PDF de programación - Plan de seguridad informática

MMAA RRIIAA DDOOLLOORR EESS CCEERRIINNII

E - M A I L

D O L O R E S C E R I N I @ Y A H O O . C O M . A R
D O L O R E S C E R I N I @ H O T M A I L . C O M



PPAABBLLOO IIGGNN AACCIIOO PPRR ÁÁ



E - M A I L

P A B L O _ P I P @ Y A H O O . C O M . A R

P A B L O P I P @ H O T M A I L . C O M

UUU NNN III VVV EEE RRR SSS III DDD AAA DDD CCC AAA TTT ÓÓÓ LLL III CCC AAA DDD EEE CCC ÓÓÓ RRR DDD OOO BBB AAA ––– AAA RRR GGG EEE NNN TTT III NNN AAA ––– OOO CCC TTT UUU BBB RRR EEE 222 000 000 222

A B S T R A C T

P L A N D E S E G U R I D A D I N F O R M Á T I C A

AABBSSTTRRAACCTT

PPLLAANN DDEE SSEEGGUURRIIDDAADD IINNFFOORRMMÁÁTTIICCAA



En el presente trabajo final desarrollamos una auditoría de seguridad informática y
un análisis de riesgos en una empresa de venta de automotores, con el fin de relevar la
consistencia de los sistemas de información y de control, la eficiencia y efectividad de los
programas y operaciones, y el cumplimiento de los reglamentos y normas prescriptas.
Como resultado se detallan las debilidades encontradas y se emiten recomendaciones que
contribuyan a mejorar su nivel de seguridad.

Esto se llevó a cabo como medio para el desarrollo de un plan de seguridad
informática, donde se definen los lineamientos de la planeación, el diseño e implantación
de un modelo de seguridad con el objetivo de establecer una cultura de la seguridad en la
organización. Asimismo, la obliga a redactar sus propios procedimientos de seguridad, los
cuales deben estar enmarcados por las políticas que conforman este plan.

El propósito de establecer este plan es proteger la información y los activos de la
organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos;
y las responsabilidades que debe asumir cada uno de los empleados de la organización.

M A R Í A D O L O R E S C E R I N I – P A B L O I G N A C I O P R Á

O C T U B R E 2 0 0 2





TTRRAABBAAJJOO FFIINNAALL

PPLLAANN DDEE SSEEGGUURRIIDDAADD

IINNFFOORRMMÁÁTTIICCAA



UNIVERSIDAD CATÓLICA DE CÓRDOBA

FACULTAD DE INGENIERÍA
Escuela de Ingeniería de Sistemas

Presentado por

María Dolores Cerini - Pablo Ignacio Prá



Tutor:
Ing. Aldo Spesso

Octubre de 2002

AAGGRRAADDEECCIIMMIIEENNTTOOSS



Debemos destacar el apoyo incondicional de nuestras
familias, quienes supieron tener paciencia y asistirnos en todo
lo que estaba a su alcance para que este estudio resulte
posible.

También deseamos agradecerles por adelantado porque
sabemos que nos seguirán apoyando y ayudando siempre que
los necesitemos.

- 2 -

ÍÍNNDDIICCEE GGEENNEERRAALL

1-
2-
3-
4-
5-
6-
7-
1-
2-
3-
4-
5-
6-
7-



AGRADECIMIENTOS................................................................................................................................... 2
ÍNDICE GENERAL ........................................................................................................................................ 3
PRÓLOGO....................................................................................................................................................... 5
INTRODUCCIÓN ........................................................................................................................................... 6
AUDITORÍA DE SEGURIDAD INFORMÁTICA ...................................................................................... 7
AUDITORÍA DE SEGURIDAD INFORMÁTICA .................................................................................................... 8
Objetivo General...................................................................................................................................... 8
Alcance..................................................................................................................................................... 8
Metodología Aplicada.............................................................................................................................. 9
Normativas Empleadas .......................................................................................................................... 10
Informe de Relevamiento........................................................................................................................ 12
Seguridad Lógica .....................................................................................................................................14
Seguridad de las Comunicaciones............................................................................................................19
Seguridad de las Aplicaciones..................................................................................................................31
Seguridad Física.......................................................................................................................................35
Administración del CPD ..........................................................................................................................40
Auditorías y Revisiones ...........................................................................................................................46
Plan de Contingencias..............................................................................................................................51
Informe de Debilidades y Recomendaciones.......................................................................................... 55
Seguridad Lógica .....................................................................................................................................56
Seguridad de las Comunicaciones............................................................................................................66
Seguridad de las Aplicaciones..................................................................................................................71
Seguridad Física.......................................................................................................................................75
Administración del CPD ..........................................................................................................................78
Auditorías y Revisiones ...........................................................................................................................86
Plan de Contingencias..............................................................................................................................93
Conclusión.............................................................................................................................................. 97
PLAN DE SEGURIDAD INFORMÁTICA................................................................................................. 98
PLAN DE SEGURIDAD INFORMÁTICA............................................................................................................ 99
Objetivo General.................................................................................................................................... 99
Antecedentes........................................................................................................................................... 99
Alcance................................................................................................................................................... 99
Vigencia.................................................................................................................................................. 99
Autoridad de Emisión............................................................................................................................. 99
Contenido ............................................................................................................................................... 99
Desarrollo ............................................................................................................................................ 100
Seguridad Lógica ...................................................................................................................................101
Seguridad de Comunicaciones ...............................................................................................................105
Seguridad de las Aplicaciones................................................................................................................110
Seguridad Física.....................................................................................................................................115
Administración del CPD ........................................................................................................................119
Auditorías y Revisiones .........................................................................................................................123
Plan de Contingencias............................................................................................................................127
CONCLUSIÓN ............................................................................................................................................ 130
ANEXO I – ANÁLISIS DE RIESGOS ...................................................................................................... 131
INTRODUCCIÓN ................................................................................................................................ 132
1-
2- ACTIVOS Y FACTORES DE RIESGOS ...............................................