Poltica de Gestin de Sistemas

Operativos

15/03/2011

Ver 001

Revisin Inicial

15/03/2011

Profesor Leon Joannis

Maestra en Administracin de TI en Empresa
Sistemas Operativos
Alumnos:Brissa Rosas
Arturo Lom H
Ernesto Martin del Campo
Omar Madrigal
Rodrigo Rene C

MAESTRA EN ADMINISTRACIN
DE

TI EN EMPRESAS

Poltic

sti

ist

Tabla

tivos

cont ni o
 




Objetiv ................................
................................
................................
................................
................................
................................
................................
.........4
Alca ce ................................
................................
................................
................................
................................
................................
................................
..........4

Normatividad ................................
................................
................................
................................
................................
................................
................................
5


 

De la ide tidade . ................................

................................
................................
................................
................................
................................
..................
5
De Pa words................................
................................
................................
................................
................................
................................
......................
5
................................
................................
................................
................................
................................
.....6
De Cue tas de Usuarios................................

De Terceros ................................
................................
................................
................................
................................
................................
.........................
7
De los Socios de Negocio................................
................................
................................
................................
................................
................................
...9

De la Separaci

de Funciones y de Personal ................................

................................
................................
................................
................................
..9

Del Software y actualizaciones................................

................................
................................
................................
................................
............................11
Del Software ................................
................................
................................
................................
................................
................................
....................11
De Antivirus ................................
................................
................................
................................
................................
................................
.....................13
De las configuraciones ................................
................................
................................
................................
................................
................................
......... 14
De Sistemas Operativos ................................
................................
................................
................................
................................
................................ 15
..
De la Seguridad................................
................................
................................
................................
................................
................................
.....................16
De Control de Accesos ................................
................................
................................
................................
................................
................................ 16
....
De la Continuidad................................
................................
................................
................................
................................
................................
.................18
Del Manejo de Incidentes................................
................................
................................
................................
................................
...............................18
De la Seguridad Fsica ................................
................................
................................
................................
................................
................................ 20
.....
De los Respaldos................................
................................
................................
................................
................................
................................
...................22
Del Respaldo de Servidores................................
................................
................................
................................
................................
............................22
Del Respaldo de Usuarios ................................
................................
................................
................................
................................
...............................24
De los Servicios................................
................................
................................
................................
................................
................................
.....................24
De la Conectividad................................
................................
................................
................................
................................
................................
................24
De Comunicaciones y Redes................................
................................
................................
................................
................................
...........................24

................................
................................
................................
................................
........................26
De la Administraci n de recursos................................
Del Control de Servidores................................
................................
................................
................................
................................
...............................26
De Desechos Sensitivos................................
................................
................................
................................
................................
................................ 29
...
De Equipos Personales................................
................................
................................
................................
................................
................................ 31
....
Excepciones................................
................................
................................
................................
................................
................................
................................32
Responsabilidades................................
................................
................................
................................
................................
................................
.....................32
Entrada en Vigor ................................
................................
................................
................................
................................
................................
........................33
Modelo Financiero ................................
................................
................................
................................
................................
................................
....................33

de TI e empre a |

Pgi

 



Mae tra e Admi i traci

a |2



%! $ !

"
# ! !

sti n

ist

as

( !'&

ativos

Maestra en Administraci n de TI en empresas |

)

Poltica

Pgina |3

51 4 1
2
0 3 1 10
sti n

ist

as

8 176

Poltica

ativos

OBJETIVO
Establecer el marco general para la gesti n de sistemas operativos dentro de la empresa
9

ALCANCE
Aplica en la organizacin,empresas afiliadas, asociadas y que por alguna razn o circunstancia, conotras
empresas establezcan cualquier nexo que involucre un intercambio de informacin
.
Aplica para todos los empleados de todas las unidades de negocioque establezcan comunicacin laboral,
comercial, jurdica y de operacin en que la empresa se involucre.
s obligatoria para:
todos los usuarios y personal con acceso a sistemas y aplicacio
nes propiedad de la empresa
(podramos quitar este punto y dejar slo el siguiente).
y aplica a quien sea responsable de una cuenta de usuario y password para tener acceso a los
sistemas (aplicaciones, formularios de acceso, etc.), dispositivos de comunicac
iones y equipos de
cmputo propiedad de la empresa.
y al rea de istemas de la unidad de negocios y tod los administradores de redes.
os
y a toda persona externa que sin pertenecer ala empresa quiera conectarse a su red.
y aplica para todos los usuarios externos y terceros que tengan acceso a los portales Web y sitios
propiedad de la empresa.

Aplica a todas las computadoras conectadas a la red propiedad dela empresa. Los equipos incluyen
servidores, computadoras de escrito
rio, computadoras laptops, y cualquier
con equipo de laboratorio
como generadores de grficos, adems de equipo de comunicaciones, conmutadores y telfonos
programables. Todo equipo o dispositivo desplegado dentro y fuera de los firewalls corporativos
perteneciente y/u operado por la empresa (incluyendo hosts, routers, switches, etc.) y/o registrado en
cualquier sistema de nombres de dominios
al cual pertenezca a la empresa. Todo equipo existente
en presente y en futuro.
CB

AED

ocios comerciales o socios con riesgos compartidos ("jointventures"), quienes pueden intercambiar
informacin, acceder a sistemas de informacin o compartir bases de datos. Los usuarios y terceros con
A

Maestra en Administraci n de TI en empresas |

Pgina |4

QG P G
H
F I G GF
sti n

ist

as

T GSR

Poltica

ativos

requerimientos de atencin a socios de negocio y a los sistemas Administradores de redes y aplicaciones

que deben homogeneizar la infraestructura informtica de la empresa y sus socios de negocios.
Todo el personal del rea de istemas de la unidad de negocios que requiera de separar funciones en
los sistemas de la empresa. Los usuarios y terceros con requerimientos de delimitacin de funciones a los
sistemas propiedad de la empresa.
V

NORMATIVIDAD
De las i enti a des.
W

De Passwords

Todos los passwords de cuentas que den acceso a recursos, servicios, dispositivos y archivos de
LA
A, debern seguir los siguientes lineamientos:
b X a` Y X

Todos los passwords de sistema (administradores Unix y Linux, administradores de servidores Windows,
cuentas de administracin de aplicaciones, dispositivos de comunicacin, etc.) y los passwords de usuario
(cuentas de correo electrnico, cuentas Web, cuentas de acceso a alguna aplicacin, software, etc.),
deben ser cambiados al menos cada tres meses.
Los passwords no deben ser difundidos en los mensajes de correo electrnico ni en ningn otro medio de
comunicacin. l password es nico, personal, intransferible y confidencial para cada usuario autorizado,
no debe almacenarse en archivos ni codificarse en programas o escribirse en papeles darse a conocer.
l password debe ser memorizado. on excepcin temporal de cuando el administrador d el alta o
cambie el password del usuario y tenga que notificarlo. ualquier irregularidad o abuso detectado con
algn password, es total y absoluta responsabilidad del usuario propietario
.
X

l password debe tener una longitud mnima de ocho caracteres y debe contener caracteres alfabticos
(maysculas y minsculas), numricos y al menos un carcter especial.
X

Maestra en Administraci n de TI en empresas |

Pgina |5

ada vez que se cambie de password ste debe ser diferente al actual.
reutilizados.

s decir, no deben ser

erativos

hg

Poltica de esti n de istemas

El password no debe ser fcilmente asociado con el usuario (primer nombre, apellido, marcas, meses,
nombre de la mascota, fechas, nombres de parientes, etc.) y debe ser diferente al nombre de la cuenta de
usuario.
Al tercer intento fallido de ingreso a un sistema, se debe bloquear la cuenta de usuario. La reactivacin
debe solicitarla nicamente el responsable de la cuenta al administrador del sistema.
Todos los accesos fallidos a las aplicaciones, dispositivos y sistemas operativos deben ser registradas en
una bitcora, estos registros deben ser revisados con una periodicidad mensual. Esto es responsabilidad
del rea de seguridad de informacin y en caso de encontrar anomalas, se deben notificar al omit de
eguridad.
p

De Cuentas de Usuarios

El personal de la empresa que tenga una cuenta de usuario debe tener una contrasea (password).
Las cuentas de usuario deben ser personales, no se deben difundir, ni prestar a otra persona para ser
utilizada. El mal uso que se haga de la cuenta de usuario debe ser sancionado y ser bajo
responsabilidad del usuario responsable de la misma.
lo las personas que tengan razones de negocio vlidas, son las que pueden acce a las estaciones
der
de trabajo, sistemas, datos, formularios de acceso y aplicaciones segn se requiera.
r

ada usuario debe tener solamente los derechos de acceso o privilegios requeridos para ejecutar su
trabajo. Los privilegios de acceso son determinad por las actividades de trabajo de la persona y es
os
solicitada por el supervisor o esponsable de rea. e otorga el acceso por medio de una cuenta de
usuario y slo debe ser utilizada para los propsitos del negocio deLA EMPRESA.
s

En caso de ausencia temporal de un usuario (incapacidad, enfermedad, vacaciones, comisiones, etc.), su

cuenta de usuario no puede ser utilizada por otra persona. En caso de requerirse, el supervisor o
responsable de rea debe solicitar el cambio de privilegios a las cuentas de las personas que cubran las
funciones de quien se ausent. El supervisor o Responsable de rea debesolicitar elrestablecimiento de
los privilegios as otorgados al regresar el usuarioausente.
uando el usuario deje de prestar sus servicios, o cambie de actividades dentro del mismo, es
responsabilidad del supervisor o Responsable de rea, solicitar que se anulen sus privilegios o en su
defecto su cuenta de usuario, al momento de dejar el puesto.
s

Maestra en Administraci n de TI en empresas |

Pgina |6

erativos

yx

Poltica de esti n de istemas

Cualquier persona que requiera una cuenta de usuario, su supervisor o Responsable de rea debe
solicitar y autorizar el alta con los privilegios que se le van a asignar.
El acceso a las cuentas de usuarios pueden suspenderse cuando existan violaciones de seguridad o se
hagan mal uso de las mismas.
La cuenta de usuario debe formarse de por lo menos 6 caracteres.
Se debe crear un procedimiento para el registro, altas y bajas de cuentas de usuario.
Se debe comprobar la autorizacin con los supervisores oResponsables de rea de los usuarios que
tengan una cuenta de usuario para la realizacin de bajas, altas o cambios.
La cuenta de usuario debe ser nica, intransferible y personal. Se le debe entregar al usuario una relacin
escrita de sus derechos de acceso, en la cual se le hace responsable al usuario del uso qu se le d a su
e
cuenta.
Se deben realizar revisiones peridicas para mantener actualizadas las cuentas de usuario.

De Terceros

Se deben firmar convenios de confidencialidad establecidos por LA EMPRESA, que involucren a terceros,
para evitar fugas de informacin y divulgacin no autorizada (Ver Convenio de Confidencialidad con
Terceros).
Aquel que introduzca equipo y dispositivos de uso y propiedad ajenos a las instalaciones de LA
EMPRESA, deber acatar las normas de seguridad vigentes a los empleadosde LA EMPRESAy regirse
por la Poltica Corporativa de Seguridad de la Informacin. Se debe tener conocimiento y acceso a stas
polticas para mayores detalles. Su ignorancia no evita su cumplimiento.
El uso por parte de terceros, de recursos propiedad de LA EMPRESA, es para uso exclusivo de
propsitos del negocio y debe quedar asentado en el convenio autorizado por la Gerencia General de la
Unidad de egocio y de la Gerencia General Jurdica deLA EMPRESA, con una copia firmada en poder
de ambas partes, y con copia al rea Legal de LA EMPRESA y en supervisin de personal de Sistemas
de la Unidad de egocio.

Maestra en Administraci n de TI en empresas |

Pgina |7

erativos

Poltica de esti n de istemas

Cuando, debido a la operacin, horarios, instalaciones, sistemas, etc., se requiera de obtener respaldos o
extraer archivos que deban ser manejados por terceros, sta informacin es considerada propiedad de LA
EMPRESA bajo las mismas implicaciones de confidencialidad, integridad y accesibilidad que LA
EMPRESA mantenga en toda su informacin.

Se debe cumplir por parte de terceros con el procedimiento d solicitud de acceso a los sistemas
e
propiedad de LA EMPRESA.
Est estrictamente prohibido que terceros instalen cualquier tipo de software en equipos propiedad deLA
EMPRESA. Se entender como excepcin los casos en que se cedan las licencias de uso a n
ombre de
LA EMPRESA.

Maestra en Administraci n de TI en empresas |

Pgina |8

erativos

Poltica de esti n de istemas

De los ocios de Negocio

Implementar lineamientos para controlar las actividades de LA EMPRESA y sus socios de negocio en los
riesgos de seguridad de la informacin: contratistas, filiales, subsidiarias y organizaciones a los que se
permite el uso de los sistemas de LA EMPRESA, las ubicaciones desde las cuales se puede acceder a
las aplicaciones con seguridad.
Proteger contra prdida, destruccin y falsificacin en los registros importantes deLA EMPRESA debido a
acciones inesperadas de los socios de negocio al tener que cumplir requisitos legales o normativos.
Fincar estrategias que permitan tener acceso exclusivo al software de LA EMPRESA, a los accesos, a las
aplicaciones, a la gua de arquitectura y al soporte tcnico dedicado de las plataformas propietarias.
Registrar cualquier dispositivo, que logre que la informacin fluya en todas direcciones en un nivel
corporativo avanzado.
Establecer convenio que determine lo que cada socio implemente como controles para garantizar que la
informacin nter compaas est protegida contra la prdida, utilizacin indeb
ida, acceso no autorizado,
divulgacin, etc. con el fin de evitar malos entendidos, suspicacias, presunciones, etc.

Verificar peridicamente la compatibilidad de los sistemas de informacin La verificacin de la

compatibilidad tcnica comprende la revisin de los sistemas operacionales a fin de garantizar que los
controles de hardware y software hayan sido correctamente implementados para todos los socios de
negocios.

De la eparaci n de Funciones y de Personal

Maestra en Administraci n de TI en empresas |

Pgina |9

Poltica de esti n de istemas perativos

Separar la gestin o ejecucin de las tareas en reas de responsabilidad, a fin de reducir las
oportunidades de modificacin no autorizada o mal uso de la informacin y/o los servicios.
Cada servidor debe incluir una imposicin de separacin de tareas para la gestin de privilegios, accesos,
servicios y rutas que a cada usuario le sea permitido, con el fin de minimizar riesgos, establecer controles
y evitar fugas.
efinir y documentar las reglas para la transferencia de programas desde el estado de desarrollo hacia el
estado operativo para evitar la modificacin no deseada de archivos o sistemas o la rectificacin no
deseada de fallas de sistemas.
e

Implementar una separacin entre las funciones de desarrollo y las de prueba en el que puedan llevarse a
cabo auditorias significativas e impedirse accesos inadecuados por parte del personal ajeno a las
mismas.
Los programas en desarrollo y en operaciones deben ejecutarse en diferentes procesadores o en
diferentes dominios o directorios. Los compiladores, editores y otros utilitarios del sistema no deben ser
accesibles desde los sistemas que sean operativos.
Identificar las aplicaciones sensibles o crticas que convienen retener en LA EMPRESA con respecto a la
administracin y procesamiento de informacin mediante contratos con terceros que contempl el
en
acceso a instalaciones.
Las instalaciones de procesamiento de informacin administradas por LA EMPRESA deben estar
fsicamente separadas de aquellas administradas por terceros.
Almacenar en forma separada los archivos de contraseas y los datos desistemas de aplicacin, as
como los utilitarios de sistema de los datos de operacin., porque pueden afectar los controles de
seguridad establecidos, su administracin; si no son convenientemente delimitados.
Establecer una separacin de funciones entre quien/es emprende/n la revisin y aquellos cuyas
actividades estn siendo monitoreadas a efectos de auditoria, supervisin y control.
Separar las herramientas de auditoria de sistemas de los sistemas operacionales y de desarrollo para
evitar el mal uso o el compromiso de las mismas.

Maestra en Administraci n de TI en empresas |

P g i n a | 10

Poltica de esti n de istemas perativos

Las reas responsables deben definir el trabajo del personal (temporal y fijo) desde el punto de vista de
realizar una separacin de tareas, que permita definir los privilegios con los que cuentan los usuarios, los
niveles de acceso y una diferenciacin entre sus funciones generales y sus funciones especficas.
efinir de manera nica los casos de una separacin de funciones que por necesidades del puesto deban
mantenerse vigentes los accesos, cuentas de correo y privilegios d personal separado; siempre con
el
conocimiento del Comit de Seguridad y hasta regularizar el flujo de informacin hacia los cauces
establecidos por la operacin.
k

La separacin de funciones implica por parte del empleado separado el devolver todos los do
cumentos
confidenciales de trabajo a su jefe inmediato, permitiendo a su vez la revisin y auditoria de la empresa
hacia su lugar de trabajo, su equipo de trabajo y su lugar asignado para resguardo, almacenamiento y
archivo de efectos y datos evitando conello su extravo o divulgacin.

Del oftware y actualizaciones

l

Del oftware
m

Se debe cumplir con la Poltica de Proyectos de Inversin para la adquisicin de software. Sistemas
Centrales debe llevar control de las autorizaciones de software. Se deben firmar acuerdos de
confidencialidad con terceros para evitar fugas de informacin y divulgacin no autorizada. Ver Convenios
de Confidencialidad.
Adquirir software bajo el marco de legalidad de uso del mismo.
Por ningn motivo se puede instalar software que no sea propiedad de LA EMPRESA.
El personal de LA EMPRESA, debe firmar una carta responsiva en la cual se hacen responsables del uso
de software instalado por Sistemas Centrales o por las reas de Sistemas de la unidad de negocios de la
planta respectiva, as como de las instalaciones de software que ellos mismos realicen.

Maestra en Administraci n de TI en empresas |

P g i n a | 11

Poltica de esti n de istemas perativos

Se debe guardar la evidencia de la compra de software con la documentacin de compra (CD's originales,
certificado de autenticidad, contrato de licencia del usuario final, manual d usuario, original, y recibo de
el
venta y el o los nmeros de serie respectivos) en Sistemas Centrales cuando el proveedor de software es
un proveedor de convenio (Microsoft, Symantec) o el rea de Sistemas de la unidad de negocios cuando
el software sea embarcado directamente a la unidad de negocio.
Dicha rea debe contar con los medios para guardar las copias del software y las licencias en forma
segura.
Sistemas de la unidad de negocio debe llevar un control y mantener actualizado el inventario de sof ware
t
peridicamente para garantizar que se cuente con el licenciamiento adecuado.
Slo debe utilizarse el software en cumplimiento con la licencia aplicable y conforme a los acuerdos de
adquisicin.
El rea de Sistemas de la unidad de negocios, Soporte Tcnico y las reas de Sistemas Centrales, son
las nicas autorizadas para instalar software en los equipos de cmputo, basndose en las licencias
adquiridas por el rea de Compras Centrales deLA EMPRESA.
La Gerencia de Sistemas Centrales, es la encargada de definir el software estndar para el equipo de
cmputo, esto incluye sistemas operativos y aplicaciones. De la misma forma, la Gerencia de Sistemas es
quien define el hardware para que el softwar se desempee de forma adecuada.
e
El software particular o propiedad del usuario, no debe ser instalado en equipo propiedad deLA
EMPRESA, independientemente de los trminos y condiciones de la licencia correspondiente.
Cualquier duplicacin de software con Copyright, excepto para propsitos de respaldo y archivado,
constituye una violacin a las leyes de Derecho de Autor vigentes nacionales e internacionales; as como
una violacin a esta Poltica.
Todo software adquirido por LA EMPRESA, debe ser respaldado y apegarse a la licencia o acuerdo
aplicable, y ambas, el original y la copia, deben estar resguardados en un lugar seguro.
Sistemas de la unidad de negocio es la encargada de aplicar parches al software, cuando stos ayuden a
eliminar o reducir vulnerabilidades.

Maestra en Administraci n de TI en empresas |

P g i n a | 12

Poltica de esti n de istemas perativos

Las copias de software no deben ser utilizadas para las actividades de operacin diarias, estas copias se
deben utilizar para efectos de recuperacin por infecciones de virus, fallos en discos duros y otros
problemas del equipo de cmputo q provoquen la prdida o dao de la instalacin.
ue
La produccin y uso de copias de respaldo deben apegarse a la licencia o acuerdo aplicable.
Cuando un usuario requiera de forma justificada la utilizacin de un producto de software, para el cualLA
EMPRESAno cuente con una licencia, el usuario debe comunicarlo a su supervisor o Responsable de
rea, para que lo solicite al rea autorizada de las compras de software.
Cuando un usuario requiera de forma justificada la utilizacin de un producto de freeware lo debe de
comunicar al rea de Sistemas de la unidad de negocios para que lo descargue, lo instale y lleve un
registro de dicho software (por ejemplo: Adobe Reader). ota: el freeware no tiene soporte.
x

Deben quedar bajo la responsabilidad del rea de Sis

temas de la unidad de negocios las licencias de
software por el manejo de todo equipo programable propiedad deLA EMPRESA como cmaras digitales,
quemadores de CDs, escanners, lectoras de cdigo de barras, multifuncionales, etc.
Se debe documentar y llevar control por parte del usuario responsable y del rea de Sistemas de la
unidad de negocio, de las licencias de tiempo determinado cuando se requiera dejar instalado por parte
de un tercero alguna aplicacin y se deje software enequipos propiedad de LA EMPRESA.
adie est autorizado a realizar copias de ningn software para ningn propsito fuera de copias para
licencias autorizadas o respaldo; administradas por el rea de Sistemas.
x

o se permite vender, rentar, copiar, transmitir, transferir u otorgar el software propiedad de LA

EMPRESA.
x

De Antivirus

Toda computadora debe tener funcionando un software antivirus programado para que se corra
automticamente en intervalos regulares, instalado por el rea de Soporte Tcnico, est conectada a la
red o no.

Maestra en Administraci n de TI en empresas |

P g i n a | 13

Poltica de esti n de istemas perativos

El rea de Sistemas de la unidad de negocios debecrear procedimientos que aseguren que el software
antivirus es ejecutado en intervalos regulares y que las computadoras estn verificadas como libres de
virus.
El software antivirus y los archivos de firmas de virus deben mantenerse actualizados con una
periodicidad al menos diariamente, exceptuando los casos crticos donde se debe actualizar al momento
de la alerta emitida por el rea de Sistemas.
Las computadoras infectadas con virus son bloqueadas de la red por el rea de Comunicaciones hasta
que sean revisadas, vacunadas y verificadas por el rea de Soporte Tcnico y no contengan virus. Se
informa al responsable de Sistemas de la Unidad de egocios del equipo en cuarentena para que se
tomen las medidas correctivas.
~

Los usuarios son responsables de reportar cualquier anomala, ya sea en la actualizacin, activacin,
deteccin o eliminacin de virus al rea de soporte tcnico.
ingn usuario debe desactivar el programa antivirus.

Es responsabilidad del empleado de LA EMPRESA verificar que la informacin intercambiada con

externos mediante cualquier medio (Disquetes, CD-ROMs, USB KEY, CORREO ELECTRNICO, etc.),
no contenga virus., cuando exista intercambio de informacin con terceros en cualquier dispositivo
(Disquetes, CD-ROMs, USB KEY, etc.).
Los equipos de terceros, clientes y proveedores que requieran conectarse a la red interna de LA
EMPRESA, deben tener instalado su propio programa antivirus con las ltimas actualizaciones, as como
la autorizacin para poder ejecutar dicha conexin.

De las configuraciones

Maestra en Administraci n de TI en empresas |

P g i n a | 14

Poltica de esti n de istemas perativos

De istemas perativos

El departamento de Sistemas Centrales debe estandarizar los sistemas operativos que se utilicen enLA
EMPRESA.

El rea de Seguridad de Informacin debe revisar y probar las utileras del sistema operativo
para evitar
dejar activos programas del fabricante, con el fin de asegurar que no impacten adversamente en el
funcionamiento o en la Seguridad.
rea de Seguridad de Informacin debe revisar los procedimientos de control de la aplicacin y de la
integridad para asegurar que los cambios en el sistema operativo no han sido comprometidos.
Sistemas de la Unidad de Negocio debe descargar las actualizaciones que existan para los sistemas
operativos y que Sistemas Centrales haya liberado para su uso en la redde LA EMPRESA. Esto es con la
finalidad de disminuir vulnerabilidades y mantener en un buen nivel de seguridad la red deLA EMPRESA.
Para poder acceder al Sistema Operativo, se debe identificar al usuario antes de permitirle el acceso a los
recursos. Ver Poltica Corporativa de Seguridad de la Informacin Secciones de Control de Accesos, de
Usuarios, de Passwords y de Control de Software.
Sistemas de la Unidad de Negocio debe regular el uso y acceso de las partes del sistema operativo,
herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el
acceso no autorizado a los datos.
Sistemas de la Unidad de Negocio debe controlar la instalacin de software en los sistemas operativos.
Para minimizar el riesgo de corrupcin.
Los sistemas operativos deben tener cdigo protegido porque muchas aplicaciones Web utilizan sus
caractersticas para correr apli aciones.
c
Sistemas Centrales debe establecer procedimientos y controles para salvaguardar los sistemas
operativos. Este proceso debe cubrir:
Garantizar que el plan de soporte anual y el presupuesto cubren las revisiones y las pruebas del
sistema que requieran los cambios del sistema operativo.

Maestra en Administraci n de TI en empresas |

P g i n a | 15

Poltica de esti n de istemas perativos

Garantizar que la modificacin de los cambios del sistema operativo se realiza a tiempo para que
puedan hacerse las revisiones apropiadas antes de su im
plantacin.
Garantizar que se realic en los cambios apropiados en los planes de continuidad del negocio.
Debe existir una persona responsable que administre los sistemas operativos instalados en LA
EMPRESA. Debe estar capacitada en problemas de seguridad para evitar ataques de ingenieras sociales
o ms elaboradas como amenazas de intercepcin, modificacin, interrupcin o generacin que alteren
los sistemas operativos.
Sistemas de la Unidad de Negocio debe cancelar el servicio de bienvenida, instalado por el fabricante, en
los servidores IIS 4 y anteriores que facilitan el acceso de intrusos y muestran informacin sensible de los
sistemas y de los datos.
LA EMPRESAse debe proteger de accesos no autorizados y virus al kernel y los comandos de registro de
aplicaciones (regedit de Windows, por ejemplo), que son el centro del sistema operativo. Bloqueando
utileras del sistema operativo mediante permisos de administrador.
Sistemas de la Unidad de Negocio debe cancelar servicios y aplicaciones habilitadas por el fabricante que
pueden ser aprovechadas para alterar lo sistemas como el manejo de cdigos arbitrarios, aceptar
s
preguntas recursivas, filtros mal configurados, permitir sesiones nulas, posicionamientos vulnerables,
elevar los rangos de privilegios, etc.

De la e guridad

De Control de Accesos

Sistemas de la unidad de negocios debe establecer un procedimiento formal de registro y cancelacin de

usuarios con acceso a los sistemas que debe incluir identificadores nicos (que puedan vincularse entre
los usuarios, sus responsabilidades y sus acciones), la autorizacin del propietario del sistema (que
incluya los derechos de acceso autorizados) y el nivel de acceso adecuado.
Sistemas de la unidad de negocios debe cancelar inmediatamente los derechos de acceso de los
usuarios que cambiaron sus tareas o se desvincularon de LA EMPRESA. Adems, se deben verificar
peridicamente y cancelar identificadores y cuentas de usuarios redu
ndantes para que no se asignen a
otros usuarios.
Maestra en Administraci n de TI en empresas |

P g i n a | 16

Poltica de esti n de istemas perativos

Sistemas de la unidad de negocios debe mantener un control eficaz del acceso a los datos y servicios de
informacin revisando cada seis meses los derechos de acceso de los usuarios y cada tres meses las
autorizaciones especiales de derechos de acceso. Adems, peridicamente se deben revisar las
asignaciones de privilegios, independientemente de las anteriores revisiones.
Sistemas de la unidad de negocios debe incorporar controles que limiten la ruta entre u terminal de
na
usuario y los servicios del servidor. Se debe evitar que los usuarios seleccionen rutas fuera de la trazada
entre la terminal de usuario y los servicios a los cuales l mismo est autorizado a acceder.
Sistemas de la unidad de negocios debe limitar la capacidad de conexin de los usuarios de redes
compartidas ms all de los lmites de LA EMPRESA mediante el uso de firewalls y gateways que filtren
el trfico por medio de reglas o tablas previamente definidas. Sobre todo en Correo Electrnico
,
transferencia unidireccional de archivos, transferencia de archivos en ambas direcciones, acceso
interactivo y acceso de red vinculado a hora o fecha.

Comment [u1]: seguridad

Sistemas de la unidad de negocios validan que los controles de ruteo de red deben basarse en la
verificacin positiva de direcciones de origen y destino. Por lo tanto, se deben aislar redes y evitar que las
rutas se propaguen desde la red de una organizacin a la red de otra.

Comment [u2]: seguridad

Se debe tener la capacidad de identificar y verificar la identidad y la te

rminal o ubicacin de cada usuario
autorizado y registrar los accesos exitosos y fallidos al sistema.
Se debe establecer la identificacin automtica de terminales para autenticar conexiones a ubicaciones
especficas y a equipamiento porttil.
El sistema debe divulgar la mnima informacin posible acerca de ste, a fin de evitar proveer de
informacin a un usuario no autorizado.
Las sesiones inactivas deben provocar la exclusin automtica del sistema despus de un periodo
definido de inactividad y evitar el acceso de personas no autorizadas. Se deben aplicar horarios de
conexin a las aplicaciones de alto riesgo.
Se deben establecer procedimientos para monitorear el uso de las instalaciones de procesamiento de la
informacin. El nivel de monitoreo requerido para cada una de las instalaciones debe determinarse
mediante una evaluacin de riesgos.
Se debe garantizar que no se comprometa la informacin de la empresa cuando se utilizan dispositivos
informticos mviles. Se deben evitar riesgos de que la informacin contenida en ellas sea vista por
personas no autorizadas.
Maestra en Administraci n de TI en empresas |

P g i n a | 17

Poltica de esti n de istemas perativos

Slo se deben autorizar actividades de trabajo remoto si se han implementado disposiciones y controles
adecuados en materia de seguridad que cumplen con la Poltica Corporativa de Segu
ridad de la
Informacin. Las provisiones y controles deben comprender lugar y mobiliario, modo de conexin,
horarios, definicin del trabajo, procedimientos de respaldo, auditoria, y cancelacin de accesos una vez
concluido el trabajo.

De la Continuidad

Del Manejo de Incidentes

Asegurar que las personas estn conscientes de los riesgos, tengan la capacidad de identificar los
problemas y estn debidamente entrenadas para responder a los diversos retos.
Los servicios ante incidentes deben cumplir valoracin de vulnerabilidades, deteccin de intrusiones,
capacitacin y concientizacin de fallas, revisiones tecnolgicas y el manejo de parches. Los incidentes
que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto
como sea posible.
Sistemas de la Unidad de Negocios debe establecer medidas de seguridad de incidentes respecto a:
Medidas de Prevencin: Destinadas a impedir que se produzcan incidentes de seguridad capaces de
causar un impacto a la operacin del negocio.
Medidas de Deteccin: Medidas y mecanismos que permiten detectar intentos de penetracin a los
sistemas.
Medidas de Correccin: Que minimicen los efectos negativos ocasio
nados por problemas u omisiones
ubicadas en el modelo de seguridad existente, en este mbito, todos los sistemas automticos que
operen y administren informacin sensitiva, valiosa o crtica para la Entidad, como son sistemas de
aplicacin en produccin, sistemas operativos, sistemas de bases de dato y telecomunicaciones
s
deben generar pistas (adicin, modificacin, borrado) de auditoria las cuales deben proporcionar
,
suficiente
informacin
para
apoyar
el
monitoreo,
control
y
auditorias.

Maestra en Administraci n de TI en empresas |

P g i n a | 18

Poltica de esti n de istemas perativos

Tener la capacidad para responder gilmente a situaciones ine

speradas, de tal forma que las funciones
crticas de negocio continen casi de manera normal, minimizando el impacto en las operaciones.
Sistemas de la Unidad de Negocio debe disear los planes de continuidad de negocio los cuales deben
garantizar la continuidad de las operaciones an en medio de un desastre.
Sistemas de la Unidad de Negocio debe tomar en cuenta la siguiente clasificacin para la recuperacin de
los diferentes servicios crticos de TI ante un incidente o evento: niveles altos (Web, firewalls y enlaces),
niveles medios (aplicaciones y administracin de redes) y nive bajos (las PCs de usuarios).
les
Sistemas de la Unidad de Negocio debe establecer un procedimiento formal de comunicacin, junto con
un procedimiento de respuesta a incidentes, que establezca la accin que ha de emprenderse al recibir
un informe sobre incidentes. Debe implementarse adecuados procesos de retroalimentacin para
garantizar que las personas que comunican los incidentes sean notificadas de los resultados una vez
tratados y resueltos los mismos.
rea de Seguridad de Informacin debe realizar p
eridicamente un Anlisis de Impacto de Negocio a
travs de la ejecucin de un estudio sobre los procesos propios del negocio, identificando procesos
crticos, activos de informacin, posibles situaciones de corrupcin de procesos y requerimientos de los
procesos de misin crtica.
rea de Seguridad de Informacin debe evaluar el impacto de los mismos en trminos de tiempo de
recuperacin y prdidas econmicas directas.
rea de Seguridad de Informacin debe rastrear hasta su origen los incidentes reportados, identificando a
travs de un anlisis forense, los eventos que derivaron en el incidente.
rea de Seguridad de Informacin debe mantener un historial sobre incidentes con la finalidad de mejorar
o agregar controles que limiten la frecuencia, dao y costo de casos futuros y tomarlos en cuenta en el
proceso de revisin de esta Poltica Corporativa de Seguridad de la Informacin.
rea de Seguridad de Informacin debe definir si los esquemas de seguridad de informacin establecidos
en el pasado continan siendo viables an tras los cambios sufridos por LA EMPRESA y su entorno,
cambios significativos en el nmero de personal, el nmero de equipos de cmputo, cambios en las
plataformas tecnolgicas, o bien en la fusin entre dos o ms organizaciones.
Establecer por el rea de Relaciones Industriales y/o Recursos Humanos un proceso disciplinario formal
para los empleados que violen la Poltica Corporativa de Seguridad de la Informacin y procedimientos de
seguridad y para retencin de evidencia. Dicho proceso sirva de factor disuasivo de los empleados que,
Maestra en Administraci n de TI en empresas |

P g i n a | 19

Poltica de esti n de istemas perativos

de no mediar el mismo, podran ser proclives a pasar por alto los procedimientos de seguridad.Asimismo,
debe garantizar un trato imparcial y correcto hacia los empleados sospechosos de haber cometid
o
violaciones graves o persistentes a la seguridad.

De la eguridad Fsica

Sistemas de la Unidad de Negocio debe ubicar el equipamiento en un ambiente con acceso restringido
slo a personas autorizadas (personal de LA EMPRESA y terceros que requieran acceder el
equipamiento, por ejemplo para mantenimiento).
Deben ser supervisados o inspeccionados los visitantes de reas protegidas registrando la fecha y
horario de su ingreso y egreso. Slo se debe permitir el acceso a los mismos con propsitosespecficos y
autorizados, instruyndose en dicho momento al visitante sobre los requerimientos de seguridad del rea
y los procedimientos de emergencia.
Queda prohibido comer, beber y fumar dentro del ambiente donde reside el equipamiento.
Sistemas de la Unidad de Negocio debe disear y exhibir medios visuales de sealizacin (Calcomanas,
avisos o letreros) que muestren el manejo adecuado de los equipos, para evitar daos al hardware.
Sistemas de la Unidad de Negocio debe cubrir con forros antiesttic los equipos y dispositivos que
os
estn ubicados en el centro de cmputo cuando no se estn utilizando, para protegerlos contra el polvo,
gases, agua o partculas que causen dao a los aparatos.
Sistemas de la Unidad de Negocio debe adoptar controles adec
uados para minimizar el riesgo de
amenazas potenciales en el centro de cmputo, por: robo o hurto, incendio, explosivos, humo,
inundaciones o filtraciones de agua, polvo, vibraciones, efectos qumicos, interferencia en el suministro de
energa elctrica (cortes de suministro, variacin de tensin), radiacin electromagntica, derrumbes, etc.
Sistemas de la Unidad de Negocio debe revisar regularmente en el centro de cmputo las condiciones
ambientales (temperaturas y humedad) para verificar que las mismas no afecten de manera adversa el
funcionamiento de las instalaciones dela infraestructura.
Cada Unidad de Negocio debe evaluar y, en caso de aplicar, establecer medidas de seguridad fsica
como las siguientes:

Maestra en Administraci n de TI en empresas |

P g i n a | 20

Comment [u3]: seguridad

Poltica de esti n de istemas perativos

Sistemas proactivos de deteccin y extincin de incendios. Disponer de extintores adecuados

estratgicamente ubicados, con sealizacin y capacitacin al personal en el uso correcto; se debe
tener control sobre el tipo, el estado y el mantenimiento de carga de los mismos.
Sensores de movimiento y alarmas por violacin de las normas de seguridad.
reas aisladas fsicamente segn el propsito.
Controles biomtricos sectorizados de acuerdo a la criticidad del rea.
Guardias capacitados que monitorean las instalaciones valindose de sistemas de cmara de video.
s
El equipamiento y las instalaciones de soporte (infraestructura de cableado y suministro de energa
elctrica) deben estar fsicamente protegidos de las amenazas y peligros del entorno.
Se deben adecuar controles y procedimientos que busquen implementar esta Poltica Corporativa de
Seguridad de la Informacin en sus diferentes modalidades: proteccin de oficinas, recintos e
instalaciones, aislamiento de las reas de entrega y carga, mant
enimiento de equipos.
Cada Unidad de Negocio debe asegurar la continuidad del suministro de energa del equipamiento, en
funcin a la criticidad del mismo, mediante:
La disposicin de mltiples enchufes o lneas de suministro para evitar un nico punto de falla en el
suministro de energa.
El suministro de energa ininterrumpible (UPS) para asegurar el apagado regulado y sistemtico o la
ejecucin constante del equipamiento.
La disposicin de un generador de respaldo o, hasta una planta de suministro de energa, para los
casos en que el equipamiento deba continuar funcionando ante una falla prolongada en el suministro de
energa.
Cada Unidad de Negocio debe proteger el cableado de energa elctrica y de comunicaciones que
transporta datos o brinda apo a los servicios de informacin contra intercepcin o dao, mediante:
yo
La utilizacin de charolas, ductos o cableado embutido en la pared, siempre que sea posible.
Maestra en Administraci n de TI en empresas |

P g i n a | 21

Poltica de esti n de istemas perativos

La separacin de los cables de energa de los cables de comunicaciones para evitar interf
erencias.
La proteccin del tendido del cableado troncal (backbone) de ser posible mediante la utilizacin de
ductos blindados.
Sistemas de la Unidad de Negocio debe someter el equipamiento a tareas de mantenimiento preventivo,
de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor.
Debe ser autorizado a nivel gerencial el uso de equipamiento destinado al procesamiento de informacin,
fuera del mbito de LA EMPRESA, sin importar quien es el propietario del mismo. La seguridad provista
afuera debe ser equivalente a la suministrada dentro del mbito de LA EMPRESA para un propsito
similar, teniendo en cuenta los riesgos de trabajar fuera de la misma.
Se debe adoptar una poltica de escritorios limpios para protegerdocumentos en papel y dispositivos de
almacenamiento removibles y una poltica de pantallas limpias en las instalaciones de procesamiento de
informacin.
El equipamiento, la informacin o el software no deben ser retirados de la sede deLA EMPRESA sin
autorizacin. Cuando sea necesario y procedente, los equipos deben ser desconectados y nuevamente
conectados cuando se reingresen.

De los Respaldos

Del Respaldo de ervidores

Se debe contar con la infraestructura y el software necesario para la reali

zacin de respaldos.
El rea de Sistemas de la unidad de negocios debe efectuar respaldos de los datos cargados en los
servidores: (1) dentro de las aplicaciones, (2) las aplicaciones en s, (3) las bitcoras de desarrollo y
servicios, (4) los sistemas operativos, (5) los programas internos de desarrollo, (6) las configuraciones de
Maestra en Administraci n de TI en empresas |

P g i n a | 22

Poltica de esti n de istemas perativos

instalacin, (7) las bases de datos. En general todo proceso que genere informacin y deba ser
conservado.
El rea de Sistemas de la unidad de negocios debe elaborar bitcoras de los respaldos. Se deben
programar las fechas de respaldo para cada cinta, su fecha de caducidad, firmas de los responsables y
status de los respaldos.
Cada que ocurra una modificacin a la configuracin, cambios de infraestructura o de sistema, se debe
respaldar de manera completa el servidor. Los respaldos son previos al cambio. Tambin cuando ocurra
una contingencia de operacin el respaldo es inmediato y de manera completa.
Se debe efectuar en forma completa el respaldo si es de primera vez conforme al punto anterior y
posteriormente de manera incremental con base al tiempo o de manera diferencial cotejando
automticamente los datos. Esto se fija conforme a los requerimientos de operacin.
Se debe hacer respaldos procurando no afectar a los usuario Los usuarios deben ser informados
s.
cuando sea necesario. Se deben programar fechas y horarios de atencin, administracin, soporte y
mantenimiento fuera de los horarios de operacin normales.
Los respaldos para servidores deben ser probados en forma ale
atoria por personal ajeno al que respald,
para que confirmen su calidad de soporte a los procesos. Se debe dejar constancia y evidencia de las
pruebas.
Se debe contar con mecanismos de evaluacin que permitan el desecho de respaldos y proceder a su
eliminacin como respaldo cuando se cumpla el perodo de vida til de los respaldos.
Deben contar con un adecuado programa de mantenimiento que no impida la funcin de respaldo ni
afecte a los tiempos de usuarios en el supuesto de que se requieran. El man
tenimiento del equipo de
respaldo debe ser incluido dentro de los programas regulares y especiales de mantenimiento que los
equipos requieran.
Los equipos y mecanismos de respaldo deben ser incluidos dentro de las normas de seguridad general
del resto de los equipos para que garanticen el buen resguardo y recuperacin de la informacin a que
fueron destinados.
Deben cumplir pruebas de respaldo de contingencias, emergencias,
recuperacin y de administracin de respaldos.

Maestra en Administraci n de TI en empresas |

P g i n a | 23

pruebas de respaldos de

Poltica de esti n de istemas perativos

Los respaldos en las unidades de negocio, deben mantenerse por seguridad en dos tantos, uno para
conservarse dentro de la propia unidad y la otra en cualquiera de las dems empresas deLA EMPRESA.
Se debe establecer un procedimiento formal para el intercambio yresguardo de los respaldos.

Del Respaldo de Usuarios

Los usuarios deben clasificar su informacin que d soporte a los procesos de negocio con base a los
requisitos de seguridad de: disponibilidad (acceso al momento de ser requerido), integridad (exact
itud y
validez respecto de las expectativas) y confidencialidad (que se evite su divulgacin no autorizada).
Los usuarios deben documentar medidas de control de respaldo y publicarlos. Tambin son responsables
de conseguir los medios para realizarlos.
El proceso de respaldos de usuarios no debe afectar los procesos normales del negocio por rendimiento,
productividad, costo, etc. ms all de la implementacin del software especializado, su capacitacin como
proceso, los horarios y destinos de los respaldosa realizar.
Se debe establecer un servidor como banco de datos por parte del rea de Sistemas para el manejo de la
informacin clasificada como crtica y sensible a las actividades del negocio
Se debe establecer registro formal de otros medios no estnd res para tareas de respaldo y todas
a
aquellas formas de respaldo que no manejen o utilicen dispositivos especializados. stos ltimos se
refieren al manejo de CDs, disquetes, memorias USB, respaldos en el Web, arreglos de discos, y todo
dispositivo de respaldo informtico.

De los ervicios

De la Conectividad
De Comunicaciones y Redes

Todo equipo que caiga dentro del alcance de esta poltica debe ser configurado de acuerdo a los
documentos de configuracin referidos, autorizados por Sistemas Centrales y basados en las mejores
prcticas.
Maestra en Administraci n de TI en empresas |

P g i n a | 24

Poltica de esti n de istemas perativos

Hardware, sistemas operativos, servicios y aplicaciones deben ser aprobadas por el rea de seguridad de
informacin como parte de la fase de revisin del despliegue. La configuracin de los sistemas operativos
debe ser establecida de acuerdo a la confiabilidad del host, a la instalacin del ruteador y los estndares
de configuracin.
Todos los parches o hot-fixes recomendados para el equipo por el proveedor, Sistemas Centrales y por el
rea de seguridad de informacin de
ben ser instalados. Esto aplica a todos los servicios instalados an
,
cuando esos servicios puedan ser temporal o permanentemente deshabilitados Los dueos
.
administrativos de los procesos deben mantenerse actualizados en cuanto a parches o hotfixes.Se deben
establecer criterios de aprobacin para nuevos sistemas de informacin, actualizaciones ("upgrades") y
nuevas versiones, y se deben llevar a cabo adecuadas pruebas de los sistemas antes de su aprobacin.
Todas las actualizaciones a los equipos deben se realizados a travs de canales seguros.
r
Relaciones de confianza entre sistemas pueden solamente ser introducidas de acuerdo a los
requerimientos del negocio, deben tambin ser documentadas y deben ser aprobadas por el rea de
seguridad de informacin.
Los servicios y aplicaciones que no sean utilizados para los requerimientos del negocio deben ser
deshabilitados; para su uso no general deben ser restringidas por medio de una lista de control de
acceso. Servicios no confiables o protocolos deben ser reem
plazados con equivalencias ms seguras
cuando stas existan.
La administracin remota debe ser aplicada en canales seguros (utilizando una Red Privada Virtual
(VPN), conexiones de red encriptadas utilizando SSH o IPSEC, o consola de acceso independiente de la
red DMZ). Donde no estn disponibles conexiones en canales seguros, deben ser usados passwords de
una sola vez por todos los niveles de acceso.
Eventos con relacin a seguridad deben ser registrados y auditados por logs aprobados por el rea de
seguridad de informacin, tales como Intentos de inicio de sesin denegados, cambios de configuracin
o auditorias de aplicacin y sistemas (previo al despliegue de nuevos servicios).
El rea de seguridad de informacin debe estar comprometido
tanto directamente o en el proceso de
control de cambios, para aprobar todos los nuevos despliegues y cambios de configuracin.
Se deben controlar los cambios administrativos y de soporte en los sistemas
implementando
responsabilidades y procedimientos formales, para garantizar un control satisfactorio de todos los
cambios en infraestructura y software; y restringiendo a un control estricto de cambios en los programas
operativos.
Maestra en Administraci n de TI en empresas |

P g i n a | 25

Poltica de esti n de istemas perativos

Se deben realizar estudios de proyecciones para futuros requerimientos de capacidad, a fi de reducir el

n
riesgo de sobrecarga del sistema. Estas proyecciones deben tomar en cuenta los nuevos requerimientos
de negocios y sistemas, as como las tendencias actuales y proyectadas en el procesamiento de la
informacin y en la Tecnologa de Informacin.
Se debe garantizar que los usuarios que tengan acceso a las redes y/o servicios de otras organizaciones
o redes pblicas no comprometan la seguridad de la red deLA EMPRESA.
Todas las comunicaciones de datos deben efectuarse a travs de la LAN de EMPRESA.
LA
Se deben introducir controles dentro de la red, a fin de segregar grupos de servicios de informacin,
usuarios y sistemas de informacin. Un mtodo seguro es dividirlas en dominios lgicos separados.

La red de amplia cobertura geogrfica a n

ivel nacional e internacional debe estar dividida en forma lgica por
diferentes segmentos de red, cada uno separado con controles de seguridad perimetral y mecanismos de
control de acceso.
Todas las conexiones a redes externas de tiempo real que accedana la red interna de la entidad, debe pasar
a travs de los sistemas de defensa electrnica que incluyen servicios de ciframiento y verificacin de datos,
deteccin de ataques cibernticos, deteccin de intentos de intrusin, administracin de permisos de
circulacin y autenticacin de usuarios.

De la Administraci n de recursos

Del Control de ervidores

Solo personal autorizado debe efectuar la modificacin, reparacin y mantenimiento a los servidores.
Sistemas de la Unidad de Negocio debe contar con un contrato de mantenimiento preventivo y correctivo
que garantice la disponibilidad del hardware asociado a los servidores.
Se deben situar los servidores en un sitio con las condiciones fsicas y ambientales adecuadas para su
buen funcionamiento. Instalar los equipos de tratamiento y almacenamiento de informacin que manejen
datos sensibles donde se reduzca el riesgo de que otros vean los procesos durante su uso.

Maestra en Administraci n de TI en empresas |

P g i n a | 26

Poltica de esti n de istemas perativos

Se debe estandarizar el modo de archivado y etiquetado de los discos, cintas o medios magntic que
os
se manejan, con la finalidad de obtener una bsqueda efectiva, rpida y segura. Controlar por medio de
etiquetas autoadhesivas con tecnologa de cdigo de barras, el acceso a los discos, cintas o medios
magnticos de respaldo.
Se deben tener manuales de instalacin, capacitacin, operacin, mantenimiento (copias de respaldo) y
gua del usuario del Software y Hardware, para realizar consultas en casos necesarios.
Se debe elaborar, revisar y actualizar un Plan de Contingencia para eventualidades como cadas de
:
voltaje o ausencia de fluido elctrico, cada de la comunicacin, usuarios indeseables, errores en la
aplicacin, fallas en el Manejador de Bases de Datos.
Se debe contar con infraestructura necesaria para garantizar con esto la calidad en la transmisin de la
informacin.
Monitorear el desempeo de los diferentes dispositivos del Sistema, con el fin de equilibrar la carga de
trabajo de los mismos.
Prevenir que las fallas de seguridad puedan repercutir en daos significativos a los sistemas ya las redes
bajo control. Establecer controles a vulnerabilidades.
Sistemas de la Unidad de Negocio debe crear y mantener un control de inventarios de servidores y
unidades de respaldo, para conocer la disponibilidad de los mismos en caso de requerimient
os.
Se deben elaborar planes alternos de procesamiento de informacin interno externo a las instalaciones,
con el fin de no interrumpir el funcionamiento del Sistema en caso de un imprevisto.
Se debe tener elaborado un instructivo para el traslado deservidores, bien sea por emergencia o por
cambio de sede, con el fin de minimizar riesgos en la prdida de informacin o daos en los equipos.
Se deben realizar estudios de identificacin de los riesgos a que est expuesto el hardware con respecto
a intrusos, catstrofes, atentados, etc. con el fin de plantear las posibles soluciones en dichos casos.
Se debe contar con un plan para la recuperacin de informacin y contar con equipos en casos de
emergencia, para minimizar el tiempo en que el Sistema no est disponible.

Definir responsables para el manejo de documentos, para controlar el flujo de los mismos.
Maestra en Administraci n de TI en empresas |

P g i n a | 27

Poltica de esti n de istemas perativos

Se debe contar con una estrategia para que la responsabilidad de la seguridad de los servidores no
recaiga en una sola persona, y no tener de ese mod centralizado el conocimiento absoluto de la
o
seguridad.
Registrar los mantenimientos preventivos y correctivos hechos a los servidores, controlando de esta
manera que los mismos siempre se encuentren funcionando correctamente.

Maestra en Administraci n de TI en empresas |

P g i n a | 28

Poltica de esti n de istemas perativos

De Desechos ensitivos

Todo equipo que caiga dentro del alcance de esta poltica debe cumplir medidas de seguridad por
integridad, disponibilidad y confidencialidad antes de pensar en proceder a su desechado. El desecho
sensitivo tiene la funcin de contener todo tipo de datoque le resulte importante e interesante a alguien
dentro de LA EMPRESA.
Deben ser fsicamente destruidos o sobrescritos en forma segura los dispositivos de almacenamiento
obsoletos y no aplicar solamente las funciones de borrado estndar.
Todos los elementos del equipo que contengan dispositivos de almacenamiento deben ser comprobados
antes de su reutilizacin o su baja, para asegurar que todos los datos sensitivos y el software bajo
licencia, hayan sido eliminados o sobrescritos.
Los dispositivos de almacenamiento daados que contengan datos sensibles deben requerir una
minuciosa evaluacin de riesgo para determinar si deben destruirse, repararse o eliminarse.
Se deben eliminar los respaldos de forma segura cuando no se necesiten ms. Se deben estable los
cer
controles por:
Incineracin, trituracin o vaciado de datos para utilizar el respaldo en otra aplicacin.
Identificar proveedores confiables que otorguen servicio de recogida y eliminacin de papel, equipos y
soportes y establecer con ellos conve
nios de confidencialidad.
Establecer controles para una eliminacin segura de: documentos sobre papel, registros de voz, papel
carbn, informes, cintas de impresora de un solo uso, cintas magnticas, discos o cartuchos extrables,
soportes de almacenamiento ptico, listados de programas, datos de pruebas, documentacin de los
sistemas.
Se debe conservar un registro de toda la eliminacin de elementos sensibles para mantener una pista de
auditoria.
Los disquetes o cintas obsoletos que contengan datos almacenados debern ser enviados por correo
interno al rea de Sistemas de la Unidad de Negocio para proceder a su eliminacin. Esta clase de
desechos se envasarn en cajas de cartn u otras envolturas, etiquetando el envo con su contenido y
con el texto "a eliminar".
Maestra en Administraci n de TI en empresas |

P g i n a | 29

Poltica de esti n de istemas perativos

Conforme a la Poltica de Reposicin de Activos, anualmente se retira el veinte por ciento de los equipos
y es el rea de Soporte Tcnico quien debe retirarlos ya sea para venta de empleados o su baja
definitiva. En este ltimo caso, se debe eliminar toda informacin contenida y solamente bajo autorizacin
de la Gerencia de la Unidad de Negocio se podrn reutilizar sus componentes para soporte de la
operacin de unidades en uso.
Los procedimientos de actualizaciones a los equipos deben contemplar un procedimiento de eliminacin
segura de datos sensitivos, para los casos de baja o reutilizacin de equipo.
Se deben cumplir con las disposiciones legales, ambientales, ecolgicas, etc. al momento de desechar
cualquier equipo, porque la computadora y sus perifricos producen desechos que son un peligro
ambiental y sanitario que ponen en riesgo la salud de una parte importante de la poblacin cuando no son
debidamente eliminados.
No se debe utilizar como papel de reciclaje para impresoras de red o de ahorro de papel, documentos con
informacin sensible. Se recalca la necesidad de recuperar impresiones de red o eliminarlas
definitivamente si los usuarios no las recogen.
Se debe asignar un responsable administrativo p
ara el manejo, documentacin y custodia fsica del
equipo no reutilizable e inoperable y que est pendiente de su venta o destruccin. Se debe evitar que
sea responsable el rea de Sistemas de la unidad de negocios por no ser su funcin primordial.

Maestra en Administraci n de TI en empresas |

P g i n a | 30

Poltica de esti n de istemas perativos

De Equipos Personales

Los equipos deben usarse para actividades de trabajo y no para otros fines, tales como juegos y
pasatiempos.
Los equipos deben ser proporcionados al empleado por el rea a la que pertenece, incluyendo todos sus
accesorios y perifricos, segn sea requerido por la operacin.
El usuario debe respetar y no modificar la configuracin del hardware y software establecida por el rea
de Sistemas.
El usuario debe procurar mantener protegidos a los equipos de riesgos del medio ambiente (por eje plo,
m
polvo, incendio, agua) o dao por accidentes o descuidos.
Debido a la naturaleza del proceso, algunos equipos deben usar protectores contra cambios transitorios
de energa elctrica y deben usar fuentes de poder ininterrumpibles (UPS). Segn sea requerido por la
operacin.
Los equipos deben marcarse para su identificacin y control del inventario. Los registros del inventario
deben mantenerse actualizados.
Slo pueden reubicarse de manera definitiva los equipos mediante permiso del rea de sistemas.
Para cualquier movimiento de equipo fuera de la Compaa se requiere una autorizacin escrita del rea
de Sistemas.
La prdida o robo de cualquier componente de hardware o programa de software debe ser reportada
inmediatamente al rea de Sistemas de la unidad de negocios de la Planta respectiva y poder realizar su
reclamacin conforme a la pliza de seguro vigente.
Todos los equipos que sean reasignados deben ser formateados y reinstalarse el sistema operativo y las
aplicaciones necesarias para su uso.
No est permitido llevar al sitio de trabajo computadoras porttiles (laptops), ni dispositivos o accesorios
adicionales para los equipos de cmputo, que no sea propiedad de LA EMPRESA, y en caso de ser
n
necesario se requiere solicitar la autorizacin correspondiente.
Maestra en Administraci n de TI en empresas |

P g i n a | 31

Poltica de esti n de istemas perativos

Para prevenir la intrusin de virus, no est permitido el uso de mdems en PCs que tengan tambin
conexin a la red local (LAN), a menos que sea debidamente autorizado y protegido.
El personal que utiliza una computadora porttil, no debe perderla de vista en sitios pblicos, tales como
hoteles, aeropuertos, centros de convenciones o transporte pblico. Se debe utilizar un candado para
asegurar el equipo a algn mueble u objeto pesado.
LA EMPRESA se reserva el derecho de monitorear el uso que los empleados le d a los recursos de
an
cmputo.

EXCE CIONES

Cualquier excepcin o punto no especificado en la presente poltica deber ser autorizado porescrito por
la Direccin General.
Esta poltica no excluye el cumplimiento a procedimientos y reglamentos ya establecidos relacionados
con sta.

RES ONSABILIDADES

Direccin General y Directores Corporativos

Promover, apoyar y dar curso a una cultura de Seguridad de la Informacin sustentada en la Poltica
Corporativa de Seguridad de la Informacin.
Los Directores de reas y Gerentes
Vigilar que se cumpla la Poltica Corporativa de Seguridad de la Informaci de manera integral y
n
continua en las instalaciones bajo su responsabilidad, basado en las mejores prcticas.
Usuarios
Conocer y apegarse a todos los lineamientos establecidos en la Poltica Corporativa de Seguridad de la
Informacin.
rea de seguridad de informacin
Actualizar y proponer adiciones o modificaciones a la estrategia y mecanismos de seguridad deLA
EMPRESA.

Maestra en Administraci n de TI en empresas |

P g i n a | 32

Poltica de esti n de istemas perativos

Realizar auditorias y pruebas de intrusin peridicas y aleatorias que verifiquen el cumplimiento de la

Poltica Corporativa de Seguridad de la Informacin.
Apoyar a cada rea de negocio en la identificacin de riesgos, documentar las fallas y proponer medidas
de control.
Comit de Seguridad
Supervisar el cumplimiento de la Poltica Corporativa de Seguridad de la Informacin.
Coordinar de manera continua el modelo de seguridad de Informacin aplicado en la Unidad de Negocio.
Responsables de Redes, Servidores, Aplicaciones y Soporte Tcnico
Aplicar las medidas de control relacionadas con la infraestructura de sistemas a u cargo.
s
Coordinar en conjunto con el rea de seguridad de informacin la evaluacin de nuevas tecnologas y
plataformas existentes.
Terceros
Aceptar convenios de corresponsabilidad y acatar la Poltica Corporativa de Seguridad de la Informacin
de LA EMPRESA.
Relaciones Industriales y/o Recursos Humanos
Difundir continuamente una cultura de Seguridad de la Informacin a todos los empleados de las
Unidades de Negocio.

ENTRADA EN VIGOR
La entrada en vigor ser un mes despus de la publicacin.

MODELO FINANCIERO

Modelo fi a ciero para la estimaci del presupuesto operativo a ual desti ado a la admi istraci de sistemas
operativos.
Maestra en Administraci n de TI en empresas |

P g i n a | 33

Poltica de esti n de istemas perativos

Consideraciones iniciales
y
y
y
y
y
y
y
y

Empresa en la que trabajan 500 personas, todas tienen una computadora y 100 cuentan con telfono celular.
Existen 30 Servidores con diferentes tecnologas como son HP-UX, Microsoft, Red-Hat y Blackberry para mviles
Todos los servidores estn implantados en un sitio
Para todas las plataformas la empresa requiere servicio de soporte tcnico de 24/7
Se cuenta con un Microsoft Enterprise Agreement a 3 aos con pago anual
Hay una rotacin anual de empleados de 100
En los costos de licenciamiento se encuentra incluido el soporte tcnico telefnico de la empresa 24x7, los
parches, actualizaciones de seguridad y actualizaciones de nuevas versiones.
Precios expresados en Dlares americanos y no incluyen impuestos

Sistema Operativo
HP-UX Edition 11i v3
Windows Server Std 2008 R2
Windows Server Ent 2008 R2
RedHat Enterprise Linux 6
BlackBerry Enterprise Server
Windows 7
TOTAL

LICENCIAMIENTO
Costo
Unitario por
Costo base
usuario
Licencias
$
455.00 $ 8,120.00
1
$
251.00
12
$
817.00
7
$ 1,299.00
10
$ 3,000.00 $
60.00
100
$
198.00
500

Monto Anual
$ 8,575.00
$ 3,012.00
$ 5,719.00
$ 12,990.00
$ 9,000.00
$ 99,000.00
$ 138,296.00

CAPACITACIN
Curso
Capacitacin Windows Server
Capacitacin Red Hat
Capacitacin HP-UX
Capacitacin empleados (windows)
TOTAL

$
$
$
$

Costo
Unitario
833.00
1,000.00
2,000.00
585.00

Personal
2
1
1
100

Monto Anual
$ 1,666.00
$ 1,000.00
$ 2,000.00
$ 58,500.00
$ 63,166.00

PERSONAL
Ingreso
mensual
$ 2,083.33
$ 1,250.00
$ 1,666.67

Especialidad
HP 9000
Windows
Linux y Blackberry
TOTAL

Personas

Monto Anual
1 $ 2,083.33
2 $ 2,500.00
1 $ 1,666.67
$ 6,250.00

RESUMEN
Maestra en Administraci n de TI en empresas |

P g i n a | 34

Poltica de esti n de istemas perativos

Concepto
LICENCIAMIENTO
CAPACITACIN
PERSONAL
TOTAL ANUAL

Monto Anual
$ 138,296.00
$ 63,166.00
$ 6,250.00
$ 207,712.00

Maestra en Administracin de TI en empresas |

P g i n a | 35