flujos de
datos entre clientes y puntos de acceso como se especifica en el estándar 802.11.
El ieee creo el estándar 802.x diseñado para dar controlar los accesos a los dispositivos
inalámbricos clientes, access point y servidores. este método emplea llaves dinámicas y requiere
de autentificación por ambas partes. Requiere de un servidor que administre los servicios de
autentificación de usuarios entrantes.
Para que tome en cuenta estos mecanismos y sean propuestos para la aplicación de CFE a nivel
de la RED.
Unas de las sugerencias que deben de tener en cuenta en el área de informática es la prevención
de amenazas.
86
PREVENCIÓN
Se debe tener políticas de prevención contra estas amenazas que ponen en riesgo la integridad de
la red. Esto se puede evitar al abrir correos sospechosos, entrar en páginas de Internet con
contenidos pornográficos, de juegos y páginas sospechosas.
Por lo cual el administrador de la red debe de restringir o bloquear ciertas páginas para que no
entre los empleados a estas páginas que no colaboran a su empleo.
Instalar programas antivirus eficientes para la empresa que es CFE. Actualmente hay una gran
variedad de proveedores de estos servicios, hay que elegir el que más se adapte a la necesidad.
Algunos cuentan con detectores de spayware, robots, antispam y amenazas potenciales.
Por lo cual el administrador de la red de CFE debe estar constantemente implementando medidas
de seguridad en la red con el fin de tener una red confiable y estable.
Las redes inalámbricas están en constante crecimiento y esto representa un reto para los
administradores que tendrán que desarrollar medidas eficaces para mantener seguras las redes.
6.3 DIAGNÓSTICO SEGURIDAD EN REDES DE TELECOMUNICACIONES
Un aspecto fundamental de la seguridad de las comunicaciones es la necesidad de que las

mismas sean confidenciales dentro de la empresa CFE por lo cual mencionare, dos formas
principales de cifrado para una mejor seguridad en ya mencionada empresa.
El cifrado simétrico y el cifrado asimétrico.

Cifrado Simétrico
En este tipo de cifrado, se utiliza una misma clave para cifrar y descifrar la información. Si A
quiere remitir a B un mensaje cifrado simétricamente, A deberá cifrar con una clave secreta
determinada y B deberá descifrarla con la misma, que se supone ambos previamente han
conocido.
El cifrado simétrico se destaca por la rapidez y sencillez del algoritmo aplicado, aunque presenta
el inconveniente de la inseguridad para la transmisión de la clave secreta a través de medios
públicos no seguros (como por ejemplo Internet).
Principal algoritmo de cifrado simétrico: DES (Data Encryption Standard).
Cifrado Asimétrico
En este tipo de cifrado, también conocido como cifrado de clave pública, existen dos claves
distintas: una pública, que puede ser conocida por todos, y otra privada, sólo conocida por su
titular. Cada persona tendrá asignada una pareja de claves (cada quien tiene asignada su clave
pública y su clave privada) y la información cifrada con una de ellas sólo podrá ser descifrada
con la otra (si cifro con la pública de A, sólo descifro con la privada de A y viceversa).
Supongamos que A quiere remitir a B un mensaje cifrado asimétricamente.
87
A es titular de una clave pública, que ha publicado en su sitio web, para que todo el que a ella
acceda la conozca y de una clave privada que, como hemos visto, sólo ella conoce. B también
posee su pareja de claves pública y privada.
Si A va a enviar un mensaje a B cifrado asimétricamente, deberá cifrarlo con la clave pública de
B, de forma que nadie más que B, propietario de su clave privada, pueda descifrarlo. Si a la
inversa, es B quien remite el mensaje a A, en este caso lo cifra con la clave pública de A que lo
descifrará, igualmente, con su clave privada.
El cifrado asimétrico se destaca por ser seguro para el intercambio de las claves aún a través de
medios públicos inseguros (como por ejemplo, Internet), aunque presenta la desventaja de ser un
procedimiento más lento que el cifrado simétrico
Que el encargado de la red y telecomunicaciones tome en cuenta lo propuesto anteriormente de
cifrados para una mayor protección a nivel que la empresa lo requiera.
88
CAPITULO 7
CONCLUSIONES
89
La empresa de Comisión Federal de Electricidad “CFE”, verificamos la inseguridad informática
a nivel empresarial, y la seguridad que ellos tienen, sondeamos y monitoreamos quien o que
quieren hacer daño a diferentes niveles, cambios en cuestiones internas de la empresa de su
información.
Uno de los problema actuales del personal interno de esta empresa no es monitoreada o
registrada por un personal de seguridad informática y quien más que ellos a nivel empresa como
usuarios y trabajadores son los que saben los password de los programas de almacenamiento de
datos, por ahí se pueden fugar datos importantes por los cuales los hacker o personas mal
intencionadas pueden tener información para entrar y modificar o robar información de máxima
seguridad de la empresa.
Para dar una respuesta satisfactoria es necesario eliminar la incertidumbre y distinguir entre la
seguridad filosófica y la operacional o práctica.
La empresa CFE tienen políticas, objetivos y manuales de acuerdo con la seguridad informática
para que no sea vulnerable a ninguna falta o falla de información o robo de ella por lo cual la
seguridad informática en CFE es segura y eficaz por que los lineamientos que llevan son muy
seguros y demasiados estudiados para que no tengan fallos a la hora de hablar de la seguridad
interna y externa en CFE.
El nivel de seguridad de CFE, en cuestión de seguridad física y lógica la noto con los
procedimientos adecuados para la seguridad de información para la empresa para los controles
que llevan dentro de esta en los sistemas operativos como en la red de Comisión Federal De
Electricidad.
Fue nombrado cada nivel en el capítulo 2 pero quiero reiterarlos para que distingan porque situé
a CFE en el nivel C2.
Los niveles de seguridad informática son:
Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no
cumplen con ninguna especificación de seguridad.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario
puede manejar su información privada y se hace la distinción entre los usuarios y el
administrador del sistema, quien tiene control total de acceso.
90
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel,
como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los
permisos de un objeto que está bajo control de acceso obligatorio.
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de

administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado
a la modificación de objetos de diferentes dominios de seguridad.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos
formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
En el nivel que se encuentra ubicado esta empresa es el Nivel C2: Protección de Acceso
Controlado.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en
los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las
acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del
sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta
el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos
por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de
administración del sistema sin necesidad de ser administradores.
91
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que
es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
La vulnerabilidad de Comisión Federal de Electricidad es adecuada para que no tengan

problemas de fallos en la seguridad informática por los exámenes realizados arrojaron
positivamente resultados factibles de una buena verificación de información en los diferentes
departamentos que maneja el área de informática.
En lo ya auditado queda en claro que CFE es una empresa de clase mundial en los aspectos de
Seguridad informática dando pie a que esta es autónoma y sabe llevar sus procedimientos y
políticas como se requiere en una empresa de clase mundial.
92
CUADRO DE VERIFICACION DE LA AUDITORIA
POLITICAS DE LA PROBLEMÁTICA ALTERNATIVA DE
EMPRESA ENCONTRADA SOLUCION
1.- Ambiente de trabajo En ocasiones el personal Claves de seguridad de
seguro para ganar sustrae información de la encriptación, mayor
confidencialidad. empresa seguridad
2.- Reglas, políticas y Incumplimiento de reglas Aplicar penalidad al

procedimientos personal dependiendo de la
gravedad de la falta.
3.- Incumplimiento de Incumplimiento de su labor Obligar al personal al

obligaciones en el área informática cumplimiento de su labor si
no será sancionado
monetariamente.
4.-Responsabilidad El personal no sea Monitorear al personal con

responsable de la información de alto riesgo
información que se maneje para la empresa.
internamente.
5.- Conducta de los Que el personal tenga Reportarlo con su superior

Trabajadores conductas delictivas en inmediato.
cuestión de información.
6.-Normas de la empresa Que no hagan caso omiso a Levantar un acta

las normas de la empresa. administrativa.
7.-Seguridad de la Que el personal robe Falta administrativas y/o

información información penales a consideración de
la CFE
8.- TICs de CFE Que la información de Se considerara falta

tecnología de la información administrativa.
en los estándares no sean
respetadas
9.- Servicios Que no respeten los Falta administrativas y/o

empleados los servicios de penales a consideración de
la TICs la CFE
93
BIBLIOGRAFIA
• COMISION FEDERAL DE ELECTRICIDAD
DIVISION DE DISTRIBUCION ORIENTE
ZONA DE DISTRIBUCION POZA RICA VERACRUZ
• MANUALES DE COMISION FEDERAL DE ELECTRICIDAD
• HACKER
LOS PIRATAS DEL CHIP Y DE INTERNET
CLAUDIA HERNANDEZ
1999-2000-2001 DE CLAUDIA HERNANDEZ
• HACKING HIGHT SCHOOL

AUTOR:INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES
• AUDITORIA EN INFORMATICA JOSE ANTONIO ECHENIQUE

EDITORIAL: MEXICO, MEXICO: MCGRAW HILL, 2001
• VIRUS INFORMÁTICOS
AUTOR: ARTURO HERNÁNDEZ HERNÁNDEZ
• AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO. 2ª EDICIÓN

AMPLIADA Y REVISADA.
EMILIO DEL PESO NAVARRO; MARIO G. PIATTINI VELTHUIS
EDITORIAL RA-MA
708 PÁGINAS
• SEGURIDAD EN REDES
JUSTO CARRACEDO GALLARDO
MCGRAW-HILL/INTERAMERICANA DE ESPAÑA, S.A.U.
568 PÁGINAS
• AUDITORIA INFORMATICA: UN ENFOQUE PRÁCTICO, 1ª EDICION

AUTOR MARIO G. PIATTINI Y EMILIO DEL PESO NAVARRO
1998
EDITORIAL ALFAOMEGA, 142
94
ANEXOS
95
CONTROL DE OPERACIÓN
Comisión Federal de Electricidad
Zona Poza Rica Veracruz
1. ¿Existen procedimientos formales para la operación del sistema de cómputo?

2. ¿Esos procedimientos describen detalladamente tanto la organización de la
sala de máquinas como la operación del sistema de cómputo?
RESPUESTA PORCENTAJE
SI 100%
NO 0%
PORCENTAJE
0%
SI
NO
100%
96
CAPACITACIÓN
Uno de los puntos que se deben evaluar con más detalle dentro del área de informática es la
capacitación
¿Se han identificado las necesidades actuales y futuras de capacitación del personal del
área?
¿Se desarrolló programas de capacitación para el área?
¿Apoya la superioridad la realización de estos programas?
¿Se evalúan los resultados de los programas de capacitación?
SI 90%
NO 5%
DESACUERDO 5%
PORCENTAJE
5% 5%
SI
NO
DESACUERDO
90%
97
LIMITANTES
ZONA POZA RICA
¿Existe una política uniforme y consistente para sancionar la indisciplina del personal?
¿Se lleva a efecto esta política?
¿Puede el personal presentar quejas y/o problemas?
Se solucionan a través del diálogo con su superior.
SI 95%
NO 5%
PORCENTAJE
5%
SI
NO
95%
98
DESARROLLO Y
MOTIVACIÓN
¿Existe oportunidad de ascensos y promociones?
SI 100%
NO 0%
PORCENTAJE
SI NO
0%
100%
99
FACTORES A EVALUAR
Comisión Federal de
Electricidad
INFORMACIÓN EMPRESA
Terminología estándar
Existe manual de operación
Auto descriptivo
Fuente de información debidamente identificada
Requiere otros datos de referencia
Tiene suficientes
espacios
Datos que contiene
Necesita datos adicionales
Tiene datos necesarios
SI 100%
NO 0%
PORCENTAJE
SI NO
0%
100%
100
DISEÑO DE
CUESTIONARIO
Electricidad
1. ¿considera que la dirección de informática le da resultados esperados?

2. ¿Cómo considera usted, en general, el servicio proporcionado por la
dirección de informática?
3. ¿cubre sus necesidades de procedimiento?
4. ¿Cómo considera la calidad procesamiento que se le proporciona?
DEFICIENTE 5%
SATISFACTORIO 50%
ACEPTABLE 45%
PORCENTAJE
5%
45%
DEFICIENTE
50%
SATISFACTORIO
ACEPTABLE
101
CONTROL DE
OPERACIÓN
Electricidad
1. ¿Existen procedimientos formales para la operación del sistema de

cómputo?
2. ¿Esos procedimientos describen detalladamente tanto la organización de la
sala de máquinas como la operación del sistema de cómputo?
SI 100%
NO 0%
PORCENTAJE
SI NO
0%
100%
102
103
105

Tesis de Lic. en Sistemas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis de Lic. en Sistemas

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD AUTONOMA

TEMA: AUDITORIA DE SEGURIDAD

1.1PLANTEAMIEMTO DEL PROBLEMA……………………………………..……..2

1.1.1 FUNDAMENTOS DEL PROBLEMA……………………………………..……..2

1.1.2 PROBLEMÁTICA ACTUAL……………………………………………….……2

1.1.3 ALCANCE DEL PROBLEMA…………………………………………….……..3

1.1.4 PREGUNTA DEL PROBLEMA…………………………………………………4

1.2.1 OBJETIVOS GENERAL……………………………………………………..…..5

1.4DELIMITACIÓN DEL PROYECTO ………………………………………...……..6

1.5 PROCEDIMIENTOS PARA LA ELABORACION DE LA AUDITORIA

2.2.2 SISTEMA DE SEGURIDAD……………………………………………...…..11

2.2.3 QUÉ DEBEMOS PROTEGER………………………………………......…...12

2.2.4 TIPOS DE ATAQUE ………………………………………………………...…13

2.2.5 SEGURIDAD INFORMÁTICA……………………………………………......14

2.2.6 NIVELES DE SEGURIDAD INFORMÁTICA………………………….....14

2.3 ÁREA DE INFORMATICA…………………………………………………...…18

2.4 ADMINISTRACIÓN DEL ÁREA DE INFORMÁTICA………………….…….19

2.5 ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA……………….……20

2.6 AUDITORIA EN INFORMÁTICA…………………………………………..….21

2.6.2 DEFINICIÓN DE AUDITORIA EN INFORMÁTICA……………………….23

2.6.2.1 CAMPO DE LA AUDITORIA EN INFORMÁTICA………………….……24

3.2 INFORMACIÓN DEL ÁREA DE INFORMÁTICA C.F.E. GENERAL DIVISIÓN

3.3 DESCRIPCIÓN DE PUESTOS……………………………………………..…….32

3.4 SERVICIOS QUE PROPORCIONA EL ÁREA DE INFORMÁTICA CFE……45

3.5 SISTEMAS INTERNOS QUE UTILIZA CFE………………………………..…46

3.5.1 COORDINACIÓN DE REDES Y TELECOMUNICACIONES……………....47

3.5.2 DISEÑADORES DE REDES…………………………………………………..47

3.5.3 RESPONSABLES DE LA CONFIGURACIÓN DE SERVIDORES……...…..47

4.1DESCRIPCIÓN DETALLADO DE LOS MANUALES……………………..…..50

CAPITULO 5 CUESTIONARIOS Y ENTREVISTAS…………………………..….77

6.1 DIAGNÓSTICO DE LA SEGURIDAD INFORMATICA………………….…..94

6.2 DIAGNÓSTICO EN LA SEGURIDAD DE LA RED…………………………..95

6.3 DIAGNÓSTICO SEGURIDAD EN REDES DE TELECOMUNICACIONES…96

1.1.1 FUNDAMENTOS DEL PROBLEMA

1.1.2 PROBLEMÁTICA ACTUAL

La problemática más específica en el área de informática en comisión federal de electricidad en

En ocasiones el personal sustrae información de la empresa, valiosa muy importante para la

1.1.3 ALCANCE DEL PROBLEMA

Si la problemática de la empresa de Comisión Federal de electricidad no tiene la iniciativa de

1.1.4 PREGUNTA DEL PROBLEMA

Tomando en cuenta los objetivos de la auditoría en informática, El control de la función

El motivo de la auditoria informática es saber las problemática o funciones que no se realizan

Mantenimiento de la red de comisión federal de electricidad.

Como finalidad de la auditoria informática es que su red no tenga problemas internos en la

1.2.1 OBJETIVOS GENERAL

1.3 OBJETIVOS ESPECIFICOS

• Conocimientos de políticas de CFE de los procedimientos de manejo de los S.O.

• Servicios otorgados de seguridad.

• Identificación de las funciones y puestos de la empresa.

• Realizar las entrevistas necesarias.

• Control de sus actividades diarias de la empresa

• Que se actualice constantemente la base de datos

• Verificación de políticas y objetivos de la empresa

• Revisión de las políticas de la redes informáticas de la empresa

• Mejorar la eficiencia administrativas

• Facilitar el trabajo al auditor y a la empresa

• Recomendaciones en base a los resultados de la Auditoría

1.4 DELIMITACIÓN DEL PROYECTO

1.5 PROCEDIMIENTOS PARA LA ELABORACION DE LA AUDITORIA

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar

Los objetivos de la auditoría Informática son:

• El control de la función informática

La auditoría informática sirve para mejorar ciertas características en la empresa como: