POLITICAS PLANES Y PROCEDIMIENTOS SEGURIDAD SERVIENTREGA

SEGURIDAD INFORMATICA

PRESENTADO POR:
IVAN JANUARIO PEA TORRES 1150244

PRESENTADO A:
ING. JEAN POLO CEQUEDA OLAGO

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

FACULTAD DE INGENIERIAS
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2012

POLITICAS PLANES Y PROCEDIMIENTOS SERVIENTREGA

POLITICAS SEGURIDAD INFORMATICA

Alcance
Las polticas de seguridad aplicadas a SERVIENTREGA, son desarrolladas
despus de hacer un estudio previo a las dependencias de la empresa luego se
realiz un anlisis de los riesgos y vulnerabilidades, todo el posterior trabajo se
enmarca en los activos de dependencias que all se manejan incluyendo a quienes
laboran directamente con esos activos.

Objetivos

Establecer un esquema de seguridad con perfecta claridad y transparencia

bajo la asignacin de responsabilidades y administracin del riesgo.

Comprometer todo el personal de la empresa con el proceso de seguridad,

agilizando la aplicacin de los controles con dinamismo y armona.

Hacer que la prestacin del servicio de seguridad gane en calidad.

Convertir a los empleados en interventores del sistema de seguridad.

Descripcin beneficios
Los beneficios de un sistema de seguridad con polticas claramente definidas son
inmediatos, ya que se trabajar sobre una plataforma (HW+SW+PERSONAL)
confiable, que se refleja en los siguientes puntos:

Aumento de la productividad.

Aumento de la motivacin del personal por parte de administrativos y personal

de cada una de las oficinas en todo el pas

Compromiso con la misin de la compaa.[IR MISION]

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes y la comunicacin existente entre los

distintas oficinas, agencias o filiales que hagan parte de SERVIENTREGA.

Mejora de los climas laborales para los Recursos Humanos.

Responsabilidades

Generalidades
Atreves de la implementacin de un sistema de seguridad para una empresa que
tiene cobertura nacional hemos dispuesto de supervisores en el rea de la
seguridad informtica en las principales ciudades del pas, sin embargo habr un
supervisor a nivel nacional en cargado de desarrollar, someter a revisin y divulgar
en adicin a los dems medios de difusin (intranet, email, sitio web oficial, revistas
internas, informes de auditora) de los Procedimientos de Seguridad. Asimismo, es
responsabilidad del supervisor inmediato capacitar a sus empleados en lo
relacionado con los procedimientos de Seguridad para cada una de las sucursales
regionales.

Casos especficos segn la funcionalidad:

Al equipo integrado por la Gerencia, los Jefes de rea y el personal administrativo
(ocasionalmente) convocado para fines especficos como:
Adquisiciones de Hardware y software.

Establecimiento de los estndares de hardware y de software ms

convenientes para la empresa teniendo en cuenta que ellos se asesoraran
primero en base a las ltimas tecnologas con alguien con mas afn al
conocimiento en el tema de las Tics.

Establecimiento de la Arquitectura tecnolgica de la empresa.

Lineamientos de Administracin de informtica

Est integrada por la Gerencia y Jefes de rea de cada una de las oficinas
principales del pas, las cuales son responsables de enviar informes mensuales
al equipo supervisor principal en Bogot:

Velar por el funcionamiento de la tecnologa informtica que se utilice en las

diferentes reas.

Elaborar y efectuar seguimiento del Plan Maestro de Informtica (PMI), el

cual ser enviado por medio de informes mensualmente al equipo supervisor
principal.

Definir estrategias y objetivos a corto, mediano y largo plazo

Mantener la Arquitectura tecnolgica

Controlar la calidad del servicio brindado

Mantener el Inventario actualizado de los recursos informticos

Velar por el cumplimiento de las Polticas y Procedimientos establecidos.

LINEAMIENTOS PARA LA ADQUISICIN DE EQUIPAMIENTO INFORMTICO

Toda adquisicin de tecnologa informtica se efectuar a travs del Comit de

Tics que tiene Servientrega, que est conformado por el personal de la
Administracin de Informtica en cada una se las sucursales de las principales
ciudades, luego ellas sern las encargadas de tomar las decisiones, para que le
rindan cuentas cada una de las oficinas ubicadas en la ciudad, cabe aclarar
tambin estn incluidas las oficinas ubicadas en dems municipios cercanos a
esa ciudad principal.

Al planear las operaciones relativas a la adquisicin de Bienes informticos,

establecer prioridades y en su seleccin deber tomar en cuenta:

estudio tcnico

precio

calidad

experiencia

desarrollo tecnolgico

estndares

capacidad

Para la adquisicin de Hardware se observar lo siguiente:

Los equipos debern tener una garanta mnima de un ao y debern contar con
el servicio tcnico correspondiente en el pas contando anexamente con una
lista de proveedores de equipos se confianza y de marca registrada.

La marca de los equipos o componentes deber contar con presencia y

permanencia demostrada en el mercado nacional e internacional, as como con
asistencia tcnica y refaccionaria local. Tratndose de computadores, lectores
de huella, equipo telecomunicaciones, a fin de mantener actualizada la
arquitectura informtica, el Comit emitir peridicamente las especificaciones
tcnicas mnimas para su adquisicin.

Los dispositivos de almacenamiento, as como las interfaces de entrada /

salida, debern estar acordes con la tecnologa de punta vigente, tanto en
velocidad de transferencia de datos, como en procesamiento.

En lo que se refiere a los computadores denominados personales, al vencer su

garanta por adquisicin, deben de contar por lo menos con un programa de
servicio de mantenimiento correctivo que incluya el suministro de refacciones.

Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al

anlisis, aprobacin y autorizacin del Comit de en cargado de la seguridad
informtica a nivel de las principales ciudades del pas, sin embargo estos
comits de supervisin pasaran un informe mensual de todos estos cambios
a los supervisores de nivel nacional en Bogot.

Aplicativos Oficiales de la Empresa

Cabe aclarar que el software en cada uno de los Host de la red Servientrega
debe estar presente en este listado, es misin de las secretarias, operarios y
supervisores de oficina que se cumplan estas condiciones para evitar anomalas
provenientes de aplicativos de terceros.
Para la adquisicin de Software base y utilitarios, el grupo de supervisores dar
a conocer peridicamente las tendencias con tecnologa de punta vigente,
siendo la lista de productos autorizados la siguiente:

Aplicativos propios de Servientrega

Sistema de informacin encargado de las operaciones del negocio y de administrar
los portafolios de productos, bases de datos de clientes, provisin de guas,
solicitudes de recoleccin, procesamiento de envos, servicio al cliente y
Administracin de ventas.

SIS MILENI- SCM

Software SIEWEB 4.2`

Sispos@net\2

ERPP (operaciones en tiempo real)

software GPS (sistema de rastreo y posicionamiento)

CONSIDERACIONES DEL SOFTWARE DE LA COMPANIA

Se deben delimitar las responsabilidades en cuanto a quin est autorizado a
consultar y/o modificar en cada caso la informacin, tomando las medidas de
seguridad pertinentes.

Los datos de los sistemas de informacin, deben ser respaldados de en base

de datos locales, siendo enviada la informacin en tiempo real al DATA
CENTER que es la red de servidores a nivel nacional, sin embargo en caso
excepcionales y bajo la responsabilidad del supervisor de oficina, estos
respaldos podrn ser guardados en medios magnticos portables.(esta
operaciones se harn diariamente)

Todos los sistemas de informacin que se tengan en operacin, deben contar

con sus respectivos manuales actualizados. Un tcnico que describa la
estructura interna del sistema as como los programas, catlogos y archivos que
lo conforman y otro que describa a los usuarios del sistema y los procedimientos
para su utilizacin.

Los sistemas de informacin, deben contemplar el registro histrico de las

transacciones sobre datos relevantes, as como la clave del usuario y fecha en
que se realiz (Normas Bsicas de Auditoria y Control).

Se deben implantar rutinas peridicas de auditoria a la integridad de los datos y

de los programas de cmputo, para garantizar su confiabilidad.

Plataformas de Sistemas Operativos

MS-Windows

Linux.

Bases de Datos
Oracle (encargado de servidores DATACENTER)

Utilitarios de oficina
Microsoft Office

Star Office

Programas antivirus
McAfee

Manejador de correo electrnico

Microsoft Outlook
Navegadores de Internet
Firefox
Comprimidores de archivos
Winrar

En casos excepcionales, slo se adquirirn las ltimas versiones liberadas de los

productos seleccionados, salvo situaciones especficas que se debern justificar
ante el Comit. Todos los productos de Software que se adquieran debern
contar con su licencia de uso, documentacin y garanta respectivos.

REGLAMENTACION INSTALACIONES DE LOS EQUIPOS DE CMPUTO

La instalacin del equipo de cmputo, quedar sujeta a los siguientes
lineamientos:

Los equipos para uso interno se instalarn en lugares adecuados, lejos de

polvo y trfico de personas. (Manipulacin exclusiva del operarios propios de
SERVIENTREGA)

La Administracin de Informtica, as como las reas operativas debern

contar con un croquis actualizado de las instalaciones elctricas y de
comunicaciones del equipo de cmputo en red.

Las instalaciones elctricas y de comunicaciones, estarn de preferencia

fija o en su defecto resguardadas del paso de personas o mquinas, y libres de
cualquier interferencia elctrica o magntica.

Las instalaciones se apegarn estrictamente a los requerimientos de los

equipos, cuidando las especificaciones del cableado y de los circuitos de
proteccin necesarios.
En ningn caso se permitirn instalaciones improvisadas o sobrecargadas. (ser
misin del supervisor de oficina principal tomar en cuenta de estos apuntes si
aparecen imprevistos, y as informarlos a los supervisores de las ciudades
principales para que se d la orden y contraten encargados de confiabilidad para
SERVIENTREGA)

TRATAMIENTO INFORMACIN SERVIENTREGA

La informacin almacenada en medios magnticos se deber inventariar,
anexando la descripcin y las especificaciones de la misma, haciendo respaldo
al DATACENTER SERVIENTREGA clasificndolo la informacin en tres
categoras:

Informacin histrica para auditorias.

Informacin de inters de la Empresa

Informacin de inters exclusivo de alguna rea en particular.

Prioridad de informacin confidencial propia SERVIENTREGA

Informacin vital para el funcionamiento del rea

En caso de informacin vital para el funcionamiento del rea, se debern tener

procesos colaborativos, as como tener el respaldo diario de las modificaciones
efectuadas, rotando los dispositivos de respaldo y guardando respaldos histricos
semanalmente.

Informacin necesaria, pero no indispensable en el rea

La informacin necesaria pero no indispensable, deber ser respaldada con una

frecuencia mnima de una semana, rotando los dispositivos de respaldo y
guardando respaldos histricos mensualmente.

Informacin ocasional o eventual

El respaldo de la informacin ocasional o eventual queda a criterio del rea.

La informacin almacenada en medios magnticos, de carcter histrico,

quedar documentada como activos del rea y estar debidamente resguardada
en su lugar de almacenamiento. (DATACENTER-RESPALDO LOCAL EN
SERVIDORES PROPIOS SERVIENTREGA)
Es obligacin del responsable del rea, la entrega conveniente de
informacin, a quien le suceda en el cargo.

la

FUNCIONAMIENTO DE LOS EQUIPOS DE CMPUTO

Le corresponde al supervisor de Oficina o sucursal vigilar que el equipo de
cmputo se use bajo las condiciones especificadas por el proveedor y de
acuerdo a las funciones del rea a la que se asigne.
Los colaboradores de la empresa al usar el equipo de cmputo, se abstendrn
de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento
del mismo o deterioren la informacin almacenada en medios magnticos.
Queda prohibido el uso de medios pticos o extrables en cada Host
SERVIENTREGA para el concepto de mantener integra, y segura no solo la
informacin confidencial del sistema sino el mismo sistema en s. (Sistema
Operativo, Aplicativos)

LINEAMIENTOS DE
SERVIENTREGA

SEGURIDAD

DE

INFORMACION

EN

HOST

RED

Por ello se establecen los siguientes lineamientos:

Mantener claves de acceso que permitan el uso solamente al personal

autorizado para ello.

Verificar la informacin que provenga de fuentes externas a fin de corroborar

que est libre de cualquier agente contaminante o perjudicial para el
funcionamiento de los equipos.

Mantener plizas de seguros de los recursos informticos en funcionamiento las

cuales se actualizarn en base vaya llegando nuevo equipo de oficina, el

encargado de registrar estas modificaciones es el supervisor de oficina principal.

Se prohbe el ingreso de equipo de cmputo No perteneciente a

Servientrega, ser misin del supervisor de oficina que se cumpla este
lineamiento.
Slo al personal autorizado le est permitido el acceso a las instalaciones
donde se almacena la informacin confidencial
Slo bajo la vigilancia de personal autorizado, puede el personal externo
entrar en las instalaciones donde se almacena la informacin confidencial, y
durante un perodo de tiempo justificado.

ACCESO E IDENTIFACION USUARIO-CLAVE A SISTEMA INFORMACION Y

RED SERVIENTREGA

Todos los usuarios con acceso a un sistema de informacin o a una red

informtica, dispondrn de una nica autorizacin de acceso compuesta
de identificador de usuario y contrasea.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y
recursos que precisen para el desarrollo de sus funciones, conforme a los
criterios establecidos por el responsable de la informacin.
La longitud mnima de las contraseas ser igual o superior a 20
caracteres, y estarn constituidas por combinacin de caracteres
alfabticos, numricos y especiales.
Los identificadores para usuarios temporales se configurarn para un
corto perodo de tiempo (cada 2 meses). Una vez expirado dicho perodo,
se desactivarn de los sistemas.
El encargado del cambio de identificadores a los empleados ser una
comunicacin constante de los supervisores de seguridad en Bogot y los
encargados del comit de seguridad en las principales ciudades del pas.

RESPONSABILIDADES DEL PERSONAL

Los usuarios son responsables de toda actividad relacionada con el uso

de su acceso autorizado.
Los usuarios no deben revelar bajo ningn concepto su identificador y/o
contrasea a otra persona ni mantenerla por escrito a la vista, ni al
alcance de terceros.
Los usuarios no deben utilizar ningn acceso autorizado de otro usuario,
aunque dispongan de la autorizacin del propietario.
Si un usuario tiene sospechas de que su acceso autorizado (identificador
de usuario y contrasea) est siendo utilizado por otra persona, debe
proceder al cambio de su contrasea e informar a su jefe inmediato y ste
reportar al responsable de la administracin de la red de la sucursal
SERVIENTREGA ms cercana.

RECOMENDACIONES CLAVE IDENTIFICADOR EMPLEADO

La contrasea no debe hacer referencia a ningn concepto, objeto o idea

reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas
significativas, das de la semana, meses del ao, nombres de personas,
telfonos.
En el caso que el sistema no lo solicite automticamente, el usuario debe
cambiar su contrasea como mnimo una vez cada 30 das. En caso
contrario, se le podr denegar el acceso y se deber contactar con el jefe
inmediato para solicitar al administrador de la red una nueva clave.

Los usuarios slo podrn crear ficheros que contengan datos de carcter
personal para un uso temporal y siempre necesario para el desempeo de su
trabajo. Estos ficheros temporales nunca sern ubicados en unidades locales
de disco de la computadora de trabajo y deben ser destruidos cuando hayan
dejado de ser tiles para la finalidad para la que se crearon.
Los empleados deben notificar a su jefe inmediato cualquier incidencia que
detecten que afecte o pueda afectar a la seguridad de los datos de carcter
personal: prdida de listados y/o disquetes, sospechas de uso indebido del
acceso autorizado por otras personas, recuperacin de datos.
Los usuarios nicamente introducirn datos identificativos y direcciones o
telfonos de personas en las agendas de contactos de las herramientas
ofimticas (por ejemplo en Outlook).
Toda salida de informacin (en soportes informticos o por correo
electrnico) slo podr ser realizada por personal autorizado y ser
necesaria la autorizacin formal del responsable del rea u oficina.

PROHIBICIONES PERSONAL DE OFICINA Y DE AREA

No se deber Introducir voluntariamente programas, virus, macros,

Applets, controles ActiveX o cualquier otro dispositivo lgico o secuencia
de caracteres que causen o sean susceptibles de causar cualquier tipo de
alteracin o dao en los Recursos Informticos. El personal contratado de
oficina tendr la obligacin de utilizar los programas antivirus y sus
actualizaciones para prevenir la entrada en los Sistemas de cualquier
elemento destinado a destruir o corromper los datos informticos.
No se deber albergar datos de carcter personal en las unidades locales
de disco de los computadores de trabajo.
Queda prohibido conectar a ninguno de los Recursos, ningn tipo de
equipo de comunicaciones (Ej. mdem) que posibilite la conexin a la Red
Corporativa.
Aunque se les asignaran permisos segn el rol, intentar acceder a reas
restringidas de los Sistemas de Informacin o de la Red Corporativa.
Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier
otro elemento de seguridad que intervenga en los procesos telemticos.

CONECTIVIDAD A INTERNET

La autorizacin de acceso a Internet se concede exclusivamente para

actividades de trabajo. El acceso a Internet se restringe exclusivamente a travs
de la Red establecida para ello, es decir, por medio del sistema de seguridad
con cortafuegos incorporado en la misma. No est permitido acceder a Internet
llamando directamente a un proveedor de servicio de acceso y usando un
navegador (FIREFOX), o con otras herramientas de Internet conectndose con
un mdem.

PROCESO DE MONITOREO PERIODICO

ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD

Debido a la propia evolucin de la tecnologa y las amenazas de seguridad, y a
las nuevas aportaciones legales en la materia, SERVIENTREGA se reserva el
derecho a modificar esta Poltica peridicamente. Los cambios realizados en
esta Poltica sern divulgados por medio del equipo de seguridad cuando haya la
necesidad de ello.

En resumen las polticas.

[NO SE TRATA DE QUE HACER DESPUES DE QUE ALGUN INCIDENTE
OCURRE HACIENDO MULTAS O CASTIGOS, SE TRATA MAS DE BIEN DE
DECLARACIONES
DE
ALTO
NIVEL
ASIGNANDO
CARGOS
Y
RESPONSABILIDADES IMPLICANDO LA GERENCIA Y EL PERSONAL DE PARA
EVITAR QUE OCURRAN ESTE TIPO DE INCIDENTES]

PLANES Y PROCEDIMIENTOS SEGURIDAD INFORMATICA

MEDIDAS PREVENTIVAS PARA EVITAR UN ATAQUE DE VIRUS Y OTRAS

AMENAZAS INFORMATICAS:
Las medidas preventivas que se han tomado para evitar un ataque de virus son las
siguientes:

Utilizar un antivirus (MCAFFE) en cada equipo como norma general en cada

host con Windows.
Utilizar antivirus que detecte y elimine los virus que se puedan presentar
(Actualizaciones automticas).
Utilizar antivirus que detecten virus en archivos ejecutables, procesadores de
texto y hojas de clculo.
Actualizar con cierta frecuencia el antivirus implantado en cada equipo (Segn
los trminos de MCAFFE y sus licencias).
Utilizar software de antivirus conocido en el mercado de la informtica.
Probar el software adquirido en entornos aislados para garantizar la efectividad
de MCAFFE.
Prohibir con toda contundencia la utilizacin de software ilegal o de terceros
ajenos a la empresa.
Prohibir exhaustivamente los programas que no tengan un origen claro.
Realizar chequeos semanales de todos los equipos de la empresa, encargados
por parte del supervisor de rea u oficina.
No abrir bajo ningn concepto archivos adjuntos de un correo electrnico que
parezca sospechoso.
Realizar diariamente copias de seguridad de los archivos del sistema.

MEDIDAS CORRECTORAS APLICABLES ANTE UN ATAQUE DE VIRUS Y

OTRAS AMENAZAS INFORMATICAS:
Las medidas correctoras que se deben adoptar ante un ataque de virus son las
siguientes:

El usuario se pone en contacto con el responsable de seguridad y le informa

que ha sufrido un ataque de virus en su terminal.
Si no hay prdida de archivos y el virus solo afecta al sistema, se procede a
la restauracin del equipo y eliminacin del virus.
Si adems hay prdida de archivos, se realiza lo mismo que en el punto
anterior, y a parte se recuperan los datos que se han perdido a travs de las
copias de respaldo de la informacin hechas previamente en DATACENTER
o un servidor pequeo local y en red.
Una vez saneado el problema, el usuario contina con su actividad en su
terminal

MEDIDAS PREVENTIVAS PARA EVITAR UN FALLO DE HARDWARE:

Las medidas preventivas que se han tomado para evitar un fallo de hardware son
las siguientes:

Controles peridicos del estado de situacin de todo el hardware de la

compaa.
Poseer hardware sustitutivo en las oficinas (repuestos) de la empresa, para
as evitar demandarlo al fabricante.
Establecer un tiempo mximo de envo de los productos demandados con la
compaa suministradora.
Tener un contrato de mantenimiento con la compaa suministradora.
Mantener los equipos a temperaturas adecuadas.
Controles de la corriente elctrica suministrada a cada equipo mediante
enchufes inteligentes y reguladores de voltaje.

MEDIDAS CORRECTORAS APLICABLES ANTE UN FALLO DEHARDWARE:

Las medidas correctoras que se deben adoptar ante un fallo de hardware son las
siguientes:

El usuario se pone en contacto con el responsable de mantenimiento.

Un empleado de mantenimiento hace una valoracin del problema existente.
Si es posible el problema se resuelve en el instante mediante el empleado de
mantenimiento de lo contrario se notifica al supervisor de agencia de la
ciudad.
Si el problema es de causa mayor, se lleva el equipo al taller de
mantenimiento y se le sustituye temporalmente el equipo por otro de
reemplazo.
Una vez solucionado el problema se le devuelve su equipo al usuario.
El usuario sigue trabajando con normalidad.

MEDIDAS PREVENTIVAS PARA EVITAR UNA AUSENCIA DE PERSONAS:

Las medidas preventivas que se han tomado para evitar una ausencia de
personas clave son las siguientes:

Tener siempre a un segundo responsable en puestos de alta responsabilidad

como la de seguridad en cada oficina principal.
Controlar los periodos de ausencias entre los diferentes puestos de la
compaa, llevando un historial de asistencia (usuario-Identificador).
Evitar ausencias simultneas del primer y segundo responsable de un
determinado puesto ser responsabilidad y compromiso del personal que
esto no suceda.

MEDIDAS CORRECTORAS
PERSONAS:

APLICABLES

ANTE

UNA

AUSENCIA

DE

Las medidas correctoras que se deben adoptar ante la ausencia de personas clave
son las siguientes:

Se investigan los motivos por los cuales el primer titular del puesto no
encuentra en la oficina.
Se investigan los motivos por los cuales el segundo titular del puesto no
encuentra en la oficina.
Se busca a una persona calificada que pueda cubrir el puesto por
determinado tiempo hasta que retornen el primer o segundo titular a
compaa.

MEDIDAS PREVENTIVAS
DEDOCUMENTACIN:

PARA

EVITAR

UN

ROBO

se
se
un
la

PRDIDA

Las medidas preventivas que se han tomado para evitar un robo o prdida de
documentacin son las siguientes:

Informacin almacenada en papel que ya no contenga valor empresarial

debe de ser destruida.
Informacin almacenada en formato electrnico que ya no sea de uso para la
empresa debe de ser destruida.
En caso de traslados de equipos, contratar garantas ante posibles
contingencias que puedan ocurrir, haciendo que la responsabilidad recaiga
sobre los contratistas de mantenimientos de SERVIENTREGA
Controlar todas las salidas y llegadas de informacin para la empresa, sobre
todo ante el uso de las copias de respaldo (DATACENTER, LOCAL).
Tener personal de la empresa presente en los posibles traslados que se
puedan llevar a cabo.
Impedir la libre circulacin de personas por dentro de la compaa y que sean
ajenas a la empresa.
Tener controles de acceso a la entidad las 24 horas del da (UsuarioIdentificador).
Tener instaladas altas medidas de proteccin fsica en la sala de servidores.
Restringir el acceso a ciertas personas a la sala de servidores, solo el
personal autorizado a oficinas, sala de servidores, sala de reuniones.

MEDIDAS CORRECTORAS APLICABLES ANTE UN ROBO O PRDIDA

DEDOCUMENTACIN:
Las medidas correctoras que se deben adoptar ante el robo o la prdida de
documentacin son las siguientes:

Avisar al responsable de seguridad de oficina por parte de la primera persona

que se percate de una falta de documentacin empresarial.
Preguntar al personal de la empresa sobre el extravo o robo de la
documentacin.
Anotar la prdida en el libro de incidencias de la compaa.
Volver a generar la informacin si es posible
Enviar un informe por medio del SGSI a implementar donde se informe a la
siguiente agencia inmediata ms cercana sobre la anomala.

MEDIDAS PREVENTIVAS PARA EVITAR UN ROBO O PRDIDA DE EQUIPOS:

Las medidas preventivas que se han tomado para evitar un robo o una
prdida de equipos son las siguientes:
Tener asegurados por lotes todos los equipos informticos de la entidad.
Tener instalados en ciertos lugares, anclajes en los equipos informticos.
Impedir la libre circulacin de personas por dentro de la compaa.
Tener controles de acceso a la entidad las 24 horas del da.(Usuario
Identificador, tiempo de acceso al servidor)
Tener instaladas altas medidas de proteccin fsica en la sala de servidores.
Restringir el acceso a ciertas personas a la sala de servidores.
Tener actualizado el inventario de activos por cada departamento
empresarial.
Estar en posesin de equipos u otro material informtico de repuesto para las
posibles sustituciones.
En caso de traslados de equipos, contratar garantas ante posibles
contingencias que puedan ocurrir.
Suprimir datos confidenciales de los equipos en caso de que se vaya a
realizar un traslado de los mismos.
Tener personal de la empresa presente en los posibles traslados que se
puedan llevar a cabo

MEDIDAS CORRECTORAS APLICABLES ANTE UN ROBO O PRDIDA DE

EQUIPOS:

Las medidas correctoras que se deben adoptar ante el robo o la prdida de

equipos son las siguientes:
Avisar al responsable de seguridad por parte de la primera persona que se
percate de una falta de material informtico.
Preguntar al personal de la empresa sobre el extravo o robo del material.
Anotar la prdida en el libro de incidencias de la compaa e infrmalas al
comit supervisor de seguridad por medio del SGSI.
Reposicin del material informtico extraviado o hurtado.

MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE USUARIO:

Las medidas preventivas que se han tomado para evitar un error de explotacin son
las siguientes:

Formar de una manera adecuada al usuario en el uso de las aplicaciones que

va a utilizar (concienciacin del empleado).
Poseer manuales explicativos, sencillos y precisos acerca de las aplicaciones
empresariales.
Capacitar al usuario de las aplicaciones ante posibles cambios que puedan
surgir en los procesos de negocio de la entidad.
Controlar los posibles errores repetitivos que puedan cometer los usuarios.
Asegurarse que las aplicaciones que utilizan los usuarios han pasado todas
las pruebas de validacin.
Prestar ayuda a las personas que an no son expertas en ciertas
aplicaciones.(colaboracin endgena del personal)

MEDIDAS CORRECTORAS APLICABLES ANTE UN ERROR DE USUARIO:

Las medidas correctoras que se deben adoptar ante error de usuario son las
siguientes:

Esperar a que el usuario se comunique con el responsable de seguridad o

mantenimiento de sistemas y exprese su accin incorrecta.
Atender lo ms rpido posible al usuario que ha cometido el error(si el
encargado de seguridad de oficina no le puede colaborar por ayuda remota
se puede asesorar el personal).
Evaluacin por parte del responsable de las causas por las cuales el
empleado ha podido cometer el error.
Intentar reparar dicho error a la mayor brevedad posible.
Realizar las pruebas necesarias para garantizar que el error ha desaparecido
por completo.
Asegurarse que el usuario ha tomado nota de su error para que no vuelva
acometerlo, pasando un informe del percance como bitcora del empleado y
sus movimientos como usuario del sistema SERVIENTERGA.

MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE MANTENIMIENTO:

Las medidas preventivas que se han tomado para evitar un error de mantenimiento
son las siguientes:

Contratacin de tcnicos altamente calificados por medio de subcontratacin

SERVIENTREGA.
Exigencia de garantas en cuanto a tiempo de entrega a los suministradores
de material informtico, licencias y seguro con prdida de informacin.
Pruebas por parte de los usuarios para comprobar que su necesidad ha sido
satisfecha por el tcnico.

MEDIDAS
CORRECTORAS
MANTENIMIENTO:

APLICABLES

ANTE

UN

ERROR

DE

Las medidas correctoras que se deben adoptar ante error de mantenimiento son las
siguientes:

Identificar rpidamente a la persona de mantenimiento que ha cometido dicho

error.
Evaluacin por parte del responsable de mantenimiento de las causas por las
cuales el empleado ha cometido el error.
Intentar reparar dicho error a travs de la persona que lo cometi o mediante
otra en el menor tiempo posible.
Realizar las pruebas necesarias para garantizar que el error ha desaparecido
por completo.
Comprobacin por parte del usuario

MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE DESARROLLO DEL

SGSI
Las medidas preventivas que se han tomado para evitar un error de desarrollo son
las siguientes:

Repartir las tareas de programacin en diferentes mdulos, para as poder

trabajar en equipo y sea ms fcil la reparacin de posibles errores.
Realizacin de diferentes pruebas para comprobar que la aplicacin
desarrollada funciona correctamente.
Garantizar que el equipo de prueba de la aplicacin est formado por
individuos distintos a los programadores de la misma, logrando as que las
pruebas se ejecute de una manera ms objetiva y ms conveniente a la
experiencia del personal SERVIENTREGA.
Controlar el estricto cumplimiento de las normas de seguridad de acceso a la
informacin para impedir en la programacin la posibilidad de acceso a los
datos sensibles o confidenciales.
Realizar controles de seguridad en la fase de pruebas.
Obtener garantas de xito de la aplicacin a una tercera compaa en caso
de que el desarrollo sea subcontratado.

Controlar siempre los privilegios de acceso a la aplicacin y la integridad

delos datos que gestiona la misma.
Utilizar siempre sistemas operativos que tengan una buena imagen en el
mercado actual.(LINUX- WINDOWS)
Implantacin de un historial con los movimientos de desarrollo que lleva
acabo cada programador, para en caso de fallo conocer quien lo ha
cometido.
Impedir el paso directo de modificaciones de aplicaciones al entorno de
produccin, sin contrastarlas previamente en un entorno de test.
Realizacin de la aplicacin en tres entornos distintos (Produccin, test e
instalacin).
Dividir responsabilidades entre los controladores del correcto funcionamiento
de la aplicacin y haciendo definicin de las reglas de usabilidad del SGSI
para SERVIENTREGA.
Realizar un control de calidad de la aplicacin una vez que haya pasado las
pruebas con xito.

MEDIDAS CORRECTORAS APLICABLES ANTE UN ERROR DEDESARROLLO

DEL SGSI SERVIENTREGA:
Las medidas correctoras que se deben adoptar ante error de desarrollo son las
siguientes:

Identificar rpidamente al programador que ha cometido dicho error.

Evaluacin por parte del responsable de la aplicacin de las causas por las.
cuales el programador ha cometido el error.
Intentar reparar dicho error en el menor tiempo posible.
Realizar las pruebas necesarias para garantizar que el error ha desaparecido
por completo

MEDIDAS PREVENTIVAS PARA EL ACCESO DE USUARIO SISTEMA DE

INFORMACION SERVIENTREGA O SGSI
Las medidas preventivas que se deben adoptar ante el acceso al sistema son las
siguientes:

El manejo de la clave para cada empleado de la empresa es nica y

intransferible a cualquier otros empleado, as sea de la misma oficina,
No se permitir la conexin con el servidor de manera permanente razn por
la cual cada media hora se volver a pedir autentificacin
El nmero de identificador asignado a cada usuario es el mismo
correspondiente tanto a usuario del sistema de informacin SERVIENTREGA
tanto como al SGSI que all se instalara para brindar soporte entre el
personal a nivel nacional.

MEDIDAS CORRECTIVAS PARA EL ACCESO DE USUARIO SISTEMA DE

INFORMACION SERVIENTREGA O SGSI
Las medidas correctivas que se deben adoptar ante el acceso al sistema son las
siguientes:

Para la contrasea se han destinado mximo 20 caracteres

Los cuales debern ser un dato con informacin poco relevante para el
empleado
Cuando se pierda la clave remotamente por medio del SGSI se le asignar
una nueva gracias al comit de seguridad principal ubicado en la capital
El cambio de los IDs por parte de cada empleado de la empresa ser hecho
peridicamente cada 2 mes, luego de esto el ID expirara y el usuario no
podr ingresar a la red Servientrega.
En caso de no poder acceder al sistema teniendo en cuenta las anteriores
pautas se informara del caso al supervisor de seguridad de oficina.