Instituto Politcnico Nacional

Unidad Profesional Interdisciplinaria de Ingeniera y Ciencias

Sociales y Administrativas.

Plan Estratgico de Seguridad Informtica

Nombre: Lpez Hidalgo Alejandro Asael

Boleta: 2011600613

Profesor: lvarez Sols Francisco Javier

Materia: Seguridad Informtica
Secuencia: 4CV70

Introduccin

La empresa
Nombre de la empresa: ProEventos
Giro
La empresa se llama ProEventos, y se dedica principalmente al servicio y
organizacin de eventos sociales, fiestas privadas o pblicas, en lo que se refiere
tambin a la iluminacin, audio, video e incluso mobiliario pertinente para todos
estos fines.
Nuestra empresa ofrece servicios de calidad para la creacin y organizacin de
eventos especiales. Contamos con un extenso catlogo de servicios y elementos
que harn posible la realizacin de eventos sociales profesionales.
De esta manera la empresa ProEventos busca ser una empresa principalmente
rentable y comprometida para lograr la completa satisfaccin de los clientes, no
solo cubriendo las necesidades bsicas requeridas por el cliente, si no que el
cliente tenga una experiencia inolvidable haciendo de sus eventos algo
memorable.
ProEventos es una empresa comprometida, no solo con sus clientes, si no consigo
misma ya que siempre va da tras da innovando y actualizando cada uno de sus
procesos y servicios que ofrece, de esta manera la empresa puede estar segura
que siempre ofrecer un servicio de calidad y a la vanguardia. Pero teniendo en
mente siempre acoplarse a las necesidades y expectativas de los clientes que
contraten los servicios

Misin
Brindar confianza, bienestar y honradez a la sociedad y a nuestros clientes
mediante un servicio innovador, que se ajuste a los cambios y necesidades que
estas demanden, en un ambiente de respeto y superacin continua.

Visin
Colocarnos como una empresa lder en la produccin y coordinacin de eventos.
Todo esto basndonos en las necesidades y demandas de nuestros clientes
enfocndonos siempre en las nuevas tendencias en tecnologa y lograr la
preferencia de nuestros clientes

Propsitos
Nuestro principal propsito dentro del mercado es que nuestra empresa se a
reconocida como una de las ms capaces y eficientes en el ramo de la
organizacin de eventos.
Poner al alcance de nuestros clientes la posibilidad de concretar ese evento ideal
que tanto ha planeado, queremos cubrir este objetivo ya que es la llave para
acceder a otros mercados y clientes.
Colocar nuestros servicios a todos los mercados y bolsillos para que tengan la
posibilidad de conocer y vivir la experiencia de tener un evento de las mejores
condiciones.

Estructura de la empresa (organigrama)

Direccin
General

Gerente

Ejecutivo de
ventas

Coordinador
de eventos

Supervisor de
almacen

Tcnico de
Iluminacin
Tcnico de
Audio
y video
Diseo y
Decoracin

Maestro de
seremonias

Bienes y servicios informticos

Depto de
Informatica

R.H.

La empresa ProEventos cuenta con 5 computadoras conectadas en red, sus

especificaciones son las siguientes:
5 ordenadores en torre:
Especificaciones:

Procesador: Intel Pentium dual core a 2.5 GHz

Memoria: RAM ddr3 de 4gb expandible hasta 8gb
Monitor: 20" wide led hp tecnologa ips con vga y dvi en video digital
Disco duro: de 500gb sata 7200 rpm
Lector de DVD/CD: quemador de DVD y cd doble capa sata 24x
Gabinete: atx
Fuente: de 450 watts en potencia 20-24 pines
Tarjeta de video: amd de 256 Mb
kit de teclado y mouse ptico salida de video vga
6 puertos USB 2.0 internet almbrico rj45

3 multifuncionales:
Especificaciones

Funciones: impresin, copia, escaneado

Velocidad de impresin : comparable con lser iso: hasta 7 ppm,
Borrador: hasta 20 ppm.
Velocidad de impresin a color: comparable con laser iso: hasta 4 ppm
Borrador: hasta 16 ppm
Primera pgina impresa (lista): negro: velocidad mxima de 17 segundos,
color: 24 segundos
Ciclo de trabajo (mensual, a4): hasta 1000 paginas
Numero de cartuchos de impresin: 2 (1 negro, 1 tricolor [cian, magenta,
amarillo])
Tipos de soportes: papel (folletos, inyeccin de tinta, normal), papel
fotogrfico, sobres, etiquetas, tarjetas (felicitacin)
Tipo de escner: cama plana
Formato del archivo de digitalizacin: jpeg, tiff, pdf, bmp, png
Resolucin de escaneo, ptica: hasta 1200 PPP
Profundidad en bits: 24 bits
Resolucin de copia (texto y grficos en color): hasta 600 x 300 PPP
Copias, mximo: hasta 9 copias

Redes

Los ordenadores cuentan con: Tarjeta red: inalmbrica tp-link tl-wn781nd

150mbps wifi
Y se encuentran conectadas con un: router Tp-link - Router Rompe Muros
Alta Potencia Tl-wr841hp
Cuenta con 5 Mbps de velocidad. Contratada con Telmex

1.Mecanismos de seguridad existentes

1.1. Polticas y procedimientos
En la empresa ProEventos existen las siguientes polticas y procedimientos en
seguridad informtica:
Polticas existentes
Que

Para Que

Poltica de backup

Esta poltica pide llevar a cabo copias

de seguridad a los empleados en
caso de prdida de informacin

Poltica de dao de equipo

El equipo de cmputo que sufra

alguna descompostura por maltrato o
descuido por parte del usuario, deber
cubrir la reparacin total o parcial.

Poltica de uso de internet

El acceso a internet es para uso

exclusivo
de
las
actividades
relacionadas con el puesto que se
desempea

Procedimientos existentes
Que

Para que

Realizacin de backup

Este procedimiento tiene

instrucciones sobre backup

ciertas

Procedimiento en casos de dao fsico

Son una serie de procedimientos donde

se establece que hacer en caso de
daos fsicos, ya sea por causa
humana o por otros accidentes.
Solamente indica que se debe reportar.

1.2. Tecnologa de seguridad existente

Que

Para que

Sistema de alarma Lloyds

Sirve para detectar intrusos dentro de la

empresa
en
lugares
u
horas
inadecuados
Es un antivirus que detecta virus y
malware malicioso

Panda security
Firewall de Windows

Est diseado para bloquear el acceso

no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Router con clave de acceso wep
es el sistema de cifrado incluido en el
estndar IEEE 802.11 como protocolo
para redes Wireless que permite cifrar
la informacin que se transmite
extintor FyreChem a base de Polvo Sirve para poder apagar fuegos o
Qumico Seco
incendios que puedan ocurrir en la
empresa.
Mini cmara a color para circuito Diseadas para vigilancia de espacios
cerrado, con tecnologa CCD
fsicos solo hay una cmara en la
entrada de la empresa
IDOne Professional SmartCard
Reforzar
la
seguridad
usando
smartcards o token USB para acceder a
los ordenadores
No-breaks Ebro 400 V.a. 6 Contactos
15 Mint. Respaldo Op4

Son dispositivos que cuentan con una

batera propia y que puede
proporcionar energa elctrica tras
una falla en el suministro elctrico.
Otra de sus funciones es la de mejorar
la calidad de la energa que llega a las
cargas, filtrando subidas y bajadas de

tensin

2.Mecanismos de seguridad a eliminar

2.1. Polticas y procedimientos
No hay polticas o procedimientos a eliminar, ya que la empresa cuenta con pocas
polticas y procedimientos y en todo caso lo ms recomendable es aumentar tanto
las polticas y los procedimientos y as incrementar la seguridad informtica
existente, por lo tanto no se les debe eliminar si no aumentar.

2.2. Tecnologas de seguridad

Que

Para que

Panda security

Es un antivirus que detecta virus y

malware malicioso.
Es bueno pero se puede mejorar si se
elimina y se instala otro antivirus para
cada una de las computadoras en la
empresa. Ya que el nuevo antivirus que
se desea instalar ya cuenta con firewall
incluido.

3.Mecanismos de seguridad a adecuar

3.1. Polticas y procedimientos
Procedimientos
como esta
procedimiento de backup
el backup no se encuentra bien
especificado
por
lo
que
el
procedimiento puede resultar errneo

como quedara
1.- determinar archivos a respaldar
2.-seleccionar el tipo de medio de
respaldo
Las memorias flash, tambin
conocidas como memorias
USB. Son tiles para respaldar
tus archivos ms crticos y
transferirlos de computadora a
computadora.
Los discos CD-ROM y DVD-

ROM grabables.
Los discos duros externos
Los sistemas de respaldo en
lnea almacenan la informacin
en un servidor remoto.
3.-Planear cada cuanto tiempo se debe
realizar los respaldos, pueden ser cada
semana o realizar de manera
automtica cada cierto tiempo
4.- realizar el respaldo en la fecha
programada
Procedimiento en casos de dao 1.- reporte de fallas en bienes
fsico
informticos
Este procedimiento solo dice que ante
Reportar a travs de un oficio al
cualquier dao fsico, este se debe personal adecuado y debe contar con
reportar, nada ms.
el nombre de usuario, departamento,
fecha y hora de reporte, descripcin de
falla
2.- atencin a la falla
El tcnico recibe el reporte y acude al
rea solicitante y revisa el bien
informtico
3.- reparacin del bien fsico
Se repara el bien informtico anotando
las actividades realizadas y si la falla
debe ser atendida por personal externo,
el depto. Solicitar el servicio.

3.2. Tecnologas de seguridad

Como esta

Como quedara

Firewall de Windows
Est diseado para bloquear el acceso
no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.

Firewall de kaspersky internet security

Este firewall viene por defecto en el
sistema operativo. Y si bien no se
eliminara como tal, si se dejara de usar
ya que el antivirus que se piensa
instalar ya cuenta con un firewall ms
avanzado y seguro.

Router con clave de acceso wep

Hoy en da la encriptacin wep ya no es

segura y es por ello que se recomienda
cambiar
la
configuracin
a
la
encriptacin wap que es ms segura
Mini cmara a color para circuito Diseadas para vigilancia de espacios
cerrado, con tecnologa CCD
fsicos solo existe una cmara en la
entrada, y se recomienda tener una
cmara por depto. Sobre todo en el
rea de informtica.

4.Mecanismos de seguridad nuevos

4.1. Polticas y procedimientos
Polticas
Que
Acuerdos de uso y confidencialidad
Todos los usuarios debern conducirse
conforme a los principios de
confidencialidad y uso adecuado de los
recursos informticos y de informacin

Para que
Sirve para asegurar que el equipo
informtico se use de manera
adecuada y mejorar la productividad

El usuario deber reportar de forma

inmediata cuando detecte que existan
riesgos para equipos de cmputo o
comunicaciones, como pueden ser
fugas de agua, conatos de incendio u
otros.

Sirve para proteger los equipos

informticos

Los usuarios no deben mover o

Sirve para proteccin de equipos de
reubicar los equipos de cmputo,
cmputo y probable dao a hardware y
instalar o desinstalar dispositivos, sin
software del mismo
permiso
debindose solicitar a la misma en caso
de requerir este servicio
Controles contra cdigo malicioso
evitando cualquier software que no se
haya proporcionado por la empresa

Para prevenir infecciones por virus

informticos

Controles de acceso lgico

Todos los usuarios debern

Sirve para que no se introduzcan

personas no autorizadas

autenticarse por los mecanismos de

control de acceso provistos por la
Direccin antes de poder usar la
infraestructura tecnolgica
No est permitido llevar computadoras
personales ni otros dispositivos de
almacenamiento, solo con permiso
especial
Los empleados deben ocupar de
manera adecuada y solo para fines
laborales la red de la empresa
Las cuentas de usuario se debern
renovar cada 30 das

Para que no haya robo de informacin

Evitar extravi de informacin

divulgacin de la misma

Esto
es
para
asegurar
la
confidencialidad en los sistemas de la
empresa
Cuando el software del sistema lo Para prevenir ataques externos o
permita, debe limitarse a 3 el nmero incluso internos
de
consecutivos
de
intentos
infructuosos de introducir la contrasea,
luego de lo cual la cuenta involucrada
queda suspendida y se alerta al
Administrador del sistema
Los archivos de bitcora (logs) y los Esto es para poder asegurar que no
registros de auditora (audit trails) que hay ningn tipo de anomalas dentro de
graban los eventos relevantes sobre la la empresa y tambin para detectar
seguridad de los sistemas informticos posibles vulnerabilidades
y las comunicaciones, deben revisarse
peridicamente y guardarse durante un
tiempo prudencial de por lo menos tres
meses
Procedimientos
Que
Para que
Asignacin de cuentas de usuario y Llevar a cabo un procedimiento
contrasea
especificando como y a que personal
se le asignara una cuenta de usuario y
contrasea
Autorizacin y control en la entrada y Esto para tener una organizacin y
salida de tecnologas de informacin
control de los elementos informticos
que se estn prestando al personal que
as lo requiera

Gestin de claves de acceso

Esto para asegurar prevenir posibles

ataques y extravi o robo de
informacin
Plan de contingencia contra perdidas Un plan de accin que se lleve a cabo
de informacin
cuando
se
pierda
informacin
importante para la empresa.

4.2. Tecnologa de seguridad

Que
nexpose

Para que
NeXpose
es
una
herramientas
diseada por la empresa Rapid7 para
el anlisis de vulnerabilidades de redes,
identifica y analiza los datos de cada
exploracin
las
vulnerabilidades
encontradas en Sistemas Operativos,
Bases de Datos, aplicaciones y
archivos, tambin detecta todo tipo de
programa malicioso.
Kaspersky internet security
Es una solucin avanzada y completa
para proteger PC. Adems de proteger
contra virus y malware, esta suite de
seguridad ofrece un excelente motor
antivirus, un cortafuegos y funciones
anti-phishing.
Firewall de seguridad de red Cisco permite la conectividad de banda
ancha, tanto cableada como in
RV220W
Almbrica, de forma segura y confiable a
Internet.
PRTG Network Monitor
Busca problemas causados por la
sobrecarga y/o fallas en los servidores,
como tambin problemas de la
infraestructura de red (u otros
dispositivos).
StaffCop
Es un software capas de monitorear la
actividad en las computadoras en las
cuales est instalado.
Symantec Encryption
Software que Sirve para cifrar
informacin lo cual protege datos e
informacin confidencial de la empresa
Recuva
Programa de recuperacin de datos del

disco duro, unidades USB, tarjetas de

memoria y otros dispositivos.
Prey (software)

Es un servicio web para el rastreo de

computadores porttiles y dispositivos
mviles El agente instalado en el
dispositivo es software libre. Ayuda a
la recuperacin de los dispositivos
rastreando su ubicacin a travs de la
recuperacin remota de informacin.

5.Estrategia de seguridad informtica

Para llevar a cabo la realizacin de un plan de seguridad informtica es necesario
primeramente crear una estrategia, la cual guiara los trabajos realizados para as
poder implementar los diferentes correctivos y soluciones frente a los diversos
problemas que existen en torno a la seguridad informtica. Para ello es importante
crear un rea de seguridad informtica, la cual se encargara de aplicar la
estrategia, de organizarla, coordinarla y mantenerla, de tal manera que se logren
los objetivos propuestos por la seguridad informtica que son:
Objetivos primordiales de la seguridad informtica

La infraestructura computacional: La funcin de la seguridad informtica en

esta rea es velar que los equipos funcionen adecuadamente y anticiparse
en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el
suministro elctrico y cualquier otro factor que atente contra la
infraestructura informtica.
Los usuarios: Debe protegerse el sistema en general para que el uso por
parte de ellos no pueda poner en entredicho la seguridad de la informacin
y tampoco que la informacin que manejan o almacenan sea vulnerable.
La informacin: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios

El rea de seguridad informtica se encarga de cumplir estos objetivos, la cual se

muestra a continuacin junto con sus respectivas funciones.

Enc.
Seguridad
Informatica
Reglamentaci
on

Implementaci
on

Control

Desarollo

Encargado de seguridad informtica:

Se le conoce comnmente Oficial de Seguridad informtica. Entre sus
responsabilidades se encuentran:

Administracin del presupuesto de seguridad informtica

Administracin del personal
Definicin de la estrategia de seguridad informtica (hacia dnde hay que ir
y qu hay que hacer) y objetivos
Administracin de proyectos
Deteccin de necesidades y vulnerabilidades de seguridad desde el punto
de vista del negocio y su solucin

El lder es quien define, de forma general, la forma de resolver y prevenir

problemas de seguridad con el mejor costo beneficio para la empresa.

Reglamentacin
Es el rea responsable de la documentacin de polticas, procedimientos y
estndares de seguridad y regulaciones que apliquen a la organizacin. Dado que
debe interactuar de forma directa con otras reas de seguridad y garantizar
cumplimiento, es conveniente que no quede al mismo nivel que el resto de las
reas pero todas reportan al CISO. Por esta razn se le suele ver como un rea
que asiste al CISO en las labores de cumplimiento.

Implementacin
Es el rea a cargo de llevar a cabo las acciones congruentes con la estrategia
definida por el CISO lograr los objetivos del encargado de seguridad informtica.
Entre sus responsabilidades se encuentran:

Implementacin, configuracin y operacin de los controles de seguridad

informtica (Firewalls, antimalware, etc.)
Monitoreo de indicadores de controles de seguridad
Soporte a usuarios
Alta, baja y modificacin de accesos a sistemas y aplicaciones

Control
Es el rea responsable de verificar el correcto funcionamiento de las medidas de
seguridad as como del cumplimiento de las normas y leyes correspondientes.
Entre sus responsabilidades se encuentran:

Evaluaciones de efectividad de controles

Evaluaciones de cumplimiento con normas de seguridad
Investigacin de incidentes de seguridad y cmputo forense (2 nivel de
respuesta ante incidentes)
Atencin de auditores y consultores de seguridad

Desarrollo
Es el rea responsable del diseo, desarrollo y adecuacin de controles de
seguridad informtica. Entre sus responsabilidades se encuentran:

Diseo de controles de seguridad (control de acceso, funciones

criptogrficas, filtros, etc.)

Bsicamente se trata de un rea de desarrollo enfocada a cuestiones de

seguridad

6.Plan de trabajo
Meses
1
1
Responsable
Todas las
reas
E.S.I. e
implementaci
n

Implementaci
n
Reglamentaci
n y control
Implementaci
n
Reglamentaci
n y control
Reglamentaci

Duraci
Actividad
n
-investigacin de la
empresaAnlisis completo de la
1 mes
empresa
3
Inventario de Hardware seman
as
-Eliminacin y
adecuacin 1
Eliminacin de
seman
tecnologas
a
3
Adecuacin de polticas
seman
y procedimientos.
as
2
Adecuacin de
seman
tecnologas
as
-Implementacin1
Implementacin de
seman
polticas
a
Implementacin de
2

2
3

3
Semanas
3 4 1 2

4
3

n, control y
procedimientos
desarrollo
Implementaci
Implementacin de
n y
tecnologas
desarrollo

seman
a
1 mes