“Año de la Lucha Contra la Corrupción e Impunidad”
FACULTAD DE CIENCIAS E INGENIERÍA Ingeniería de Sistemas de Información
TRABAJO DE INVESTIGACIÓN: “Plan de Seguridad de TI”
Integrantes Grupo 4: Mozombite Mori, Gilver Rucoba Vásques, Jacques Marcelo
Asignatura: Gerencia de Tecnologías de Información
Docente: Ing. Jimmy Max Ramirez Villacorta
San Juan Bautista – Iquitos. 2019
Presentación
El presente trabajo de investigación monográfico, está orientado al tema de Documentos de Gestión, en esta oportunidad nos referimos al documento de Gestión: “Plan de Seguridad de TI”, en el cual se dará a conocer la importancia de este documento en la gestión del área de informática, además de responder a otros puntos importantes sobre el mismo. Esperamos que sea de mucha utilidad y conocimiento de quienes desean saber sobre esta herramienta de gestión, fue desarrollado basándose en la información recopilados de la súper red (Internet), por lo tanto esperamos que colme las expectativas del lector y por ende sea de su agrado.
Introducción Los documentos de Gestión son instrumentos técnicos que regulan el modelo de gestión interna de las instituciones públicas o privadas y que permiten mantener el control de la calidad en todos los ámbitos de la organización, así como establecer los lineamientos estratégicos de las acciones y las competencias entre las autoridades, las oficinas, cedes, procedimientos, operaciones y todo lo relacionado a la institución del aparato funcional interno que permitirá obtener los objetivos centrales de los mismos. El Plan de Seguridad de TI no es ajeno a ello, constituye el documento fundamental para el control y la seguridad en la explotación de las tecnologías informáticas en las instituciones públicas o privadas. El plan de seguridad de TI ayuda a mejorar y simplificar las actividades propias de las empresas, principalmente las operaciones comerciales. Un aspecto de la tecnología de eficacia administrativa es la creación de un entorno de seguridad más administrable, que brinde una mayor protección a la información de estas instituciones. Hoy en día se hace cada vez más imprescindible y necesario un adecuado sistema de protección en los sistemas informáticos que garanticen desde la privacidad de los datos hasta la seguridad en las transacciones de información. El control de acceso, los protocolos de comunicación, las transferencias de datos, etc., son procesos que deben ser estudiados y planificados por las corporaciones/usuarios para la definición de sus políticas de seguridad y la planificación. En la actualidad, son numerosos los riesgos que corre una compañía de sufrir ataques cibernéticos, y las vulneraciones de seguridad se incrementan día tras día, sin dejar de lado también los riesgos físicos que podrían tener los equipos. Por esta razón, este proyecto monográfico, explicara todo lo necesario para conocimiento de cómo se elabora un plan de seguridad informática y los puntos relevantes a tener en cuenta para su elaboración e implementación.
Índice CAPÍTULO 1. CONCEPTOS BÁSICOS SOBRE UN PLAN DE SEGURIDAD DE TI ............................................4 1.1. ¿QUÉ ES UN PLAN DE SEGURIDAD DE TI?............................................................................................. 4 1.2. IMPORTANCIA DE LA SEGURIDAD DE TI ............................................................................................... 4 1.3. ESTRUCTURA DE UN PLAN DE SEGURIDAD DE TI .................................................................................... 5 1.4. CONSIDERACIONES PARA LA ELABORACIÓN DE UN PLAN DE SEGURIDAD DE TI ............................................ 5 1.4.1. Conoce el Alcance del Plan de Seguridad de TI ..................................................................... 6 1.4.2. Conoce Todo el Sistema Informatico .................................................................................... 6 1.4.3. Realiza un Analisis de Riesgo ................................................................................................ 6 1.4.4. Presenta Politicas De Seguridad ........................................................................................... 7 1.4.5. Identifica Responsabilidades ................................................................................................ 7 1.4.6. Apartados Clave .................................................................................................................... 7 1.4.6.1. 1.4.6.2. 1.4.6.3. 1.4.6.4. 1.4.6.5. 1.4.6.6. 1.4.6.7. 1.4.6.8.
Bienes y Patrimonio a Resguardar............................................................................................. 7 Personal Involucrado ................................................................................................................. 8 Proteccion Fisica y Ambiental ................................................................................................... 8 Proteccion en las Operaciones Diarias ...................................................................................... 8 Identificación, Autenticación y Control De Acceso .................................................................... 8 Proteccion Ante Programas Maliciosos ..................................................................................... 8 Resguardo de Informacion ........................................................................................................ 8 Seguridad en Redes ................................................................................................................... 9
CAPÍTULO 2. PLAN DE SEGURIDAD DE TI LA MUNICIPALIDAD DISTRITAL DE BELEN ............................. 10 2.1. SU ESTRUCTURA........................................................................................................................... 10 2.2. APARTADOS ................................................................................................................................ 10 2.2.1. Alcance ............................................................................................................................... 10 2.2.2. Caracteristicas del Sistema Informático ............................................................................. 10 2.2.3. Resultados de Análisis de Riesgo ........................................................................................ 12 2.2.4. Políticas de Seguridad Informática ..................................................................................... 13 2.2.5. Responsabilidades .............................................................................................................. 13 2.2.6. Medidas y Procedimientos .................................................................................................. 13 2.2.7. Anexos del Plan de Seguridad de TI .................................................................................... 15 CONCLUSIÓN ....................................................................................................................................... 16 BIBLIOGRAFÍA ...................................................................................................................................... 17
Capítulo 1. Conceptos Básicos Sobre Un Plan de Seguridad de TI Para entender por qué la necesidad de elaborar e implementar un plan de seguridad de TI empezaremos por conocer los siguientes puntos: Que es, áreas principales de seguridad y su importancia.
1.1.
¿Qué es un plan de seguridad de TI?
(Universidad Internacional de Valencia, 2018) Un plan de seguridad de TI es el documento que te permite identificar las áreas donde puedes tener vulnerabilidades para que se plasmen las medidas necesarias para prevenirlas y también te permite saber cuáles son las medidas a tomar frente a algún siniestro. Este plan abarca tanto a la seguridad física y lógica y debe ser capaz de ayudar a proteger los datos y los sistemas críticos de un negocio, salvaguardar la integridad física de los equipos, y asegurarse de que las acciones a tomar se base en las legislaciones vigentes. (Webimprints, 2016) Dentro del contenido de este se debe abarcar puntos como: Medidas y Procedimientos de Seguridad Lógica. Se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Seguridad Perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, deben tener algún tipo de sistema de seguridad perimetral para ciberdefensa. Los sistemas de seguridad perimetral son responsables de la seguridad del sistema informático de una empresa contra amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etcétera. Identificación y Autentificación de los Usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Políticas de Seguridad Lógica. El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Medida y Procedimientos de Seguridad Física. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad.
1.2.
Importancia de la Seguridad de TI
(Computer Systems Solution, 2017) La importancia de brindar seguridad de TI se basa en prevenir el robo de datos tales como números de cuentas bancarias, información de tarjetas de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. Es algo esencial durante las comunicaciones de hoy en día. Muchas de las acciones de nuestro día a día dependen de la seguridad de TI a lo largo de toda la ruta que siguen nuestros datos. Y como uno de los puntos iniciales de esa
ruta, los datos presentes en un ordenador también pueden ser mal utilizados por intrusiones no autorizadas. Un intruso puede modificar y cambiar los códigos fuente de los programas y también puede utilizar tus imágenes o cuentas de correo electrónico para crear contenido perjudicial, como imágenes pornográficas o cuentas sociales falsas. Hay también los ataques informáticos que intentarán acceder a los ordenadores con intenciones maliciosas como pueden ser atacar a otros equipos o sitios web o redes simplemente para crear el caos. Los hackers pueden bloquear un sistema informático para propiciar la pérdida de datos. También son capaces de lanzar ataques para conseguir que no se pueda acceder a sitios web consiguiendo que el servidor falle. Todos los factores anteriores vuelven a hacer hincapié en la necesidad de que nuestros datos deben permanecer seguros y protegidos confidencialmente. Por lo tanto, es necesario proteger tu equipo y eso hace que sea necesaria y muy importante todo lo que es la seguridad informática. Por ello en el siguiente inciso te presentamos la estructura de básica para la elaboración de tu plan de seguridad de TI.
1.3.
Estructura de un Plan de Seguridad de TI
(Ministerio de Seguridad Pública de Costa Rica, 2016) Como referencia para la elaboración de un plan de seguridad de TI, podemos resaltar la siguiente estructura: 1. Portada. Nombre de la Actividad, Organización Responsable. Fecha de publicación. 2. Introducción. Justificación del desarrollo del Plan de Seguridad. ¿Que? ¿Cuándo? ¿Como? ¿Por qué́? 3. Objetivo General. Velar por el cumplimiento de las regulaciones establecidas por la institución, principalmente en lo que respecta a la seguridad y orden de los recursos informáticos. 4. Objetivos Específicos. Establecer las medidas a tomar por parte de la jefatura de TI. Plantear de manera general las acciones a llevar a cabo, etc. 5. Información General. Actividades, Lugar, Días, Horarios, Ubicación Geográfica, Estimado de participación, etc. 6. Especificaciones y Categorización. Descripción física y lógica de los recursos informáticos. Sectorización. Descripción de los ambientes, superficie, dimensiones, etc. 7. Desarrollo. Actividades antes, durante y despúes de los sucesos 8. Equipo de Trabajo y Funciones. Que medidas tomará la jefatura de TI para establecer controles a nivel de seguridad y orden de los recursos informáticos, si nombrará comisiones específicas. Nombrará las personas encargadas y sus responsabilidades específicas. Adjuntar listado de encargados y sus funciones. 9. Conclusión. 10. Anexos. Planos, Certificaciones, Cronogramas, Plantillas de Registro de Sucesos, etc.
1.4.
Consideraciones para la Elaboración de un Plan de Seguridad de TI
Si bien es cierto en el inciso anterior presentamos una estructura para armar tu plan de seguridad de TI, pero lo cierto es que no es una marco común de elaboración, por
eso para un completo y adecuado desarrollo, te presentamos las siguientes recomendaciones. 1.4.1. Conoce el Alcance del Plan de Seguridad de TI Se define los límites de aplicación del Plan de Seguridad Informática (Su alcance). El alcance define el rango que abarca el Plan, de acuerdo al recurso Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia es dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) consiste en que permite tener a priori una idea precisa de la extensión y los límites en que el mismo tiene vigencia. 1.4.2. Conoce Todo el Sistema Informático Describe de manera detallada el sistema informático de la entidad, precisando los elementos de tal manera que permitan identificar sus particularidades y las de sus principales componentes: la información, las tecnologías de información, las personas y los inmuebles, entre otros: Bienes informáticos, su destinación e importancia. Redes instaladas, estructura, tipo y plataformas que utilizan. Aplicaciones en explotación. Servicios informáticos y de comunicaciones disponibles. Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta el flujo interno y externo y los niveles de clasificación de la misma. Características del personal vinculado con las tecnologías y sus servicios, en particular su preparación, profesionalidad y experiencia. Condiciones de las edificaciones, su ubicación, estructura, disposición de los locales y condiciones constructivas. 1.4.3. Realiza un Análisis de Riesgo Otro aspecto de vital importancia en el desarrollo de un plan de seguridad de TI para una empresa tiene que ver con la identificación de los diferentes riesgos y vulnerabilidades que pueden dar al traste con los activos. Para ello, la empresa puede basarse en situaciones de seguridad informática que se hayan presentado con anterioridad, para así planificar y analizar el tipo de riesgo al cual se puede encontrar expuesto de una manera más frecuente. Por ejemplo, resulta muy efectivo identificar aquellos virus, malwares, y fallas de software y hardware que ya se han presentado, y también aquellos que pueden ocurrir con mayor facilidad en el futuro. Asimismo, es muy valioso llevar un registro de aquellas eventualidades que se han presentado por impericia o error del personal en el ámbito informático, lo cual puede ayudar a corregirlos de manera oportuna. Definido el alcance del Plan de seguridad y realizada una detallada descripción del sistema informático, corresponde finalizar con la formulación de las conclusiones obtenidas durante la determinación de las necesidades de protección mediante la evaluación de los riesgos. Estas conclusiones incluyen:
Cuáles son los bienes informáticos más importantes para la institución y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema. Qué amenazas pudieran tener un mayor impacto sobre la entidad en caso de materializarse sobre los bienes a proteger. Cuáles son las áreas con un mayor peso de riesgo y qué amenazas lo motivan.
1.4.4. Presenta Políticas De Seguridad Define los aspectos que conforman la estrategia a seguir por la entidad sobre la base de sus características y el sistema de seguridad diseñado. Establecen las normas generales que debe cumplir el personal que participa en el sistema informático y se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores pueden ser leyes, resoluciones, reglamentos, y otros documentos. Las políticas que se describan comprenden toda la organización, ya que es obligatorio su cumplimiento en las áreas que las requieran, razón por la cual serán lo suficientemente generales y flexibles para poder implementarse en cada caso mediante las medidas y procedimientos que demanden las características específicas de cada lugar. 1.4.5. Identifica Responsabilidades Describe la estructura concebida en la Entidad para la gestión de la Seguridad de TI, especificando las atribuciones, funciones y obligaciones de las distintas categorías de personal, que incluyen: distintos niveles (jefe de la entidad, jefes de departamentos, áreas y grupos de trabajo o estructuras equivalentes); jefes y especialistas de informática; administradores de redes, sistemas y aplicaciones; especialistas de seguridad informática y de seguridad y protección y usuarios comunes de las tecnologías de Información. Al especificar las atribuciones, funciones y obligaciones del personal en función de sus cargos se tendrá en cuenta lo establecido al respecto en el Reglamento de Seguridad para las Tecnologías de la Información. 1.4.6. Apartados Clave 1.4.6.1.
Bienes y Patrimonio a Resguardar.
Toda empresa posee un conjunto de bienes muebles e inmuebles que conforman su estructura física, pero, además, también se cuenta con datos e información altamente sensible, la cual se encuentra almacenada en los distintos dispositivos informáticos. El equipo técnico encargado de elaborar el plan de seguridad de TI de una empresa debe tener en consideración todos estos aspectos, para así determinar, en acuerdo con la gerencia de la institución, la prioridad en el orden de resguardo.
Por supuesto, en este apartado entran muchos otros elementos, como el personal de la empresa, los servicios de conexión de red, los servidores y demás herramientas informáticas que permiten el correcto funcionamiento de la compañía. De esta manera, toda institución, podrá contar con un inventario adecuado de sus activos, para así atender de la mejor manera posible, cualquier eventualidad que pueda suscitarse. 1.4.6.2.
Personal Involucrado
Las medidas y procedimientos en este punto tienen como objetivo garantizar el cumplimiento de las funciones y responsabilidades de las personas vinculadas con las tecnologías y sus servicios, así como la documentación de las mismas. 1.4.6.3.
Protección Física y Ambiental
Las medidas y procedimientos definidos a en este apartado, persiguen evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones, las tecnologías y la información de la organización. 1.4.6.4.
Protección en las Operaciones Diarias
La gestión del sistema de seguridad implica el control de las acciones que se realizan dentro del sistema informático y su garantía de que se ajustan a las políticas de seguridad establecidas para el empleo de las tecnologías y sus servicios. 1.4.6.5.
Identificación, Autenticación y Control De Acceso
Las medidas y procedimientos en este punto responden a las políticas definidas para estos aspectos y tienen como objetivo gestionar el acceso a la información de forma segura, garantizando el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas de información 1.4.6.6.
Protección Ante Programas Maliciosos
En este punto se prevé que las estaciones de trabajo y servidores cuentan con el programa antivirus. Este producto de mantenerse debidamente actualizado. Para ello, los responsables de cada equipo en conjunto con el Especialista de Seguridad Informática y el Administrador de la Red se encargarán de su actualización en cada una de las máquinas. 1.4.6.7.
Resguardo de Información
Las medidas y procedimientos de respaldo que se llega a implementar deben garantizar y mantener la integridad y disponibilidad de la información además de las instalaciones de procesamiento de la información frente a cualquier eventualidad.
1.4.6.8.
Seguridad en Redes
En este punto el personal encargado de la red se encarga de supervisar permanentemente el tráfico de la red para detectar variaciones que puedan estar siendo mal utilizados en la misma, además de analizar todos aquellos servicios en la red.
Capítulo 2. Plan de Seguridad de TI la Municipalidad Distrital de Belén El plan de seguridad de Ti de la Municipalidad de Belén se compone de 18 páginas incluyendo la carátula y su aplicación abarca en totalidad a la Municipalidad Distrital De Belén y las áreas que lo componen.
2.1.
Su Estructura
El plan de seguridad de TI de la Municipalidad Distrital de Belén consta de la Siguiente Estructura: 1. Portada 2. Alcance del Plan de Seguridad de TI 3. Características del Sistema Informático 3.1. Hardware 3.2. Software 3.3. Recursos Humanos 4. Resultados de Análisis de Riesgos 5. Políticas de Seguridad Informática 6. Responsabilidades 6.1. Jefe de OTIC 6.2. Administrador de Red 6.3. Desarrollador de Aplicaciones 6.4. Soporte Técnico 7. Medidas y Procedimientos 7.1. Clasificación de los Bienes Informáticos 7.2. Medidas 7.3. Procedimientos 8. Anexos del Plan de Seguridad de TI 8.1. Listado Nominal de Usuarios 8.2. Registros 8.3. Control de Cambios
2.2.
Apartados
2.2.1. Alcance Este documento expresa que las políticas plasmadas en el plan serán de cumplimiento obligatorio para todo el personal perteneciente a la Municipalidad Distrital de Belén, incluyendo sus dependencias. Donde todo personal que tenga bajo su responsabilidad equipo informático alguno perteneciente a la entidad tendrá la obligación de cumplir estrictamente los términos que se estipule en el plan. 2.2.2. Características del Sistema Informático
En este apartado el plan estipula en cuadros el nombre de todos los recursos informáticos con los que cuenta y su cantidad, en la parte de hardware se describen equipos como; servidores, switches equipos de Escritorio, equipos portátiles, UPS, cámaras de vigilancia, DVR, etc. Hardware Hardware Servidores Principales Hp Proliant DL380 Gen 9
Cantidad 02
Dominio, Archivo.
Servidor de aplicaciones
03
Servidor de base de datos
01
Switch Principales hp 1620-48
02
Equipos de escritorio completos.
112
Equipos portátiles (laptops).
18
Switch
16
Equipos Ups
02
Equipo Mikrotick
01
Cámaras de video vigilancia
28
Pantallas de 52” LCD
03
Infraestructura de red Dvr
01
Nvr
02
En la parte de software se estipulan los sistemas operativos, programas básicos, sus plataformas web, y sistemas de gestión en general. Software. Software
Cantidad
Sistema Operativo Windows Server 2012
02
Sistema operativo Windows Server 2003
01
Sistema Operativo Windows 8.1 Profesional
87
Sistema Operativo, Windows 7 Profesional
22
Sistema operativo xp Profesional sp3
10
Sistema operativo Windows 10.
11
Sistema de virtualización Linux Xen Server MS Oficce 2007
15
MS Office 2013
105
MS Office 2010
10
Sql YOUG
01
Auto Cad 2009
10
Plataformas web:
3
Página Web institucional
Sistema de venta feria navideña
Sistema de Renta(SisRenta)
Sistema de Planilla
01
Sistema Siaf
01
Sistema de Logística SisLogistica
01
Sistema de inventario (SIMI)
01
Sistema de logística(SisLogistica)
01
Clarissa
01
Melissa
01
Y como extra tiene un apartado de recursos humanos donde se estipula la cantidad de practicantes, personal administrativo, personal de soporte, etc. 2.2.3. Resultados de Análisis de Riesgo Por medio de una tabla este apartado enumera los riezgos a los que se enfrenta y los clasifica de acuerdo a su factor de riego (Muy Bajo, Bajo, Medio, Alto, Muy Alto) Factor de Riesgo RIESGO
Muy Bajo Medio Alto Bajo
Muy Alto
Incendio X Inundación X Robo Común X Vandalismo, daño de equipos y X archivos. Fallas en los equipos, daño de X archivos. Equivocaciones, daño de archivos. X Virus, daño de equipos y archivo. X Terremotos. X Acceso no autorizado, filtración de X info. Robo de datos X Fraude, alteración de información. X Posteriormente realiza una lista de los recursos más importantes que van a proteger, como:
Servidor de base de datos. Servicio de red. Base de datos del sistema de recaudación Tributaria. Servidor de aplicaciones. Servidor Siaf. Base de datos del sistema LOGISTICA. Base de datos Planilla.
Y también lista las amenazas más importantes de acuerdo al impacto que se tendría sobre la institución, como: Sustracción de los equipos o pérdida de datos. Accesos no permitidos a la institución. Accesos no autorizados a la red, externos. Mal uso de los servicios de tecnología. Programas maliciosos en la red (intencional o involuntaria). Oficina de informática (servicios suspendidos, sustracción de datos). Oficina de planeamiento (perdida de información). Oficina de procuraduría (inserción de programas maliciosos). 2.2.4. Políticas de Seguridad Informática En este apartado el plan tiene una lista enumerada de 11 políticas a cumplir, estas políticas de seguridad fueron desarrolladas en base a los resultados que se obtuvieron por el análisis de riesgo, donde podemos resultar las siguientes: Bajo ninguna circunstancia los empleados de la institución pueden utilizar los recursos informáticos para realizar actividades indebidas y/o prohibidas por las normas que establece la institución. La Oficina de Tecnologías de Información y Comunicaciones – OTIC, será únicamente el autorizado a realizar cabios en los equipos informáticos además de brindar soporte. El área de OTIC, será responsable de asignar y/o suspender accesos a los sistemas de información. Prohibir a todo personal ajeno al área de OTIC, la manipulación de los equipos e información, de concretarse el mismo se considera falta grave. 2.2.5. Responsabilidades En este apartado se enumeran las responsabilidades del Jefe de OTIC, Administrador de Red, Desarrollador de Aplicaciones y Soporte Técnico, está basada principalmente en el Manual de Organizaciones y Funciones. 2.2.6. Medidas y Procedimientos Primero clasifica a sus recursos en cuatro ramas (Bienes de Datos e Información, Bienes de Software, Bienes de Hardware, Bienes de Recursos Humanos).
Bienes de Datos e Información. Bases de datos, Contratos, Manuales de Usuarios, Reportes de Auditorías, etc. Bienes de Software. Aplicaciones, Herramientas de Desarrollo, etc. Bienes Hardware. Equipos computaciones, Equipos de Comunicaciones, Infraestructura de Red, etc. Bienes de Recursos Humanos. Personal Operativo de Informática, Usuarios Finales de TI.
Después viene el subíndice de medidas, las cuales son: Identificación y control de los bienes informáticos. Custodia responsable de los bienes informáticos. Auditorias continuas para mejor control y custodia de los bienes informáticos. Seguimiento técnico de los equipos de cómputo. Responsables del control de los bienes informáticos. Y Finalmente una larga lista de procedimientos agrupados en cinco grandes grupos: 1. Protección y Cuidado de los Bienes Informáticos. Por ejemplo: Cualquier movimiento interno de equipos o accesorios de la red informática de la municipalidad, así como sus periféricos deberá ser coordinado previamente con el personal del departamento de informática. Ningún usuario realizará tareas de instalación de equipo, programa informático (software), reparación, así cuente con capacitación técnica o profesional para realizarlo, dicha actividad es responsabilidad del usuario autorizado por el departamento de informática. 2. Asignación de Bienes Informáticos. Por ejemplo: Todo bien físico, previo a su asignación, deberá contar con un registro oficial de inventario por parte de la Unidad de Logística y Control Patrimonial. Equipo informático recién adquirido o formateado en condición de inicio, sólo deberá contener lo siguiente: - Sistema operativo cliente (incluido navegador). - Software de Ofimática licenciado. - Software para comprimir/descomprimir archivos. - Software Antivirus licenciado. - Lector de archivos PDF. 3. Seguimiento y Control de Bienes Informáticos. Por ejemplo: El área de informática previo control sellara los equipos informáticos y tomara registro, evitando así manipulación ajena de los mismos. Se implementara un expediente técnico por cada equipo controlado. Cada vez que un equipo es revisado periódicamente, el área de informática deberá registrar en los expedientes de los mismos las revisiones y cambios efectuados. 4. Adquisición de Bienes Informáticos. Por ejemplo: Todo requerimiento de un bien/servicio informático deberá contar con la opinión expresa de la oficina de informática.
La oficina de informática deberá supervisar la recepción del bien informático, para garantizar la concordancia entre lo solicitado y lo vendido por el proveedor, elaborándose de ser necesario un informe de conformidad u observación. 5. Infraestructura de Red. Por ejemplo: La solicitud de acceso a la Red Informática de la Municipalidad será presentado a la Oficina de informática, por el jefe inmediato del futuro usuario, indicando el "Tipo de usuario" que desea incorporar a la red y el periodo de vigencia que tendrá dicho acceso. Ningún usuario en la red está facultado para otorgar acceso a terceros, es responsabilidad única del área de informática. 2.2.7. Anexos del Plan de Seguridad de TI Contiene, Listado Nominal de Usuarios, Registros, Control de Cambios, por ejemplo:
Ilustración 1 - Formato de Control de Cambio
Conclusión Después de leer todo el capítulo uno que nos da una visión amplia del proceso de elaboración de un plan de seguridad de Ti, así como recomendaciones a tener en cuenta, y también de poder apreciado en el capítulo dos el resumen del contenido del plan de seguridad de TI de la Municipalidad Distrital de Belén, podemos resumir esta monografía en los siguientes puntos:
No se puede elaborar un plan de seguridad de Ti sin primero no se identifica lo que quieres proteger, este paso es primordial para obtener el conjunto de los activos de la organización, el hardware, software, sistemas y datos que componen tu sistema informático. Pueden incluir programas informáticos, servidores y servicios externos como alojamiento web. Y como vimos en el plan de la Municipalidad de Belén, este puede Pueden incluir programas informáticos, servidores, etc. Además de la identificación se tiene que hacer un análisis de riesgos para poder obtener todo lo que podría poner en peligro a nuestros activos, por ejemplo, los virus informáticos, hackers, daños físicos o errores de los empleados. Una vez analizados los riesgos, se tiene que dar priorización a estos, tal cual lo hizo la Municipalidad de Belén, dio primordial protección a sus servidores que a sus equipos individuales. Sabiendo y hecho los tres puntos anteriores, recién se puede tomar las precauciones adecuadas y decidir cuáles son los pasos a tomar para realizar la protección contra los riesgos.
Bibliografía Universidad Internacional de Valencia. 2018. Cómo crear un plan de seguridad informática fácilmente. viu. [En línea] 23 de Marzo de 2018. [Citado el: 13 de Febrero de 2019.] https://www.universidadviu.com/crear-plan-seguridad-informaticafacilmente/. Webimprints. 2016. ¿Como definir un plan de seguridad informatica? Taringa. [En línea] 30 de Mayo de 2016. [Citado el: 13 de febrero de 2019.] https://www.taringa.net/+info/como-definir-un-plan-de-seguridad-informatica_hu7zh. Ministerio de Seguridad Pública de Costa Rica. 2016. Pasos para la elaboración de un plan de seguridad general. Tramites y Sevicios. [En línea] 30 de Junio de 2016. [Citado el: 13 de Febrero de 2019.] https://www.seguridadpublica.go.cr/tramites_servicios/colaboracion/Desarrollo%20d el%20Plan%20de%20Seguridad%20General.pdf. Computer Systems Solution. 2017. ¿Qué es la Seguridad informática? CSS. [En línea] 29 de Marzo de 2017. [Citado el: 13 de Febrero de 2019.] https://www.css.pe/que-esla-seguridad-informatica/.