Proyecto Final SGSI Las Delicias, S.A.

Cargado por

JAIRO GODINEZ
8 vistas55 páginas

Derechos de autor

© © All Rights Reserved

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Denunciar este documento

Copyright:

© All Rights Reserved
Marcar por contenido inapropiado
8 vistas55 páginas

Proyecto Final SGSI Las Delicias, S.A.

Cargado por

JAIRO GODINEZ

Copyright:

© All Rights Reserved
Marcar por contenido inapropiado
de 55

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información

Principios de Seguridad IT

Ing. (a) Valera Castellanos

Proyecto Final: Sistema de Gestión de Seguridad de la Información

(Las Delicias, S.A.)

Alumnos Carné

Jairo Emanuel Godínez Bámaca 1293-12-8850

Carlos Daniel Estrada Estrada 1293-10-7712

13 de marzo del 2022


Índice de contenido

INTRODUCCIÓN ................................................................................................................................... 4
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 5
Descripción ...................................................................................................................................... 5
Visión ............................................................................................................................................... 5
Misión .............................................................................................................................................. 6
Organización.................................................................................................................................... 6
Tecnología ....................................................................................................................................... 7
Antecedentes .................................................................................................................................. 9
Justificación ................................................................................................................................... 10
OBJETIVOS DE SEGURIDAD................................................................................................................ 11
Objetivo General ........................................................................................................................... 11
Objetivos Específico ...................................................................................................................... 11
POLITICAS DE SEGURIDAD ................................................................................................................. 11
Políticas de Acceso ........................................................................................................................ 12
a. Seguridad Perimetral ............................................................................................................. 12
b. Control de Acceso ................................................................................................................. 12
Políticas de Sistemas Informáticos ................................................................................................ 13
Políticas de Infraestructura de red ................................................................................................ 13
Políticas de Personal ..................................................................................................................... 14
PROCEDIMIENTOS DE SEGURIDAD.................................................................................................... 14
DIAGRAMAS DE ARQUITECTURA DE SEGURIDAD ............................................................................. 21
Topología de Red Interna .............................................................................................................. 21
Topología de Red Externa ............................................................................................................. 23
Topología de Red Data Center ...................................................................................................... 24
INSTRUCCIONES PROCEDIMIENTOS .................................................................................................. 25
Definiciones ................................................................................................................................... 25
Alternativa ..................................................................................................................................... 26
Personal Autorizado ...................................................................................................................... 27
Área de tecnologia Personal Autorizado ....................................................................................... 27
Alternativa ..................................................................................................................................... 27
FORMULARIOS DE PROCEDIMIENTOS APLICADOS ........................................................................... 29

2
Formulario de solicitud de creación de usuario ............................................................................ 29
Formulario de solicitud de eliminación de usuario ....................................................................... 30
Formulario de solicitud de acceso a datacenter ........................................................................... 31
Formulario de solicitud de remoción de acceso a datacenter ...................................................... 33
CHECKLIST ......................................................................................................................................... 34
Creación de usuarios ..................................................................................................................... 34
Mantenimiento de hardware ........................................................................................................ 36
Entrega y recepción de hardware ................................................................................................. 38
Asignación de accesos de navegación........................................................................................... 39
Seguridad física ............................................................................................................................. 41
Seguridad de red ........................................................................................................................... 42
PLAN DE CONTINUIDAD DEL NEGOCIO ............................................................................................. 44
a. Inicio del proyecto ................................................................................................................. 44
b. Análisis de impacto al negocio .............................................................................................. 44
Identificación de los procesos críticos de negocio y de soporte ................................................... 45
c. Análisis y evaluación de riesgos de seguridad de la información. ........................................ 47
d. Medidas de prevención. ........................................................................................................ 49
e. Desarrollo de estrategias para el plan de continuidad del negocio. ..................................... 49
f. Plan de emergencias para la gestión de incidentes. ............................................................. 50
g. Plan de Recuperación de desastres....................................................................................... 51
h. Desarrollar e implementación del BCP ................................................................................. 51
i. Comunicación y Gestión de Crisis ......................................................................................... 52
CONCLUSIÓN ..................................................................................................................................... 54
BIBLIOGRAFÍA .................................................................................................................................... 55

3
INTRODUCCIÓN

El presente documento tiene el objetivo de administrar de manera correcta la


gestión y administración de la protección de los datos de información, teniendo esta
dirección del proyecto, se emplean las mejores prácticas definidas según las guías
de PMBOK teniendo como finalidad la satisfacción de las partes interesadas, el
cumplimiento de cronograma, tareas y sobre todo las actividades las cuales serán
definidas, planificas y ejecutadas mediante técnicas de gestión de seguridad.

Para esta gestión de seguridad de la información se solicita implementar este


proyecto que va enfocado a aplicar políticas, procedimientos y checklist los cuales
van a ayudar a proteger y mitigar los activos de información de la empresa Las
Delicias, S.A.

Para la implementación de esta solución se utilizaron plantillas para mejorar la


definición de procesos internos entre los colaboradores que conforman dicha
entidad privada, partiendo desde la inicialización, planificación, ejecución, control y
cierre. Las cuales son de vital importancia en el cumplimiento de los objetivos del
proyecto entre los que resaltan la satisfacción del cliente interno y externo.

La ejecución y dirección del proyecto aporto durante la ejecución todo aquello


que son identificadores de los requisitos, abordando las necesidades de los equipos
que se operan en el uso de la información, estableciendo normas de comunicación
activa, efectiva, colaborativa y de seguimiento de requisitos y entregables.

Se definen políticas y sanciones al momento de cometer alguna falta a uno de


esos procesos los cuales fueron impartidos a los colaboradores, los cuales les
ayuda a concientizar el cumplimiento, de ser caso contrario se estarán aplicando
sanciones que pueden incurrir al no acatar instrucciones definidas dentro del
contenido impartido.

4
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

A continuación, se realizará una contextualización de la empresa Las Delicias,


S.A., donde se realizará el plan de implementación de un Sistema de Gestión de la
Seguridad de la Información, según las necesidades y requerimientos de gerencia
de la empresa antes mencionada.

Descripción

Las Delicias, S.A. es una empresa que se dedica a la comercialización de


embutidos, esto le ha dado un crecimiento exponencial durante los últimos años,
debido a que su público objetivo desde carnecerías hasta super mercados, este
mercado es bien frecuentado por los clientes y amas de casa, siendo también uno
de los productos que se consumen de manera frecuente en negocios formales e
informales.

Además de esto la empresa Las Delicias, S.A. se preocupa por la calidad del
producto que vende, siendo los embutidos su principal producto la forma en que
estos son preparado, motivo por el cual se ha unido con comercios formales e
informales que le asegura que los embutidos utilizados para sus productos son con
alimentos orgánicos y sacrificados de forma humanitaria, siendo un proceso de
producción que cumple con los estándares de calidad.

Actualmente están ubicados en el Km. 5.5 Carretera al Atlántico zona 17 de la


Ciudad de Guatemala, pero siendo su rol principal los embutidos, contando
actualmente con 20 sucursales distribuidas a nivel nacional, de este volumen
actualmente se cuenta con 15 sucursales en la ciudad capital, 5 sucursales en el
departamento de Quetzaltenango.

Visión

Convertirse en una organización líder a nivel nacional que cumpla ampliamente


con la satisfacción de sus clientes, empleados, accionistas y sociedad.

5
Misión

Ofrecer al cliente productos de gran calidad, variedad y rendimiento, apoyados


de un buen servicio y en un personal convencido y entregado hacia el crecimiento
de Las Delicias, S.A; resultando en mejores utilidades y colaborando al desarrollo
del país a través de un sistema integral de nutrientes que mejore la alimentación
nacional a un precio accesible.

Organización

Las Delicias, S.A. actualmente cuenta con una estructura departamental,


definido por las funciones que cada uno desarrolla, estando coordinados por la
dirección general.

Por debajo de la dirección general se encuentra los departamentos financieros,


Recursos Humanos, Comercial, Informática y Administrativo.

El departamento financiero es el encargado de la correcta administración de los


bienes de la empresa y como optimizar los recursos, este a su vez está conformado
por contabilidad, se maneja este diseño en el organigrama ya que a futuro la
empresa puede agregar departamentos que deriven del mismo, como lo son
auditoria.

El departamento de Recursos Humanos se encarga de velar por el bienestar del


personal y contratación de nuevo recurso humano, así como planilla de la
administración de los pagos del personal.

El departamento comercial es el más grande, este se divide en compras que son


quienes deben velar por adquirir la materia prima, almacén que son quienes
gestionan el inventario y coordinan con compras los tiempos correctos de compra y
ventas que es quien se encarga de la administración de los puntos de venta a lo
largo del territorio nacional.

Informática es el departamento encargado de la correcta comunicación entre el


personal de la central y cada una de las sucursales en el territorio nacional, se

6
compone por soporte técnico que son los encargados de apoyar al personal con los
inconvenientes que pueda presentar su equipo y redes, quienes son los encargados
de velar por la correcta comunicación de todos los equipos.

El departamento administrativo es el encargado de realizar todos los tramites


referentes a procesos administrativos que deba realizar la empresa.

Direccion
General

Recursos
Financiero Comercial Informatica Administrativos
Humanos

Contabilidad Plantillas Compras Soporte

Nomina de la
ventas Redes
empresa

CD Central

Figura 1: Jerarquía Organizacional (Propia)

Tecnología

La empresa Las Delicias, S.A., obtuvo un crecimiento tan grande durante los
últimos años, que la infraestructura informática usada en la misma se ha quedado
corta, sin embargo, se cuenta con una aplicación web tanto en las oficinas centrales
como en las sucursales para facturación en el lenguaje php integrado con infile, este
almacena la información generada en una base de datos MySQL, tanto el web
service y la base de datos están alojados en servidores físicos corriendo Linux, la
plataforma de correo utilizada es web a través de los servicios de Gmail, del equipo
de cómputo que se utiliza actualmente en la empresa, las laptop cuentan con

7
licenciamiento original de Windows, sin embargo las computadoras de escritorio
fueron ensambladas y desconocemos la legitimidad del sistema operativo que
corren.

Figura 2: Distribución de Red original (Propia)

El diagrama anterior ilustra la situación actual de la empresa Las Delicias, S.A.,


actualmente cuentan con un router del proveedor, el cual se encarga de distribuir el
direccionamiento a los Switch de capa dos que se encuentran en cada uno de los
niveles, sin fuentes redundantes y sin ningún tipo de protección eléctrica, estos a su
vez proveen de red a los 4 Access Points de uso hogareño distribuidos en los dos
niveles.

A la red en mención se conectan varios equipos de cómputo desktop y otros


portátiles (Laptops) denominados estaciones de trabajo, todos estos realizan la
consulta a dicho web service a través del navegador Chrome, sin contar con un
antivirus, todos los equipos cuentan únicamente con Windows defender.

8
En cuanto a las sucursales, los equipos de cómputo se conectan directamente a
uno de los puertos de un repetidor que se conecta de forma directa al router del
proveedor, para que el empleado se pueda conectar al servidor a través de internet
para la realización de la facturación. El ultimo inventario a equipo tecnológico
realizado por la empresa Las Delicias, S.A. la distribución es la siguiente:

Tabla 1: Inventario de equipo tecnológico

Recurso Tecnológico: Hardware


TIPO CANTIDAD OBSERVACIONES
Laptop 14 Win 10 Pro
Laptop 6 Win 11 Pro
Desktop 5 Win 10 Pro
Desktop 5 Win 11 Pro
Router 1 Proveedor Claro
Swith 2 Ubiquiti
Access Points 2 Ubiquiti
Servidores 2 Linux
Recurso Tecnológico: Software
Windows 10 19 Software Original
Windows 11 11 Software Original
Linux OS7 2 Software Original
MySQL Server 1 Licencia Free
PHP Server 1 Licencia Free
Microsoft Office 30 Software Original

Fuente: Las Delicias, S.A.

Antecedentes

La entidad cuenta con equipo computo, la cual en varios Departamentos


se vieron afectados por la vulnerabilidad que existe perdiendo parte de la
información almacenada en el equipo, uno de los principales problemas fue por

9
gusanos y la encriptación de información de ataques alcanzados, a raíz de los
ataques se vieron en la necesidad de reinstalar los softwares (Windows, paquetes
de Office y otras aplicaciones), impactando de forma negativa en la empresa pues
en estos equipos se encontraba información confidencial como del operaciones
contables, control de personal, información financiera entre otros, esto sentó un
precedente para la entidad sobre las vulnerabilidades informáticas que padecían e
impacto directamente al departamento de informática y sus unidades.

Esto declino a analizar que también en las sucursales podría pasar lo mismo,
y esto afectar también a los clientes ocasionando robo de datos en las transacciones
al momento de utilizar los POS obtenido la información de la banda magnética,
dejando en descubierto no solo errores en el sistema de cobro, así también los datos
que se almacenan en informática.

Sumado a problemas que se han presentado de forma recurrente con la red,


debido a fallos en el equipo, esto debido a inestabilidad de la corriente eléctrica y
falta de medidas preventivas por parte del personal de informática.

Esto llevo a que la gerente de la empresa destinara un porcentaje del presupuesto


para la contratación de una empresa para el asesoramiento y realización de un plan
de gestión de integral de la seguridad.

Justificación

Como empresa se debe ser consciente que con el cambio tecnológico que se ha
sufrido durante los últimos años, la información digital se ha vuelto uno de los activos
más importantes de una institución, cada día es menor la cantidad de información
que se trata en papel, todo se ha simplificado para su realización inmediata a través
de medios digitales.

Pero esto implica un riesgo mayor, ya que el internet no tiene fronteras y manejar
nuestra información de esta manera nos deja susceptibles a ataques de cualquier
parte del mundo, con intenciones que pueden ser o no claras.

10
Por esta razón contar con un proceso de seguridad robusto y bien desarrollado
es un elemento clave para la protección de los activos, recursos y personas,
permitiéndonos tener una ventaja competitiva en el mercado, puesto que contar con
un sistema seguro y eficiente nos permite agilizar el traslado de información.

Desarrollando un plan y procesos de seguridad para la empresa, busca mitigar


y reducir las áreas de riesgo con las que cuenta actualmente e identificar otras
dentro de los sistemas utilizados actualmente por Las Delicias, S.A..

OBJETIVOS DE SEGURIDAD
Objetivo General

Implementar un sistema de gestión de la información establece y mantiene un


ambiente razonable y alineado, de tal manera que permita la protección de sus
activos de información.

Objetivos Específico

• Proteger la información ante cualquier acceso no autorizado.

• Procesar la información garantizando la confidencialidad, disponibilidad e


integridad.

• Identificar los riesgos de seguridad de la información manteniendo niveles


aceptables.

POLITICAS DE SEGURIDAD

Se establecerán normas de seguridad las cuales son fundamentales para la


empresa Las delicias, S.A. estas son reglas que tenemos que cumplir todo el
personal relacionado, asegurando la integridad y disponibilidad de la información.

11
Políticas de Acceso

a. Seguridad Perimetral

Integrar elementos y sistemas ya sean electicos o mecánicos, para la protección


de un perímetro físico evitando intrusos.

Alcance

Entre los sistemas de seguridad perimetral estarán incluidos videos sensores,


vallas con sensores, infrarrojos, métodos que permitirán proteger de manera
efectiva las instalaciones de Las delicias, S.A.

Objetivo

Evitar que cualquier intruso ingrese a las instalaciones de Las delicias, S.A.

Sanción

Cualquier intruso que sea detectado se estará realizando una denuncia ante el
MP y entregado a las autoridades correspondientes.

b. Control de Acceso

En la empresa Las delicias, S.A. se les permitirá el acceso reduciendo los


privilegios de las cuentas de usuario al mínimo necesario para desempeñar sus
tareas autorizadas. Cada usuario deberá ser autorizado por el departamento de
IT.

Alcance

Se debe aplicar a todos los usuarios que tengan permitido acceder a la


información y puedan afectar los activos.

Objetivo

12
Minimizar el impacto de cualquier fallo, vulnerabilidad o accidente en el sistema
mediante la correcta configuración y permisos otorgados estableciendo quien
como y cuando puede acceder.

Sanción

Cualquier empleado que se detecte violando la presente política, puede ser


sancionado lo cual llevar a la terminación laboral de la Empresa Las delicias, S.A.

Políticas de Sistemas Informáticos

Objetivo

Tiene como propósito establecer una guía para la administración de los


programas utilizados o programas que se quieran adquirir.

Alcance

Evitar la instalación y desinstalación de software el cual no esté permitido por


parte de Las delicias, S.A.

Sanción

Cualquier empleado que se detecte violando la presente política, puede ser


sancionado lo cual llevar a la terminación del contrato laboral de la empresa Las
delicias, S.A.

Políticas de Infraestructura de red

Objetivo

La infraestructura de red deberá preservar la confidencialidad, integridad y


disponibilidad de la información, protegiendo de accesos no deseados desde el
interior o exterior de la red.

Alcance

13
El personal de IT será el encargado de administrar, velar y actualizar la
presente política, la cual será aplicada a todo equipo informático que pertenezca
a Las delicias, S.A.

Sanción

En caso del incumplimiento de esta política, se estará realizando una


suspensión temporal, si el empleado ignora la advertencia recibida se procederá
con la terminación del contrato laboral de la empresa Las delicias, S.A.

Políticas de Personal

Objetivo

Todas las personas que utilizan recursos informáticos de la empresa Las


delicias, S.A. deberán aceptar las condiciones de confidencialidad y uso adecuado
de los recursos informáticos.

Ningún empleado podrá realizar copias, alterar o destruir información que no


se encuentre bajo su responsabilidad.

Alcance

Cumplir y respetar las directrices establecidas por Las delicias, S.A.

Sanción

Cualquier empleado que se detecte utilizando mal los recursos informáticos


deberá pagar el daño.

El empleado que se sorprenda copiando, alterando o destruyendo información


será suspendido temporalmente.

PROCEDIMIENTOS DE SEGURIDAD

Acceso Perimetral

14
Código PAP-1

Versión 1

Fecha
de 01-02-2022
versión

Ingreso y egreso de personal a las


Instalaciones
Área
Recursos Humanos Área Operativa Seguridad Perimetral
Responsable
Responsable Lic. Rodolfo Cabrera Operador Guardia de Seguridad

Descripción
El departamento de Seguridad Perimetral es el encargado de validar mediante una
credencial de acceso, si una persona corresponde como miembro del personal de Las
delicias, S.A. o es un tercero que requiere acceso a las instalaciones.

Ingreso y egreso de personal y equipo


al Data Center
Área
Departamento de IT Área Operativa Seguridad Perimetral
Responsable
Responsable Gerente IT Operador Guardia de Seguridad
Interno

Descripción
El departamento de IT es el encargado de administrar el acceso al área restringida del
Data Center, así como de cualquier equipamiento que se ingrese y retire del mismo

15
Control de Acceso

Código PCA-1

Versión 1

Fecha
de 01-02-2022
versión

Creación de Usuarios

Área
Recursos Humanos Área Operativa Departamento IT
Responsable
Responsable Gerente RRHH Operador Ingeniero IT

Descripción
A solicitud del departamento de RRHH, el grupo IT debe crear en las plataformas
informáticas una nueva cuenta de usuario al momento de ingreso de un nuevo empleado
a la empresa, para la creación de este rol se requiere del rol definido para este usuario
según las instrucciones de RRHH

Baja de Usuarios

Área
Recursos Humanos Área Operativa Departamento IT
Responsable
Responsable Gerente RRHH Operador Ingeniero IT

Descripción
A solicitud del departamento de RRHH, el grupo IT debe eliminar en todas las
plataformas informáticas la cuenta de usuario al momento de confirmación del retiro de
un empleado en la empresa, para la eliminación de este rol se requiere de las

16
instrucciones de RRHH. Antes de su eliminación se requiere validación de cualquier
plataforma tecnológica que pueda estar en riesgo ante la eliminación de este usuario por
lo cual se debe colocar en suspensión por 5 días.

Sistemas Informáticos

Código PSI-1

Versión 1

Fecha de
01-02-2022
versión

Asignación de Recursos Informáticos

Área
Departamento IT Área Operativa Departamento IT
Responsable
Responsable Gerente IT Operador Ingeniero IT

Descripción
En base al rol que fue definido para una cuenta de usuario por el departamento de RRHH,
se asignan en el equipo de computo (escritorio o móvil) el software y/o accesos a las
plataformas tecnológicas de Las delicias, S.A.

Seguridad de Sistemas Informáticos

Área
Departamento IT Área Operativa Departamento IT
Responsable
Responsable Gerente IT Operador Ingeniero IT

17
Descripción
De ser requerido un cambio en las políticas de seguridad y reglas de Antivirus, firewall,
programas de transporte de archivos como ftp, tftp, scp; habilitación de puertos
periféricos, se requiere el aval del supervisor inmediato junto con la justificación del
cambio solicitado. Esta justificación está sujeta a evaluación y su posterior aprobación.

Acceso a recursos de Internet

Área
Departamento RRHH Área Operativa Departamento IT
Responsable
Responsable Gerente RRHH Operador Ingeniero IT

Descripción
A solicitud de RRHH, con el aval del supervisor inmediato. Se requiere detalladamente
un listado de los sitios o recursos de internet que el usuario desea acceder, este listado
pasara por revisión y validación para su posterior ejecución.

Infraestructura de Red

Código PIR-1

Versión 1

Fecha
de 01-02-2022
versión

Aseguramiento Perimetral

Área
Departamento IT Área Operativa Departamento IT
Responsable

18
Responsable Gerente IT Operador Ingeniero IT

Descripción
El departamento de IT es el encargado de administrar las políticas de seguridad y
aplicarlas en el firewall. Cualquier política que sea nueva, se requiera su eliminación o
modificación debe ser evaluada previamente en un control de cambios para validar su
impacto operacional. El mantenimiento del software y licenciamiento de este equipo
deben estar en línea con las especificaciones del proveedor.

Aseguramiento de Red

Área
Departamento IT Área Operativa Departamento IT
Responsable
Responsable Gerente IT Operador Ingeniero IT

Descripción
El acceso a la red mediante conexión física o mediante conexión inalámbrica va enlazado
con la cuenta de usuario y el equipo asignado a cada empleado. El acceso inalámbrico
de un equipo de terceros está restringido a la red de invitados y no se puede brindar el
acceso a las plataformas tecnológicas de Las delicias, S.A.

Instalación y/o Retiro de equipos de


red.
Área
Departamento IT Área Operativa Departamento IT
Responsable
Responsable Gerente IT Operador Ingeniero IT

Descripción
Toda adición de equipos de red debe pasar por aprobación en un control de cambios
para determinar el impacto en la infraestructura de red. Se requiere de un diagrama

19
actualizado y los recursos para interconexión necesarios detalladamente para aprobar
su inclusión

Personal Operativo

Código PO-1

Versión 1

Fecha
de 10-03-2020
versión

Aseguramiento de Información

Área
Departamento RRHH Área Operativa Departamento IT
Responsable
Responsable Gerente RRHH Operador Ingeniero IT

Descripción
Cada empleado operativo debe firmar un acta donde acepta las políticas de seguridad
de manejo de información relacionadas con su rol definido por el departamento de
RRHH, de existir un cambio o modificación en este rol debe volver a aplicarse este
procedimiento. No se puede dar de alta un usuario en la plataforma tecnológica hasta
que no se tenga registro escrito de esta acta.

Manejo de información

Área
Gerencia Área Operativa Departamento IT
Responsable
Responsable Licda. Serrati Operador Ingeniero IT

20
Descripción
La gerencia en conjunto con el departamento de IT son los encargados de determinar y
catalogar toda información sensible en la empresa. Esta información debe estar
catalogada con los roles de usuario definidos con RRHH. En caso de crearse un nuevo
rol se debe actualizar esta política a nivel general, y proceder a apoyarse con el
procedimiento de Aseguramiento de la información.

DIAGRAMAS DE ARQUITECTURA DE SEGURIDAD

La siguiente sección representa la infraestructura de la empresa Las delicias,


S.A. de acuerdo con lo establecido en este SGSI. Toda modificación futura de los
recursos informáticos y de red deben seguir los lineamientos establecidos en este
documento.

Topología de Red Interna

El siguiente diagrama detalla la estructura de red en la sede central.

Firewall Perimetral

Se definió un equipo firewall, para administrar seguridad perimetral a los


recursos informáticos y aplicar las políticas de acceso a la red.

Switch Principal

Se definió el equipo switch de 24 puertos para el rol de distribución, en este


equipo se conectan directamente los sistemas informáticos de la empresa Las
delicias, S.A., tales como el grupo de servidores, el grupo de IT (informática) y
desde este mismo equipo se da acceso a 3 switches adicionales que integran los
demás ambientes de la oficina central.

Switch de Acceso

Se definieron los equipos switches de 24 puertos para recibir la distribución de


la red desde el data center, estos equipos están destinados a la interconexión de

21
las extensiones telefónicas y los equipos de escritorio, así mismo en estos equipos
se conectan los access point que brindaran el acceso inalámbrico a los usuarios.

Extensión Telefónica

Los teléfonos IP, se conectan directamente a los switches, siendo esos mismos
los encargados de brindar la energía mediante el protocolo PoE, todo equipo de
cómputo debe que necesite acceso a la red mediante conexión UTP debe
conectarse a través del teléfono IP asignado.

Equipo de Computo

Los equipos de cómputo autorizados son los equipos de escritorio y las


computadoras portátiles; los equipos de escritorio deben conectarse a la red
mediante su ethernet, y los equipos portátiles mediante el uso de red inalámbrica.

Figura 3: Diagrama de Red Interna (ilustración propia)

22
Topología de Red Externa

El siguiente diagrama detalla la estructura de la red externa que se establece


contra el sitio central desde las sucursales remotas.

Central Zona 17

En el sitio central, se tienen localizado los recursos informáticos a los cuales


las sucursales remotas deben acceder. Estos recursos están alojados en la granja
de servidores en el data center.

Sucursal Remota

La infraestructura de la sucursal remota consiste en un acceso a internet


brindado por un proveedor de internet local, y un equipo de escritorio el cual
cuenta con políticas de seguridad y enlace de datos dedicado para poder
establecer una conexión segura con los recursos de la sede central. El ancho de
banda es limitado por lo cual está definido únicamente para acceder a estos
recursos y realizar llamadas mediante enlace al sitio central.

Proveedor de internet y enlace

El proveedor de internet y enlace dedicado entrega un equipo cisco,


proporcionando un servidor DHCP y servicio de NAT.

23
Figura 4: Diagrama de Red Externa (ilustración propia)

Topología de Red Data Center

El siguiente diagrama detalla la estructura y distribución física de los equipos


ubicados dentro del data center.

Rack Data Center

Los equipos están montados en un rack de 8U, en este rack están ubicados la
granja de servidores, el firewall perimetral, y el switch de distribución.

Rack 2do Nivel

Los equipos están montados en un rack de 8U, en este rack están ubicados los
switches de acceso.

Rack 3do Nivel

Los equipos están montados en un rack de 8U, en este rack están ubicados los
switches de acceso.

Rack Bodega Administrativa

24
Los equipos están montados en un rack de 8U, en este rack están ubicados los
switches de acceso.

Ilustración 5: Diagrama de Red Data Center (ilustración propia)

INSTRUCCIONES PROCEDIMIENTOS

Ingreso y Egreso
De Personal Nº de Versión: 01/00
Autorizado y No
Autorizado
Fecha de 01/02/2022
Vigencia:

Definiciones

Datacenter: Centro de Cómputos.

25
Personal Autorizado: Se refiere al personal del Área de Tecnología en condiciones
de ser autorizado a ingresar al Datacenter (jefe, Subjefe, Administrador de
Servidores, Administrador de Bases de Datos).

Área de tecnologia
Ante la necesidad de Autorizar o Revocar el Acceso Físico de Personal
Autorizado al Datacenter.
Jefe / Subjefe

Ingresa a la Aplicación para autorizar / revocar en la misma, el acceso físico al


Datacenter del personal autorizado del área.

Alternativa

1.b.1.a. Si se trata de una autorización, autoriza en la aplicación el acceso del


empleado autorizado ingresando los siguientes datos:

• No. de Tarjeta de proximidad asignada a empleados.


• Días, Horarios y Fecha de Expiración, de la autorización (en
función del perfil del autorizado)
• Nombre Completo
• Numero de DPI
1.b.1.b. Llenar el Formulario de Autorización, Revocación de Acceso Físico al
Datacenter, completando los siguientes datos:

• Nombre y Apellido del Autorizado


• Número de DPI
• No. autorización

1.b.2.a. Si se trata de una revocación, revoca en la aplicación la autorización de


acceso del empleado revocado ingresando el siguiente dato:

• Nro. de Tarjeta de proximidad Asignada


• Nombre Completo
• Número de DPI

26
Personal Autorizado

1.c. Recibe el formulario de Autorización / Revocación de Acceso Físico al


Datacenter.
1.d. Firma el mismo en el campo de Firma del Empleado.
1.e. Devuelve al jefe / Subjefe el formulario debidamente firmado.
Jefe / Subjefe

1.f. Recibe el formulario debidamente firmado.


1.g. Firma y sella el formulario en el campo Firma y sello del jefe / Subjefe de
Tecnología.
1.h. Imprime Listado actualizado de Empleados con Acceso Físico al Datacenter
Los datos que contiene el listado son:

• Fecha y Hora de Impresión ❑ Nombre y Apellido.


• Número DPI
• Nro. de Tarjeta
• Total, de Autorizados.
Área de tecnologia Personal Autorizado

1.b. ¿Debe ingresar con personal ajeno al Datacenter?

Alternativa

2.a.1.a. Si debe ingresar con personal ajeno al Datacenter, completa el Libro


de Actas de Ingreso de Personal Ajeno al. El mismo debe encontrarse en la puerta
de ingreso al Datacenter. Los datos que completa son:

• Fecha
• Horario de Entrada
• Nombre y Apellido de la persona que ingresa
• Tarea para realizar
• Empresa

27
Nota: el personal ajeno al Datacenter debe ingresar al mismo acompañado por el
Personal Autorizado del área de Tecnología.

Una vez finalizadas las tareas dentro del Datacenter

2.b. Acerca su tarjeta identificatoria de empleado, a la lectora abre-puerta de


salida del Datacenter.
2.c. Sale del Datacenter verificando que la puerta haya quedado trabada.
Nota: Si estaba con personal Ajeno deben salir todas las personas que hayan
ingresado.

1.c. robo de esta.

Creación de Nº de Versión: 01/00


usuarios.
Fecha de
Vigencia: 01/02/2022

a. Cada requerimiento de creación de usuarios debe ser solicitado únicamente


por Recursos Humanos.
b. Recursos Humanos asignara código de tarjeta de proximidad
c. Recursos Humanos enviara mediante plataforma fecha de ingreso, nombre
completo, DPI, Departamento.
d. El número de caso será asignado al área de Tecnología
e. Se tiene un SLA de 8 Horas para crear el usuario y asignar accesos a las
plataformas institucionales.
f. Mediante plataforma se envía información de creación de usuario a jefe
inmediato de la persona de nuevo ingreso, para trasladar los mismos.
g. Al momento de ingresar por primera vez el usuario pedirá cambio de
contraseña.
h. En este punto cada uso que el usuario de, quedara registrado en bitácora de
seguridad.

28
Baja de usuarios. Nº de Versión: 01/00

Fecha de 01/02/2022
Vigencia:

a. Cada requerimiento de Baja de usuarios debe ser solicitado únicamente


por Recursos Humanos.
b. Recursos Humanos enviara mediante plataforma fecha de baja, nombre
completo, DPI, Departamento.
c. El número de caso será asignado al área de Tecnología
d. Se tiene un SLA de 8 Horas para dar de baja el usuario y revocar accesos
a las plataformas institucionales.
e. Mediante plataforma se envía información de Baja de usuario a jefe
inmediato.
f. En este punto se puede continuar con el proceso de desvinculación por
parte de Recursos Humanos.
PLANTILLAS DE PROCEDIMIENTOS APLICADOS

Formulario de solicitud de creación de usuario

Fecha: No. de Registro:

Información RRHH

Código asignado: Fecha de Incido:

Datos de Usuario

Nombre: NIT:

29
DPI: Departamento:

Área: Puesto:

____________________________

Firma de Autorización

Esta área es exclusiva para uso de Informática

Técnico Asignado

Nombre: Código de Empleado:

Observaciones:
_______________________________________________________

Formulario de solicitud de eliminación de usuario

Fecha: No. de Registro:

Datos de Usuario

Nombre: Código de empleado:

30
Fecha efectiva:

No. de notificación RRHH: No. de Autorización:

____________________________

Firma de Autorización

Esta área es exclusiva para uso de Informática

Técnico Asignado

Nombre: Código de Empleado:

Registro de realización

Fecha: Hora:

Observaciones:
_______________________________________________________

Formulario de solicitud de acceso a datacenter

Fecha: No. de Registro:


Datos de jefe Inmediato / Persona que Autoriza

31
Nombre: Departamento:

Puesto: Área:

Datos de Usuario

Nombre: Código de Empleado:

Tipo de Acceso: Temporal o Indefinido o

Áreas de Acceso:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________

Fecha inicio: Fecha finalización:

____________________________ ____________________________

Firma de Autorización Firma de empleado

Técnico Asignado

Nombre: Código de Empleado:

32
Observaciones:
_______________________________________________________

Formulario de solicitud de remoción de acceso a datacenter

Fecha: No. de Registro:

Datos de jefe Inmediato / Persona que Autoriza

Nombre: Departamento:

Puesto: Área:

Datos de Usuario

Nombre: Código de Empleado:

Tipo de Acceso: Temporal o Indefinido o

Áreas de Acceso:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________

33
____________________________ ___________________________

Firma de Autorización Firma de empleado

Técnico Asignado

Nombre: Código de Empleado:

Observaciones:
______________________________________________________

CHECKLIST

Creación de usuarios

Instrucciones de uso: El siguiente checklist tiene como objetivo definir una serie
de instrucciones las cuales se deben cumplir al momento de crear un usuario.

Fecha:

Evaluador:

Revisor:

No. Descripción Validado No validado Comentarios

La creación de usuarios es de uso


1
personal

34
Los usuarios deben cumplir con
2 un carácter diferente al
alfanumérico

Se tiene con una bitácora de los


3 usuarios creados por
departamento.

Cada usuario está compuesto por


4
diferentes roles

Los usuarios deben de manejar


5 por roles el acceso a la
información

Se sabe qué usuarios están


6
activos o inactivos

Se ha validado un mantenimiento
7
de usuarios periódicamente

Se tiene contemplado el uso de


8
privilegios por usuario

Las cuentas de usuario se crean


9 en base a nombre y seguido en
base al control de acceso

Los usuarios son confirmados


mediante correo electrónico para
10
tener una documentación de
respaldo

35
Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

______________________ _____________________

Evaluador Revisor

Mantenimiento de hardware

Instrucciones de uso: El siguiente checklist se debe utilizar con el objetivo de


tener un buen funcionamiento óptimo de los recursos tanto internos como externos
del hardware.

Fecha:

Evaluador

Revisor:

No. Descripción Validado No validado Comentarios

Mantenimiento y diagnóstico de
1
equipos

Limpieza externa e interna del


2
equipo de computo

36
Ayuda al proceso de continuidad
3
del negocio

Servicio óptimo de los dispositivos


4
internos

Se coordinan mantenimientos
5
periódicos

Se llena una bitácora con los


6
incidentes encontrados

Se notifica a cada departamento


7
el estado del hardware asignado

Se aplican correcciones
8 preventivas en el hardware
evaluado

Se tiene un inventario de todo el


9
hardware de la empresa

Se tiene un listado de los equipos


10 que aún se encuentran en
garantía

Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

______________________ _____________________

37
Evaluador Revisor

Entrega y recepción de hardware

Instrucciones de uso: el siguiente checklist se debe utilizar con el objetivo de


evaluar los controles existentes y en cada uno de los procesos.

Fecha:

Evaluador:

Revisor:

No. Descripción Validado No validado Comentarios

Existe una política de referencia


para la evaluación del hardware,
1
que indique el riesgo expuesto a la
infraestructura

Se realiza monitoreos a toda la


2
infraestructura de informática

Actualizaciones a los diferentes


3 hardware que puedan presentar
vulnerabilidades

Plan de acción para mitigar


4
riesgos en los equipos

38
se cuenta con inventario de los
5
bienes de la empresa

todos los equipos se encuentran


6
operando

Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

______________________ _____________________

Evaluador Revisor

Asignación de accesos de navegación

Instrucciones de uso: el siguiente checklist se debe utilizar con el objetivo de


evaluar el acceso a la navegación.

Fecha:

Evaluador

Revisor:

No. Descripción Validado No validado Comentarios

39
Existe alarmas para detectar
1
fuegos

Los equipos se encuentran


2
conectados a una red segura

se tiene identificaciones para los


3
archivos confidenciales

existen políticas sobre el uso de


4
navegadores y servidores

la red está administrada según la


5
jerarquía

pide usuario y claves para entrar a


6
una red o páginas web

se renueva periódicamente los


7
accesos a los equipos

se bloquean las cuentas de los


8 usuarios en un determinado
momento

existen políticas para el bloqueo


9
de usuarios

Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

40
______________________ _____________________

Evaluador Revisor

Seguridad física

Instrucciones de uso: el siguiente checklist se debe utilizar con el objetivo de


evaluar la seguridad física e instalaciones del centro de datos.

Fecha:

Evaluador:

Revisor:

No. Descripción Validado No validado Comentarios

El centro de datos cuenta con la


seguridad adecuada por ejemplo
1 biométrico de acceso, cerradura,
alarma. cámaras, para restringir el
acceso al personal no autorizado.

Los equipos se encuentran


2
aislados de los usuarios.

Los equipos se encuentran


ubicados en lugares estratégicos
3 para evitar exposición solar,
viento, agua, fuertes
temperaturas.

41
Cuenta con aire acondicionado
4
con niveles apropiados.

El centro de datos cuenta con un


5
sistema de monitoreo ambiental.

Los equipos tienen restringido los


6 puertos usb para mitigar riesgos
de sabotaje o robo de información.

Cuenta con ups o una planta


eléctrica como alternativa al
7
momento de un corte del
suministro eléctrico.

Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

______________________ _____________________

Evaluador Revisor

Seguridad de red

Instrucciones de uso: el siguiente checklist se debe utilizar con el objetivo de


evaluar la seguridad de la red en los diversos ambientes y servicios.

Fecha:

42
Evaluador

Revisor:

No. Descripción Validado No validado Comentarios

Los puertos no utilizados se


1
encuentran deshabilitados.

Los equipos se encuentran


2
conectados a una red segura

Se tienen un listado de todos los


3 equipos (dns) y usuarios activos
(active directory).

Existen bitácoras de revisión de


4
eventos.

5 Restricción de accesos a la red.

Limitación de los privilegios para


6 acceder a la consola de los
equipos.

7 Poseen balanceadores de cargas.

Se tienen un procedimiento para


realizar backups a los equipos y
8
validación de que los mismos
funcionen.

Se cifran los datos confidenciales


9
que se transfieren por medio de la

43
red.

Los sitios públicos tienen


10
certificados SSL.

Existen políticas de cambio de


11 contraseña con una antigüedad
mínima de 3 meses

Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.

______________________ _____________________

Evaluador Revisor

PLAN DE CONTINUIDAD DEL NEGOCIO

a. Inicio del proyecto

El proyecto ha sido desarrollado por el área de Gestión de seguridad de la


información con la colaboración de las áreas de TI, en coordinación con los
diferentes departamentos que conforman.

b. Análisis de impacto al negocio

La norma ISO 22301 dice que la BIA (Business Impact Analysis) debe de tener
al menos una evaluación del impacto de una interrupción al negocio.

Por lo tanto, la empresa Las Delicias, S.A. determina que el BIA debe de
presentar al menos tres puntos importantes:

44
b1. Identificación de los procesos críticos, tal como la empresa y el soporte deben
de estar sujetos a los cumplimientos que este regula.

Identificación de los procesos críticos de negocio y de soporte

Los procesos de Las Delicias, S.A. están clasificadas por nivel, siento este modo
de restablecer los siguientes procesos:

Proceso Descentralización Proceso Nivel de


Criticidad
Copias de Oficinas Las Soporte Critico
seguridad Delicias
Clasificación de Oficinas Las Negocio Critico
riesgos Delicias
Envió de Sucursales Las Soporte Critico
información de Delicias
otras sucursales

En estos procesos, la clasificación de riesgos y envió de información a otras


sucursales y copias de seguridad, se constituyen en aquellos a los que la gestión
de seguridad de la información debe de dar prioridad para su restablecimiento al
momento de que se presente una catástrofe dentro de la empresa Las Delicias, S.A.

b2. Evaluación del impacto del cual la interrupción de los procesos pudiera llegar a
generar en la empresa y sus proveedores de servicio.

Se determina que un impacto de algún evento de interrupción de la perdida de


la información se vera reflejado de la siguiente manera, según esta tarde el tiempo
de interrupción:

Tiempo de
impacto Las Impacto en partes interesadas
Delicias,
S.A.

45
Nive Interrupció Entes Acceso a la
l n de las Clientes Proveedore reguladores informació
operacione s n
s
1 Interrupción Insignificant Insignificante Insignificant Moderado
=< a 30 min e e
2 Interrupción Moderado Insignificante Insignificant Moderado
>= a 30 min e
3 Interrupción Extremo Insignificante Bajo Alto
=> a 1 hora
4 Interrupción Alto Insignificante Moderado Extremo
=< a 1 hora

Vamos a mencionar que cada nivel de impacto en las partes interesadas


representa lo siguiente:

- Insignificante: No afecta el proceso.

- Bajo: Puede ocasionar leves retrasos

- Moderado: Puede representar retrasos significativos.

- Alto: Puede ocasionar una crisis sistemática.

- Extremo: Puede ocasionar una crisis sistemática en la perdida de la información.

b3. Definición del tiempo máximo aceptable de la interrupción del negocio, que
procesos se deberían de ejecutar al momento de tomar acciones para la
recuperación de la información.

Este va de la mano con el punto b2, donde se establece el tiempo máximo que
puede aceptar las interrupciones de la perdida de la información, donde el periodo
máximo en el que se prevé reanudar la operación de los procesos críticos de Las
Delicias, S.A.

46
c. Análisis y evaluación de riesgos de seguridad de la información.

Esta metodología emplea una identificación y medición de todos los riesgos de la


seguridad de la información, tomando en cuenta que es la misma que se emplea al
momento de tener un plan de contingencias tecnológicas.

c1. Identificación de los riesgos del sistema de seguridad de la información.

A continuación, se identifican todos aquellos riesgos que generan severas


interrupciones del negocio de Las Delicias, S.A.

Matriz de riesgos en seguridad de la información.


N Posible Descri Consec Fact Control Efecti Frecu Imp Nive
o. s pción uencias or es vidad encia acto l de
causas ries
gos.
Cables Riesg Incumpli Manteni Regul
en mal o miento miento ar
estado Extre normativ Extr de las Proba Extr Extr
mo o emo conexio ble emo emo
nes de
R Incend Pérdidas la
1 io que económi oficina
Saturaci impliqu cas Se
ón de e la realizar
cortapic destru a al
os cción menos
de los una
activos capacit
fijos y ación
los anual
activos para el
de uso de

47
inform los
ación extintor
es
Papeles Se Regul
desorde cuenta ar
nados, con
material directori
inflama o para
ble no llamar a
debida emerge
mente ncias
resguar
dado
Sobre Toda la Excel
calenta informa ente
miento ción
de los esencia
equipos l para
de los
cómput proceso
o o de s
comuni críticos
cación se
encuent
ra
cargada
en la
nube

Mapa de calor de riesgos en seguridad de la información

48
R1

d. Medidas de prevención.

Para permitir el adecuado proceso de reanudación del servicio al momento de


que ocurra un siniestro, estamos obligados a que tienen que trabajar con las partes
interesadas una capacitación al menos una vez cada año, que incluya a todo el
personal sobre el presente plan de continuidad del negocio:

Se deben de aplicar las siguientes medidas de prevención para el riesgo R1:

- Mantenimientos preventivos y correctivos, por lo menos una vez al año, de


los cables que conectan todo el hardware de la empresa y los equipos de
comunicación, esto con el fin de que se prevenga y corrige todos aquellos
que se encuentran en mal estado.
- Capacitaciones constantes a todo el personal de los diferentes
departamentos, sobre el manejo de extintores en caso de que ocurra algún
incendio.
- Tener actualizado el directorio y colocar impresos en cada área de trabajo el
numero de emergencias al momento de algún siniestro.
- Se debe de realizar copias de respaldo diarias de manera automática, en
especial de los activos de información críticos de la empresa.

e. Desarrollo de estrategias para el plan de continuidad del negocio.

Ante cualquier siniestro, se tiene que tener en cuenta la integridad física de todo
el personal de Las Delicias, S.A.

- Ante la falta de medios de transporte, se debe de contar con un plan para


que los colaboradores de las diferentes áreas puedan realizar home office.

49
- Se debe de contar un plan del resguardo de la información de los equipos de
cómputo que serán autorizados que puedan salir de las instalaciones.
- Tener un plan de recuperación de equipos al momento de algún robo o
extravió, en consideración pagar un seguro por equipo.
- Todo aquel activo de información critico que se resguarde en formato
impreso, debe estar escaneado en alguna plataforma digital.

f. Plan de emergencias para la gestión de incidentes.

El Plan que a continuación se presenta, se activara al momento de un foco de


incendio en las instalaciones de Las Delicias, S.A.

No. Actividades Responsables


1 Ante cualquier detección Cualquier colaborador
de un incendio, se que lo detecte.
notificará al asistente
administrativo y a los
demás colaboradores
para su evacuación de las
instalaciones.
2. Se realizarán labores de Cualquier colaborador
sofocación de incendios, que lo detecte.
según capacitación anual
que se brinde a los
colaboradores.
3. Notificar mediante correo Personal de TI encargado
a los encargados de cada de tal atribución.
departamento para poder
hacer un plan de la
perdida total de la
información que se tuvo

50
para aplicar el plan de
contingencia.

g. Plan de Recuperación de desastres

En caso de tener un incendio o un desastre de cualquier índole, que este


implique la destrucción de los activos fijos y activos de información, se tiene que
llevar a cabo las siguientes tareas de recuperación:

1. Realizar un inventario de los activos y de la información que se dañaron y


perdieron luego del desastre.

2. Registrar la perdida monetariamente, informando al área de Contabilidad con


copia a Área Administrativa.

3. Solicitar al área encargada de gestionar el evento de compra, para la


adquisición de los equipos informáticos.

4. Solicitar al Departamento de Informática la instalación del nuevo equipo e


instalación de los protocolos establecidos y software.

5. Cargar y restablecer los datos.

h. Desarrollar e implementación del BCP

La implementación del BCP o plan de continuidad, quedara a cargo de las


siguientes áreas:

• Gerencia
Es el ente encargado de instruís la aplicación del plan de continuidad del
negocio, con la aplicación de delegación de funciones, podrá delegar a las
áreas que se crean convenientes y siempre que estén bajo su línea
jerárquica.
51
• Subgerencia Administrativa
Será la encargada de velar por el cumplimiento del plan de continuidad del
negocio, con colaboración del área de informática para que cada
dependencia ejecute adecuadamente cada tarea en función a sus
procedimientos.
• Área de Informática
Departamento a cargo de realizar la reconstrucción de los sistemas
informáticos, los cuales tienen puntos críticos, asimismo, configuración de
software, copias de seguridad de la información principal de los procesos
más críticos.
• Analistas I
Área responsable de manejar la logística para el levantado de los sistemas
de comunicación y coordinar con las tareas designadas por gerencia para el
reglamento de contingencia.

• Programación de concientización y capacitación


Por lo anterior establecido, se manifiesta que, para el buen cumplimiento y
conocimiento y una aplicación triunfante del plan de Continuidad del Negocio,
es responsabilidad de todo colaborador que esté involucrado y
tener un mejor proceso.
• Mantenimiento y entrenamiento
La estrategia de Continuidad del Negocio deberá regir de actualizaciones
como mínimo dos veces al año, empleando como insumo los resultados de
las pruebas realizadas en otras áreas.

i. Comunicación y Gestión de Crisis

• Comunicación interna
Los analistas designados deberán dar cumplimiento de socializar a cada área
y jefes, cuando inicie la contingencia o eventos de interrupción del negocio.

52
Si un evento su duración es mas de 1 hora, los analistas procederán a enviar
reportes a cada área respectiva e informar que departamentos están
cruzando una emergencia.
Todo colaborador deberá tener acceso a aplicaciones de comunicación
institucional, este puede ser en celulares computadoras, con el fin de
contactar a cada colaborador y solucionar la emergencia o interrupciones que
se estén presentando en el negocio.
• Comunicación externa
La manera de comunicar e informar si fuese el caso necesario a medios de
comunicación que se presenten, debido a la contingencia que sucediese
seria solo gerencia y subgerencia administrativa los encargados de facilitar
cualquier información al respecto.
En caso de existir un ataque tecnológico (virus informático, secuestro de
información o robo de alguna data), y la misma tengo ya una duración de 8
horas, el departamento de informática deberá informar a los entes superiores
y actuar según los protocolos establecidos para mitigar el riesgo existente.

53
CONCLUSIÓN

Se da por culminado el sistema de gestión de seguridad de la información,


considerado para la entidad privada Las Delicias, S.A., teniendo en cuenta la
estructura de la alta complejidad para lograr una excelente eficiencia y sobre todo
los procesos y checklist que ayudan a mitigar y sobre guardar la información en la
estructura organizacional.

Siempre se considera que esta solución valla de la mano con las normas ISO
27001, que especifica los requisitos para establecer normas en un SGSI certificado,
teniendo en cuenta un plan de seguimiento y redundancia.

En resumen, la seguridad informática se encarga de proteger todo lo relacionado


con la infraestructura informática de Las Delicias, S.A. y la información que se
encuentra en el ordenador, de lo colaboradores, existen muchas amenazas, por lo
que gracias a estos procesos ya cuentan con el conocimiento para mitigar el uso
inadecuado de los de los ordenadores al momento de manipular información.

Sin embargo, si no se cumplen con estas normas se estará aplicando sanciones


internas al momento de encontrar a colaboradores que no se apeguen a estas
normas de seguridad, siendo este un proceso de protección de la información.

54
BIBLIOGRAFÍA

Siete pasos para implementar políticas y procedimientos para ISO 27001. Escuela
Europea de Excelencia. (2022). Recuperado de:
https://www.escuelaeuropeaexcelencia.com/2019/01/siete-pasos-para-
implementar-politicas-y-procedimientos-para-iso-27001/

Blog de seguridad de la información. (2022) Recuperado de:

http://seguridadalmaximodeinformatica.blogspot.com/2012/03/conclusion.html

ISO 27001 TOOLS Excellence. Norma que permite el aseguramiento, la


confidencialidad e integridad de la información. (2022). Recuperado de:

https://www.isotools.org/normas/riesgos-y-seguridad/iso-
27001/#:~:text=ISO%2027001%20es%20una%20norma,los%20sistemas%20que
%20la%20procesan.

El Anexo A y los controles de seguridad en ISO 27001. Escuela Europea de


Excelencia. (2022). Recuperado de:
https://www.escuelaeuropeaexcelencia.com/2019/05/el-anexo-a-y-los-controles-
de-seguridad-en-iso-27001/

F. (2019). ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la


Información? | Firma-e. firme-e. Recuperado de: https://www.firma-
e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-informacion/.

55

También podría gustarte