Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Seguridad
Plan de Seguridad
Continental
TEMA
HUANCAYO – PERU
2010
INTRODUCCIÓN
PROFAMETAL SAC, el cual está basado en normas y buenas prácticas referentes a seguridad.
Es por ello la importancia de reconocer la información como el segundo activo mas importante
El presente documento será crucial para el área de sistemas de la empresa ya que ayudara a
tener una visión mejor de lo que se quiere plasmar para lograr la seguridad que permita prevenir
de posibles riesgos o ataques ya sea dentro o fuera de la empresa. Es importante también saber
la importancia de los usuarios dentro de este plan estratégico ya que no valdría de nada
implementar un plan con las mejores tecnologías si no existe una conciencia de seguridad dentro
de la empresa.
ÍNDICE
INTRODUCCIÓN
4. PROTECCIÓN LÓGICA
5. CONEXIONES EXTERNAS
6. RECUPERACIÓN DE DESASTRES
6.1 Aplicaciones y Activos Críticos
6.2 Copias de Respaldo (Backups)
6.3 Pruebas de Continuidad
6.4 Situación de Desastre
Con el fin claro de cumplir los objetivos de Seguridad Informática, los que son:
los Recursos de Información, para determinar las vulnerabilidades, identificar las amenazas, y
plantear los procedimientos y políticas, los cuales delimitan los Planes de solución.
procedimientos que existen y los trabajos que realiza como oficio principal y giro de negocio de
la Institución, y en general, todos aquellos datos que afectan las operaciones informáticas como
Analizar los riesgos existentes sobre los Sistemas de Información y establecer las
garanticen.
Normas de Seguridad.
tecnológico alcanzado.
institución.
La información adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede
ser:
Bajo el punto de vista de Seguridad, la protección adecuada debe ser aplicada a todas y
cada una de las formas relacionadas común Sistema de Información, es decir, a la tratada
2. Información que, sin poder ser publicada, puede ser conocida y utilizada por
3. Información que sólo puede ser conocida y utilizada por un grupo de empleados,
que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría
4. Información que sólo puede ser conocida y utilizada por un grupo muy
El nivel de clasificación, tiene que estar marcado en todas y cada una de las
etc.), que contenga información clasificada, tiene que ser etiquetado con el más
(correo electrónico, teléfono, fax, etc.) debe ser marcada de acuerdo con el más
Evitar riesgos potenciales de ataque, pérdida, robo o daño a los Sistemas de Información
total o parcial, de las actividades de la institución. Definir los medios a utilizar para la
incluyendo cualquier tipo de soporte físico, que contienen los Activos de Información de
la institución.
instalaciones, los equipos y los soportes de datos, deberemos tomar medidas contra
contra radiaciones electromagnéticas. En este sentido debe haber una persona dedicada a
divulgación. En este caso conviene que todos los usuarios sean conocedores de los
4. PROTECCIÓN LÓGICA
Deberemos tomar todas las medidas posibles para evitar daños físicos, como contratar
los equipos lejos de baños y cañerías, instalar alarmas, rejas y cerraduras, pero, lo
En este sentido hay que retomar lo que decíamos al principio sobre la capacidad de
Sea sencillo encontrar los archivos que necesitamos, ya sea en nuestro propio puesto de
trabajo o en el de un compañero.
Obviamente hay que guardar procesos intermedios, pero no tantos que nos impidan
encontrar el archivo que queremos. Es muy útil establecer unas normas de borrado de
archivos y de uso de los mismos para que el trabajo de los diferentes usuarios no
con una hoja de cálculo. A un nivel muy bajo estaremos diseñando aplicaciones
específicas que deben poder arrojar resultados apropiados para seguir las actividades,
Que haya mecanismos sencillos de contingencia para que se pueda reanudar el trabajo
estos casos hay que tener antivirus actualizado, sistemas de proceso paralelos y, sobre
5. CONEXIONES EXTERNAS
Por todo lo anterior, se deduce que, al utilizar una red de comunicaciones externa y no
dispositivos de control de accesos que manejan de forma segura la conexión entre una
red protegida y una red insegura, tales como Internet o cualquier otra, incluyendo
posibles sub-redes inseguras de la propia red interna de la institución. Este sistema
protege las comunicaciones entre un usuario y una red externa, de la forma más
transparente posible para el usuario, facilitándole al máximo los servicios que dicha red
ofrece.
6. RECUPERACIÓN DE DESASTRES
de la institución.
su aplicación.
detalles de obtención de estas copias, de acuerdo con el fin para el que son
alternativo.
nivel.
que esta opción debe ser prioritaria, siempre que sea factible.
actualización.
Tiene que planificarse, al menos, una prueba de continuidad al año, de tal forma
esenciales a recuperar.
las operaciones.
correctamente y para los fines que fueron creados. Adicionalmente, verificar que han
sido tenidas en cuenta las recomendaciones del informe del anterior diagnóstico de
Seguridad, e implantadas las acciones necesarias para corregir los riesgos reales o
potenciales descritos.
efectiva.
• Coordinadores de Seguridad.
• Administradores centrales.
• Administradores locales.
Debe obtenerse una relación que contenga la fecha, el temario y la firma de los
información;
aplicaciones;
aplicaciones.
institución.