Universidad Agraria del Ecuador

Ciudad Universitaria de Milagro

(Cum)

Alumno:

Docente:

Trabajo de Inteligencia Artificial

Tema:
Caso De Estudio de Un Centro Científico
Drocaras
Curso:
Quinto “A”

Año Lectivo
2011-2012
 INTRODUCCIÓN

Hoy en día la seguridad se ha convertido en un campo de gestión importantísimo en

toda empresa, institución u otra dependencia de negocios por ser un ente relevante en
la preservación de bienes tangibles y no tangibles. Ofrecer seguridad a todo nivel
radica esfuerzos técnicos, humanos y logísticos que debes ser administrados y
gestionados bajo parámetros y políticas de procedimientos que no siempre son cien
por cien eficaces o en su defecto restringen tanto el control que en algunos
oportunidades se convierte en otro problema más.

Las instituciones a lo largo del tiempo van creciendo y adquiriendo cada vez más
tecnologías, bienes y van acumulando hoy por hoy quizás el activo más valioso para
una empresa como lo es la información. Esta importancia que radica en cuidar dichos
bienes hace que se creen llámense políticas, normas, reglamentos para darle un buen
custodio y uso de aquellos bienes de gran importancia para una organización.

Estos planes de seguridades son enfocados según la actividad de la empresa u

organización que lo hacen distintos para cada caso pero, la parte más relevante a
aplicar seguridades y normas está en el área informática y de sistemas por cuanto
como se dijo antes se maneja el bien más preciado como lo es la información.

Contar con un buen plan de seguridad requiere estudios profundos de organización,

conducta y autoridad para que dicho plan pueda ser implementado y luego acatado
por el o aquellos que guardan relación al área protegida. Un buen plan de seguridad
involucra también tener un estudio de qué tipo de activos o recursos requieren
protección y cuidado además de saber qué tipo de amenazas pueden dañar dichos
bienes.

Sn duda las estrategias a tomar para un plan de seguridad obedecen con identificar las
áreas de mayor riesgo y qué procedimientos se deben de seguir en caso de
emergencias que atenten contra los bienes protegidos. Definitivamente el tema de
seguridad es apasionante y delicado y juega un papel importante la experiencia y
profesionalismo de quienes elaboran el plan de seguridad. Toda empresa u
organización por pequeña que contará con planes de seguridad para

Laboratorios DROCARAS consientes de que sus dependencias y áreas estratégicas

necesitan ser evaluadas y controladas estrictamente ha emprendido el estudio y
posterior Implementación de un plan de seguridad informática que permita proteger y
extender el uso de sus activos relevantes como son equipos informáticos e
información. A continuación se detalla el Plan a seguir.

Objetivos

El objetivo principal que persigue el presente Plan de Seguridad es concienciar a los

directivos de los Laboratorios DROCARAS que contar con normas y reglas de seguridad
permitirá, salvaguardar bienes preciados que son base para el crecimiento y sustento
de la organización misma.

Alcance

El presente plan de seguridad para los laboratorios DROCARAS tiene como finalidad
abarcar y proteger cada una de las áreas estratégicas que se relacionen con la
información, pasando por laboratorios, computadores y todo dispositivo electrónico
que tenga relación con el manejo de datos. Es importante queden bien definidos los
límites de este plan de seguridad porque permite priorizar las dependencias correctas
a protegerlas escapando las responsabilidades necesarias por uso indebido en otras
dependencias que puede poner en riesgo equipos y datos.

Propósito

Uno de los propósitos más relevantes que llevaron a la elaboración de este documento
es cuidar de manera celosa la información científica y tecnológica fruto de años de
trabajo e investigaciones que están depositados en las bases de conocimientos y que
son la razón de ser de la empresa. Equipos informáticos que guardan dicha
información también revisten el cuidado y custodio relevante.
PLAN DE SEGURIDAD PARA LA INFRAESTRUCTURA INFORMÁTICA DE LOS
LABORATORIOS DROCARAS

Actualmente los laboratorios DROCARAS cuentan con una fuerte infraestructura

informática y de sistemas que es base fundamental para el desarrollo de
investigaciones. La información que actualmente fluye es enorme motivo por el cuál es
necesarios, implementar un plan de seguridad que permita en primer lugar el correcto
manejo de estos bienes y luego el custodio celoso y estricto de los mismos.

Por otra parte, además de los datos, se cuenta con equipos y computadores de alta
tecnología que requieren de capacidad y experiencia para ser manejados a lo cual se
convierte en otro bien preciado al que hay que proteger. Un correcto uso de equipos
informáticos sin duda permite alcanzar mejor rendimiento y su tiempo de vida se
incrementa considerablemente.

De acuerdo a los estudios, se logró establecer las áreas estratégicas y los componentes
adicionales que exigen control estricto en su uso y custodio. Estas dependencias son
vitales para el funcionamiento operativo de la empresa lo cual encierran medidas y
procedimientos para la protección de habitaciones, locales entre otros que alberguen
equipos informáticos. Medidas como por ejemplo, cerraduras especiales automática,
puertas resistentes a impactos, entre otros así como también se especificarán otro tipo
de medidas para el acceso a las tecnologías de información como ser, ingreso de
personal autorizado, control de medios de almacenamiento externo (DVD, PenDrive,
etc.), que permite extraer información confidencial con fines ajenos y de lucro.

Aspectos Generales de las Políticas de Seguridad Informática

El buen manejo de equipos e información acoplados a un buen plan de seguridad, sin

duda trae beneficios a corto plazo en materia de ahorro de tiempo y dinero a la vez,
crea una cultura de responsabilidad que se traduce en productividad y crecimiento
sostenido de la empresa ya que sus bienes y dependencias son usados correctamente.
Las políticas a seguir se enmarcan en aspectos estrictamente relevantes al tema
informático que encierran servicios y procedimientos para:

 Correcto uso y custodio de las tecnologías instaladas llámense computadores,

servidores, redes entre otros logrando que el servicio prestado por estos sean
óptimos y precisos.
 El acceso estricto y controlado de personas a las dependencias donde existan
equipos informáticos importantes para el desarrollo operativo normal de la
empresa.
 El correcto tratamiento y salvaguardia de la información por considerarse el
activo más importante de la empresa. Aquí se crearán privilegios y derechos de
acceso auditado para creación y modificaciones de datos.
 El acceso y uso de la tecnología Internet.
 El control para el diseñó y adquisición de nuevas tecnologías sean estas de
hardware y software.
 Y por último la reglamentación para eventos e incidentes de tipo externo que
atenten contra la integridad física de equipos y datos. Planes de contingencia
que ayudarán a mantener de forma general las operaciones de la empresa
hasta la solución del incidente.

Planes para las Seguridades físicas y lógicas

Se tiene bien claro que los recursos a proteger son los equipos pero además esos
equipos son manejados por las personas de la empresa entonces, la relación de
dependencia es directamente proporcional por tanto: El plan de seguridad informática
incluye al medio humano y al papel que desempeña cada uno dentro de la empresa.

Aquí juega un papel importante la jerarquía que tiene la estructura de recursos

humanos de la empresa (Directores, Jefes, Asistentes, etc.), base fundamental en el
control y responsabilidades en el uso y acceso de las tecnologías.

El plan se basa en cinco servicios que se describirán a continuación:

Estos servicios incluyen ya las normas, reglamentos que hacen un plan de seguridad
Informática especificando qué hacer, cómo y en qué momentos tomar decisiones así
como también pasos a seguir adoptando los procedimientos correctos.

1. Administración y Gestión en Seguridad de la Información y Equipos

Como se dijo antes, la información es hoy por hoy el activo más circundante e
importante de una organización esta, deberá ser manejada con responsabilidad y
criterio para beneficio empresarial. Se ha dividido en bloques claramente
diferenciados que son:

 Equipos de cómputos y servidores

 Recurso humano que tienen acceso a las dependencias informáticas
 Aéreas de Acceso
 Acceso a los Sistemas e Información

1.1 Equipos de cómputo y Servidores

Por ser un activo de rápida depreciación, los equipos de cómputo necesitan

tratamiento especial para su correcto uso y aprovechamiento. Este plan de
seguridad involucra políticas de mantenimiento y custodio de estos equipos
para alargar su vida útil los cuales se describen a continuación

Para el Mantenimiento

 Se tendrá un cronograma de mantenimiento y limpieza de manera

coordinada empezando por áreas de poco congestionamiento laboral.
 La limpieza debe ser a nivel de dispositivos y piezas para luego hacerlo a
nivel de software (Control de virus, Limpieza de sistemas operativos,
desinstalación de programas inútiles, mantenimiento de software en
general).
 El área donde estará los equipos informáticos debe contar con una
temperatura no mayor a 24 grados centígrados para evitar
recalentamientos ocasionando daños en las piezas.
  Se debe de alejar los equipos de áreas donde haya polvo excesivo y luz
solar de forma directa
 Se tendrá cuidado de no tener cerca de los CPU’s dispositivos de
emisión de ondas como celulares entre otros para proteger piezas
sensibles a este tipo de emisiones.
 Todo equipo gozará de un concentrador y regulador de energía (UPS)
para evitar daños por cortes de energía sospresivos.

Para el Custodio

 El empleado a cargo del equipo en particular está en la obligación de

acatar el plan de seguridad
 Los equipos importantes como servidores y componentes de red deben
estar en un lugar ocultos a usuarios comunes con acceso restringido
 Los servidores en particular deben estar resguardados bajo cerraduras o
candados y sólo se tendrá acceso estrictamente por personal de
sistemas
 Es potestad del jefe o administrador de sistemas delegar quién o
quiénes son las personas que tienen acceso a los equipos importantes

1.2 Recurso humano que tiene acceso a las dependencias informáticas

Es importante el control de quienes entran y salen a los departamentos

informáticos centrales de los Laboratorios DROCARAS. Esto con la finalidad de
cuidar extracciones de piezas o datos indebidamente para beneficio particular
ajenos a la empresa. Se tiene a continuación:

 Realizar una bitácora o documento de registro de ingreso de personas

ajenas al área informática de la empresa.
 Es responsabilidad del jefe o administrador de sistemas permitir el
acceso a personas particulares con el debido control.
 Es potestad del jefe de sistemas ejercer el control de ingresos de
dispositivos de DVD o Pen Drives que permitan la extracción indebida de
 información. En caso de ingresar dichos dispositivos de deberá hacerlo
con autorización y control del jefe o encargado de sistemas.
 Los trabajadores propios del área de sistemas deberán cuidar sus
equipos y sus claves de acceso.

1.3 Áreas de Acceso

Es importante mantener siempre vigilada las entradas al área de sistemas de la

empresa por ser un área estratégica donde se maneja la totalidad de las
actividades operativas de la empresa. Para ello el Jefe o encargado de sistemas
es responsable de lo siguiente:

 Mantener dentro del área de informática por lo menos una persona

para custodio de los bienes.
 En caso de dejar sola al área de informática, es responsabilidad del jefe
o administrador de sistemas dejar correctamente cerrado el lugar
 Dentro del área de acceso no se podrá ingresar materiales ajenos al área
como ser alimentos o bebidas.
 El acceso a los servidores de datos tendrá seguridades adicionales y se
mantendrá siempre cerrado el lugar. De ser necesario instalar medidas
como candados, puertas automáticas con claves entre otras.
 Es potestad del jefe de informática permitir el ingreso de personal al
área asumiendo riesgos por pérdidas o daños involuntarios o no de
equipos.

1.4 Acceso a los sistemas e información

Parte fundamental para las operaciones de la empresa. El área de informática

de los laboratorios DROCARAS concentra los programas, códigos y bases de
datos científicas valiosas pero a la vez vulnerables si no se cuenta con estrictas
normas de acceso a la información. Para ello se tendrá en cuenta lo siguiente:

 Cada usuario que disponga de un computador deberá cuidar su clave de

acceso a los sistemas y cambiándola periódicamente según lo pida el
sistema
  Es potestad del jefe de sistemas cambiar claves y contraseñas a usuarios
por razones de confidencialidad o emergencia
 Las bases de datos sólo pueden ser accesadas y manipuladas por el
personal autorizado con el control y monitoreo del jefe de sistemas
 El código solamente puede ser manipulado por los programadores
autorizados debiendo tener las versiones controladas en cada
modificación que se realice
 La persona que ingrese a los códigos y datos de la empresa deberá tener
la autorización respectiva del jefe de sistemas mismo que será
responsable de los daños que se puedan ocasionar por mal manejo.
 Se realizará diariamente el respaldo de la información y esta tarea es
exclusivamente de los administradores de base de datos.
 Queda estrictamente prohibido copiar y sacar información por cualquier
medio electrónico salvo con autorización del jefe de sistemas y de la
gerencia por razones de seguridad y custodio.

2. Modelo de Seguridad de la Información. Plan de Contingencia Tecnológico.

El custodio del bien más preciado como lo es la información, deberá tener un trato
especial debido a la importancia relevante que tiene dentro de los laboratorios
DROCARAS. Mucha información científica, proyectos e investigaciones pueden caer en
manos de personas ajenas o a su vez pueden dañarse por cuestiones externas como
incendios, inundaciones, etc.

Para ello se aplican planes y normas para darle a la información el correcto uso y
custodio. A continuación se detalla:

 Es responsabilidad del jefe de sistemas o su delegado, respaldar diariamente

las bases de datos por seguridad y guardarlos en un medio físico seguro y
confiable.
 Por seguridad el jefe de sistemas o su delegado grabará la información en
períodos a convenir y por autorización de la Gerencia, se podrá sacar la
información para resguardarla externamente en lugares seguros como son
Compañías de seguridades o bóvedas bancarias. Esto asegura que información
 valiosa se mantenga lista para usos en casos puntuales como son daños al
sistema central, daños de equipos servidores, etc.
 Además de tener información resguardada fuera de la empresa, es
responsabilidad del jefe de sistemas mantener guardada dentro de la empresa
los datos y programas en medios físicos como DVD’s o discos duros
manteniendo en caso de los programas las versiones correspondientes de
acuerdo a los cambios
 En caso de fallar los servidores centrales, es responsabilidad del jefe de sistema
o su delegado a contar con un equipo alterno siempre listo para subir respaldos
y programas para enlazarlos a la red empresarial al menos las áreas
estratégicas.
 Es tarea del jefe de sistemas o su delegado el asignar los perfiles y accesos
pertinentes a los usuarios para el uso de los programas autorizados según sus
actividades en la empresa
 Es tarea del jefe de sistemas o su delegado permitir o restringir acceso y uso de
internet permitiendo la navegación a los sitios de interés propios de la
empresa.
 Por ningún motivo se usará el computador para otras actividades que no sean
las propias del los Laboratorios DROCARAS.
 Se deberá restringir o controlar estrictamente el uso de dispositivos de
grabados externos a los usuario estos son CD’s, Pen Drives, etc.
 Es responsabilidad de cada usuario el borrar accidentalmente o a propósito
información del sistema.
 Los cambios en las bases de datos y en los programas debe ser bajo supervisión
del jefe de sistemas o su delegado.

Sin dudas la seguridad de la información es prioridad número uno en relación a

otras dependencias. El buen uso de estas normas hará que los datos tengan en este
documento su protección necesaria.
3. Análisis y evaluación de riesgo tecnológicos

Debe quedar claro que por ser equipos de uso constante diario y continuo, son
susceptibles a daños o desperfectos a pesar de haber seguido el control de
mantenimiento debido. Estas eventualidades puedes ser tan leves como drásticas lo
cual lleva a la empresa a paralizar algún servicio, algún departamento o en los casos
severos a todo el nivel operativo.

Para todo esto, el plan de seguridad contempla normativas a seguir para que el
impacto por daños de infraestructuras sea lo menor posible. Otros de los riesgos
latentes y actuales es el ataque de piratas informáticos que sus consecuencias son en
muchos de los casos más catastróficas que el daño del servidor principal.

Las medidas a tomar distinguen claramente qué acciones tomar y quiénes son los
responsables. Después de ocurrido un evento de estos, habrá una mesa de discusiones
para tomar los correctivos si son necesarios, fortalecer procedimientos, apoyar con
más tecnología los riesgos latentes. A continuación las acciones a tomar:

 En caso de fallos de computadores centrales, se debe inmediatamente poner

en funcionamiento el equipo de respaldo. Es responsabilidad del jefe de
sistemas o su delegado mantener siempre listo el contingente para este tipo de
eventualidades.
 Si hubiese un ataque de piratas informáticos o indicios de éste, realizar una
auditoría inmediata para corroborar si falta información o en su defecto hay
alteraciones.
 Tener siempre control y monitorea de los virus informáticos que son otra
fuente de riesgos con peligros extremos para ello se contará con una firma
prestigiosa que suministre los programas antivirus con sus actualizaciones
periódicas.
 Al momento de detectar un equipo contagiado con virus, este se debe aislarlo
de la red para evitar más contagios masivos y proceder a desinfectarlo
  Es responsabilidad del jefe de sistemas evaluar inmediatamente mediante un
informe el impacto ocasionado por daños o desperfectos de equipos.
 Es responsabilidad del jefe de sistemas dar a conocer e identificar cuáles son
los activos y recursos de mayor riesgos motivo por el cual merecen atención y
monitoreo constante

4. Educación en Tecnologías de la Información

Las tecnologías evolucionan y la empresa por tener un laboratorio científico con

equipos sofisticados enlazados al área informática debe tener claro que la renovación y
la capacitación es parte del crecimiento. Las tecnologías de información son vitales en
organizaciones con altos volúmenes de información y altos índices operacionales pues,
por ser una entidad científica, la información es abrumadora por lo tanto debe existir
información clasificada que ayude a la toma de decisiones.

La capacitación constante hace la diferencia en la experiencia y productividad. Es

importante contar con los recursos necesarios para:

 Es potestad de la Empresa u organización destinar los recursos necesarios para

la capacitación permanente del personal vinculado a la informática.
 La directiva y personal de sistemas deben estar involucrados en el análisis de
información que represente toma de decisiones.
 La gerencia debe impulsar desarrollo de tecnologías de información como
soporte al crecimiento organizacional

Todo este plan tiene carácter de urgente y viable y es responsabilidad de las

autoridades impulsarlo y ponerlo en funcionamiento asegurando así la protección de
datos científicos y equipos tecnológicos propios de una empresa de estas
características.