Seguridad de a Informatica

Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Universidad Abierta y a Distancia de

México

Facilitador
VICTOR HUGO RAMIREZ SALAZAR.
Grupo: DS-DSEI-1801-B2-001

Asignatura
Seguridad de la informática 
Periodo semestral 2017 bloque 2

Estudiante
Julio Cesar García Hernández.

Matrícula
ES1410902943
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

El propósito de la actividad es que apliques una nueva tecnología de seguridad informática, la cual
investigarás en fuentes confiables y a tu alcance, y que la integres como parte de tu plan DRP o plan de
recuperación de desastres, retomando las actividades 2 y 3 de esta unidad. Para ello, tu Docente en
línea te hará llegar las instrucciones necesarias; una vez que cuentes con ellas, realiza los siguientes
pasos:

1. Identifica una vulnerabilidad y un riesgo que consideres más importantes en el caso

desarrollado en esta unidad.

2. Identifica cuál es el impacto del riesgo y vulnerabilidad identificados en el caso, mencionando:

a. Criticidad.

b. Periodo de recuperación.

c. Sistema de clasificación de riesgos.

3. Investiga una herramienta de seguridad informática con la que puedes atender el riesgo y
eliminar la vulnerabilidad identificada.

4. Redacta tus conclusiones, explicando las ventajas y desventajas del uso de un BCP y un DRP en
las organizaciones de desarrollo de software.

5. Elabora un bosquejo de plan DRP integrando la nueva tecnología de seguridad investigada.

6. Lee detenidamente los criterios de evaluación para ser considerados en tu actividad.

7. Después de realizar la actividad, guárdala con la nomenclatura DSEI_U3_EA_XXYZ, Sustituye las

XX por las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu
segundo apellido y envíala a tu Docente en línea mediante el Portafolio de evidencias. Espera y
atiende la retroalimentación correspondiente.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
Introducción:

El plan de continuidad de negocios que se presenta a continuación tiene la finalidad de orientar a la

gerencia y a la dirección sobre los procesos a realizar en caso de que suceda algún evento que
interrumpa el funcionamiento normal de la Biblioteca de la Universidad Regional. Es necesario aclarar
que no describe a detalle los pasos a seguir para recuperar un servicio o un área, esa información se
encuentra en los planes de recuperación de desastres de cada departamento, tampoco es un manual
que contenga la salida a todos y cada uno de los posibles problemas que pudiera causar un paro en la
operación de la Biblioteca de la Universidad Regional.

A lo largo de este documento se mencionan datos de contactos, ubicaciones de oficinas, procesos

generales y consejos que son herramientas que ayudarán a la dirección a tomar decisiones informadas y
de manera organizada en poco tiempo para poder re establecer la continuidad de la operación de la
Biblioteca de la Universidad Regional lo más pronto posible.

A continuación se define un término que será usado a lo largo del documento, es de vital importancia
quede completamente claro para su manejo sin posibilidad de confusiones que podrían causar
problemas mayores que los que se tratan de evitar o corregir:

 Interrupción significativa del negocio (ISN): es un evento que potencialmente puede amenazar a la
continuidad de las operaciones que realiza una organización, obligando a la misma a detenerlas por
tiempo indefinido y por lo tanto dejando de tener ingresos de una manera tal que la existencia misma
de la organización puede estar en peligro. Un suceso de esta magnitud requiere medidas especiales para
regresar las operaciones a la normalidad.

Es importante siempre estar preparados para eventos naturales como incendios, inundaciones,
terremotos, tormentas, tornados y huracanes así eventos creados por el hombre como vandalismo o
ataques terroristas. Siempre hay que considerar los efectos secundarios que cualquier evento de gran
escala puede causar como falta de energía eléctrica o de suministros para seguir operando.

Normalmente la mayor parte de los sucesos que causan una interrupción en el negocio son menos
aparatosos y están compuestos por robos, sabotaje causado por empleados y fallas de equipos.

Este plan contiene datos personales y empresariales que son clasificados como CONFIDENCIALES debe
ser guardado bajo medidas de seguridad estrictas y solo deben tener acceso a él las personas que
desempeñen puestos en la Dirección de la Biblioteca que las liguen directamente a este plan de
continuidad de negocios. Dichos puestos son: presidente del consejo de administración, Director de
departamento, Gerente de departamento, Administrador de seguridad.

Personal a contactar en caso de emergencia

Se identifican a dos personas, empleados de la Biblioteca de la Universidad Regional como contactos de

emergencia a nivel de gerencia. Estos nombres deben ser revisados y actualizados por la dirección
general cada 6 meses. En el caso de que la Biblioteca de la Universidad Regional cuente con un sistema
de manejo de riesgos y emergencias externo, deberá notificar estos mismos datos a dicha empresa.
Cada miembro debe ser un gerente perteneciente al consejo de la Biblioteca de Universidad Regional.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Contacto:

 Nombre: Jose Manuel Torres

 Puesto: Director
 Teléfono oficina: 55 13 6812 82 ext. 764
 Teléfono casa: (55) 26437942
 Celular: (044) 5513 21 32 32
 Dirección: Cerrada 16 de Septiembe #39
 Correo electrónico: JoseMTorees@uniregional.mx

Contacto:

 Nombre: Juan Carlos Ruiz

 Puesto: Subdirector
 Teléfono oficina: (55) 392 1023 91
 Teléfono casa: (55) 32 32 12 31
 Celular: (044) 8732 92192
 Dirección: Pueblo san Juan de ARagon
 Correo electrónico: JCRuiz@uniregional.mx

Política de la protección de la información:

A continuación, se establecen las políticas que la Biblioteca de la Universidad Regional hará valer en el
caso de enfrentarse a una interrupción significativa del negocio (ISN). Se incluye la obligación de la
Universidad Regional a permitir a _________________ sus cuentas de ahorro en caso de una ISN, esta
política debe ser entregada a todos los empleados y debe establecer quien tiene la autoridad para
ejecutar el plan de continuidad de negocio, donde será guardado y como tener acceso a él.

La política de la Biblioteca de la Universidad Regional ante una interrupción significativa del negocio es
el poner a salvo las vidas de los empleados y las propiedades de la empresa, hacer una evaluación
financiera y operacional de las instalaciones, recuperarse de la manera más rápida posible y reanudar las
operaciones. Proteger todos los documentos y registros. En el caso de que sea imposible mantener el
servicio, se asegurará el pronto acceso al sistema.

A. Interrupción significativa del negocio (ISN): el plan de continuidad de negocio de la Biblioteca de

la Universidad Regional contempla dos tipos de ISN, las internas, que afectan la habilidad para
comunicarse y hacer negocios tales como un desperfecto técnico o una falla estructural dentro
de las instalaciones, y las externas que evitan la operación de todo el mercado o de un gran
número de empresas como un desastre natural o un ataque terrorista. La respuesta ante una
ISN externa depende fuertemente de otras organizaciones y configuración de sistemas externos
para recuperar la continuidad del negocio.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
B. Autoridad para aprobación y ejecución: El presidente del consejo de administración de la
Biblioteca de la Universidad Regional queda registrado como la autoridad responsable de
aprobar este plan y para conducir la revisión anual del mismo. El presidente del consejo de
administración de la Biblioteca de la Universidad Regional, el director del área de operaciones y
el gerente de tecnologías de la información tienen la autoridad para declarar estado de
emergencia en la Biblioteca de la Universidad Regional y ejecutar este plan de continuidad de
negocios.
C. Ubicación y acceso al plan de continuidad de negocios: Biblioteca de la Universidad Regional
tendrá varias copias del BCP (Business Continuity Plan, por sus siglas en inglés), sus revisiones
anuales y los cambios que se hagan durante cada inspección, dichas copias estarán alojadas en
las áreas de dirección general, dirección de operaciones y gerencia de tecnologías de la
información. Una copia electrónica del plan, protegida con contraseña solamente disponible
para el presidente del consejo de administración, el director de operaciones, el gerente de TI y
el administrador de seguridad, estará guardada en cada servidor controlador de dominio de la
Biblioteca de la Universidad Regional dentro de la carpeta llamada BCP y en el servidor alojado
en las instalaciones del proveedor de un sitio de cómputo alterno.

III. Descripción del negocio:

La biblioteca de la Universidad Regional del Norte Campus Chihuahua, es un recinto donde se
encuentran colecciones de libros para la lectura y la consulta del público especialmente estudiantes,
investigadores y amantes de la lectura. Su objetivo es proporcionar a sus usuarios tanto el acceso al
documento como el acceso y localización de la información. Así como documentos del acervo federal.
IV. Ubicación de las instalaciones:
Allende 2628 Col. Zarco C.P. 31020 Chihuahua, Chih.
Tels.: (614) 411 14 51 ext. 114

V. Ubicación física alternativa para los empleados:

En el caso de una ISN en alguna de las instalaciones de la Biblioteca de la Universidad Regional, el

personal de la oficina afectada se trasladará a la oficina más cercana que no esté afectada. Si no hay una
oficina cercana disponible, se debe de comunicar al campus más cercano para recibir instrucciones.

En el caso de que quedara inhabilitada la Biblioteca de la Universidad Regional, podrá hacerse la

invitación a que utilicen los servicios vía electrónica o telefónica si es que estos se encuentran
funcionando de manera correcta.

VI Respaldo y recuperación de datos (impresos y electrónicos)

La Biblioteca de la Universidad Regional mantiene sus principales archivos impresos en

El Lic. Eduardo Rodríguez Rivera, es el responsable del mantenimiento de dichos archivos. Las
principales aplicaciones y bases de datos son almacenadas en un servidor externo. El encargado de
informática Ing. Ricardo Martinez Rivera es el responsable del mantenimiento de los servidores. La
Universidad Regional tiene la siguiente lista de documentos confidenciales:

 Controles y manuales de procedimiento.

 Datos históricos de la empresa.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
 Claves de acceso.
 Movimientos monetarios entre cuentas.
 Datos de los socios y usuarios.
 Bitácoras.
 Cambios de personal.
 Ingreso y egresos totales.

La Biblioteca de la Universidad Regional no tiene respaldos de sus documentos impresos.

Consecuencia de no contar con respaldos impresos ¿se requieren según el caso? No entiendo la
pregunta

El personal de informática, diariamente realiza respaldo de información de archivos electrónicos, los

cuales se respaldan en: un servidor externo.

En el caso de una ISN interna o externa que cause la pérdida de documentos impresos, estos serán
recuperados del área de respaldos (obviamente solamente se pueden recuperar los archivos que tienen
respaldo). Si los servidores primarios quedan fuera de funcionamiento, la Biblioteca de la Universidad
Regional podrá continuar operaciones desde su sitio de respaldo o de una localidad alterna. Cuando
suceda una pérdida de documentos electrónicos estos serán recuperados del dispositivo que los
contiene directamente o de los respaldos en el sitio alterno.

VII. Asesoría operacional y financiera:

A. Riesgo operacional:

En el caso de que una ISN ocurra, la Biblioteca de la Universidad Regional identificará los medios con
que cuenta para comunicarse con sus socios, empleados, proveedores, bancos y contra partes críticas.
Aunque los efectos de la ISN determinarán los medios de comunicación alternativos, las opciones que se
emplearan son: sitio web, teléfono, correo electrónico seguro y publicidad impresa. Al mismo tiempo
que se utilizan estos medios para notificar el evento, se recuperarán los archivos y documentos clave de
la Biblioteca de la Universidad Regional como se menciona en la sección anterior.

B. Riesgo financiero y crediticio:

Cuando una ISN se presente, la Universidad Regional determinará el valor y liquidez de sus inversiones y
activos para evaluar su capacidad de seguir operando. La Universidad Regional contactará a sus
principales bancos y les informará de su estado financiero. Si se determina que la no es capaz de cumplir
sus obligaciones con sus contrapartes o proveedores o si se decide que no es capaz de seguir operando
se tomarán las medidas necesarias para poder hacerlo de manera lícita.

VIII. Sistemas de misión críticos:

Los sistemas de misión críticos de la Biblioteca de la Universidad Regional son aquellos que servidores
que ejecutan aplicaciones esenciales y que guardan información importante, bases de datos, redes,
etc.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
La Universidad Regional tiene la responsabilidad de establecer y mantener las relaciones con sus socios
y usuarios y también la de sostener la continuidad del negocio por medio de sus sistemas de misión
críticos para el ingreso de datos y toma y ejecución de decisiones. Nuestros proveedores Seguridad de la
Información RRT nos ofrecen, por medio de un contrato, los siguientes servicios:

 KIO: Hospedaje de aplicaciones.

 AXTEL: Servicios de infraestructura en telecomunicaciones, redes de voz y datos,
Internet dedicado.
 TELMEX: Telefonía y servicio de Internet DSL, conmutadores.
 IUSACELL: Servicios de Internet de 3G, telefonía móvil.
 DELL, HP: Proveedor de Servidores, laptops, PC.
 MICROSOFT: Sistemas Operativos, Office, IIS, SQL.
 TRIARA: Servicios de hospedaje web, correo electrónico.
 SCITUM: Servicios de consultoría de T. I. en general.

Nota: los objetivos de recuperación de sistemas de misión críticos en tiempo son metas concretas para
hacer planes y para competir contra ellas y tratar de mejorar el tiempo en el que se levanta un sistema.
No son plazos cortos y difíciles de lograr que deben ser alcanzados en una situación de emergencia y
varios factores externos que una ISN puede incluir, como la hora del día, el alcance de la ISN y el estado
de la infraestructura crítica, sobre todo de telecomunicaciones, pueden influir en el tiempo actual de
recuperación.

A. Sistemas de misión críticos de la biblioteca de la Universidad Regional.

SAP: durante una ISN se continuará operando con este sistema siempre y cuando funcione de manera
correcta, en caso de que no lo hiciera se procederá a utilizar el plan de recuperación de desastres del
área de redes/bases de datos y proveedores para levantar el sistema y el de operaciones para mantener
la atención a los socios y usuarios mientras el control sobre el sistema es recuperado.

Portal SAP: durante una ISN se continuará operando con este sistema siempre y cuando funcione de
manera correcta, en caso de que no lo hiciera se procederá a utilizar el plan de recuperación de
desastres del área de redes/bases de datos con la ayuda de proveedores para levantar el sistema y el
plan de recuperación de desastres

B. Sistemas de misión crítica otorgados por proveedores:

La Universidad Regional utiliza, bajo contrato, los servicios de los distintos proveedores mencionados
anteriormente. En el caso de una ISN deberán activarse los planes de recuperación de desastre de los
departamentos que hayan sido afectadas y notificar a los proveedores para que ellos inicien la
restauración de los sistemas que están a su cargo.

IX. Formas de comunicación alternas entre la Universidad Regional, socios, usuarios y empleados.

A. Socios y usuarios: Actualmente, Universidad Regional se comunica con sus socios y usuarios de
manera presencial, por fax, teléfono, correo electrónico, página electrónica, volantes, carteles, trípticos.
Cuando ocurra un evento que genere una ISN, la Universidad Regional definirá que medios de
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
comunicación siguen estando disponibles y siendo confiables y se comunicará a través de ellos con sus
socios y usuarios.

B. Empleados: Actualmente, la Universidad Regional se comunica con sus empleados de manera

presencial, por teléfono, correo electrónico y el intranet. Cuando ocurra un evento que genere una ISN,
la Universidad Regional definirá que medios de comunicación siguen estando disponibles y siendo
confiables y se comunicará a través de ellos con sus empleados. La Universidad Regional también
emplea un árbol de llamadas para que la gerencia general pueda comunicarse rápidamente con todos
sus empleados en el caso de una ISN. El árbol debe incluir los teléfonos de casa y oficina de todos los
empleados.

Emisor de la llamada Receptores de la llamada

Dirección General Dirección de Operaciones
Gerencia de TI
Gerencia de Recursos Humanos
Gerencia de contabilidad.
Mantenimiento y obras
Planeación comercial
Dirección de Operaciones Supervisor de operaciones
Gerente
Jefe de Desarrollo y Base de Datos Desarrollador Segundo a cargo
Administrador
Desarrollador
Gerente de TI Jefe de Redes y Telecomunicaciones
Jefe de Seguridad de la Información
Jefe de Soporte Técnico
Desarrollo de TI
Jefe de Call Center
Gerencia de Recursos Humanos Jefe de Planeación Comercial
Jefe de Mantenimiento
Gerencia de Seguros
Asistentes de Recursos Humanos
Gerencia de Tesorería Jefa de Cobranza
Key User
Banca Electrónica
Jefe de Cobranza Asistentes de Cobranza
Key User Auxiliar de caja
Auxiliar de Tesorería
Asistentes
Cajeros
Gerente de Contabilidad Asistente
Asistente de contabilidad Corporativo Auxiliar Corporativo
Auxiliar Contable
Jefe de redes y Telecomunicaciones Supervisor de Red
Administrador de Red 1
Administrador de Red 2
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
Administrador de Red Asistente
Jefe de Seguridad de la Información Asistente de Seguridad de la Información
Desarrollo de TI Conmutador
Jefe de Soporte Técnico Asistente de Soporte
Auxiliar de Soporte
Jefe de Call Center Supervisor
Gestores
Jefe de Planeación Comercial Asistente de Planeación
Diseñador Web
Jefe de Mantenimiento Encargado de mantenimiento
Auxiliar de mantenimiento

X. Bancos y proveedores de negocio críticos

A. Proveedores: cuando una ISN interna o externa ocurra, la Universidad Regional contactará a sus
proveedores de negocio críticos (aquellos que tienen una relación comercial que apoya las actividades
operativas de la misma) y determinará hasta qué punto puede continuar con la relación de negocio con
dicha empresa. Se deben establecer de manera rápida arreglos alternativos si un proveedor crítico no
puede entregar los servicios que la Universidad Regional necesita debido a una ISN que afecte a
cualquiera de las empresas o a ambas. También se deberán hacer los ajustes necesarios cuando, debido
a una ISN, la Universidad Regional tenga un contrato complementario o temporal con algún otro
proveedor que pueda otorgar los servicios de la manera o en el tiempo en que el primero no pudo.

B. Bancos: en el caso de una ISN la _______________________________________ minimizará gastos

para mantener sus finanzas sanas y en caso necesario solicitara apoyo a Instituciones Financieras.

XI. Actualizaciones y revisión anual:

La Biblioteca de la Universidad Regional actualizará este plan cada vez que haya un cambio en sus
operaciones, estructura, negocio o ubicación, también cada vez que se haga un cambio importante en la
organización de sus proveedores principales en la que el servicio que otorgan sea afectado o cuando
dichos proveedores sean sustituidos por otros. Adicionalmente este plan de continuidad de negocios
será revisado cada año en el mes de febrero para modificarlo en caso de cambios en la operación,
estructura, negocio o ubicación así como cambios relativos a los proveedores principales.

XII. Aprobación de la dirección general:

Apruebo este plan de continuidad de negocios como razonablemente diseñado para ayudar a la
Universidad Regional a cumplir con sus objetivos y obligaciones con sus socios y usuarios en el caso de
una interrupción significativa del negocio.

Firma: _________________________________

Nombre: Ramón Ruiz Robles

Cargo: Presidente del Consejo de administración.

 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
Fecha: 05/06/2017