Caso N 01:

La empresa tiene 300 equipos en su rea de produccin. Durante la

semana constantemente los equipos presentan fallas de configuracin y
problemas con los aplicativos, muchos de los cuales son crticos para el
cumplimiento de los objetivos del negocio.
Este problema recurrente ha hecho que el rea de sistemas se convierta
en apagador de incendios, lo que no ha permitido que el personal
tenga la productividad esperada por los directivos de la empresa. El Jefe
de Sistemas, preocupado ante la situacin de su rea, decide realizar
una evaluacin de los riesgos del rea y del problema especfico.
En resumen, se identificaron las siguientes
configuracin frecuente de los equipos:

causas

de

la

des-

Los usuarios entran al panel de control de Windows y realizan

configuraciones personalizadas que alteran los aplicativos de
trabajo, tal como los colores, la resolucin de pantalla, formato de
fecha, etc.
Se utiliza con frecuencia los puertos para conectar dispositivos de
almacenamiento externo, sin revisar la existencia de malware.
Los usuarios no tiene el conocimiento adecuado del sistema
operativo y el proceso para vacunar dispositivos externos.
Los usuarios pueden borrar archivos del sistema, porque no se ha
deshabilitado la opcin de visualizacin de ste tipo de archivos.
El soporte a usuario por parte de sistemas es muy lento, a
consecuencia del gran volumen de fallas que presentan los equipos
de cmputo.
No est restringido el uso de Internet y pueden acceder a todo tipo
de pginas web.
El aplicativo de vacunas no est correctamente instalado en todos
los equipos, permitiendo la entrada de malware cuando se conectan
a la red y al web.
Los usuarios realizan actualizaciones de los aplicativos por Internet,
sin el debido conocimiento.
No est definido un plan de trabajo que permita a todo el personal
de sistemas realizar una configuracin de equipos con las mismas
caractersticas.
Se presentan diferentes versiones de los aplicativos y sistemas
operativos.

En base a lo descrito, se pide:

Declare una nica poltica de seguridad que resuelva especficamente el
problema descrito:

Polticas:
Las polticas planteadas fueron:
Poltica para Control de Accesos

 Poltica para Antivirus

Poltica para Software
Poltica de Soporte Tcnico

Poltica para Control de Accesos

Declaracin de poltica
TODO USUARIO DE TI DEBE ACCEDER A LOS RECURSOS DE TI Y
A

LAS

APLICACIONES

INFORMATICAS

MEDIANTE

UNA

IDENTIFICACIN DE USUARIO EL CUAL EST RELACIONADO CON

UN NIVEL DE ACCESO
Alcance
Para todo usuario de aplicaciones o de la infraestructura de TI
de la organizacin

Listado del cuerpo normativo/procedimental necesario

1. Reglamento operativo para definir perfiles de usuario +

privilegios
2. Reglamento de altas, bajas y modificaciones de cuentas de
usuario
3. Reglamento operativo para la Gestin de Configuraciones de
equipos
Controles propuestos:
1. Autorizaciones de altas, bajas y modificaciones de cuentas
2. Actas de confirmada de entrega de cuentas
3. Bitcora de trazabilidad
4. Registro de cambios

Poltica para Antivirus

Declaracin de poltica:
TODOS LOS EQUIPOS DE CMPUTO DE LA EMPRESA DEBEN
TENER

INSTALADO

DEBIDAMENTE

ACTUALIZADO

UNA

SOLUCIN ANTIVIRUS, CON LA CUAL PERIDICAMENTE SE

HARN ANLISIS DE RASTREO DE SOFTWARE MALICIOSO, AS
COMO TAMBIN SE HARN ANLISIS DE LOS DISPOSITIVOS DE
ALMACENAMIENTO EXTRABLES CONECTADOS.
Alcance:
Para todo usuario de aplicaciones o de la infraestructura de TI
de la organizacin

Listado del cuerpo normativo/procedimental necesario:

1. Reglamento de adquisicin de software.
2. Reglamento operativo para el anlisis de dispositivos de
almacenamiento.
3. Reglamento operativo para la programacin de anlisis
antivirus.
Controles propuestos:
1. Actas de confirmacin de actualizacin de antivirus.
2. Registro de anlisis realizados.

Poltica para Software

Declaracin de poltica
TODOS LOS EQUIPOS DE CMPUTO DE LA EMPRESA DEBERN
TENER

INSTALADO

UN

MISMO

SISTEMA

OPERATIVO

APLICACIONES EN LA MISMA VERSIN. SU ACTUALIZACIN SE

HAR PERIDICAMENTE Y NICAMENTE SER REALIZADA POR
EL PERSONAL QUE DESIGNE EL REA DE SISTEMAS.
Alcance
Para todo equipo de cmputo perteneciente a la infraestructura de
TI de la organizacin.

Listado del cuerpo normativo/procedimental necesario

1. Reglamento de adquisicin de software.

2. Reglamento de funciones del personal del rea de Sistemas.
3. Reglamento operativo para la programacin actualizaciones de
software.
Controles propuestos
1. Actas de confirmacin de adquisicin de actualizaciones de
software.
2. Registro de actualizaciones de software.
3. Inventario de equipos, sistemas operativos, aplicaciones y
versiones.

Poltica de Soporte Tcnico

Declaracin de poltica
CON EL FIN DE FACILITAR Y AGILIZAR LOS PROCESOS DE SOPORTE A
USUARIO, LOS EMPLEADOS ENCARGADOS DE SOPORTE PODRN
INGRESAR

DE

FORMA

REMOTA

COMPUTADORAS

NICA

EXCLUSIVAMENTE PARA LA SOLUCIN DE PROBLEMAS Y BAJO

SOLICITUD EXPLCITA DEL PROPIETARIO DE LA COMPUTADORA, ESTO
GENERAR SIEMPRE UN REPORTE DEL SERVICIO BRINDADO.
Alcance
Para todo personal del rea de Sistemas que est encargado del
soporte tcnico.

Listado del cuerpo normativo/procedimental necesario:

1. Reglamento operativo para el manejo de manera remota de
equipos de cmputo.
2. Reglamento de funciones del personal del rea de Sistemas.
3. Reglamento operativo para la prestacin de servicio de soporte
tcnico.
Controles propuestos:
4. Reporte de servicio de soporte tcnico remoto.
5. Registro de cambios.