PASOS PARA ELABORAR UN MANUAL DE SEGURIDAD INFORMATICA

¿Cuál es la importancia que tiene la creación de un manual de seguridad informática en una

empresa?

Identificación

Identificar la emprea
Nombe
Direccion
Nombre propietarios o socios
Fines Comerciales
Numero de personal
Inventario Tecnologicos
Harward= numero de computadores, (describir características, memoria RAM, procesador,
sistema operativo instalado.
Software: softare instalado, contabilidad, programa inventarios etc
Identificación de la RED (tipo de RED)

Riesgos de la información
Descuido del usuario
Virus
Pirata informático

Evaluación de riesgos
Ahora necesitas establecer qué es lo que podría poner en peligro los activos
anteriores. Por ejemplo, los virus informáticos, hackers, daños físicos o errores de
los empleados. Considera el tipo y el alcance del daño que podría ser causado en
cada caso. Por ejemplo, si el servidor se pone fuera de línea, ¿tu empresa podría
seguir funcionando?. Anota todo esto en tu plan de seguridad informática.  

Hardware

Desarrollo del manual de seguridad

Sistemas

___________
Protocolo de ingreso a la red.
Acceso de usuarios y utilización de contraseñas
Ingreso a la web : protección contra Ataques informáticos
Usos de USB, copias de seguridad, discos extraíbles, instalación de antivirus

Difusión del manual desarrollado

Talleres con los empleados

Tips básicos
Manuales impresos
Actualización del manual

Sistemas informáticos ¨ Un sistema informático es el conjunto de elementos hardware, software,

datos y personas que permiten el almacenamiento, procesamiento y transmisión de información. ¨
Todos los elementos de un sistema informático son vulnerables: – Hardware : aislamiento de los
CPD, sistemas contra incendios, SAIs, etc. – Software: bombas lógicas, caballos de Troya, gusanos,
virus, .. – Personas que trabajan en la administración de los CPD, en la gestión de los sistemas de
comunicaciones, etc. – Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más
se necesita la aplicación de políticas de seguridad.

Criterios de seguridad ¨ El Information Technology Security Evaluation Criteria (ITSEC) define los
siguientes criterios de seguridad: – Secreto o confidencialidad: la información debe estar
disponible solamente para aquellos usuarios autorizados a usarla. – Integridad: la información no
se puede falsear. Los datos recibidos (o recuperados) son los mismos que fueron enviados (o
almacenados), etc. – Accesibilidad o disponibilidad: ¿quién y cuándo puede acceder a la
información? • La falta de accesibilidad produce una denegación de servicio, que es uno de los
ataques más frecuentes en Internet. – Autenticidad: asegurar el origen y el destino de la
información. – No repudio: cualquier entidad que envía o recibe datos no puede alegar
desconocer el hecho. • Los dos criterios anteriores son especialmente importantes en el entorno
bancario y de comercio electrónico.
Consistencia: asegurar que el sistema se comporta como se supone que debe hacerlo con los
usuarios autorizados. – Aislamiento: impedir que personas no autorizadas entren en el sistema. –
Auditoría: capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema y
quién y cuándo las han llevado a cabo. – Prevención: los usuarios deben saber que sus actividades
quedan registradas. – Información: posibilidad de detectar comportamientos sospechosos.

Tipos de ataques III Ataques pasivos Intercepción (Confidencialidad) Publicación Análisis de Tráfico
Ataques activos Interrupción (disponib

Mision
Vision
1 INTRODUCCIÓN El proceso de gestión de la seguridad de tecnología de información y
comunicaciones, tiene como objetivo garantizar la protección de activos ante daños, destrucción,
uso no autorizado, robos; mantener la integridad de los datos de manera oportuna, precisa
confiable y completa; apoyar el logro de las metas organizacionales, mediante la contribución de
la tecnología y que se realice un uso eficiente de los recursos disponibles en el procesamiento de
la información. La gestión de la seguridad de la información es fundamental debido a que la
información se ha convertido en un importante activo en la operación del Ministerio de Educación
Nacional y del sector educativo en general, Las organizaciones del sector requieren para su
operación normal contar con los recursos de cómputo y el acceso a la información de manera
permanente e inmediata, la ausencia de esta capacidad por motivos de riesgos no controlados o
contingencias de fuerza mayor pondrán el peligro el desempeño del Ministerio de Educación
Nacional y de otras entidades del sector y del Gobierno Nacional, así como la posible generación
de traumatismos en las actividades diarias del personal del sector y de los ciudadanos que hacen
uso de los diferentes servicios con los que ya cuentan o bien en medio digital o bien presencial,
pero facilitado intensamente por las Tecnologías de Información y Comunicaciones (TIC), en los
diferentes procesos que apoyan los servicios que actualmente brinda el sector educativo a la
ciudadanía. Las políticas de seguridad de tecnología de información son agentes fundamentales
para la concientización de los funcionarios, para la prestación adecuada de servicios y para la
administración de los activos informáticos en un entorno moderno en el cual se utilizan
tecnologías modernas, en un ambiente dinámico en el que la seguridad es fundamental para la
protección ante amenazas de diferente tipo.
Objetivo Proteger a la entidad del uso inadecuado de los medios electrónicos por parte de los
servidores públicos (funcionarios y contratistas) así como protegerse de las amenazas propias de
internet y que están al alcance de los usuarios.