Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alumno: Profesora:
Es una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten
alternativas que nos permita restituir rápidamente los servicios de la organización ante la
eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. El plan de
contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u
organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es
decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo.
• Garantizar la continuidad de las operaciones de los elementos críticos que componen los Sistemas
de Información.
• Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un
Sistema de Información.
La Seguridad Física
Antes
• Control de accesos.
• Selección de personal.
• Medidas de protección.
Durante
• Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas
• Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes
de sufrir pérdidas significativas o irrecuperables.
• Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso.
Después
Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas, gastos o
responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y
corregido el fallo.
• Reconstrucción de medios de software: cubre el daño producido sobre medios software tanto los
que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad.
• Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un
desastre o daño en el centro de proceso de datos. Es suficiente para compensar los costos de
ejecución del plan de contingencia.
• Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las caídas de los
medios informáticos o por la suspensión de las operaciones.
• Documentos y registros valiosos: Se contrata para obtener una compensación en el valor metálico
real por la perdida o daño físico sobre documentos y registros valiosos no amparados por el seguro
de reconstrucción de medios software.
• Errores y omisiones: proporciona protección legal ante la responsabilidad en que pudiera incurrir
un profesional que cometiera un acto, error u omisión que ocasione una pérdida financiera a un
cliente.
• Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados.
En esta etapa hay que definir cuales serán nuestras operaciones críticas y tienen que ser definidas en
función a los componentes de los sistemas de información los cuales son: Datos, Aplicaciones,
Tecnología Hardware y Software, instalaciones y personal.
En esta etapa se identifica a los proveedores de los servicios y recursos usados, considerados
críticos, para los procesos de cada operación en la Etapa 2.
Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el uso y
mantenimiento de los Sistemas de Información, cuando los problemas ocurran, considerando el
entorno de problemas que suceden y el período de interrupción aceptable que se estima en la etapa
4. Si hay más de un conjunto de medidas preventivas para un recurso, se ha determinado cual se
empleara, para tomar en consideración sus costos y efectos.
Se estableció los días en los cuales los problemas son mas probables a ocurrir, incluyendo los
sistemas de la institución, clientes, proveedores e infraestructura de la organización. Se señala los
días anunciados, cuando los problemas pueden ocurrir y otros temas.
Caso de Emergencia
Se creará un directorio telefónico del personal considerado esencial para la organización en esas
fechas críticas, incluyendo el personal encargado de realizar medidas preventivas y los responsables
para las acciones de la recuperación y preparación de medios alternativos.
A su vez también se creará un listado telefónico de todos los proveedores de servicio del recurso.
Este directorio se usa para realizar comunicaciones rápidas con los proveedores de servicio del
recurso, incluso con los fabricantes, vendedores o abastecedores de servicio contraídos, si ocurren
los problemas, para hacer que investiguen y que identifiquen las causas de los problemas y que
comiencen la recuperación de los sistemas
En esta etapa hay que desarrollar la estrategia seleccionada, implantándose con todas las acciones
previstas, sus procedimientos y generando una documentación del plan. Hay que tener en claro
como pasamos de una situación normal a una alternativa, y de que forma retornamos a la situación
normal. Hay situaciones en que debemos de contemplar la reconstrucción de un proceso
determinado. Antes de realizar las pruebas, los planes deberían ser revisados y juzgados
independientemente en lo que respecta a su eficacia y razonabilidad.
RIESGOS DE UN CENTRO DE CÓMPUTO
Factores ambientales
Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones inalámbricas defectuosas y el inadecuado almacenamiento y traslado de
sustancias peligrosas.
Sismos: Estos fenómenos sísmicos pueden ser tan poco intensos que solamente
instrumentos muy sensibles los detectan, o tan intensos que causan la destrucción de
edificios y hasta la pérdida de vidas humanas.
Factores humanos:
Robos: Las computadoras son posesiones valiosas de las empresas, y están expuestas, de la
misma forma que están expuestas las piezas de stock e incluso el dinero. Muchas empresas
invierten millones de dólares en programas y archivos de información, a los que dan menor
protección de la que dan a una máquina de escribir o a una calculadora, y en general a un
activo físico.
Actos vandálicos y sabotaje: En las empresas existen empleados descontentos que pueden
tomar represalias contra los equipos y las instalaciones. Actos vandálicos contra el sistema
de red. Muchos de estos actos van relacionados con el sabotaje.
Fraude: Las computadoras son posesiones valiosas de las empresas, y están expuestas, de la
misma forma que están expuestas las piezas de stock e incluso el dinero. Muchas empresas
invierten millones de dólares en programas y archivos de información, a los que dan menor
protección de la que dan a una máquina de escribir o a una calculadora, y en general a un
activo físico.
Terrorismo: Con la situación bélica que enfrenta el mundo las empresas deben de
incrementar sus medidas de seguridad, por que las empresas de mayor nombre en el mundo
son un blanco muy llamativo para los terroristas.
POLÍTICAS DE SEGURIDAD
Políticas de cuentas
Establecen qué es una cuenta de usuario de un sistema de cómputo, cómo está conformada, a quién
puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas.
Políticas:
Las cuentas deben ser otorgadas exclusivamente a usuarios legítimos. Se consideran usuarios
legítimos aquellos usuarios quienes hayan realizado su trámite de registro de cuenta y que:
3. Una cuenta deberá estar conformada por un nombre de usuario y su respectiva contraseña.
4. La asignación de cuentas la hará el administrador del servidor del área en cuestión y al usuario
sólo le dará derecho de acceder a los recursos al servidor donde se realiza el registro.
Políticas de contraseñas
Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la
primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra
ataques. Éstas establecen quién asignará la contraseña, qué longitud debe tener, a qué formato
deberá apegarse, cómo será comunicada.
Políticas:
• La longitud de una contraseña deberá siempre ser verificada de manera automática al ser
construida por el administrador/usuario. Todas las contraseñas deberán contar con al menos seis
caracteres.
• Todas las contraseñas elegidas por los usuarios deben ser difíciles de adivinar. No deben ser
utilizadas palabras que aparezcan en el diccionario, secuencias conocidas de caracteres, datos
personales ni acrónimos.
• Está prohibido que los usuarios construyan contraseñas compuestas de algunos caracteres
constantes y otros que cambien de manera predecible y sean fáciles de adivinar.
• Los usuarios no deben construir contraseñas idénticas o muy parecidas a contraseñas anteriores.
Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben
autentificarse.
Políticas:
• Todos los administradores que den un servicio de acceso remoto deberán contar con aplicaciones
que permitan una comunicación segura y encriptada.
• Todos los usuarios deberán autentificarse con su cuenta y no podrán hacer uso de sesiones activas
de otros usuarios.
• Todos los usuarios deberán acceder al sistema utilizando algún programa que permita una
comunicación segura y encriptada.
• Está prohibido acceder al sistema con una cuenta diferente de la propia, aún con la autorización
del dueño de dicha cuenta.
• Si un usuario está fuera del sitio de trabajo, debe conectarse a una máquina pública del sitio y,
únicamente desde ésta, hacer la conexión a la computadora deseada.
• Al momento de ingresar a un sistema UNIX, cada usuario deberá ser notificado de la fecha, hora y
dirección desde la que se conectó al sistema por última vez, lo cual permitirá detectar fácilmente el
uso no autorizado del sistema.
Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben
autentificarse.
Políticas:
• Todos los administradores que den un servicio de acceso remoto deberán contar con aplicaciones
que permitan una comunicación segura y encriptada.
• Todos los usuarios deberán autentificarse con su cuenta y no podrán hacer uso de sesiones activas
de otros usuarios.
• Todos los usuarios deberán acceder al sistema utilizando algún programa que permita una
comunicación segura y encriptada.
• Está prohibido acceder al sistema con una cuenta diferente de la propia, aún con la autorización
del dueño de dicha cuenta.
• Si un usuario está fuera del sitio de trabajo, debe conectarse a una máquina pública del sitio y,
únicamente desde ésta, hacer la conexión a la computadora deseada.
• Al momento de ingresar a un sistema UNIX, cada usuario deberá ser notificado de la fecha, hora
y dirección desde la que se conectó al sistema por última vez, lo cual permitirá detectar fácilmente
el uso no autorizado del sistema.
que está permitido y lo que está prohibido dentro del sistema de cómputo.
Existen dos enfoques: permisivo (todo lo que no esté explícitamente prohibido está permitido) y
prohibitivo (todo lo que no esté explícitamente permitido está prohibido). Cuál de estas elegir
dependerá del tipo de organización y el nivel de seguridad que esta requiera.
Permitido
Alumnos:
• Realizar sus tareas con fines académicos y asociadas con los programas académicos de
Ingeniería.
• Utilizar el equipo de cómputo asignado para realizar sus actividades y funciones explícitamente
definidas de su plaza.
Prohibido
• Está terminantemente prohibido ejecutar programas que intenten adivinar las contraseñas alojadas
en las tablas de usuarios de máquinas locales o remotas.
• La cuenta de un usuario es personal e intransferible, por lo cual no se permite que este comparta
su cuenta ni su contraseña con persona alguna, aún si ésta acredita la confianza del usuario.
• Está estrictamente prohibido hacer uso de herramientas propias de delincuentes informáticos, tales
como: programas que rastrean vulnerabilidades en sistemas de cómputos propios o ajenos.
• Está estrictamente prohibido hacer uso de programas que explotan alguna vulnerabilidad de un
sistema para proporcionar privilegios no otorgados explícitamente por el administrador.
• No se permite instalar programas y software propio, en caso de requerirse deberá solicitarlo al
administrador del sistema.
• No se permite bajo ninguna circunstancia el uso de cualquiera de las computadoras con propósitos
de ocio o lucro. Por lo cual se prohíbe descargar (o proveer) música, imágenes, videos, chatear, etc.,
con fines de ocio.
Políticas de respaldo
Para el usuario
• Deberá mantenerse una versión reciente de los archivos más importantes del sistema.
Establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y
obligaciones que el usuario debe hacer valer y cumplir al respecto.
Políticas:
• El usuario es la única persona autorizada para leer su propio correo, a menos que él mismo
autorice explícitamente a otra persona para hacerlo, o bien, que su cuenta esté involucrada en un
incidente de seguridad de cómputo, donde el administrador del sistema podrá auditar dicha cuenta.
• Está prohibido enviar por correo virus, archivos o información que ponga en peligro la seguridad
del sistema.
• Está prohibido reenviar cadenas, chistes y toda clase de información intrascendente, ajena a la
actividad académica o laboral del usuario.
Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios
del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el
propósito de la misma.
Políticas:
Políticas de direcciones IP
• Ningún área puede hacer uso de una dirección IP que no le corresponda, sin autorizaciónexpresa y
escrita del administrador del área en cuestión.
• No se permiten utilizar en subredes de una zona, rangos de otras zonas. Por ejemplo de la en la
zona A, utilizar, rangos de la zona C.
• Cada equipo que se incorpore a la red Internet deberá tener autorización del administrador de red
del área en cuestión.
• Las direcciones IP que podrán otorgarse serán homologadas o privadas. Las homologadas sólo
serán otorgadas si se justifican su uso y disponibilidad. Para asignar una dirección IP deberá
justificarse su utilización y solicitarla al administrador o responsable de cómputo para su
autorización.
• El administrador de red y el representante ante comité de cómputo son los únicos autorizados en
solicitar dar de alta nombres canónicos de hosts, alias, mail Exchangers al Administrador General
de la Red.
Políticas:
• Al finalizar una relación laboral los administradores o encargados de sistemas deberán entregar
todas las cuentas y contraseñas de los sistemas críticos.
• Los responsables de sistemas deberán cambiar todas las contraseñas críticas cuando un
administrador de su área deje de prestar sus servicios.