Este documento presenta un plan de seguridad para un centro de cómputo que incluye procedimientos para situaciones de emergencia, como inundaciones o incendios. También describe un plan de contingencia para proteger la información de la empresa en caso de desastre mediante copias de seguridad y acuerdos con proveedores externos. Finalmente, establece políticas de seguridad para proteger los recursos informáticos, gestionar el software y redes, y administrar las cuentas de correo electrónico.

1. República Bolivariana de Venezuela
Instituto Universitario de Tecnología Antonio José de Sucre
Ampliación Anaco
Seguridad Informática
Programación 3
Plan de seguridad
en un centro de cómputo
Autor:
Jesús Fuentes; CI: 24.832.149

2. Planificación de procedimientos de seguridad en un centro de cómputo
En caso de un evento en la sala de cómputo o algún desastre natural como
inundación o incendio con pérdida total o parcial de equipos, servidores, routers, switch,
UPS, etc. La empresa cuenta con proveedores que podrían sustituir en poco tiempo los
equipos dañados, además de ello, la empresa cuenta con el apoyo de un agente externo para
la restitución de sus datos en casos de desastre.
Todas estas medidas son de utilidad para el funcionamiento de una organización en
caso de desastre, pero evidentemente siempre hay capacidad de optimizar y mejorar, dado
que las amenazas son una constante en la vida de una organización moderna.
Plan de contingencia
El plan de contingencia de ENAVAL PDVSA Industrial S.A esta orientado a
establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y
lógica en previsión de cualquier desastre.
Para la empresa ENAVAL PDVSA Industrial S.A la información es uno de sus
activos más importantes pues le permite un nivel de servicio a sus clientes de buena
calidad, para ello la información de las transacciones y demás burocracia han de tener un
excelente nivel de seguridad. Tal es la razón de la implementación de este plan
Para la implementación de este Plan se asume que se cuenta con el respaldo de la
Gerencia General para la ejecución de todas las tareas involucradas, las cuales son:
entrenamiento del personal, firma de convenios y los costos que conllevan las revisiones
periódicas y la ejecución del plan.
Este documento debe considerarse como una guía para la definición de los
procedimientos de seguridad en materia de información.

3. Análisis del plan de riesgos
 Estimación de daños potenciales: Las siguientes tareas se llevaron a cabo para el
análisis del plan de riesgos:
 Identificación de los bienes de ENAVAL PDVSA S.A.
 Identificación de las características de los bienes
 Identificación de los posibles daños a los que los bienes podrían estar
expuestos
 Establecimiento de un criterio de asignación de valores y prioridad a las
tareas y aplicaciones
 Identificación de las tareas y aplicaciones críticas
 Bienes: Se han considerado las siguientes categorías de bienes en términos de sus
respectivos costos, su coste de reemplazo y las aplicaciones específicas sobre las
cuales tienen impacto de algún tipo:
 Personal
 Hardware de los sistemas de voz y datos
 Equipos de Telecomunicaciones de los sistemas de voz y datos
 Software y utilitarios de los sistemas de voz y datos
 Datos e información de los sistemas de voz y datos
 Procedimientos de operación y archivos de los sistemas de voz y datos
 Documentación de los sistemas de voz y datos
 Suministro de energía eléctrica para los sistemas de voz y datos
 Daños: Los daños representan
 Negación de recursos:
 Daños estructurales de los edificios o almacenes por desastres
naturales
 Tomas de local y prohibición de ingreso a los edificios o almacenes
 Sabotaje a alguna de las instalaciones
 Modificación del sistema instalado: Sean en forma intencional o no, se
consideran en este grupo a todo aquello producido por programadores de
sistemas, supervisores de red o usuarios con privilegios de acceso. Los casos
a considerar en este grupo son:
 Cambios en las claves de ingreso
 Cambios de códigos de entidades de datos importantes
 Cambios de datos importantes
 Borrado o eliminación de información

4.  Ejecución de procesos no deseados
 Revelación de la información: Producidos al revelarse a otras empresas y/o
instituciones información estratégica de la corporación. Los casos a
considerar en este grupo son:
 Robo de información
 Infidencia
Políticas de seguridad
1º Política: Protección de recursos informáticos
 El usuario o funcionario deberán reportar de forma inmediata a la oficina
sistemas informáticos cuando se detecte algún riesgo real o potencial sobre
equipos de cómputo o de comunicaciones, tales como caída de agua, choques
eléctricos, caídas, golpes o peligro de incendio.
 El usuario o funcionario tiene la obligación de proteger cualquier activo o
recurso de información que se encuentren bajo su responsabilidad como torres,
equipos portátiles, mouse, teclado, pantalla, tarjetas externas, unidades de
almacenamiento etc.
 Los equipos de cómputo y cualquier activo de información, podrá ser retirado de
las instalaciones de la empresa únicamente con la debida autorización del área
de sistemas informáticos.
 Los usuarios no deben mover o reubicar los equipos de cómputo o de
comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mimos
sin autorización de la oficina de sistemas informáticos, en caso de requerir
cualquiera de estos servicios deberá ser solicitado por medio de la mesa de
ayuda o sistema de tickets.
 Es responsabilidad de cada usuario no consumir ningún tipo de alimentos o
bebidas en el lugar donde se encuentra el equipo de cómputo o cualquier otro
recurso informático.
 Solo el personal de la oficina de sistemas informáticos son los únicos
autorizados para abrir, destapar y realizar cualquier clase mantenimiento a los
equipos de cómputo y cualquier otro recurso informático.

5. 2º Política: Gestión de software
 Ningún usuario, funcionario, empleado o personal externo, podrá descargar
programas (software) sin la debida autorización de la oficina de sistemas
informáticos.
 Los usuarios y/o funcionarios no pueden instalar ni desinstalar ningún tipo de
programa (software), no pueden realizar modificaciones ni alteraciones a la
configuración establecida de los programas, sistema operativo y SetUp de la
Bios en sus computadoras ni en ningún otro recurso informático sin antes no
estar autorizado por la oficina de sistemas informáticos.
 Cualquier usuario que vea o sospeche de alguna infección por malware en su
computadora, deberá notificar inmediatamente a la oficina de sistemas
informáticos para la respectiva revisión y no realizar ninguna acción.
3º Política: Gestión de cuentas de correo electrónico
 Los usuarios o funcionarios no deberán utilizar sus cuentas de correos asignadas
para uso personal, los mensajes de correo electrónico y archivos adjuntos son de
propiedad de la empresa
 Los usuarios o funcionarios son los responsables de la descarga de los archivos
adjuntos de sus cuentas de correos, si tienen alguna duda de la procedencia de
algún correo se recomienda no descargar ni abrir el adjunto, para estos casos se
debe informar a la oficina de sistemas informáticos quienes están en la
obligación de apoyar.
4º Política: Gestión de Redes e Internet
 El acceso a Internet proporcionado a los usuarios y funcionarios de la empresa
es exclusivamente para las actividades relacionadas con las funciones del cargo
y las desempeñadas, por lo tanto habrá restricciones en el acceso algunas
páginas, esto con el fin de evitar cualquier tipo de problema relacionados a
infecciones de malware, consumo del ancho de banda, bloqueos de sistema
operativo, entre otros tipos de problemas.
 Cada usuario o funcionario deberá solicitar a la oficina de sistemas informáticos,
con el aval de su jefe inmediato, el acceso a páginas con restricción.

6.  Todos los accesos a Internet tienen que ser realizados a través de los canales de
acceso provisto por la empresa, en caso de necesitar una conexión a Internet
alterna o especial, ésta debe ser notificada y aprobada por la oficina de sistemas
informáticos.