Universidad Autónoma

Gabriel Rene Moreno

Centro Comercial Cañoto

ALUMNO: REGISTRO:

DOCENTE:

ING. SEVERICHE ZURITA MARIO

CARRERA:

INFORMACIÓN Y CONTROL DE GESTIÓN

MATERIA:

AUDITORIA Y SEGURIDAD INFORMATICA

SANTA CRUZ - BOLIVIA

1. ANALISIS DE LA EMPRESA

INTRODUCCION

Actualmente la tecnología informática es de necesidad primordial para la

superación y desarrollo de las empresas ya sean la información que en ella
se maneja es considerada un activo cada vez más valioso, la cual puede
hacer que una organización triunfe o quiebre; es por eso que debemos
mantenerla segura. La falta de inversión en la prevención de los equipos de
información puede traer graves consecuencias en un futuro, por eso el
manejo de los equipos de información debe ser muy seguro y consecuente ya
que debemos evitar la vulnerabilidad de la información.

RESEÑA HISTORICA

En el año 1992 nació la escuela el mana de gastronomía a cargo del director

señor Torivio murga, cuando ahí fue cuando conocí a mi único señor Jesucristo
mi salvador el nombre del mana proviene de la biblia que significa el alimento o
provisión que dios prepara a Moisés para que libere a su pueblo esclavo de manos
del faraón y después de haberlo logrado esta gente vaga por el desierto por 40
años y es en este tiempo que dios le iba proveen do el alimento llamado ,mana y
esto caía como roció todas las mañanas nuestra primera profesora fue la
profesora Ana maría becerra profesora de gastronomía partiendo sus
conocimiento a los alumnos después de 21 años la escuela fue entendió sus
ramas en repostería pastelería panadería belleza integral decoración de evento
cuenta con 40 docentes entre trabajadores entre docentes administrativos
atención al cliente y otros.

La escuela el mana fue creciendo y teniendo sucursales en distintos lugares en el

dpdo. de santa cruz, su sucursal en av. Purito N° 5030 media cuadra pasando el
trillo su sucursal principal es en la calle sucre N° 725 en el primer anillo a media
cuadra del cementerio general.

En el futuro de la escuela es abrir nuevas sucursales tanto a nivel departamental y

nacional de esta forma contribuir a la formación de profesionales emprendedores,
el mana ha crecido gracias al excelente servicio que prestan los profesores
calificados.

MISION

La que se orienten a la información de competencias culinarias y una cultura

gastronómica que rescaten el patrimonio gastronómico nacional, correspondiendo
a las necesidades y expectativas del medio en el cual opera y brindada al
educando competencias culinarias sociales y laborales que le permitan al
mejoramiento de la calidad de vida de sí mismo y dela población en general, bajo
principios de excelencia creatividad autonomía y responsabilidad social.

A escuela superior de gastronomía el mana tiene como misión el desarrollo de

procesos educativa
VISION
Ser el instituto líder en información en cocina boliviana, con procesos educativos
de calidad alternativa e innovadores que integren el desarrollo personal el arte, la
ciencia, la investigación, la creatividad, el emprendimiento y la acción social.

Ser el instituto líder en formación en cocina boliviana, con procesos educativos de

calidad alternativa e innovadores que integren el desarrollo personal el arte, la
ciencia, la investigación, la creatividad, el emprendimiento y la acción social

2. PLANTEAMIENTO DEL PROBLEMA

Se identifican algunas falencias en el sistema de seguridad en la escuela

gastronómica el MANA como ser:
 La primera falencia identificada se encuentra referida a la infraestructura
puesto que no cuenta con un área especializada dedicada a la informática
tecnológica dejando a los equipos susceptibles a incidentes
 La segunda falencia se encuentra referida a los ingresos no autorizados de
personas no autorizadas.
 La tercera se refiere a la falta de actualización de software en todos los
equipos de la entidad.
 Que la actualización de las copias de seguridad deberían ser más seguidos,
ya que así podríamos proteger mejor el reporting de la escuela
gastronómica

3. FORMULACION DEL PROBLEMA

Diseñar unas políticas de seguridad informática para proteger toda la información
de la escuela gastronómica, ya que es una escuela sofisticada y valorada
internacionalmente por su calidad de enseñanza y su aporte a la gastronomía
nacional
4. PLANTEAMIENTO DE OBJETIVO
4.1 OBJETIVO GENERAL
Diseñar un manual de funciones de seguridad de la información para la protección
de los datos de la escuela gastronómica, para manejar la información de forma
eficiente

4.2 OBJETIVO ESPECIFICO

 Hacer un diagnóstico de análisis de riesgos para proporcionar
un panorama general de las vulnerabilidades.
 Analizar los resultados obtenidos para identificar factores y
áreas vulnerables

5. MARCO TEORICO
NUESTRA ESTRUCTURA ORGANIZATIVA ESTA
CONFORMADO POR LOS SIGUIENTES
PROFESIONALES:

La escuela gastronómica está conformado por administrativos por profesores de

gastronomía que tiene una gran cantidad de docentes chef la cual llegan a ser 12
profesores encargado de la carrera gastronómica la cual son encargados de
compartir sus conocimientos día a día juntamente A sus estudiantes
 DIRECTOR

SECRETARIA LICENCIADA RECURSOS HUMANO

CHEFF FRANCISCO CHEFF LUDWIN

1ER MODULO

2DO MODULO CHEFF DARWIN CHEFF PAOLA

3ER MODULO CHEFF WALTER CHEFF ALEJANDRA

4TO MODULO CHEFF JAZMIN CHEFF MIRIAM

 5TO MODULO CHEFF MITA CHEFF CARLA

6TO MODULO CHEFF ALEXANDER CHEFF THELMA

Cada chef asignado a cada módulo con sus respectivos apoyos de sus
auxiliares ayudantes llevan una buena enseñanza a cada alumno que
realizan sus las clases totalmente practico donde cocinan puros platos
especiales de variedades los platos a servirse son gourmet, todo plato
cocinado de distintos países.

GASTRONOMIA EL MANA

ESCUELA SUPERIOR “EL MANA”

PLANDE ESTUDIO

1ER MODULO

2do MODULO
3ER MODULO

4TO MODULO
5TO MODULO

6TO MODULO
 ACTIVOS

NOMBRE DESCRIPCION MARCA CANTIDAD

Sistema operativo
Linux, Windows.
Disco duro 160 GB
pantalla LCD 18
pulgadas, teclado,
mouse.
Computadora de escritorio Todas las máquinas
están conectados por
HP 6
cable UTP
 Intel Core I5, sistema
operativo Linux,
Windows.
Disco duro 1TB,
memoria RAM 8GB.
Antivirus kasperky,
sistema de seguridad
COMPUTADORA firewall es actualizado
PORTATIL cada mes
HP 7

Capacidad de SONIC
memoria RAM 2048 WALL NSA
ROUTER 6
MB. 3600

Multifuncional EPSON EPSON

ECO TANK L375,
5
IMPRESORAS
impresora, copiadora
y escáner. Sistema de
 tanques de tinta, WI-
FI, USB
Imagen sensor ¼
pulg. Lente fijo
2.8mm, estas
cámaras tienen la
capacidad de grabar MODELO
CÁMARAS DE hasta 3 meses de ALHUA,
SEGURIDAD tiempo. MODELO
Esta información es 16
DH
guardada en el NVR HACHFW1
(network video 000RN
recorder) capacidad
de su disco 19 TB

EQUIPOS CONTRA
INCENDIO 20 kg de peso EXSACRUZ

TIPOS DE SEGURIDAD.

SEGURIDAD ACTIVA.- comprende el conjunto de defensas o medidas cuyos

objetivos es evitar o reducir los riesgos que amenazan al sistema.

 Acceso restringido para algunos usuarios al sistema.

  Solamente se puede ingresar al sistema con un usuario y
contraseña.
 Está prohibido el uso de memorias extraíbles sin autorización
 Todos los usuarios tiene un límite de información, de acuerdo a los
permisos concedidos por el administrador.
 No tienen acceso al internet y los demás usuarios están boqueados,
solo se usa una conexión intranet (LAN)

Cuentas de usuarios de la empresa gastronómica. Es una vía de acceso para los

gestores de activos (administradores y alumnos). Existen 3 tipos de niveles de
usuario

 Cuenta de usuario estándar: permite que el gestor de activo use la mayoría

de las funciones de la red, aunque requiere el permiso de un usuario nivel
administrador si se intenta manifestar cambios que afecten a los demás
usuarios.
 Cuenta de usuario para administrador: este usuario permite efectuar
cambios que afecten al otro usuario. El administrador el usuario con este nivel
de cuenta puede cambiar de seguridad, software, hardware y tener acceso a
todos los archivo del sistema.
 Cuenta de usuario estudiante: es una cuenta para los usuarios que no
tienen permanencia en el equipo permite que las personas usen los datos sin
tener acceso a archivos personales.

PASIVA.- Esta formada por las medidas que se implantan para, una vez
producido el incidente de seguridad minimizar su repercusión y facilitar la
recuperación de sistema.

 Hay un software que se ejecuta en caso de fallas en el sistema que

permite deshacer procesos, guardar datos, y recuperar información.
 Antivirus activo.
  Cuenta con una restricción de datos para que los trabajadores no
tengan acceso, solo el gerente o ingeniero de sistema.
 En la escuela gastronómica “el mana” las copias de seguridad se
realizan cada mes para todos los usuarios, por ello se realizan
tareas automáticas en las computadoras para crear respaldos cada
30 días, pero algunos usuarios realizan el respaldo de manera
manual. Estos respaldos se realizan en carpetas compartidas en la
red interna, en la cual cada usuario solo puede ingresar a cierto
número limitados de carpetas y guardar su información.
 Para la base de datos que contiene dicha información se utiliza la
aplicación SQL Server. Para los respaldos de información de ciertos
usuarios críticos se utilizan FBackup 4.6 la cual se programa que
realice respaldos automáticos cada 5 días a las 12:00 PM para no
interrumpir los servicios al siguiente día.

PROPIEDADES DE UN SISTEMA DE INFORMACION SEGURO.

Las características para que un sistema de seguridad pueda considerarse

seguro son:

 Poder minimizar el error humano cometidos accidentalmente por el

personal (usuario).
 Tener planes de acción en caso de accidentes que puedan dañar al
sistema, como ser: Catástrofes Naturales, Cortes de electricidad, etc.
 Tener medidas de seguridad para el personal (usuario), para evitar
posibles actos dolosos que perjudiquen al sistema o la empresa
 Poder restaurar los daños que puede llegar a provocar el software
mal intencionado (virus) o de otra índoles como una mala instalación
de algún programa.
 LA ESCUELA GASTRONÓMICA EL MANA UTILIZA UN SISTEMA DE
INFORMACIÓN CONFIABLE YA QUE CUENTA CON LOS SIGUIENTES
PROPIEDADES:

INTEGRIDAD.- Este principio garantiza la autenticidad y presicion de la

información sin importar el momento en que esta solicita, una garantía de que
los datos no han sido alterados ni destruidos de modos no autorizado.

 Se hace mantenimiento al sistema.

 Se hacen pruebas para encontrar posibles fallos
 Solo el personal especializado puede realizar algún cambio en el
sistema.
 La empresa cuenta con licencias actualizadas.
 También crea una copia de seguridad y mecanismo para restaurar
los datos que pudieran ser dañado o destruido.

CONFIDENCIALIDAD.- Define como el hecho de que los datos o información

estén únicamente al alcance de conocimientos de personas, entidades o
mecanismo autorizados.

 La información está fragmentada y solo pueden tener acceso a ella las

personas (usuarios) autorizadas.
 Cada usuario autorizado tiene hasta un cierto límite de acceso al
sistema.

Cada usuario autorizado sabe en qué momento debe entrar a sistema que tipo de
operaciones puede realizar, usuarios con nombre y contraseña personalizado

DISPONIBILIDAD.- la información ha de estar disponible para los usuarios

autorizados cuando la necesiten

 Facilitar la información para aquellas personas que lo necesiten.

  Sacar información cuando lo requiera el usuario mediante informes y
reportes

1. ACTIVOS
Son aquellos recursos (hardware y software) que pertenecen al propio sistema de
información con los que cuenta la empresa gastronómica, como ser:
 Equipo de computación (monitores, teclados, mouse, gabinete, impresora,
bocinas)
 Los componentes (disco duro, tarjetas de red, tarjeta de video, etc.)
 2 impresoras marca Epson
 16 cámaras de seguridad
 4 Reuters de marca HITRON

2. DATOS.- El funcionamiento de la escuela gastronómica depende de sus

datos, que pueden ser de todo tipo: económicos, fiscales, de recursos
humanos, clientes, proveedores, etc.)
 Datos analfabético
 Datos numéricos
 Datos simbólicos de carácter especiales

 Constituyen el núcleo de toda organización, hasta tal punto que se

tiende a considerar que el resto de los activos están al servicio de la
protección de los datos. Normalmente están organizados en bases
de datos y almacenados en soportes de diferente tipo. Cada tipo de
dato merece un estudio independiente de riesgo por la repercusión
de que deterioro o pérdida puede causar, como por ejemplo los
relativos a la intimidad y honor de las personas u otros de índole
confidencial.
3. SOFTWARE.- son todos los componentes intangibles de una computadora,
el conjunto de programa, aplicaciones instaladas en los equipos de un
 sistema de información que reciben y gestionan los datos para darles fin.
Como ser:
 Software de seguridad karpersky (antivirus)
 Recuva (Windows)
4. HARDWARE.- es las parte física de un ordenador o sistema informático esta
conformados por los componentes electrónicos y mecánicos como ser:
 Circuito de cables, circuito de luz, placas utencillos, cadenas
5. REDES.- es un conjunto de ordenadores conectados entre si, que pueden
comunicarse para compartir datos y recursos sin importar la localización
física de los distintos dispositivos, representan la vía de comunicación y
trasmisión de datos a distancia.
6. SOPORTE.- se trata de un servicio mediante el cual los especialistas en
apoyo informático o expertos en digital te ofrecen en asistencia técnica en
donde la información queda registrada y almacenada durante largo periodo
de forma permanente. Como ser:
 DVD, cd,
 tarjetas de memoria, disco duro
7. INSTALACIONES.- instalamos los sistemas de información y de
comunicaciones a cada módulo de la escuela gastronómica, para el control
de entrada y salida del personal
8. PERSONAL.- el conjunto de personas que interactúan con el sistema de
información :administradores, programadores usuarios internos y resto
personal de la escuela gastronómica
9. SERVICIOS.- la empresa brinda servicios de información de educación,
comunicación y seguridad

10. AMENAZAS.- se tiende por amenaza la presencia de uno o más factores de

diversa índole (personas o virus o cualquier amenaza informática) que de
tener oportunidad atacarían al sistema produciéndoles daños,
aprovechándose de su vulnerabilidad, Hay diferentes tipos de amenazas de
las que hay que proteger al sistema, desde las físicas como cortes
eléctricos, fallos de hardware o riesgos ambientales hasta los errores
intencionados o no de los usuarios, la entrada de software malicioso (virus,
troyanos, gusanos) o el robo, destrucción o modificación de la información,
pueden ser:

 De interrupción: que un ex funcionario o personas ajenas a la empresa no

puedan tener acceso a la información de la empresa
 De interceptación: que usuario pueda ingresar al sistema
 Modificación: toma en cuenta que los estudiantes, no puedan
acceder al sistema, puedan modificar y editar la información
 De fabricación: que los usuarios puedan introducir datos falsos, ante
la vulnerabilidad de la empresa

En función del tipo de alteración, daño o intervención que podrán producir

sobre la información, las amenazas se clasifican en cuatro grupos.

 De interrupción. El objetivo de la amenaza es deshabilitar el acceso

a la información; por ejemplo, destruyendo componentes físicos
como el disco duro, bloqueando el acceso a los datos, o cortando o
saturando los canales de comunicación.

 De interceptación. Personas, programas o equipos no autorizados

podrían acceder a un determinado recurso del sistema y captar
información confidencial de la organización, como pueden ser datos,
programas o identidad de personas.

 De modificación. Personas, programas o equipos no autorizados no

solamente accederían a los programas y datos de un sistema de
información, sino que además los modificarían. Por ejemplo,
 modificar la respuesta enviada a un usuario conectado o alterar el
comportamiento de una aplicación instalada.

 De fabricación. Agregarían información falsa en el conjunto de

información del sistema.

Según su origen las amenazas se clasifican en:

 Accidentales. Accidentes meteorológicos, incendios, inundaciones,

fallos en los equipos, en las redes, en los sistemas operativos o en el
software, errores humanos.

 Intencionadas. Son debidas siempre a la acción humana, como la

introducción de software malicioso-malware- (aunque este penetre
en el sistema por algún procedimiento automático, su origen es
siempre humano), intrusión informática (con frecuencia se produce
previa la introducción de malware en los equipos), robos o hurtos.
Las amenazas intencionadas pueden tener su origen en el exterior
de la organización incluso en el personal mismo.

11. RIESGO.- riesgo es la posibilidad que se materialice o no una amenaza

aprovechando una vulnerabilidad. Ante un determinado riesgo la
organización puede optar por alternativas distintas:

 Aplicar medidas para disminuirlos o anularlos

 Transferido(contratando un seguro)
12. VULNERABILIDAD.- es el riesgo que un sistema pueda sufrir frente a los peligros
que existen de una amenaza que se materialice contra un activo como ser:
 Desastres naturales
  Desigualdad económica, políticas
 Sociales o culturales
13. ATAQUES.- es un método por el cual un individuo intenta tomar el control
deshabilitar o dañar otro sistema informático. En función del impacto causado a los
activos atacados los ataques se clasifican en :
 Activos.- se modifican dañan, agregan información o saturas canales de
comunicación.
 Pasivos.- acceden sin autorización a los datos u contenidos
14. IMPACTO.-es el análisis de la consecuencia de la materialización de una o masa
amenazas sobre varios activos aprovechando la vulnerabilidad, daño causado.

Control de riesgo

Una vez que se ha realizado el análisis de riesgo se tiene que determinar

cuáles serán los servicios necesarios para conseguir un sistema de
información seguro. Para poder dar esos servicios será necesario dotar al
sistema de los mecanismos correspondientes.

Servicios de seguridad

 Autenticación (o Identificación). El sistema debe ser capaz de

verificar que un usuario identificado que accede a un sistema o
que genera una determinada información es quien dice ser. Solo
cuando un usuario o entidad ha sido autenticado, podrá tener
autorización de acceso. Se puede exigir autenticación en la entidad
de origen de la información, en la de destino o en ambas.

 De repudio (o irrenunciabilidad). Proporcionará al sistema una

serie de evidencias irrefutables de la autoría de un hecho. El no
repudio consiste en no poder negar haber emitido una información
que si se emitió y en no poder negar su recepción cuando si ha sido
recibida.
 De esto se deduce que el no repudio puede darse:

 En origen: El emisor no puede negar el envió porque el receptor

tiene pruebas certificadas del envío y de la identidad del emisor.
Las pruebas son emitidas por el propio emisor.

 En destino: En este caso es el destinatario quien no puede

negar haber recibido el envío ya que el emisor tiene pruebas
infalsificables del envío y de la identidad del destinatario. Es el
receptor quien crea las pruebas.

 Control de acceso: Podrán acceder a los recursos del sistema

solamente el personal y usuarios con autorización.

Mecanismos de seguridad

Según la función que desempeñen los mecanismos de seguridad pueden

clasificarse en:

 Preventivos. Actúan antes de que se produzca un ataque. Su misión

es evitarlo.

 Detectores. Actúan cuando el ataque se ha producido y antes de

que cause daños en el sistema.

 Correctores. Actúan después de que haya habido un ataque y se

hayan producido daños. Su misión es la de corregir las
consecuencias del daño.
Seguridad lógica

Los mecanismos y herramientas de seguridad lógica tienen como objetivo

proteger digitalmente la información de manera directa.

 Control de acceso. Mediante nombre de usuario y contraseña.

 Cifrado de datos (encriptación). Los datos se enmascaran con una

clave especial creada mediante un algoritmo de encriptación. Emisor
y receptor son conocedores de la clave y a la llegada de la clave se
produce el descifrado. El cifrado de datos fortalece la
confidencialidad.

 Antivirus. Detectan e impiden la entrada de virus y otro software

malicioso. En el caso de infección tiene la capacidad de eliminarlos y
de corregir los daños que ocasionan en el sistema. Preventivo,
detector y corrector. Protege la integridad de la información.

 Cortafuegos (firewall). Se trata de uno o más dispositivos de

software, de hardware o mixtos que permiten, deniegan o restringen
el acceso al sistema. Protege la integridad de la información.

 Firma digital. Se utiliza para la transmisión de mensajes telemáticos

y en la gestión de documentos electrónicos (por ejemplo, gestiones
en oficinas virtuales). Su finalidad es identificar de forma segura a las
personas o el equipo que se hace responsable del mensaje o el
documento. Protege la integridad y la confidencialidad de la
información.

 Certificados digitales. Son documentos digitales mediante los

cuales una entidad autorizada garantiza que una persono o entidad
 es quien dice ser, avalada por su verificación de su clave pública.
Protege la integridad y confidencialidad de la información.

Las redes digitales (Wifi) necesitan precauciones adicionales para su

protección.

 Usar un SSID (Service Set Identifier). Es decir, darle un nombre

a LA red, preferiblemente uno que no llame la atención de
terceros que detecten esta red entre las disponibles. Cambiar con
cierta frecuencia el SSID.

 Protección de la red mediante claves encriptadas, WEP

(Wired Equivalent Privacy) o WPA (Wii Protected Access). La
clave WEP consume más recursos y es más fácilmente
descifrable que la WPA, y debería cambiarse con frecuencia. La
WPA es de encriptación dinámica y mucho más segura al ser
más difícil descifrar. Cambiar periódicamente la contraseña de
acceso a la red.

 Filtrado de direcciones MAC (Media Access Control). Es un

mecanismo de acceso al sistema mediante hardware, por el que
se admiten solo determinadas direcciones, teniendo en cuenta
que cada tarjeta de red tiene una dirección MAC única en el
mundo. Puede resultar engorroso de configurar y no es infalible
puesto que es posible disfrazar la dirección real MAC.

6. CONCEPTOS PREVIOS
La información es el activo más valioso que cada organismo tiene, es en este
sentido que la seguridad informática tiene como objetivo protegerlo. Son tres los
elementos que conforman este activo:
  Información: Es el objeto de mayor valor para un organismo, el objetivo es
el resguardo de la información, independientemente del lugar en donde se
encuentra registrada, en algún medio electrónico o físico.

 Equipos que la soportan: Software, hardware y organización.

 Usuarios: Individuos que utilizan la estructura tecnológica y de

comunicaciones que manejan la información.

La seguridad informática consiste en asegurar que los recursos de los sistemas

información (material informático o programas) de un organismo sean utilizados de
la manera que se decidió y que el acceso a la información allí contenida así como
su modificación sólo sea posible a las personas que se encuentran acreditadas y
dentro de los límites de su autorización.

Podemos entender como seguridad un estado de cualquier tipo de información

(informático o no) que nos indica que ese sistema está libre de peligro, daño o
riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento o los resultados que se obtienen del mismo. Para que un sistema
se pueda definir como seguro debe tener estas cuatro características:

 Integridad: La información sólo puede ser modificada por quien está

autorizado y de manera controlada.

 Confidencialidad: La información solo debe ser legible para los autorizados.

 Disponibilidad: Debe estar disponible cuando se necesita.

 Área Informática, es el lugar donde se lleva a cabo el procesamiento de

información (programación, análisis y diseño de sistemas de información,
ingreso de datos, procesos de back-ups, etc.).
  Activo: recurso del sistema de información o relacionado con éste,
necesario para que el Organismo funcione correctamente y alcance los
objetivos propuestos.

 Amenaza: es un evento que pueden desencadenar en un incidente en el

organismo, produciendo daños materiales o pérdidas inmateriales en sus
activos.

 Impacto: medir la consecuencia al materializarse una amenaza.

 Vulnerabilidad: posibilidad de ocurrencia de la materialización de una

amenaza sobre un Activo.

 Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.

 Desastre o contingencia: interrupción de la capacidad de acceso a

información y procesamiento de aquella a través de computadoras
necesarias para la operación normal de un organismo.

 Robo: las computadoras (con su software incluido) así como también las
herramientas que se usan para su reparación (en el caso de las áreas de
soporte técnico) son un activo del organismo. En este sentido, se tomarán
medidas inherentes a la circulación que estos materiales tienen dentro y
fuera de la institución, evitando el uso de aquellas para trabajos privados.
Se deberá llevar un control, mediante un formulario habilitado a tales fines.

7. CONCLUCIONES
 Los equipos de la empresa no están excesivamente
cargados de Software pero se aprecia un grave problema
en la seguridad Software puesto que los antivirus no se
encuentran debidamente actualizados.

En cuanto a los equipos como ser servidores, se

encuentran instalados en un lugar no apto (oficinas de
contabilidad), ya que cualquier persona que trabaje en la
escuela gastronómica tiene acceso a ellos, además de no
contar con el ambiente adecuado que exige tener
conservar estos equipos en óptimas condiciones estando
susceptibles a cualquier incidente que pueda llegar a
dañarlos.

La escuela gastronómica no cuenta con un departamento

especializado en velar por la seguridad, que controle las
políticas a seguir para realizar las copias de respaldo de
información en caso de pérdida

1.1. AMENAZAS

NIVEL DE IMPACTO FACTOR

ALTA A
MEDIA M
BAJA B
 AMENAZAS

AMENAZAS IMPACTO COMENTARIO

ACCIDENTALES

Catástrofes A El impacto llegaría a ser severo,

naturales más las probabilidades de que
sucedan son muy pocas.

Acciones climatológicas y por lo

tanto incontrolables que pueden
afectar al sistema, como ser
tormentas y rayos.

Incendios e A El impacto llegaría a ser severo

inundaciones pero las probabilidades de que
 sucedan son muy pocas.

Se entiende por inundaciones de

agua cubrir los terrenos,
poblaciones o edificios.

Fuego no controlado que puede ser

extremadamente peligroso para
los seres vivos y las estructuras,
produciendo además gases
tóxicos.

Error humano B Se necesita personal actualizado y

manuales disponibles al usuario
autorizado.

La mayoría de los ataques

informáticos a una empresa
provienen desde dentro de la
misma perpetrados por sus
propios empleados.

Falla en los equipos M Puede perderse la información y

es perjudicial para el trabajo.

El fallo puede deberse a un corte

de la corriente eléctrica de los
equipos, un fallo humano de la
gestión de los mismos, errores en
el Hardware o en el Software,
etc.
Fallas del software A Mantener los equipos
actualizados.

Fallos debidos a amenazas que

pueden afectar al Software que
emplea la empresa para
desarrollar su actividad de
negocio.

Fallas del sistema A No se podría trabajar.

operativo
Son las fallas que se presentan
entre encender un equipo y el
mensaje de vídeo del post. Lo
reconocemos a través de
los bips de sonido.

AMENAZAS IMPACTO COMENTARIO

INTENCIONADAS

Malware A Perjudicial para la mayoría de los

equipos.

Es un tipo de software que tiene

como objetivo infiltrarse o dañar
una computadora o sistema de
información.

Ingreso no M Se necesitan medidas de

autorizado a seguridad física, controlar los
instalaciones accesos del personal.

Robo A Daños económicos y pérdida de

información.

Cualquier empresa puede ser

objetivo de un robo debido a que
en sus dependencias suelen tener
material valioso e incluso dinero.

Los equipos de la empresa no están excesivamente

cargados de Software pero se aprecia un grave problema
en la seguridad Software puesto que los antivirus no se
encuentran debidamente actualizados.

En cuanto a los equipos como ser servidores, se

encuentran instalados en un lugar no apto (oficinas de
contabilidad), ya que cualquier persona que trabaje en la
 escuela gastronómica tiene acceso a ellos, además de no
contar con el ambiente adecuado que exige tener
conservar estos equipos en óptimas condiciones estando
susceptibles a cualquier incidente que pueda llegar a
dañarlos.

La escuela gastronómica no cuenta con un departamento

especializado en velar por la seguridad, que controle las
políticas a seguir para realizar las copias de respaldo de
información en caso de pérdida.

8. CONTROLES DE SEGURIDAD INFORMATICO

8.1 MEDIDAS APLICADAS A DESASTRES NATURALES

 Instalación de dispositivos de protección de líneas

eléctricas contra sobrecargas.

 Instalación de dispositivos SAI (Sistemas de

Alimentación Ininterrumpida) para garantizar el
suministro eléctrico en caso de caída del sistema
eléctrico general.

 Realización periódica de copias de Backup

localizadas en servidores externos a la empresa.
8.2 MEDIDAS APLICADAS A PROBLEMAS
ESTRUCTURALES

 Revisión periódica de la instalación eléctrica.

 Distribución de extintores a lo largo de toda la

dependencia de la empresa, en especial cerca de
elementos informáticos críticos.

 Instalación de dispositivos automáticos de extinción

de incendios

8.3 MEDIDAS APLICADAS A PROBLEMAS DE HARDWARE

Se han detectado varios fallos en el correcto

mantenimiento y seguridad del equipamiento Hardware
disponible, sobre todo debido a la ausencia de un sistema
de almacenamiento centralizado, lo que pone en grave
riesgo la integridad de la información almacenada dentro
de dicho Hardware.

 Instalación de un servidor de almacenamiento

centralizado donde se almacene toda la información
generada dentro de la empresa y que garantice un
acceso adecuado, y seguro, a la misma cuando sea
necesario.
  Disponer de copias de respaldo almacenadas en
servidores exteriores a la empresa para prevenir
posibles fallos de Hardware.

 Dispositivos SAI (Sistemas de Alimentación

Ininterrumpida) para evitar posibles fallos de los
equipos debidos a cortes de energía repentinos.

 Tener contratado un buen servicio técnico que

asegure una rápida reparación y puesta en marcha
de los equipos si se produce un fallo.

8.4 Medidas aplicadas a problemas de Software

El Software es el elemento más crítico de la empresa, pues

debido a la falta de concienciación de seguridad de los
responsables de la misma; los elementos Software que
componen los activos de la empresa no están siempre
correctamente actualizados y preparados para evitar
posibles pérdidas de información no deseadas.

 Realizar periódicamente, o cuando sea requerido por

el distribuidor del Software, las actualizaciones
oportunas para mantener al día los distintos
programas y Sistemas Operativos.
  Instalación de bases de datos centralizadas donde se
almacenen todos los datos importantes generados
por la empresa para facilitar el almacenamiento,
accesibilidad y seguridad de los datos.

 Establecer una política de contraseñas para acceder

a los diferentes equipos de la empresa.

8.5 Medidas aplicadas a problemas de red

La red es uno de los elementos más sensibles de la

empresa, puesto que dentro de la misma no son
conscientes de lo perjudicial que puede llegar a ser un
ataque exterior y tampoco saben aprovechar las
oportunidades que ésta puede proporcionar.

 Mantener correctamente instalados y actualizados los

sistemas de seguridad Software de los que dispone
la empresa.

 Montaje de una red interna en la empresa para

garantizar que todas las comunicaciones internas y
de carácter confidencial no salen de la estructura de
la propia empresa.
  Instalación en la totalidad de equipos de la empresa
igual Software de seguridad que garantice la
seguridad de los equipos.

 Establecimiento de políticas de seguridad de acceso

a la red mediante el empleo de contraseñas.

 Establecer una correcta configuración de seguridad

para la red inalámbrica que evite accesos
indeseados.

8.6 Medidas aplicadas a problemas de las copias de

seguridad

La política de copias de seguridad es sin duda el talón de

Aquiles de la empresa, pues dentro de la misma no se
dispone de ningún sistema que garantice que se realicen
copias de los datos críticos, ni que estas copias estén a
salvo y replicadas en algún sistema de almacenamiento
exterior a la empresa.

En este punto, también se detecta una falta de

concienciación de los responsables de la empresa de lo
importante que resulta tener la información replicada.

 Instalación de un servidor centralizado de copias de

seguridad en el cual se almacenen periódicamente
copias de los datos actualizados.
  Realización periódica de copias de seguridad de los
datos, en especial de los datos críticos, generados en
la empresa.

8.7 Medidas aplicadas a problemas con la información

La información es uno de los activos más importantes con

los que cuenta la empresa y por tanto uno de los más
críticos y que más habría que proteger.

 Disponibilidad de copias de seguridad de los ficheros

más importantes en diferentes soportes.

 Instalación de bases de datos centralizadas donde se

almacenen todos los datos importantes generados
por la empresa para facilitar el almacenamiento,
accesibilidad y seguridad de los datos.
 Establecimiento de procedimientos de seguridad que
establezcan las acciones a realizar en caso de
pérdidas de información.

 Establecimiento de planes de contingencia para

salvaguardar la información y evitar daños o pérdidas
de la misma.
8.8 Medidas aplicadas a problemas con el personal

En cualquier organización el personal es un punto crítico

pues un empleado descontento puede provocar graves
daños desde dentro de la organización.

El personal está muy poco concienciado con disponer de

una adecuada seguridad y política de respaldo dentro de la
empresa para garantizar la salvaguarda de su información.

 Conseguir una adecuada concienciación del personal

de la empresa sobre lo importante que es mantener
un cierto nivel de seguridad en los procesos que se
realizan dentro de la empresa. Así como establecer
una adecuada política de respaldo de información.

 Disponibilidad de copias de seguridad de los ficheros

más importantes en diferentes soportes.

 Establecer una política de contraseñas para el

acceso a los recursos del sistema.

8.9 Medidas aplicadas a problemas con el patrimonio

En cualquier momento se puede estar sujeto a un robo o a

una pérdida no intencionada de activos que provoque un
problema de disponibilidad de datos importantes o una
pérdida irrecuperable.

 Disponibilidad de copias de seguridad de los ficheros

más importantes en diferentes soportes.

 Disponer de un completo inventario de todos los

activos de la empresa.

 Tener la alarma conectada cuando no hay personal

dentro de las instalaciones de la empresa.

ANEXOS