PLAN ESTRATEGICO DE SEGURIDAD INFORMTICA

2015

INTRODUCCIN
El presente plan estratgico tiene como finalidad establecer objetivos mnimos de seguridad
para la organizacin.
Este Plan consta de dos partes, la primera parte la constituyen: una breve presentacin,
descripcin del objetivo del Plan, el alcance del mismo y un resumen de resultados del anlisis
de riesgo; en la segunda parte se describe cada uno de los objetivos del plan:

1. Elaborar Polticas de seguridad informtica.

2. Implementar seguridades fsicas
3. Mejorar la seguridad lgica
4. Establecer seguridades en redes
5. Fortalecer la seguridad en los Recursos Humanos
6. Implantar medidas de seguridad en el outsourcing
7. Implementar estrategias de continuidad.
8. Revisar el cumplimiento de las polticas de seguridad informtica.

PRIMERA PARTE

PRESENTACIN
El Plan Estratgico de Seguridad Informtica del CONCYTEC responde a los siguientes
principios que definen la seguridad informtica.

Confidencialidad. Proporcionando acceso a la informacin solamente a

los usuarios autorizados

Integridad.

Garantizando que la informacin sobre la cual la empresa

tomara decisiones no haya sufrido manipulacin alguna antes, durante y

despus de su procesamiento.

Disponibilidad.

Permitiendo acceder a la informacin o utilizar algn

servicio informtico siempre que sea necesitado

OBJETIVO GENERAL
El objetivo del presente Plan Estratgico de Seguridad Informtica es proporcionar los
lineamientos para promover la planeacin, el diseo e implantacin de un modelo de seguridad
en la organizacin.
ALCANCE
Este documento se aplica para todos los empleados del CONCYTEC as como a personal
externo que desempeen labores o le proporcionen algn tipo de servicio o producto a la
entidad.
RESUMEN DE RESULTADOS DEL ANLISIS DE RIESGO
La identificacin de riesgos en la organizacin dio como resultados los siguientes factores de
riesgo: Sistema de Control, Nivel de Sensibilidad, Complejidad, Materialidad, Imagen, Tiempo
de realizacin de Auditoras previas, Respuesta ante fallas (Planes de Contingencia) los cuales
fueron analizados mediante una confrontacin con los recursos informticos de la empresa.

De este anlisis se determin que el Servidor de aplicaciones y el Sistema Contable estn

categorizados con un riesgo alto; el Equipo de comunicacin est en la categora de riesgo
medio y el software de control de comunicaciones y el sistema de correo electrnico tienen un
riesgo bajo. Tomando como fundamento estos resultados se procedi a la elaboracin de este
Plan Estratgico.

SEGUNDA PARTE
OBJETIVOS DE IMPLEMENTACIN DEL PLAN

Para el desarrollo del plan he establecido 8 objetivos en comn acuerdo con la Oficina General
de Administracin quienes en conjunto con quin redacta este plan trabajamos por espacio de
un mes en determinar el alcance del plan y lo primero que se debe hacer en el corto, mediano y
largo plazo.
El primero y segundo objetivo se desarrollarn en los meses de Julio y Agosto; el tercero y
cuarto objetivo se llevarn a cabo en el mes de Septiembre; el sptimo objetivo se efectuar en
el mes de Octubre; el quinto y sexto objetivo se llevarn cabo en Noviembre y el cumplimiento
del octavo objetivo ser cada seis meses a partir de la ejecucin de este plan.

OBJETIVO 1
ELABORAR POLTICAS DE SEGURIDAD
INFORMTICA
Tareas
1. Se deben relevar los riesgos de la organizacin siguiendo una metodologa de riesgo
2. Se debe valorar los riesgos determinando objetos y factores de riesgos.
3. Se elabora la matriz de ponderacin
4. Se determinan los principales aspectos de control que deben documentarse en la
poltica.
5. Se documenta la poltica, alineada con los objetivos generales de la organizacin y
basada en directrices y modelos de tecnologa de informacin.
6. Se implementa la poltica.
7. Se capacita a todo el personal en materia de seguridad y en la poltica.
Responsables
El Jefe de Seguridad y la Oficina General de Administracin sern los encargados del
cumplimiento de este objetivo que ser ejecutado por toda la organizacin.

Fecha de Realizacin
Mes de Julio y Agosto.

OBJETIVO 2
IMPLEMENTAR SEGURIDADES FSICA

Tareas
1. Establecer un sistema de registro de acceso al centro de cmputo.
2. Se comprarn equipos de seguridad definidos con la Oficina General de Administracin
(extintores, detectores de humo, alarmas contra robo, etc)
3. Se adquirir equipos de aire acondicionado que acten como respaldo en caso de que
se avere alguno y as mantener el ambiente correcto en que deben trabajar los
equipos
4. Se controlar peridicamente si el ambiente en que trabajan los equipos es el correcto
5. Se verificar que los usuarios configuren el protector de pantalla en sus equipos y lo
activen siempre que se ausenten de la oficina.
6. Se llevarn registros del mantenimiento preventivo y correctivo que se realice a los
equipos de computacin.
7. La Oficina de Tecnologas de Informacin se encargar de presentar a la Oficina
General de Administracin reportes que indiquen el estado fsico de los equipos.
8. Se definir con la Oficina General de Administracin la compra de trituradoras de papel
para la eliminacin de documentos ya no utilizados y as proteger la confidencialidad de
los datos.
9. La Gerencia recibir asesoramiento de Sistemas para que la pliza de seguros de los
equipos cubra todo tipo de riesgos.
10. Se capacitar al personal en las medidas de seguridad fsica.
Responsables
El Jefe de Seguridad, la Oficina General de Administracin y el Jefe de Compras sern los
encargados de la ejecucin de este objetivo el cual se llevar a cabo en toda la organizacin.

Fecha de Realizacin
Mes de Julio y Agosto.

OBJETIVO 3
MEJORAR LA SEGURIDAD LGICA

Tareas
1. Implantar un sistema de anlisis peridico de riesgos, a fin de que identifiquen, se
midan, se comuniquen y se establezcan controles lgicos.
2. Se definirn objetivos de control.
3. Se aplicarn esquemas de seguridad como:
a. Revisiones peridicas de los derechos de acceso de los usuarios dentro del
sistema.
b. Establecer que el tiempo de conexin a la red se lmite al horario normal de
oficina.
c. Hacer de conocimiento de los usuarios los requisitos de seguridad y los
procedimientos que deben seguir para proteger sus datos, entre stos puede
ser asegurarse que se desconect debidamente de la red.
d. Llevar una bitcora de eventos que incluya:

El identificador del usuario.

Fecha y hora de conexin y desconexin.

Registro de los intentos aceptados y rechazados de acceso al sistema.

Registro de los intentos aceptados y rechazados de acceso a datos y

otros recursos.

Responsables
Igual que el anterior el Jefe de Seguridad y la Oficina General de Administracin sern los
encargados de la ejecucin de este objetivo en el software de la empresa.
Fecha de Realizacin
Mes de Septiembre.

OBJETIVO 4
ESTABLECER SEGURIDADES EN REDES
Tareas

1. Capacitar a los usuarios en el uso de software antivirus y en las precauciones

adecuadas en el uso del correo electrnico.
2. Realizar peridicamente escaneos de virus a los equipos.
3. Actualizar el antivirus en los computadores ya sea como control preventivo o como
rutina bsica de seguridad.
4. Programar el firewall para dar accesos de acuerdo a las funciones y direcciones IP de
los usuarios.
5. Implementar medidas de control en el acceso remoto a la red mediante usuarios y
contraseas previamente definidos.
Responsables
El Jefe de la Oficina de Tecnologas de Informacin ser el responsable de la ejecucin de este
objetivo en toda la empresa.

Fecha de Realizacin
Mes de Septiembre.

OBJETIVO 5
FORTALECER LA SEGURIDAD EN LOS
RECURSOS HUMANOS

Tareas

1. Investigar los antecedentes de los candidatos a ser empleados de la empresa.

2. Incluir clusulas de confidencialidad en los contratos de trabajo.
3. Capacitar a los empleados peridicamente brindndoles informacin actualizada sobre
la seguridad y el uso apropiado de las computadoras.
4. Establecer procedimientos para informar acerca de incidentes de seguridad.
5. Controlar que exista una adecuada segregacin de funciones en cada una de las reas
de la organizacin.
6. Mantener informada al rea de Sistemas oportunamente de los despidos o renuncias
de los empleados.
7. Establecer procedimientos disciplinarios para los empleados que violen las polticas de
seguridad.
Responsables
El Jefe de Seguridad, la Oficina General de Administracin y el Jefe de Personal sern los
responsables de ejecutar este objetivo en toda la empresa.
Fecha de Realizacin
Mes de Noviembre.

OBJETIVO 6
IMPLEMENTAR MEDIDAS DE SEGURIDAD EN EL
OUTSOURCING

Tareas

1. Realizar concurso de mritos para seleccionar a las empresas que nos brinden
servicios, ya sean stos de mantenimiento preventivo, detectivo o correctivo de
recursos informticos.
2. Constatar las referencias de los servicios prestados por la empresa seleccionada a sus
clientes.
3. Establecer en los contratos acuerdos y requerimientos de seguridad, establecidos en la
poltica de seguridad informtica.
4. Efectuar revisiones peridicas del cumplimiento de la poltica de seguridad informtica
por parte del personal tercerizado.
5. Hacer cumplir estos acuerdos y requerimientos.
Responsables
La Oficina General de Administracin y el Jefe de la Oficina General de Administracin Jurdica
sern los responsables de ejecutar este objetivo en toda la empresa.

Fecha de Realizacin
Mes de Noviembre.

OBJETIVO 7
IMPLEMENTAR ESTRATEGIAS DE CONTINUIDAD

Tareas

1. Se identificarn las necesidades de la estrategia de continuidad de negocio.

2. Evaluar la idoneidad de las estrategias alternativas consideradas, a la vista de los
resultados del anlisis de impacto realizado.
3. Preparar un anlisis costo beneficio de las estrategias de recuperacin y presentar las
conclusiones a la Direccin.
4. Seleccionar un centro alternativo y almacenamiento externo.
5. Definir y seleccionar un acuerdo contractual para los servicios de continuidad de
negocio.
6. Se realizarn respaldos diarios de la informacin de la Base de Datos.
7. La Oficina General de Administracin junto con el Jefe de Seguridad, determinarn el
lugar donde se guardarn los respaldos fuera de la empresa.
Responsables
El Jefe de la Oficina de Tecnologas de Informacin y la Oficina General de Administracin
sern los responsables de llevar a cabo este objetivo en toda la empresa.

Fecha de Realizacin
Mes de Octubre.

OBJETIVO 8
REVISAR EL CUMPLIMIENTO DE LAS POLTICAS DE
SEGURIDAD DE INFORMACIN

Tareas

1. Los sistemas de informacin sern revisados para la conformidad con los estndares
de implementacin de seguridad.
2. Los Jefes de las Oficinas se asegurarn de que se cumplen correctamente los
procedimientos de seguridad dentro de su rea de responsabilidad.
3. Todas las Oficinas de la organizacin sern consideradas para las revisiones regulares
del cumplimiento de las polticas de seguridad.
Responsables
El Jefe de Seguridad y la Oficina General de Administracin sern los encargados de hacer
cumplir este objetivo en toda la empresa.

Fecha de Realizacin
Cada seis meses a partir del inicio de la ejecucin de este plan.