Manual de políticas y procedimientos de riesgo tecnológico 1

Manual de políticas
y procedimientos de
riesgo tecnológico
Lic. DARLIN NOE MADRID FAJARDO

Estudiantes:

David Rivera Madrid 20092005254

Henry Jonathan Ramos Zuniga 20142030671
Isaac Alexander Brandel Montoya 20152001119
Karla Patricia Caballero Sosa 20152000162
Kary Jahaira Hernández Avila 20082005448
Wendy Larissa Murillo 20082002890
 Manual de políticas y procedimientos de riesgo tecnológico 2

INDICE
Introducción _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pág.3
Política de Parches, Servipack, Actualizaciones VRM_ _ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _
pág.4
Normas y controles_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pág.4
Prohibiciones_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pág.4
Servipack, objetivos_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ pág.5
Descripción del procedimiento_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
pág.5
 Manual de políticas y procedimientos de riesgo tecnológico 3

En el presente manual desglosaremos los derechos, responsabilidades junto con

las prohibiciones sobre el uso de equipo y herramientas tecnológicas brindadas por
la organización a todos sus colaboradores para el desempeño efectivo de las
funciones de cada uno según su departamento - área o cargo asignado. EL
propósito principal de este manual es de guiar de forma específica y detallada
procedimientos a seguir según situaciones de prevención u riesgo y también para
la optimización
y desarrollo de las tareas en cualesquiera de las áreas en la organización.
 Manual de políticas y procedimientos de riesgo tecnológico 4

POLÍTICA DE PARCHES, SERVICE PACK, ACTUALIZACIONES

VRM
1.1 PARCHES

Propósito:
Programa que se encarga de modificar o hacer cambios a una aplicación y se utilizan
para los siguientes fines:
 Proporcionar correcciones de errores
 Proporcionar nuevas funcionalidades
 Proporcionar nuevo soporte de hardware
 Proporcionar mejoras de rendimiento y mejoras para las utilidades existentes

Los parches suelen ser desarrollados por programadores ajenos a los autores iniciales
del proyecto, esto no siempre es así. Un parche puede ser aplicado tanto a un binario
ejecutable como al código fuente de cualquier tipo de programa, incluso, un sistema
operativo.

Normas y Controles:

 Desconectar el servidor de la red, o mantenerlo solo conectado a una red

segura mientras que los parches se copian e instalan.
 Los parches deberían de probarse antes de aplicarse especialmente en
servidores de producción. Para ellos, se debe disponer de un entorno de
prueba idéntico al de producción donde chequear que el parche no genera
problemas adicionales
 Comprobar si hay licencias caducadas A medida que más productos de
software vienen configurados para la aplicación de parches de forma
automática, se ha hecho más fácil para los administradores dejarse seducir por
una falsa sensación de seguridad. Como tal, las pymes harían bien en realizar
verificaciones periódicas de las licencias caducadas.

Prohibiciones:

 Nunca instalar un parche en el horario de producción.

 Realizar copias de seguridad antes de instalar un nuevo parche.
 Instalar únicamente parches descargados de los proveedores originales.
 Instalación únicamente en horarios donde no haya usuarios conectados al
sistema y todos los procesos terminados.
 Tener siempre un plan de contingencias antes de instalar un parche.
 Manual de políticas y procedimientos de riesgo tecnológico 5

1.2 SERVICE PACK

Se denomina Service Pack a un conjunto de programas informáticos que consisten en

un grupo de actualizaciones que corrigen y mejoran aplicaciones y sistemas operativos
cuyo soporte por parte del vendedor está aún vigente. Esta denominación fue
popularizada por Microsoft cuando comenzó a empaquetar grupos de parches que
actualizaban su sistema operativo Microsoft Windows.

¿Qué información se incluye?

En un Service Pack se incluirán siempre todas las actualizaciones críticas y de
seguridad para el sistema, esto es muy bueno y no debemos de pensar que el sistema
es malo porque tenga muchos Service Pack, más bien todo lo contrario, que tenga
muchos Service Pack es una forma de ver como Microsoft ha trabajado y mucho en
ese sistema y se ha esforzado en mejorarlo.

Es por esto que es muy importante que tengamos todos los Service Pack instalados
en el sistema, de esta forma podremos estar más tranquilos sabiendo que todos los
fallos de seguridad y vulnerabilidades o fallas de estabilidad y/o rendimiento estarán
corregidas y nuestro sistema funcionará mucho mejor.

Objetivos:

 Corregir o actualizar el software base de los servidores donde se alojan

las aplicaciones ubicadas en el centro de datos, a través de la
instalación de las actualizaciones con el fin de garantizar su operación.
 Actualizar base de datos de aplicativos, antivirus para evitar fallas de
seguridad y erradicar vulnerabilidades del sistema.

DESCRIPCIÓN DEL PROCEDIMIENTO

 Elaborar el plan de trabajo para la instalación.

 Revisar el listado de actualizaciones a realizar.
 Revisar instalación de actualizaciones/ estado de las mismas en sistema.
 Verificar funcionamiento de las actualizaciones.
 Probar/verificar el funcionamiento del aplicativo afectado por dichas
actualizaciones.
 Mantener vigilancia de los aplicativos de surgir cualquier error en su
ejecución.

Se denominará a un encargado de encargado de la red el cual deberá

actualizar el sistema periódicamente con los últimos Service Pack y parches de
seguridad para resguardar el sistema de las últimas vulnerabilidades
 Manual de políticas y procedimientos de riesgo tecnológico 6

conocidas, esto con el fin de evitar atrasos en producción, perdida de

información, mal funcionamiento de aplicativos que requieran los colaboradores
para realizar sus funciones.
1.3 ACTUALIZACIONES VRM
El departamento de IT es responsable de aplicar las actualizaciones
pertinentes del sistema operativo y softwares que utiliza la empresa XYZ.

1.3.1 Responsabilidades de IT:

 Realizar los respaldos debidos de los sistemas a actualizar.
 Mantener los sistemas operativos al día con las últimas actualizaciones
de seguridad disponibles.
 Probar las actualizaciones en un entorno de prueba para evaluar si
causaran efectos críticos a los procedimientos de trabajo al sistema en
conjunto.
 Definir las actualizaciones que deben aplicar a partir de las pruebas
realizadas.
 Mantener las actualizaciones de las versiones de las bases de datos.
 Se deber hacer una bitácora completa, en cuando a las versiones de
actualización del software y de las revisiones instaladas en los sistemas.

1.3.2 Criterios para autorizar la actualización:

 Aparición de nuevas funciones que desee implantar la compañía.
 Determinados equipos se actualizan periódicamente, y esta versión es
una de ellas.
 La versión aporta corrección de errores que afectan a las
configuraciones usadas
 El fabricante impone un cambio de versión que es imprescindible.
 Eliminación de una versión cuando alcanza el fin del ciclo

1.3.3 Procedimiento de actualización

 Determinar el software qué debe ser actualizado: Realizar un inventario
de todo el software y el firmware instalado, ya que pueden descubrirse
errores o mejoras de funcionalidad.
 Determinar cuándo y qué actualizaciones instalar: Determinar el
momento en que ejecutar las actualizaciones para no interferir con las
operaciones de la empresa. Antes de su instalación considerar la utilidad
de las nuevas mejoras y la gravedad los errores que subsanan, así
como los requisitos hardware/software necesario.
 Probar las actualizaciones. Siempre debemos instalar actualizaciones
provenientes de fuentes confiables. No obstante, se debe sopesar la
necesidad de disponer de un entorno de pruebas o preproducción donde
 Manual de políticas y procedimientos de riesgo tecnológico 7

instalar y probar las actualizaciones, de este modo podremos verificar

que su funcionamiento es el esperado.
 Respaldo de todo firmware, sistemas operativos, programas,
aplicaciones y sus respectivas configuraciones que puedan verse
afectadas.
 Determinar los procedimientos de vuelta atrás en caso de poder
realizarse la instalación o recuperar las funcionalidades.
 Instalación de la actualización del software en el entorno de producción.
 Registro de actualizaciones. Realizar un registro de las actualizaciones
que se han instalado en nuestros sistemas.