Plan de Seguridad en un Centro de Cómputo

PLAN DE SEGURIDAD EN UN CENTRO DE
CÓMPUTO
Diciembre 2021
SEGURIDAD INFORMÁTICA
Autor: Ricardo Ojeda

PLAN DE SEGURIDAD EN UN CENTRO DE CÓMPUTO
Autor: Ricardo Ojeda 2
PLAN DE SEGURIDAD EN UN
CENTRO DE CÓMPUTO
Tabla de contenido
SEGURIDAD ................................................................................................................................... 3
¿Para qué se quiere proteger?.................................................................................................. 3
¿Para qué se quiere proteger?.................................................................................................. 4
¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir?............................................. 4
¿Contra qué Proteger?.............................................................................................................. 4
Propósito................................................................................................................................... 4
Objetivos: .................................................................................................................................. 5
Elementos Administrativos: .......................................................................................................... 6
Política definida sobre Seguridad en Computación .......................................................................... 6
Organización y división de responsabilidades......................................................................... 10
División de responsabilidades............................................................................................. 10
Asignación de responsabilidad............................................................................................ 11
Clasificación General de las Instalaciones................................................................................... 13
Instalaciones de alto riesgo:.................................................................................................... 13
Instalación de bajo riesgo: ...................................................................................................... 13
Instalación de riesgo medio: ................................................................................................... 13
Cuantificación del Riesgo ............................................................................................................ 14
Medidas de Seguridad................................................................................................................. 14
Plan de Contingencias ................................................................................................................. 18
Planes y simulacros para la recuperación en caso de desastres............................................. 18
Medidas y respaldo de la información........................................................................................ 21
Políticas de la reposición de equipos de cómputo...................................................................... 23
Plan de Continuidad del Negocio o BCP............................................................................... 23

Un plan de seguridad informática te permite entender donde
puedes tener vulnerabilidades en tus sistemas informáticos, para
una vez detectadas, tomar las medidas necesarias para prevenir
esos problemas. No necesitas que tu plan de seguridad
informática sea un documento demasiado extenso que cubra
cualquier tipo de seguridad imaginable. Debe ser capaz de ayudar
a proteger los datos y los sistemas críticos de tu negocio,
asegurándote además que se ajuste a la legislación vigente y a la
Ley de Protección de Datos. Tu plan de seguridad debe de tener
varios pasos que debes dejar por escrito.
SEGURIDAD
Se define como la ausencia de riesgo o también a la confianza
en algo o alguien en este caso en el centro de cómputo. Conjunto
de normas preventivas y operativas, orientados a neutralizar,
minimizar y controlar los efectos de actos ilícitos o situaciones
de emergencia, que afecten y lesionen a las personas o los bienes
de esta.
¿Para qué se quiere proteger?
 Consolidar la confidencialidad, integridad, autenticidad y
disponibilidad de la información.
 Mantener y conservar la operatividad de la organización y
de su sistema a partir del resguardo de sus recursos.

¿Para qué se quiere proteger?
 Determinar el valor del hardware y las tareas que realiza
¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir?
Vendrá dado por la cantidad de recursos que dispone o que
está dispuesta a invertir la organización ello determinará en
última instancia las medidas que se van a tomar.
Recursos:
¿Contra qué Proteger?
Determinar cuáles son los riesgos reales a los que está
expuesto el equipo de cómputo.
Propósito
Garantizar la prevención y detección de accidentes, ataques,
daños por causas naturales, así como la existencia de medidas
Tiempo
Esfuerzo
Dinero

definidas para afrontar los desastres y lograr el
restablecimiento de las actividades.
Objetivos:
1. Disuadir. En este nivel la meta es prevenir cualquier tipo de
amenaza o desastre que pueda ocurrir.
2. Detectar. La disuasión total generalmente no se consigue; por
lo tanto, en este nivel se establecen métodos de monitoreo y
vigilancia que reporten cualquier riesgo o peligro, y que permitan
tomar las acciones correctivas pertinentes.
3. Minimizar el impacto de pérdida o desastre. Si un accidente
o contratiempo ocurre, deben establecerse procedimientos que
ayuden a reducir la pérdida o el daño.
4. Investigar. Si la pérdida ocurre, puede realizarse una
investigación que ayude a determinar lo que pasó. La información
que derive de esta investigación puede servir para futuras
planeaciones de seguridad.
5. Recuperar. Las medidas de seguridad implican que debe de
haber un plan de acción para recuperación en caso de que un
accidente o desastre ocurra (sea cual fuere su causa), y hacerlo
de la manera más pronta posible.
Para determinar de una forma correcta la seguridad con la
que se debe contar se debe estudiar desde dos puntos de vista:

 Los elementos administrativos que toda organización
desarrolla para un buen control
 Los elementos que integran la seguridad física.
Elementos Administrativos:
Política definida sobre Seguridad en Computación
La seguridad depende, fundamentalmente, de la integridad de
los individuos queconforman una organización o departamento. No
existe una seguridad total y cada institución depende de su
personal paralograr los niveles de seguridad requeridos.
 Limitaciones de la seguridad.
Requiere personal honesto, a mayor seguridad, mayor costo y
menores beneficios.
 Equilibrio entre las medidas de seguridad y los niveles de
riesgo.
Seguros
Politica definida sobre seguridad en
computacion
Clasificación de Datos
Organización y División de las
Responsabilidades
Auditorias
Politica hacia el Personal

Mal manejo o negligencia.
 Ataquesdeliberados.
Cuando se establece el grado de riesgo, es importante
considerar primero los tipos de riesgos a los que están expuestas
las instalaciones de computación.
Entre los riesgos principales encontramos los accidentes
causados por el mal manejo y ataques deliberados en forma de
robo, fraude, sabotaje o huelga.
La seguridad efectiva en la computación debe:
Garantizar la prevención y detección de un accidente o ataque
Garantizar la existencia de medidas claramente definidas para
afrontar el desastre cuando ocurra
Si existe una interrupción del procedimiento, restablecerlo.
Algunas instituciones y sus aplicaciones son de alto riesgo, ya que
la interrupción del procesamiento durante un periodo prolongado
causa un impacto material en la institución o en la comunidad.
 Cuantificación de Riesgos de Seguridad
Clasificación general de las instalaciones en términos de riesgos
altos, medio y bajo.

Identificación de las aplicaciones que constituyen riesgos altos.
Cuantificación del procesamiento en las aplicaciones de alto
riesgo
 Formulación de las medidas necesarias para lograr un nivel
de seguridad adecuada, es decir, en equilibrio con los
niveles de riesgo.
 Justificación de las medidas de seguridad en cuanto al
costo que representa.
 El logro del compromiso con la política de seguridad.
El compromiso de la gerencia es primordial.
La participación de todos para la definición.
Resulta provechosa la creación de un comité de seguridad que
conduzca a un mayor seguimiento de rutinas y a niveles de
compromiso más altos
 Revisión Preliminar
En la etapa de revisión preliminar de la seguridad en cómputo,
no es posible obtener todas las recomendaciones detalladas. Esto
se logrará una vez que se lleve a cabo la revisión a fondo de la
seguridad en cómputo. Sin embargo, es posible definir la
estrategia global que se debe seguir para afrontar los niveles de
riesgo definidos. Esta estrategia incluye:

 Aplicaciones, programas y archivos específicos.
Planes de detección y métodos para prevenir abusos o
desastres.
Prioridades, que son acciones que se requieren a corto plazo, y
los elementos que se deben considerar de manera detallada a
mediano y largo plazo.
 Estos pasos conducen hacia la recolección y la presentación
de todos los informes necesarios para una decisión bien
fundada sobre los costos y beneficios de la estrategia de
seguridad en cómputo.
De esta forma, esta práctica constituye un marco de trabajo
para el método que se acepte a los niveles de costo en los cuales
se incurra sin solicitudes redundantes a la dirección.
Hay que recordar la importancia de la dirección, ya que ésta
es la que toma las decisiones sobre el método que adopte y los
niveles de gastos.
Para definir la política sobre seguridad, el primer problema
consiste en determinar quién tiene la responsabilidad general de
la seguridad en computación:
Toda la información que se obtenga y las decisiones que se
tomen se deben documentar de manera progresiva, lo que
consolida el informe final ante la dirección.
Es conveniente convocar a una reunión de los directivos

0
correspondientes para evaluar tanto los hallazgos como las
recomendaciones, a fin de que se obtenga una decisión y que se
apruebe un plan de acción destinado a la investigación y a la
aplicación más detallada
Organización y división de responsabilidades
División de responsabilidades
El personal que prepara los datos no debe tener acceso a las
actividades de operación.
Los analistas y programadores no deben tener acceso a las
actividades de operación y viceversa.
Los operadores no deben tener acceso irrestricto a las
funciones de protección de información o departamentos donde
se localicen los archivos maestros.
Los operadores no deben tener los controles únicos del
procesamiento del trabajo y se les debe prohibir que inicien las
correcciones de errores.
 Sistemas de control interno.
Verificación documentada de evidencias requiere:
Modificación de programas autorizada y probada.
Documentar desarrollo y prueba de sistema nuevo.

1
Verificar datos de los archivos, contra impresos que sean
editados en el ordenador.
Que los datos de entrada se agrupen y revisen.
Se documenten los errores y se autoricen y comparen las
correcciones con el material impreso por la computadora.
Los auditores internos y externos deben:
Revisar la división de responsabilidades y los procedimientos
para garantizar que estos sean correctos.
Realizar pruebas que garanticen el cumplimiento de los
procedimientos o sistemas de control interno predeterminados.
Asignación de responsabilidad.
 Gerencia general.
Definición de una política de seguridad.
Garantía de la existencia de los planes contra desastres.
 Gerencia de sistemas.
Identificar las exigencias de seguridad en los planes de
aplicaciones de largo plazo.
Aplicar de manera rutinaria las medidas de seguridad en el
diseño y la realización de cada aplicación.
Punto de débil en la mayoría de las organizaciones.

2
FUNCIONES
ORGANIZACIÓN
Supervisor
Seguridad
Oficial
seguridad
Auditor
seguridad
Analista
seguridad
Coordinador
Seguridad Red
Analista de
riesgos.
X X X X X
Evaluación de los
Servicios deSeguridad.
X X
Evaluación de lassoluciones del
dominio de
seguridad
x X
Alarmas,
accion
es y
reportes
X X X
Protección de los
sistemas deadministración de la
red.
X X

3
Clasificación General de las Instalaciones
Instalaciones de alto riesgo:
Las instalaciones de alto riesgo tienen las siguientes
características:
 Datos o programas que contienen información
confidencial de interés nacional o que poseen un valor
competitivo alto en el mercado.
 Pérdida financiera potencial considerable para la
comunidad a causa de un desastre o de un gran
impacto sobre los miembros del público.
 Pérdida potencial considerable para la institución y, en
consecuencia, una amenaza potencial alta para su
subsistema.
 Todas las instalaciones de riesgo alto presentan una o
más de esas características.
Por ello, resultará generalmente fácil identificarlas.
Instalación de bajo riesgo:
Son aquellas con aplicaciones cuyo procesamiento retardado
tiene poco impacto material en la institución en términos de
costo o de reposición del servicio interrumpido.
Instalación de riesgo medio:
Son aquellas con aplicaciones cuya interrupción prolongada
causa grandes inconvenientes y posiblemente el incremento de
los costos; sin embargo, se obtiene poca pérdida material.

4
Cuantificación del Riesgo
El método más práctico para resolver el problema es
comenzar por entrevistar a todos los directivos afectados por
una suspensión en el procesamiento y pedirles que cuantifiquen el
impacto causado por la situación.
Obtención del consenso sobre los niveles de riesgo
Este paso permite lograr el compromiso de la dirección con el
nivel de riesgo definido.
Se debe programar una reunión de los directivos
correspondientes, en la cual se informará sobre las expresiones
de riesgos debidamente tabuladas.
El propósito de la reunión será lograr el consenso sobre los
niveles de riesgo, que por lo general se presentan como rangos
más que como cifras absolutas
Medidas de Seguridad
 Surgen como implementación de las políticas de seguridad.
 Diseñar sistemas mediante criterios de seguridad es más
complejo, pues las amenazas son en muchos casos poco
cuantificables y muy variados.
 Proteger el sistema supone un análisis y cuantificación
previa de los riesgos o vulnerabilidades del sistema.
 Estas medidas llevan un costo idóneo que obliga a
subordinar algunas de las ventajas del sistema.
 Las medidas de seguridad que pueden establecerse en un
sistema informático son de cuatro tipos fundamentales:
lógicas, físicas, administrativas y legales.

5
Tipo de Medida Descripción Factores
Físicas
Constituyen mecanismos para
impedir el acceso directo o físico
no autorizado al sistema.
Permiten protegen al sistema de
desastres naturales o condiciones
medioambientales adversas. Se
trata fundamentalmente de
establecer un perímetro de
seguridad en nuestro sistema.
•El acceso físico al sistema por parte de
personas no autorizadas
•El Los daños físicos por parte de agentes
nocivos o contingencias
•Las medidas de recuperación en caso de fallo
•Control de las condiciones medioambientales
•Prevención de catástrofes
•Vigilancia
•Sistemas de contingencia
•Sistemas de recuperación
•Control de la entrada y salida de material
Lógicas
Incluye las medidas de acceso a
los recursos y a la información y
al uso correcto de los mismos, así
como a la distribución de las
responsabilidades entre los
usuarios. Se refiere más a la
protección de la información
almacenada.
•Establecimiento de una política de control de
accesos.
•Definición de una política de instalación y
copia de software.
•Uso de la criptografía para proteger los datos
y las comunicaciones.
•Uso de cortafuegos para proteger una red
local de Internet.
•Definición de una política de copias de

6
seguridad.
•Definición de una política de monitorización
(logging) y auditoria (auditing) del sistema
•Dentro de las medidas lógicas se incluyen
también aquellas relativas a las personas y que
podríamos denominar medidas humanas. Se
trata de definir las funciones, relaciones y
responsabilidades de distintos usuarios
Administrativas
Son aquellas que deben ser
tomada por las personas
encargadas de definir la política
de seguridad para ponerla en
práctica, hacerla viable y vigilar su
correcto funcionamiento.
•Documentación y publicación de la política de
seguridad y de las medidas tomadas para
ponerla en práctica.
•Debe quedar claro quien fija la política de
seguridad y quien la pone en
práctica.
•Establecimiento de un plan de formación del
personal.
•Los usuarios deben tener los conocimientos
técnicos necesarios para usar la parte del
sistema que les corresponda.
•Los usuarios deben ser conscientes de los

7
problemas de seguridad de la Información a la
que tienen acceso.
•Los usuarios deben conocer la política de
seguridad de la empresa y las medidas de
seguridad tomadas para ponerla en práctica.
Legales
Se refiere más a la aplicación de
medidas legales para disuadir al
posible atacante o para aplicarle
algún tipo de castigo a posterior
•Este tipo medidas trascienden el ámbito de la
empresa y normalmente son fijadas por
instituciones gubernamentales e incluso
instituciones internacionales.
•Los usuarios deben tener los conocimientos
técnicos necesarios para usar la parte del
sistema que les corresponda.
•Los usuarios deben ser conscientes de los
problemas de seguridad de la información a la
que tienen acceso.
•Los usuarios deben conocer la política de
seguridad de la empresa y las medidas de
seguridad tomadas para ponerla en práctica.

8
Plan de Contingencias
Constituye una presentación formal y responsable de
acciones específicas a tomar cuando surja un evento o condición
que no esté considerado en el proceso normal de operación de un
centro de cómputo.
Conjunto de procedimientos de recuperación para casos de
desastre; es un plan formal que describe pasos apropiados que se
deben seguir en caso de un desastre o emergencia.
Materializa un riesgo, ya que se pretende reducir el
impacto de éste.
 Prevención: conjunto de acciones a realizar para prevenir
cualquier contingencia que afecte la continuidad operativa,
ya sea en forma parcial o total. A fin de reducir su impacto
y restablecer a la brevedad posible los diferentes servicios
interrumpidos.
 Detección. Deben contener el daño en el momento, así como
limitarlo tanto como sea posible, contemplando todos los
desastres naturales y eventos no considerados.
 Recuperación. Abarcan el mantenimiento de partes críticas
entre la pérdida del servicio y los recursos, así como su
recuperación o restauración.
Planes y simulacros para la recuperación en caso de desastres
Tipos de desastre
 Destrucción completa de los recursos centralizados.
 Destrucción parcial de los recursos centralizados.

9
 Destrucción o mal funcionamiento de los recursos
ambientales (climas, energía)
 Destrucción total o parcial de los recursos
descentralizados
 Destrucción total o parcial de los procedimientos
manuales de usuario (captura de datos)
 Perdida del personal de computo clave.
 Interrupción por huelga.
Alcance de la planeación contra desastres
Aplicaciones en el proceso de desarrollo:
 Documentación de los sistemas
 La programación (código fuente)
 Manual de operación
Aplicaciones terminadas:
 Todo tipo equipo (pisapapeles – servidores)
 Datos y archivos
 Papelería y mensajería
 Procedimientos en caso de desastres (documento)

0
Simulacros de desastres
Importancia:
 Se prueban la conciencia y preparación del personal
para afrontar el desastre.
 Se identifican las omisiones en los planes contra
desastres.
 El elemento sorpresa de los simulacros de desastres
constituye una buena verificación moral para
garantizar que se encuentren vigentes, en forma
rutinaria, buenas prácticas de seguridad.
Forma del simulacro:
 Anunciar el tipo de desastre.
 Todo el trabajo debe cesar.
 Tomar nota del estado del procesamiento
 Completar un inventario de la información destruida
 Recomenzar el trabajo o continuar simulacro durante
el uso del equipo de respaldo.
Análisis de impacto
 Las aplicaciones en desarrollo
 Aplicaciones operativas, en proceso o no
 La información perdida
 La respuesta del personal y conocimiento inapropiado.
 Cuantificación de pérdidas por destrucción de
información o interrupción de procesos
 Efectividad de los procedimientos de recuperación y
respaldo, basados en información real y equipo de
respaldo

1
 Analizar debilidades detectadas y corregir el plan
contra desastres
Medidas y respaldo de la información
El respaldo de información consiste en realizar un duplicado
de ésta, llamado también copia de seguridad o backup. Estas
copias pueden realizarse de forma manual, o automáticamente.
CUIDADO
 ¿Cuál es la importancia o ventaja de realizar respaldos?
 ¿Qué sucedería si por ejemplo, un día prendemos nuestra
computadora y nos damos cuenta que ya no enciende
correctamente?
Clasificación de respaldo de la información
Tipos Definición
Copias de información
(Backups)
Representan duplicados de archivos quese
guardan en tape drivers de alta capacidad.
Respaldo completo (full) Guarda archivos que sean especificadosal
tiempo de ejecutarse el respaldo
Respaldo incremental Cuando se lleva a cabo un respaldo de
incremento solo aquellos archivos que tengan el
archivo bit serán respaldados
Respaldo Diferencial Este respaldo es muy similar al anterior, la
diferencia radica en que el archivo bit
permanece intacto.

2
¿Por qué respaldar información?
La información almacenada en el computador puede ser
borrada accidentalmente o por diversos motivos.
La información perdida es MUY difícil y hasta imposible de
recuperar a menos que hayas hecho un respaldo.
La protección de los datos es una cuestión importante pues
cada día se diseñan nuevos métodos para el respaldo para evitar
la pérdida de información.
Buenas prácticas para el respaldo de la información
 Elige el medio de almacenamiento
 Establece tus tiempos de respaldo
 Selecciona y divide tu información
 Control de los medios de almacenamiento
 Utiliza el mayor espacio posible del medio
 Respaldar fotografías, imágenes, música o videos
 Las particiones del disco duro únicamente son útiles
para tener respaldos temporales y a corto
 Las máquinas no son un medio seguro de respaldo
 Las particiones del disco duro únicamente son útiles
para tener respaldos temporales y a corto plazo.
 Un solo respaldo no es suficiente
 Un respaldo total o parcial

3
 Comprime tu información
 Alternativas virtuales de almacenamiento
 Protege tu información si se encuentra respaldada en
la nube
 Verifica tus respaldos cada determinado tiempo
 Maneja adecuadamente los medios de almacenamiento
Políticas de la reposición de equipos de cómputo
Plan de Continuidad del Negocio o BCP
Es un plan de procedimientos alternativos a la forma
tradicional de operar de la empresa, a pesar de una situación
incontrolable en el entorno. Garantiza la continuidad del negocio,
Por Tiempo
de Vida
•Debido al
deterioro
natural de los
componentes
que sufren los
equipos
informáticos
es inevitable
Por Falla de
Hardware
• Se debe
verificar
inicialmente
si cuenta
con garantía
para
proceder al
envío o
llamado al
proveedor
Por Pérdida
• Se debe
levantar el
informe
correspondi
ente.

4
se enfoca en sostener las funciones del negocio de una entidad
durante y después de una interrupción a los procesos críticos del
negocio.
Debe considerar todas las áreas de la empresa de manera
integral incluso desde la estrategia, incorporando el DRP en
conjunto con los elementos mínimos requeridos para continuar
con la operación del negocio
Un BCP contempla la continuidad de los procesos y servicios
críticos del negocio y se integra bajo las dimensiones de
organización (recursos humanos, materiales y líneas de mando),
operaciones (políticas y procedimientos), Tecnologías de
Información e instalaciones, analizados bajo el marco de
referencia de la continuidad.
Se caracteriza por tener:
 Claridad
 Ser de fácil entendimiento
 Concreto
 El BCP es para TODA la organización
BCP contiene:
 Plan de comunicación de crisis: documento que
contiene los procedimientos internos y externos que
las organizaciones deben preparar ante un desastre.
 Planes de evacuación por edificio: contiene los
procedimientos que deben seguir los ocupantes de una
instalación o facilidad en el evento en que una
situación se convierta en una amenaza potencial a la
salud y seguridad del personal, el ambiente o la
propiedad.

5
 Plan de continuidad de operaciones (COOP): Orientado
a restaurar las funciones esenciales de una sede o
filial de la entidad en una sede alterna y realizar
aquellas funciones por un período máximo de 30 días
antes de retornar a las operaciones normales.
 Plan de respuesta a ciber-incidentes: Establece
procedimientos para responder a los ataques en el
ciberespacio contra un sistema de Tecnología
Informática (TI) de una entidad.
 Planes de contingencia de TI: orientado a ofrecer un
método alterno para sistemas de soporte general y
para aplicaciones importantes.
 Plan de recuperación de desastres (DRP): Orientado a
responder a eventos importantes, usualmente
catastróficos que niegan el acceso a la facilidad
normal por un período extendido.
 Plan de recuperación de desastres (DRP): se refiere a
un plan enfocado en TI diseñado para restaurar la
operabilidad del sistema, aplicación o facilidad de
cómputo objetivo en un sitio alterno después de una
emergencia. El alcance de puede solaparse con el de
un Plan de Contingencia de TI; sin embargo, es más
amplio en alcance y no cubre interrupciones menores
que no requieren reubicación.
El Plan de Continuidad del Negocio incluye los siguientes
productos:
1. Impacto de Análisis del Negocio.
2. Evaluación o Valoración de Riesgos.
3. Estrategias de Continuidad.

6
4. Roles, responsabilidades y procedimientos.
5. Procesos y Procedimientos de Continuidad.
6. Plan de Pruebas del Plan de Continuidad.

Plan de Seguridad en un Centro de Cómputo

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Plan de Seguridad en un Centro de Cómputo

Similar a Plan de Seguridad en un Centro de Cómputo (20)

Último

Último (20)

Plan de Seguridad en un Centro de Cómputo