UNIVERSIDAD TECNOLÓGICA

DE LA REGIÓN NORTE DE GUERRERO

UNIDAD ACADÉMICA EN LA REGIÓN DE LA MONTAÑA

POLÍTICAS DE SEGURIDAD

CARRERA:
TECNOLOGÍAS DE LA INFORMACIÓN

MATERIA: SEGURIDAD DE LA INFORMACIÓN

PROFESOR: Faustino Tecolapa Tixteco

INTEGRANTES:
FRANCISCO JAVIER GASPARILLO PANTALEON
BLANCA ESTRELLA PASCUALEÑO VISCA

CHILAPA DE ÁLVAREZ GUERRERO, DE SEPTIEMBRE 2019

 POLÍTICAS DE SEGURIDAD
La empresa Filipo’s Desing no cuenta con políticas de seguridad establecidas,
solo se hace lo que se cree correcto y necesario.

CONFIGURACIÓN DE DISPOSITIVOS
El n la empresa no se cuenta con dispositivos switch, solo existe una pequeña red
que se distribuye a través del modem de Telmex, en su configuración básica.

MEDIDAS PREVENTIVAS Y CORRECTIVAS CONTRA EL CÓDIGO

MALICIOSO

Un código malicioso es un programa informático instalado en tu equipo sin que tú lo

sepas (por ejemplo, cuando navegas en un sitio web infectado) o que instalas
mediante engaños. Dicho código se denomina "malicioso" porque sus creadores
desean usarlo para molestar, engañar o dañar a los demás o a ti mismo. Puede
actuar de las siguientes formas:

1. Daña los sistemas inter nos del equipo, por ejemplo, borra datos o deteriora
el rendimiento.
2. Usa tu equipo para transmitir virus y mensajes de correo electrónico no
deseados a tus amigos y contactos por Internet sin tu conocimiento (una red
de dichos equipos infectados se denomina "botnet").
3. Espía tus actividades para robar información personal con el fin de usarla
para robar tu identidad (dichos programas se denominan "spyware").

MEDIDAS CORRECTIVAS

 Realizar un escaneo con un antivirus y antispyware actualizados: Un

antivirus y un antispyware actualizados podrían localizar la infección y
 erradicarla por completo del equipo. El escaneo se puede realizar mediante
el antivirus instalado en el equipo o utilizando el servicio de un antivirus en
línea.

 Utilizar programas de eliminación automática: En ocasiones podemos

encontrar en Internet herramientas automatizadas que permiten eliminar
códigos maliciosos, la desventaja es que solamente eliminan una variedad
o un código malicioso muy específico.

 Eliminar manualmente: Si investigamos un poco acerca del código

malicioso que afecta al sistema podemos encontrar cuales son las acciones
que realiza y cómo se podría eliminar manualmente, sin embargo estos
procedimientos se recomiendan solamente a usuarios experimentados.

 Reinstalar el sistema operativo: Este método sólo debe ser utilizado

cuando no es posible eliminar al malware por ninguna de las
recomendaciones anteriores, sin olvidar que se debe respaldar la
información antes de llevar a cabo ésta acción.

MEDIDAS PREVENTIVAS

 Instalar y actualizar un software antivirus: Un software antivirus no evita la

infección por parte de un virus de Internet, pero si ayuda a la detección de
éste tipo de código malicioso. Es necesario instalar, administrar y
actualizar un software antivirus de forma correcta, pero no debe ser el único
software de seguridad en el equipo.
 No abrir archivos adjuntos contenidos en correos electrónicos de
procedencia extraña: Una gran diversidad de virus en el Internet se
propagan a través del correo electrónico, adjuntando a estos un archivo
infectado con lo cual se puedan seguir propagando, por lo que sólo deben
 de ser abiertos aquellos documentos adjuntos que provengan de una
fuente confiable y siempre que haya sido analizado por un antivirus antes
de abrirlo.

 Analizar los archivos con un antivirus antes de abrirlos: Es recomendable

solicitar al antivirus que lleve a cabo un análisis antes de que abramos un
archivo, en especial debemos realizar esta acción cuando son archivos que
abrimos por primera vez y/o que provienen de otro equipo.

 Analizar medios extraíbles como: disquetes, memorias usb, cd’s, etcétera.

Cuando insertamos medios extraíbles en otros equipos pueden contagiarse
de algún tipo de código malicioso, por lo que antes de abrir el dispositivo y
los archivos que contiene debemos analizarlo con un antivirus en búsqueda
de malware.

 Actualizar el sistema constantemente: Algunos virus pueden tomar ventaja

de algunas vulnerabilidades no actualizadas en el sistema, por lo que es
indispensable instalar las actualizaciones de seguridad más recientes. Esto
permitirá estar protegido contra posibles ataques de distintos virus que
traten de tomar ventaja de una vulnerabilidad no actualizada.

NORMAS APLICABLES

La elaboración del manual de normas y políticas de seguridad informática, está

fundamentado bajo la norma ISO/IEC 17799.

ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de la
seguridad de la información es proteger adecuadamente este activo para asegurar
la continuidad del negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información se define como la preservación de:

 Confidencialidad: Aseguramiento de que la información es accesible sólo

para aquellos autorizados a tener acceso.

 Integridad. Garantía de la exactitud y completitud de la información y de

los métodos de su procesamiento.

 Disponibilidad. Aseguramiento de que los usuarios autorizados tienen

acceso cuando lo requieran a la información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.

La norma ISO 17799 establece diez dominios de control que cubren por completo
la gestión de la seguridad de la información:

 1. Política de seguridad.

 2. Aspectos organizativos para la seguridad.

 3. Clasificación y control de activos.

 4. Seguridad ligada al personal.

 5. Seguridad física y del entorno.

 6. Gestión de comunicaciones y operaciones.

 7. Control de accesos.

 8. Desarrollo y mantenimiento de sistemas.

 9. Gestión de continuidad del negocio.

 10. Conformidad con la legislación.

BENEFICIOS

Las políticas y estándares de seguridad informática propuestas en este documento

pueden ser la base fundamental para la protección de los activos informáticos y de
toda la información de las Tecnologías de Información y Comunicaciones (TIC´s) en
la empresa FILIPO’S DESIGN.

ESQUEMA

Se propone la distribución de la responsabilidad sobre la seguridad de la

información en cinco niveles, en donde cada nivel fue organizado con un enfoque
objetivo de acuerdo a la situación real de la empresa.

Cada nivel propuesto está pensado sobre qué activo proteger, de qué protegerlo
cómo protegerlo y por qué protegerlo; Los mismos se organizan siguiendo el
esquema, normativo de seguridad, ISO 17799 (mejores prácticas de seguridad).

 Nivel de Seguridad Organizativo:

o Seguridad Organizacional
o Políticas de Seguridad
o Excepciones de Responsabilidad
o Clasificación y Control de Activos
o Responsabilidad por los Activos
o Clasificación de la Información
o Seguridad Ligada al Personal
o Capacitación de Usuarios
o Respuestas a Incidentes y Anomalías de Seguridad

 Nivel de Seguridad Física

 o Seguridad Física
o Seguridad de los Equipos

 Nivel de Seguridad Lógico:

o Control de Accesos
o Administración del Acceso de Usuarios
o Seguridad en Acceso de Terceros
o Control de Acceso a la Red
o Control de Acceso a las Aplicaciones

 Nivel de Seguridad Manejo

o Uso de Medios de Almacenamiento
o Adquisición de Software
o Licenciamiento de Software
o Identificación de Incidentes.

 Nivel de Seguridad Legal:

o Seguridad Legal
o Conformidad con la Legislación
o Cumplimiento de Requisitos Legales
o Revisión de Políticas de Seguridad y Cumplimiento Técnico