esquema director de seguridad

7/31/2019 Esquema Director de Seguridad

1/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas

BASES PARA LA FORMULACIN DEPOLTICAS DE

SEGURIDAD INFORMATICA

1) Introduccin: La seguridad Informtica Institucional.

2) Seguridad Fsica y Lgica.

3) Continuidad Operativa.

4) Administracin de incidencias.

5) Operaciones y soporte.

6) Seguridad en el desarrollo de sistemas.

7) Servicios contratados.

8) Seguridad en redes informticas.

9) ANEXOS.

9.1) Seguridad en redes.9.2) Anlisis de riesgos.

9.3) Seguridad fsica

NOTA: En esta segunda versin, se han reorganizado los contenidos de la primera enbase a una estructura analizada en forma conjunta

Lic. E. Passarello-Polticas de seguridad informatica 1


2/42


1) Introduccin: La seguridad Informtica Institucional.

La aplicacin masiva de la tecnologa est cambiando la forma de Dirigir, Administrar,Controlar y Planificar a las Instituciones.La era actual, se caracteriza por una Sociedad que delega sus actividades manualesen forma incipiente en la utilizacin masiva de la Tecnologas de la Informacin.Esta transferencia de las acciones administrativas del personal en las empresas,presenta en particular la necesidad de normar y posteriormente gerenciar nuevas ycomplejas practicas relacionadas con el mundo de los negocios.Este cambio es veloz y constante para aprovechar las nuevas ventajas, cuando elpersonal amortiza un conocimiento, nuevas facilidades y mejoras justifican el cambio detecnologas de las que en el corto plazo nos haban impactado.El da a da de nuestras empresas y su administracin se basa en la utilizacin masiva de

equipamientos informticos ( PC, impresoras, scanner, modem, Web, redes cableadas,etc.) como herramienta de automatizacin de oficinas.La utilizacin de tecnologas informticas y de telecomunicaciones provoca a nivelinstitucional la posibilidad de que se produzcan nuevos riesgos producto de lavulnerabilidad propia de los recursos asignados (personal, equipamientos, software debase, software de aplicacin, etc.)La utilizacin de la potencialidad conjunta de las telecomunicaciones y la computacin(Por ej. La transferencia de informacin va con software de correo electrnico) noshace avizorar ya no solo la empresa sin papel sino tambin la comunicacin entreempresas sin documentacion en forma totalmente electrnica y sin papel.Cambian en forma radical las practicas de control y auditora consolidados en el

pasado, generadas a partir de contextos manuales y semiatomticos.Nuevos riesgos y amenazas an no estudiadas y reconocidas en su totalidad se asocianen cada innovacin tecnolgica que se implementa y en su posterior asimilacinhumana (se realice en forma ordenada o no) por parte de cada Institucin.Esto se visualiza en cada nivel relacionado con cada operatoria, a las que estamosexpuestos en forma interna y por lo tanto tambin lo estn en forma externa nuestrosclientes y proveedoresPoder lograr un equilibrio entre precauciones razonables y medidas excesivas puederesultar el desafo ms formidable cuando se implementa una estrategia de seguridadFACTORES QUE CONCUREN PARA PROVOCAR VULNERABILIDAD Concentracin de Informacin. Falta de registros visibles. Posibilidad de alterar programas y/o informacin sin dejar rastros visibles. Armonizar la eficiencia operativa con los aspectos de control (Sistemas en lnea

tiempo real). Complejidad de la operatoria. Concentracin de funciones. Falta de enfoque orientado al control en la etapa de Desarrollo de los Sistemas de

informacin. Empleo de personal altamente capacitado, en condiciones de eludir controles claves.El sistema ms seguro conlleva complejidades en su operacin diaria y el

sistema ms fcil de operar no nos da la total seguridad



3/42


1.1. Propsitos y objetivos.el propsito de la seguridad informtica es la proteccin de los interese de quienesconfian en la informacin, sistemas computarizados y comunicaciones asociadas,

respecto a los daos que pudieran producirse por fallas en la disponibilidad, integridady confidencialidad .INTERNATIONAL FEDERATION OF ACCOUNTANTS (IFAC)

la habilidad para proteger la disponibilidad, integridad y confidencialidad de los datosy sistemas constituye un factor clave para las organizaciones que basan sus actividadesy decisiones en la Tecnologa de Informacin . GENERAL ACCOUNTING OFFICE(EEUU). la disponibilidad, integridad y confidencialidad son los elementos claves entre losrequisitos para alcanzar la Seguridad Informtica. Control for information and relatedTechnology ( COBIT).

Consideraciones y Condicionantes para la formulacin de propsitos y objetivos:Se deben analizar varios aspectos entre los que mencionamos:- No existe la seguridad absoluta.Antes de comenzar analizar en profundidad la SEGURIDAD debemos tener en cuentaque la seguridad total no existe porque siempre por ms recaudos que tomemos, puedenocurrir imponderables no previstos que nos afecten, adems a mayor seguridad mayorescostos. O sea que cuando establezcamos la poltica y el conjunto de normas deseguridad debemos tener en cuenta los costos adicionales que vamos a estar generandoy ciertos controles, los que no deben traducirse en trabas para el normaldesenvolvimiento pero que indiscutiblemente tambin tienen su costo asociado.

- La Informtica maneja grandes volmenes de informacin, por lo tanto esnecesario preservarla de que sea:

Mal utilizada. Divulgada. Alterada. Robada. Destruida.Esto puede ser accidental, con fines ilcitos o por no contar con las normas apropiadas,por ejemplo la manipulacion de listados de informacin con informacin operativa queno prevea su resguardo mientras se utiliza y su destruccin cuando se termina el uso.Un empleado puede tirarlo en forma completa a un cesto porque no preve la posibilidadque otro individuo lo levante, lo lee y como le ve utilidad se lo da a otro para que loutilice para fines que vulneran la confidencialidad de los datos de los clientes (el casomas conocido los mailing list de tarjetas de crdito.

- Se deben definir metas de seguridad realizables.- Analizar en cuanto nos impacta la interrupcin del servicio.- Establecer los costos explcitos e implcitos de la poltica.- Evaluar si es apropiada la existencia de un Comit.- El rango a dar al rea de Seguridad Informtica.



4/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de SistemasEstas consideraciones previas de contexto permiten construir objetivos plausibles yconsensuados por todas las reas, lo que permitir lograr su operabilidad dentro de lasnecesidades y particularidades a cubrir. Cuidando su adecuacin a las estrategiasvigentes para alcanzar su cumplimiento e implementacin efectiva.

1.2. Que entendemos por seguridad informtica.Definimos Seguridad Informtica al conjunto de criterios, medidas, normas, elementosfsicos y controles que se disponen para evitar cualquier problema, situacin ocircunstancias que impida la disponibilidad, integridad y confidencialidad de lossistemas, datos e informacin, equipos de computacin, el software y el normal flujo dela informacin, manteniendo su privacidad y limitando el accionar de personas en formaerrnea o intencional.

1.3. Que comprende una Poltica de seguridad informtica.La poltica de Seguridad Informtica que define una Institucin forma parte de su

poltica integral de seguridad.Forma parte porque si no se cuenta con ella en una forma estructurada, la Poltica deSeguridad Informtica planteada en forma aislada podr ser deficitaria, en otrosaspectos que no le incumben a la problemtica de sistemas.

Definimos como Poltica de Seguridad Informtica al conjunto de lineamientosestratgicos que establece la Direccin de una Organizacin para proteger la actividadInformtica que se desarrolla en su mbito.

Cada Institucin define su poltica en funcin al tipo de negocio en que se desenvuelve.

Por ejemplo si en un banco la direccin establece como una de las polticasfundamentales es asegurar a sus clientes la continuidad operativa de las transacciones,lo que implica que las sucursales siempre deben seguir trabajando a pesar del tipo deproblema que puedan ocurrir. Las Gerencias de Sistemas y de Seguridad establecernprocedimientos, recursos y medidas para que ello ocurra y se pueda seguir con lasoperatorias involucradas en los procesos.Todas las medidas de seguridad informtica deben estar unificadas en una poltica queforma parte de la poltica general de la Institucin, donde se especifica la orientacin dela estrategia en cuestiones de seguridad.Estas medias de seguridad deben orientarse a la proteccin de los recursos de laInstitucin ayudndolo al logro de sus fines y cumplimiento de sus misiones.Debe tener un enfoque integral, abarcando consideraciones dentro como fuera delcampo de la Tecnologa de la Informacin, extendindose a lo largo de todo el ciclo devida de la informacin.Las polticas deben redactarse para todo el personal de la Institucin, por lo tantodeben ser de fcil comprensin y manejo por parte de los diferentes niveles yespecialidades.Debe especificar lo que se espera de los funcionarios en cuestiones de seguridad , ascomo las acciones disciplinarias a tomar en caso de que se produzcan incumplimientos.



5/42


1.4. Cumplimiento de regulaciones.Debe contemplar y exigir el cumplimiento de todas las leyes, regulaciones ydisposiciones pertinentes, tanto externas como internas.

1.5. Responsabilidad por la poltica de seguridad informtica.

1.5.1.Para la definicin, seguimiento, implementacin y actualizacin de unaPoltica de Seguridad Informtica es conveniente la creacin de un Comit deSeguridad Informtica el que tendr como funcin primordial:

La definicin de los objetivos principales a cubrir y las estrategias para alcanzarlos. Los planes de trabajo basado en la Poltica autorizada por la Direccin. Someter el Plan al monitoreo y seguimiento de las reas de control (Auditoras y

Contralorias internas y externas a la Institucin).

Hacerlo conocer al personal de la Institucin. Lograr el consenso y adhesin de todas las Gerencias. Concensuar las medidas a tomar. Efectuar la implementacin. Realizar un seguimiento estricto de las medidas a tomar, en el caso de cambios. Tomar medidas correctivas ante desvos. Hacer evaluaciones peridicas del Plan en su conjunto. Si se producen ilcitos, accidentes o desastres evaluar los resultados y el plan de

sanciones respectivo.

La Poltica de seguridad informtica y las medidas emergentes para su cumplimientodeben ser revisadas peridicamente, analizando la necesidad de cambios o adaptacionespara cubrir nuevas vulnerabilidades producidas por cambios en el entorno de laTecnologas de Informacin.

1.5.2.. Laresponsabilidad por la ejecucin de la poltica de seguridad informtica debe ser asignada a un funcionario que mantenga independencia respecto a lasfunciones de operaciones, programacin o ingreso de datos, reportando a la mximaautoridad de lnea de la Institucin. En general se le denomina Administrador de laSeguridad Informtica.Su responsabilidad principal ser la de coordinar las interacciones entre las diversas

reas involucradas en los planes y programas de seguridad.El rol del administrador de Seguridad Informtica es el de determinar losprocedimientos, metodologa y controles que deben existir en cualquier instalacin paracubrir todos los aspectos atinentes a la seguridad, del mismo en todo lo referido alequipamiento y sistemas aplicativos.Este ROL por supuesto debe ser totalmente activo, jams pasivo.No se debe confundir con el Rol del Auditor de Sistemas, el que muchas veces va detrsdel problema o ante el hecho consumado y a veces ante la realidad de un sistema yaimplementado debe auditarlo y observar los problemas y deficiencias.El administrador de Seguridad se debe anticipar a los problemas suscitados en lasdeficiencias.

Perfil del Administrador de Seguridad Conocimiento del ambiente tecnolgico



6/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas Conocimiento de polticas y normas de seguridad Ser responsable Tener un pensamiento analtico Estar embebido de las polticas de la empresa

No mantener malas relaciones interpersonales No ser impulsivo Tener capacidad para decir que no

La poltica debe especificar la responsabilidad en materia de seguridad, de todos losfuncionarios que estn en contacto con la Tecnologa de Informacin, incluyendo alpersonal de la Gerencia de Sistemas, los usuarios y cualquier individuo que tengaacceso a las mismas en el mbito institucional (proveedores, clientes, organismos, etc.)

1.5.3. La responsabilidad de cumplimiento de la poltica de seguridad informtica.Se debe auditar el cumplimiento de las especificaciones de la poltica de seguridad.

Deben implementarse procedimientos y normativas conjuntas entre las reas deAdministrador de Seguridad, Auditora, Contralora y Sistemas con el fin de asegurar elcumplimiento y tener previstas acciones en el caso de que se compruebe que ello noocurra.La implementacin de herramientas de hardware y software que ayuden a llevar a cabolos controles y medidas de seguridad especificadas en la poltica de seguridadinformtica son convenientes y necesarios.Estos mecanismos deben estar protegidos contra accesos o modificaciones noautorizadas.

1.5.4. El impacto en la implementacin y mantenimiento de Sistemas.La introduccin de una poltica de seguridad informtica institucional trae aparejadoun impacto en las metodologas de trabajo para la implementacin de sistemas y en lasformas de la administracin de los proyectos. Nuevas tareas, asociadas con las Prueba y certificacin de sistemas. Entorno de seguridad del sistema. Documentacin de todos los procesos y ambientes de trabajo.Estas nuevas tareas y la consiguiente asignacin de tiempos tienden a una mejora en laproductividad y a su vez garantizar como producto final la calidad.El planeamiento de las actividades informticas de desarrollo de sistemas debe incluirlas tareas y tiempos producto de la inclusin de pautas de seguridad informtica.

La participacin del Administrador de Seguridad y del Auditor Informtico sonfundamentales en el desarrollo de sistemas.

1.6. PERSONALEs fundamental y todas las Organizaciones lo deben tener en cuenta, que el disponer depersonal honesto e idneo para prestar el servicio informtico considerando lossiguientes aspectos en forma particular: Contratacin. Evaluacin. Compromiso. Idoneidad. Poltica de Personal. Rotacin.



7/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas Personal Imprescindible.

1.6.1. Pautas a tener en cuenta para la asignacin del Personal en funcionesclaveEl personal clave dentro de una organizacin debe estar asociado con distintos valoresfundamentales desde su contratacin, ya que su intencionalidad puede ser el riesgo msalto al que se puede exponer a la misma.En orden de frecuencia, las amenazas ms comunes creadas por el factor humano son: Errores de programacin. Intrusos no autorizados. Personal autorizado maligno. Atacantes externos.El personal autorizado constituye el problema ms comn y tambin el ms complicado.Cuando se trata de un usuario autorizado los problemas de seguridad pueden resultar

difciles de detectar, probar y registrar; y con cualquier accin correctiva, se corre elriesgo de traumatizar a toda la organizacin.

1.6.2. Polticas de contratacinToda organizacin debe contar con procedimientos de contrataciones bien estructuradosy se deben aplicar evitando la flexibilidad.Las caractersticas ms importantes a tener en cuenta son: Referencias Antecedentes Pruebas psicolgicas Revisin mdicaLa verificacin de antecedentes normalmente se pasa por alto, debido a que lasempresas se muestran renuentes a proporcionar referencias tiles debido a razoneslegales o de otra ndole.Las empresas de seguro o informes pueden ofrecer ayuda en el proceso de verificacinde antecedentes.En aras de la seguridad se debe tornar rutinaria la obtencin de antecedentes delpersonal.El uso de pruebas psicolgicas dentro de un proceso de contratacin constituye unimportante valor potencial, ya que aportar elementos que ayudarn a conocer: Actitudes.

Valores sociales Opiniones Estabilidad generalLos exmenes mdicos permiten evaluar el estado fsico de un individuo como astambin las actitudes y estabilidad del personal a contratar. Se deber analizar lahabilidad de manejarse ante situaciones de estrs, muy especialmente cuando estasituacin forma parte de la exigencia del puesto.Se recomienda la poltica de realizar exmenes mdicos por lo menos una vez al ao.

1.6.3. Evaluacin del desempeoLa actividad de evaluar el desempeo puede cooperar con la seguridad en forma

significativa ya que sirve para evaluar problemas de tipo personal y la organizacin,



8/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemasayudando a detectar problemas de tipo personal y/o de comportamiento que afecten laseguridad debido a accidentes o ataques deliberados.

1.6.4. Entrenamiento del personal para el cumplimiento de la poltica de seguridadinformtica.Todo el personal que tenga vinculacin con la Tecnologa de Informacin debe serentrenado respecto al cumplimiento de lo especificado en la Poltica de SeguridadInformtica.Este entrenamiento debe orientarse a destacar las responsabilidades individuales de cadafuncionario, al cuidado preventivo de los activos relacionados con las Tecnologas deinformacin (datos, sistemas, equipamientos, soportes, redes, etc.), a la capacidad derespuesta ante eventuales incidentes o contingencias, y a la deteccin y respuesta asituaciones anormales.Cada agente deber ser provisto de una copia.El personal de operaciones del rea de procesamiento de datos debe recibir en forma

peridica, capacitacin respecto a los controles y los procedimientos de seguridad.1.6.5. compromiso del personalSe debe obtener un compromiso firmado por parte del personal respecto alcumplimiento de las medidas de seguridad definidas en la Poltica de SeguridadInformtica, destacando especialmente el mantenimiento de la confidencialidad de lascontraseas, la no divulgacin de informacin institucional, el cuidado de los recursos,la utilizacin de software sin licencia y el reporte de situaciones anormales.Este compromiso debe ser confirmado anulamente o cada vez que se produzcancambios en las tareas asignadas al personal.

1.7. Formulacin de programas especficosDeben realizarse y documentarse programas de anlisis de riesgos con el fin dedeterminar los aspectos que resulten crticos para el cumplimiento de los propsitos yobjetivos perseguidos. Deben definirse procedimientos para implementar lasinteracciones entre la poltica y los programas especficos, detallando la modalidad ypersonal encargados de las comunicaciones en ambos sentidos.



9/42


2) Seguridad Fsica y Lgica.En toda Gerencia que tenga la responsabilidad por su incumbencia funcional de Administrar los recursos informticos de una institucin debe realizarlo en base a laexistencia de normas de seguridad; analizando la importancia que hoy tienen lossistemas de informtica en las Instituciones, en particular las financieras, bancarias,seguros, administradoras de fondos de pensin, etc, obtendramos como conclusin quecualquier recaudo tomado en este sentido es poco para evitar el impacto institucional.Los riesgos y la interrupcin del servicio, tienen que ser tomados muy en cuenta porqueel impacto que presentan sobre la actividad comercial son muy significativos. Por endeal evaluar los riesgos a que estamos expuestos y el costo de las medidas a tomar lostendremos que comparar contra el impacto que tendramos si esto ocurre.Si bien la posibilidad de enumerar normas estndares de seguridad son variables ycostosas, es necesario determinar una primera agrupacin global que abarque lossiguientes aspectos:

2.1. Seguridad Fsica.Este es uno de los primeros aspectos que fue tenido en cuenta, a partir de la dcada delos setenta, por las Instituciones y Empresas cuando incorporaban la Informtica.La concientizacin en este sentido no solo fue producto del accionar de asesores en lamateria sino tambin las exigencias que las empresas proveedoras ponan comocondicin para instalar un computador.Elementos de seguridad tales como: instalacin elctrica, espacio entre los equipos,correcto cableado, etc., eran uno de los aspectos solicitados. Tambin lo eran alarmas,detectores y seguros a fin de proteger los equipos ya que estos eran alquilados a lasempresas proveedoras.

El equipamiento es uno de los bienes o elementos informticos que ms debemos teneren cuenta en la preservacin del servicio informtico.Los aspectos que hoy consideramos primordiales tener en cuenta en el ProcesamientoElectrnico de Datos son:

2.1.1. Ubicacin de las instalaciones de procesamiento de datos y dealmacenamiento de la informacin.La determinacin de la ubicacin de las salas donde se realizar el procesamiento dedatos y donde se mantendrn los medios de almacenamiento de la informacin, ascomo la identificacin de las medidas de seguridad necesarias para protegerlas, debebasarse en un completo anlisis de las caractersticas de la zona geogrfica,

considerando las amenazas naturales o por influencia del hombre como por ejemplo,posibles inundaciones, desordenes civiles, intercepciones en la transmisin de datos,etc..Estas consideraciones deben abarcar a todos los lugares donde se encuentren equipostecnolgicos sensitivos o los dispositivos auxiliares de soporte, como cableado, equiposgeneradores, dispositivos de red, almacenamiento de resguardos, etc.Todos los dispositivos de las instalaciones de procesamiento, incluyendo los circuitoselctricos, cableado telefnico, repuestos y elementos de reparacin, dispositivos deseguridad como detectores de humo, etc. Deben estar perfectamente documentados.



10/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas2.1.2. Acceso fsico a las instalaciones del computador.Debe identificarse todo el equipamiento informtico a fin de establecer medias deseguridad para restringir el acceso al mismo, acordes con su criticidad.Deben considerarse todos los dispositivos y equipos utilizados, como cableado, fuentesde energa ininterrumpida (UPS), equipos generadores de electricidad, equipos decomunicaciones, etc.El acceso fsico a las instalaciones donde se encuentra el equipamiento informticosensitivo, debe estar restringido solo a los agentes que lo requieran para llevar a cabosus tareas y que se cuenten con la debida autorizacin.Debe definirse un procedimiento para el ingreso y egreso de equipos o dispositivosinformticos a las instalaciones del computador, que contemple la necesidad de contarcon la autorizacin del responsable de la unidad encargada del procesamiento de lainformacin.Debe existir un procedimiento definido para el acceso de visitas a las instalaciones del

procesamiento de datos. Las personas ajenas al sector deben ser acompaadas por un

miembro del personal autorizado.2.1.3.Proteccin y mantenimiento de la seguridad contra incendios.Adoptar medidas de seguridad para la prevencin, deteccin y supresin de incendiosen las instalaciones del computador y todas las dems instalaciones donde haya recursosinformticos (cableados, UPS, caja de electricidad, etc.).Las normas y medidas para proteccin contra incendios implementadas, deben seracordes con las normas generalmente aceptadas para tal tipo de actividades; detectoresde humo, alarmas para intrusos, alarmas para incendios, escapes de gas, elctricas yexcesos de humedad, especificaciones del fabricante, guardas de insumos, etc.Peridicamente se debe realizar un mantenimiento preventivo y prueba de los

dispositivos de seguridad para la prevencin, deteccin y extincin del fuego.

2.1.4.. Mantenimiento del equipamiento informtico y de comunicaciones.Deben adoptarse procedimientos de mantenimiento preventivo para asegurar eladecuado funcionamiento de los equipamientos aplicados a las tareas de procesamientoy de comunicaciones informticas. Esto incluye la administracin de las garantas,servicios contratados de apoyo, previsin de suministros y repuestos, etc.

2.1.5.Provisin de energa elctrica alternativa.Deben instalarse dispositivos y/o equipamientos alternativos que aseguren la provisin

de energa elctrica continua (UPS, generador), a fin de evitar interrupcionesimprevistas en el procesamiento de datos, prdidas de informacin o deterioro deequipamientos y/o dispositivos si se produjeran cortes o cadas de niveles adecuadas enel suministro de energa.

2.1.6.Condiciones ambientales de las instalaciones de los equipamientos.El rea donde se hallen los equipos utilizados para el proceso de datos debe contar conadecuadas condiciones ambientales para permitir el adecuado funcionamiento de losequipos y desempeo de los agentes, considerando temperatura, ventilacin, aguapotable, etc.



11/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas2.1.7. SegurosRiesgos a tener en cuenta: Propios de los edificios y el personal

Fuego

Terremoto Inundaciones Tumultos Daos por causas internas Hay riesgos que no se aseguran

Propios de los sistemas Instalacin Hardware Software Datos/sistemas Corte del servicio Personal Interrelacin entre administracin y sistemas

Considerar aquellos concurrentes y/o complementarios a la actividad informtica.

2.1.8. Proteccin de de resguardos datos y sistemas.Uno de los elementos primordiales y tradicionales que se debe considerar en cuanto a laproteccin fsica es el que se refiere a la informacin almacenada en medios magnticosabarcando los siguientes tpicos: Almacenamiento de seguridad en un lugar distante.

Identificacin y control de archivos Precisin de los archivos. Acceso fsico restringido. Estructura y metodologa de resguardos. Auditora y control.Esto posibilita la continuidad del procesamiento de datos, ante distintas situaciones a lacul se expone cualquier tipo de organizacin permitiendo efectuar los siguientesprocedimientos: Volver a arrancar todas las cadenas de proceso interrumpidas por: Falla de fluido

elctrico, fallo del software, etc.

Corregir un fallo de un soporte fsico como por ej.: un disco ilegible que obliga asu sustitucin fsica, adems de la recarga de su contenido a partir de una copia deseguridad.

Arrancar de nuevo un emplazamiento exterior en caso de destruccin total delequipamiento de produccin (comnmente llamado Back-up del equipamiento).

Responder a obligaciones legales en materia de archivo para cumplir conobligaciones comerciales, contables, fiscales, etc.)

Elementos principales a proteger a travs de los resguardos o Backups: Software de base. Software y datos de aplicaciones en produccin. Software y datos de aplicaciones en desarrollo y mantenimiento.



12/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de SistemasEn definitiva preservar la informacin de la organizacin, por ende su ms valiosopatrimonio.

Estructura y metodologaSi bien no existe una nica recomendacin de cmo se deben estructurar las copias deresguardo las mas usuales y tradicionales son :1. Estructura abuelo, padre, hijo.2. Resguardo de archivos diarios parciales y completos por semana.



13/42


2.2. Seguridad Lgica.

2.2.1. Propiedad de la informacin.Se debe definir y asignar la propiedad de los datos y sistemas computarizados deinformacin, a los responsables funcionales de las operaciones y procesos.

2.2.2.Clasificacin de la informacin.Toda la informacin manejada por el organismo debe estar clasificada en niveles deacuerdo a su sensitividad, se propone; Pblica, Restringida y Confidencial.Para cada nivel de sensitividad deben definirse medidas de seguridad con una adecuadarelacin costo-beneficio.Los propietarios de la informacin deben clasificar los datos en los nivelesespecificados, considerando las medidas de seguridad a implementar sobre cada nivel afin de prevenir errores, exposicin o actividades no autorizadas.

2.2.3. Restricciones de acceso lgico.En todos los accesos a la informacin debe identificarse al individuo responsable y debeverificarse su autorizacin para acceder a ese tipo de informacin.El acceso a los sistemas debe limitarse a travs de controles programados de manera quesolo los funcionarios y perfiles autorizados tengan la posibilidad de ingresar.Aunque desarrollemos el mejor Sistema de Informacin si este no tiene previsto uncorrecto nivel de acceso, el sistema irremediablemente es malo y no se debe recomendarsu uso.Se deben establecer reglas automatizadas que gobiernen el acceso a todos los recursosinformticos sensitivos, abarcando sistemas de aplicacin, software de base, sistemas

de administracin de bases de datos, sistemas de administracin de redes, sistemas deadministracin de la seguridad, etc.El acceso lgico a la informacin computarizada debe estar restringido mediante ladefinicin de perfiles que abarquen los permisos mnimos requeridos para poder llevar acabo las tareas asignadas a cada puesto de trabajo, y la utilizacin de tcnicas deidentificacin y autentificacin individuales y seguras.La eleccin del procedimiento de identificacin y autentificacin debe basarse en lasensitividad de la informacin a proteger manteniendo una adecuada relacin de costobeneficio.El acceso lgico a los recursos informticos crticos debe limitarse, adems delprocedimiento de identificacin y autentificacin seleccionado, mediante otras tcnicas

como las restricciones de ubicacin, horario, roles o transacciones.Los permisos de acceso a los datos definidos deben incluir la especificacin de lamodalidad de acceso : lectura, escritura, ejecucin, borrado, etc.Debe definirse un rea de trabajo lgica para las principales fases del ciclo de vida delos sistemas (desarrollo, prueba, produccin) protegiendo a los programas y datosalmacenados en cada una mediante la restriccin de los accesos al personal autorizado.

2.2.4.Contraseas.Las claves de acceso que se utilicen deben ser individuales para cada uno de los agentescon acceso permitido a los sistemas de procesamiento de datos.En los casos en que se utilicen contraseas para la autenticacin de la identidad de losusuarios y el entorno de procesamiento lo permita, las claves deben contar con las



14/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemassiguientes caractersticas mnimas de seguridad: rotacin obligatoria cada 60 das,longitud de 6 caracteres e imposibilidad de repetir las ltimas 12 contraseas.Debe implementarse un procedimiento automtico para inhabilitar a los usuarios querealicen hasta tres intentos de acceso fallidos.El archivo donde se almacenan las contraseas, as como la informacin que permite

efectuar la autenticacin de los usuarios, debe ser protegido con el mximo nivel deseguridad disponible.La identificacin de los usuarios (User ID) debe definirse de acuerdo a una normahomognea para todo el organismo, que permita identificar unvocamente a cada agentecon acceso permitido a los recursos informticos.

2.2.5.Responsabilidad de los usuarios.Todo el personal con permiso de acceso a los recursos informticos deben firmar uncompromiso que especifique su responsabilidad en la utilizacin de sus derechos deacceso a la informacin, y la obligacin de mantener la confidencialidad de sus

contraseas y de no compartir los elementos utilizados para el control de acceso, comopor ejemplo tarjetas magnticas.

2.2.6.Registro de actividades.Sobre el procesamiento de aplicaciones sensitivas, se debe mantener un registro de lasactividades o rastro de auditora que almacene suficiente informacin como parapermitir identificar al responsable de cada evento y reconstruir sucesos, as comodetectar intrusos y/o analizar problemas.El archivo donde se almacene el registro de actividades debe contar con las medidas deseguridad suficientes como para asegurar su integridad y confiabilidad.Debe desarrollarse e implementarse un procedimiento para revisar peridicamente el

registro de actividades, ya sea en forma automtica o manual, a fin de detectar yresolver las situaciones anormales.

2.2.7.Encriptamiento.Para todos los caso en que sea necesario establecer fehacientemente la responsabilidadpor las transacciones, es decir asegurar la autenticidad del emisor, deber utilizarse elsistema de encriptamiento de claves donde las dos partes involucradas compartan unaclave pblica y posean cada una, su correspondiente clave secreta. Esta tcnica deberutilizarse en situaciones en las que no pueda establecerse otra forma la confianza en laotra parte, tanto para comunicaciones internas como externas de la institucin.Los sistemas criptogrficos deben estar protegidos por el mximo nivel de seguridad

posible.Debe existir un procedimiento para la administracin segura de las claves en lossistemas criptogrficos implementados.

2.2.8. Virus informticos. Prevencin.Se deben implementar medidas para la prevencin, deteccin o limpieza de virusinformticos u otros programas destructivos, sobre todos los equipos que pudieran estarexpuestos a este riesgo.



15/42


2.3. Administracin de la seguridad.

2.3.1. Administracin de los permisos de acceso.Se debe definir un procedimiento para la administracin de los permisos de acceso delos usuarios tanto fsico como lgico, que contemple el caso del personal temporario(contratados, proveedores y clientes). Este procedimiento debe exigir la autorizacinescrita de la habilitacin de los permisos de acceso, por parte del propietario de lainformacin y del superior del usuario.Los permisos de acceso fsico y lgico definidos deben ser revisados peridicamente afin de verificar su adecuacin respecto a los requerimientos operativos de cada puestode trabajo, analizando las modificaciones en la estructura orgnica o en las funciones.Debe existir un procedimiento para dar de baja los permisos de los funcionarios quedejan de prestar funciones en el organismo, o que cambian su asignacin.

2.3.2. Pruebas sobre las medidas de seguridad.La efectividad de las medidas de seguridad fsica y lgica implementadas debe serevaluada y probada peridicamente, en horarios normales de trabajo y en horas nohabituales.



16/42


3. Continuidad operativa.

3.1.Plan de contingencias.Debe existir un Plan de Contingencias y recuperacin ante Desastres documentado yaprobado por la alta Gerencia que garantice la continuidad operativa de los servicios deprocesamiento de la institucin, desarrollado en base a un completo anlisis de losriesgos que podran afectarla, donde se especifiquen las responsabilidades individualesy procedimientos a llevar a cabo en caso de eventuales siniestros. Asimismo debeestablecer un orden de prioridades para la pronta recuperacin de los datos y sistemasque son crticos para el funcionamiento institucional.Se debe designar un funcionario responsable de la implementacin del plan decontingencias.Este conjunto de medidas y acciones que se deberan tomar en forma rpida, precisa yoportuna en el caso de que ocurra una contingencia (Por ej. si sale de servicio un

servidor del centro de procesamiento de datos).Cada Institucin califica la verdadera exposicin a la que esta expuesta y en funcin aella propone y pone en prctica distintas estrategias y tcticas que permitan establecerlas normas de proteccin adecuadas.

3.1.1. Instrumentos para su formalizacin. Ejemplos..Cuestionario con el fin de determinar la evaluacin de riesgos institucional.Participacin de las gerencias de la institucin en la determinacin de contingencias Estamos preparados para enfrentar distintas catstrofes de envergadura?Qu podra pasar si no existe una adecuada proteccin de los diferentes sistemas

computacionales?Qu ocurrira si cualquiera pudiese acceder a los sistemas computacionales?Qu peligros existen si no se controla el hardware y software?Qu sucedera si se fuga informacin estratgica hacia la competencia?Qu sucedera si no estuviesen disponibles los sistemas por un tiempo prolongado?Qu pasara si no tuviramos polticas, normas y procedimientos adecuados?

En resumen: mantendramos nuestros clientes y proveedores ?, Perdonarn nuestros atrasos los organismos de contralor externo?,en definitiva sobreviviramos financieramente, cuanto tiempo?

Tipos usuales de contingencias. Salidas de servicio de los sistemas (hardware y software). Corte prolongado de energa elctrica. Inconvenientes o desperfecto en las redes de comunicaciones. Incendios. Catstrofes.

Aspectos bsicos a describir en un plan de contingencias Copias adicionales de archivos y bibliotecas. Lugares alternativos de procesamiento. Responsables de normalizar el servicio.



17/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas Nuevos servicios de transporte y mensajera de la informacin, soportes, etc.. Convenio de back-up de equipamientos compatibles.

3.2. Pruebas sobre el plan de contingencias.Se deben efectuar pruebas peridicas sobre los procedimientos de emergenciasdefinidos en el plan, a fin de probar la efectividad del entrenamiento brindado alpersonal y de las actividades ante eventuales contingencias.Se deben efectuar pruebas peridicas sobre los procedimientos, equipos alternativos ycopias de resguardo especificadas en el plan de contingencias, a fin de asegurar suadecuado funcionamiento en caso de desastre.

Controles y evaluaciones a efectuar en las pruebas para los diferentes aspectos deuna contingencia.Ej. Segn la contingencia as ser el tiempo de normalizacin de la actividad.

De corto plazo Brindar un servicio de mnimaInmediatas Restablecer el servicio precariamentePosteriores Restablecer el servicio similar al anterior a

la contingencia

evaluar los problemas. determinar las medidas a adoptar. asignar recursos humanos. informar al resto de la organizacin. acondicionar un lugar fsico. utilizar el equipamiento para la contingencia. analizar las medidas a tomar para la normalizacin definitiva.

3.3. Previsiones alternativas.El plan de contingencias debe prever la ubicacin fsica, el equipamiento de respaldo yel software necesarios para restaurar las operaciones de procesamiento de informacinluego de la ocurrencia de un eventual desastre.El Plan debe prever el personal de programacin y operacin necesario para realizar lastareas de recuperacin y procesamiento luego de una eventual contingencia.

El plan debe prever la disponibilidad de mas de una fuente de aprovisionamiento deinsumos necesarios para utilizar en la reanudacin de las operaciones deprocesamiento.Deben establecerse procedimientos alternativos de procesamiento de datos en formamanual, que puedan utilizarse hasta que la unidad de procesamiento est en condicionesde restaurar sus operaciones.Es el conjunto de medidas para preservar nuestra instalacin de la accin de los factoresde riesgo.Si bien es cierto, como hemos descripto en puntos anteriores los aspectos referidos a laseguridad fsica, lgica y los controles a efectuar es algo que desde hace ya muchotiempo se le a prestado. Tambin es cierto reconocer naturalmente esta debilidad de

previsin ya que an en centros de alto nivel de tecnologa se siguen encontrandograndes deficiencias.



18/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de SistemasEstas deficiencias obedecen por lo general a la ponderacin del flujo eficiente deltrabajo como objetivo principal, relegando a la previsin de la seguridad a unsegundo plano arriesgando de esta forma la continuidad en el procesamiento.Si bien estos aspectos se supone que deben ser tenidos en cuenta en el principio de lainstalacin de un Centro de Procesamiento de Datos y antes que este se encuentre enproduccin, en general ello no ocurre. Es por lo tanto mas necesario planificar en formadinmica y cuidadosamente los factores claves que deben ser observados y generar lasnormas que ayuden a una revisin peridica de su correcto funcionamiento con el fin desalvaguardar las instalaciones.

3.4. Reconstruccin de la sede de procesamiento de datos.El plan de contingencias debe contener, cuando se estime necesario, los procedimentospara la reconstruccin de la sede de operaciones de procesamiento de informacin luegoque ocurra un desastre.

3.5. Actualizacin del plan de contingencias.El plan de contingencias generado debe ser revisado peridicamente a fin de asegurarque se mantenga actualizado respecto a las necesidades y caractersticas tcnicas yoperativas del organismo.

3.6. Personal.3.6.1. Seguridad del personal.El plan de contingencias debe incluir procedimientos de emergencia para garantizar laseguridad del personal, quien debe recibir capacitacin peridica en la utilizacin detales procedimientos.

3.6.2. Capacitacin del personal.Se debe brindar adecuado entrenamiento al personal responsable de llevar a cabo losprocedimientos de emergencia especificados en el plan de contingencias.Debe mantenerse documentacin completa y actualizada sobre los procedimientos deoperacin de los sistemas, equipo, dispositivos de hardware y software de base, a fin deprevenir la ocurrencia de errores y evitar la dependencia hacia determinado personal.

3.7. Copias de resguardo.Debe existir un procedimiento aprobado para generar copias de resguardo de toda lainformacin necesaria para las operaciones del organismo, incluyendo software de basey de aplicacin, y datos , de donde se especifique la periodicidad y el lugar fsico donde

se deben mantener los back ups generados.La periodicidad de la generacin de las copias debe ser acorde a la criticidad de lainformacin y a frecuencia de cambios.

3.7.1. Identificacin de las copias de resguardo.Las copias de resguardo generadas sobre medios de almacenamiento externos deben seradecuadamente rotuladas o etiquetadas en forma interna y externamente a fin depermitir una identificacin ordenada y segura.

3.7.2. Ubicacin de las copias de resguardo.



19/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de SistemasLa ubicacin de los resguardos debe contar con adecuadas medidas de seguridad, nodebiendo estar expuesto a las mismas contingencias que las instalaciones deprocesamiento, es decir que estos deben almacenarse en un lugar fsico diferente de lasinstalaciones de procesamiento de la informacin.

3.7.3. destruccin y traslado de copias de resguardo.Debe existir un procedimiento documentado que especifique los pasos a seguir para ladestruccin y el traslado de los medios de almacenamiento una vez que cumplieron suvida til.



20/42


4. Administracin de incidentes relativos con la seguridad.4.1. Procedimientos de respuesta ante la ocurrencia de incidentes.La ocurrencia de incidentes es una posibilidad que debemos evaluar constantemente,debiendo tomar las medidas y recaudos necesarios para que no se produzcan.

Como ante la eventualidad de cualquier hecho no solamente debemos tomar una medidaprotectora y luego no ocuparnos ms del tema, sino por el contrario debemos verificar ycomprobar que las medidas tomadas sean correctas, controlando el mal funcionamientoy perfeccionarlo de ser posible.Debe existir un procedimiento documentado para el manejo de incidentes relativos a laseguridad informtica, que centralice la administracin de los mismos y que cuente conadecuados medios de respuesta a los problemas reportados y comunicacin de riesgos alas reas de incumbencia.Debe definirse un rea responsable de atender en forma centralizada todos los reportesde incidentes ocurridos en la institucin.Debe llevarse un registro de los incidentes relativos a seguridad acontecidos en elorganismo, detallando el curso de accin seguido para su solucin, a fin de permitirseguir los pasos correctos en caos de reiterarse algn inconveniente.El mecanismo adoptado para el manejo de incidentes debe ser adecuadamentedocumentado y comunicado al personal. Asimismo, la respuesta de los responsablesante la solicitud de los usuarios debe ser gil y productiva.Esto permitir que los agentes de la institucin confen en el procedimiento y lo lleven acabo.Los eventos incidentales que se producen en cascada y no son oportunamentesolucionados constituyen potenciales accidentes.Ejemplo: Un reporte de corto circuito, no evaluado correctamente puede desembocar

en un accidente; persona electrocutada.Un accidente de posible ocurrencia, es una eventualidad contra la cual debemos estarconstantemente alerta.El tratar de evitar todas las causas a travs de una correcta instalacin elctrica contandocon disyuntores, etc., nos dar la tranquilidad de haber eliminado ese factor de riesgopotencial de incidentes.4.2. Actualizacin de la matriz de anlisis de riesgos.La conformacin de un repositorio de incidentes permitir tener informacincuantitativa y estadstica de las ocurrencias no deseadas (dimensin), o no previstasinicialmente, como as evaluar condiciones y situaciones nuevas debido a cambios queno fueron informados oportunamente.

4.3. Actualizacin de polticas y normas de seguridad.El nivel de incidencias demostrar si la estructura montada y las personas a cargo deejecutar la seguridad lo cumplen bajo ciertos niveles de cumplimiento que cumplan conlos fines perseguidos.



21/42


5. Operaciones y Soporte.Administracin de las configuraciones.Todos los cambios a la configuracin del hardware o software de base deben estarautorizados. Debe verificarse que no afecten a las medidas de seguridad establecidas.Debe realizarse el seguimiento y control del procesamiento computarizado generandoreportes con todas las situaciones de excepcin que se observen.Este anlisis debe realizarse de manera oportuna, promoviendo la investigacin de loscasos que presenten riesgos potenciales.



22/42


6. Seguridad en el desarrollo de sistemas.Durante el desarrollo de un Sistema debemos tener en cuenta mltiples aspectos yelementos de seguridad y cmo aplicar criterios de Seguridad Informtica.Rodear al Sistema de una adecuada proteccin para impedir el acceso a funcionarios noautorizados, definirlo con distintos niveles de autorizacin y de acceso, tener en cuentaperodos de retencin para los datos comprenden alguno de los aspectos que deberemostener en cuenta ya en el momento de su desarrollo.-Los desarrollos, el control de proyectos, la participacin de profesionales de auditora yseguridad configuran otro de los aspectos a considerar.Al construirse un Sistema de informacin basado en Computadoras se debe tener muypresente que el mismo debe contener controles y limitaciones, adems de una adecuadacobertura de seguridad que impida o atene la realizacin de ilcitos.Asimismo que existan controles que eliminen o disminuyan la posibilidad de cometererrores.

Como asegurarnos que un aplicativo no pueda ser llevado fuera del mbito de laInstitucin para su comercializacin?Debemos prever este tipo de delito tecnolgico, para el desarrollo y mantenimiento deSistemas deben existir normas y criterios que se apliquen para el control tanto en lafase de proyecto como de su operacin rutinaria.El trmino seguridad de las aplicaciones abarca todos los componentes delprocesamiento de datos, como los que no lo son.Por parte de procesamiento de datos se deben tener en cuenta los datos, programas y losarchivos. Los otros elementos a considerar dependen de la recoleccin de datos, controly distribucin, en definitiva se trata de la relacin estrecha entre el proceso y el usuario.Segn como son las organizaciones, la actividad que desarrollan y cual es el sistema en

cuestin, depender del nivel de seguridad que el mismo tendr.

6. 1. Nivel de seguridad de la Institucin . Actividad de la organizacin. Envergadura de la organizacin. Contexto jurdico y administrativo en el que se desenvuelve.

6.1.1. Relaciones externasa. Superintendenciasb. Banco Central

c. Organismos de Controld. Grandes empresas comercialese. otros

Bancos internacionalesBancos localesCompaias de segurosAFJPEmpresas multinacionalesEmpresas medianasOrganismos del Estado



23/42


6.1.2. Segn la actividad de las operatorias, tienen relacin con las reasfuncionales, como ser; Siniestros. Cobranzas. Gestin comercial. Inversiones financieras.

6.1.3. Tambin depende en la forma en que se construyen: Desarrollo interno Desarrollado por terceros

6.1.4. Tipo de previsin de riesgos, como ser: Prdida de programas fuentes. Acceso indebido a programas fuentes Identificacin de responsables. Deficiencia. Falta de resguardos actualizados Grado creciente de dependencia ( Caja Negra). Ilegitimidad. Ausencia de independencia de ambiente de produccin y desarrollo. Falta de adecuada documentacin sobre mantenimiento de sistemas.

6.2.Metodologa del CVDS.La misma debe contemplar la planificacin, diseo y administracin de medidas de

seguridad a lo largo de todo e proceso de desarrollo.Todos los sistemas de informacin deben ser clasificados de acuerdo a su nivel desensibilidad, teniendo en cuenta la informacin procesada y funcionalidad, aspectoslegales, polticas de la Institucin, etc.. La definicin del grado de criticidad de cadaaplicacin debe efectuarse lo mas cerca posible del inicio del ciclo de vida del sistema ypermitir establecer la necesidad de medidas de seguridad especiales.La fase de diseo del sistema debe contemplar las especificaciones respecto a medidasde seguridad, controles y pistas de auditoras a incluir en la aplicacin.Todas las medidas de seguridad especificada en el diseo del sistema deben serdocumentadas, probadas e implementadas.6.3. Cambios sobre los sistemas.

Debe establecerse un procedimiento para asegurar el control y autorizacin de todas lasmodificaciones practicadas sobre los sistemas. Este procedimiento debe contemplar laformalizacin de las solicitudes de cambios, el anlisis del impacto de los mismos, ladocumentacin, la restriccin del personal de desarrollo al ambiente de produccin y laaceptacin formal de los cambios efectuados, entre otros.Todos los cambios efectuados a los programas deben ser exhaustivamente probados porun funcionario que no forme parte del grupo de desarrollo en un ambiente diferente alde produccin, y probados y aceptados formalmente por la o las reas usuarias antes dela implementacin definitiva.



24/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas6.3. Sistemas aplicativos y seguridad informtica en operacin.6.3.1. Controles de parte del Usuario.El usuario es quien tiene la responsabilidad primaria de asegurar que los datosrecolectados para el procesamiento estn completos y sean precisos; tambin se debeasegurar que todos los datos se procesen y se incluyan en los informes que le regresan.En el anlisis final, no es aceptable culpar a los procesamientos computadorizados porlas decisiones que se basen en datos imprecisos.El usuario no puede evadir esta responsabilidad.La implantacin de controles puede ser costosa, por lo tanto debe hacerse unaevaluacin realista y pragmtica respecto de la posibilidad de que un riesgo especficoafecte un activo o bien al mecanismo que sirve para la toma de decisiones por parte dela direccin superior, y luego evaluar las eventuales prdidas si el hecho se llega aproducir y a partir de all confrontar el costo de implementar el control.De all determinamos la conveniencia de evaluar controles a implementar manteniendoel sistema dentro de la mayor sencillez posible.

A esto apuntan las tcnicas ms modernas que evitan la transcripcin manual de datos,por ejemplo: tarjetas magnticas, comprobantes con caracteres pticos o magnticos (Ej. cheques, cdigo de barras, boleta de servicios pblicos, etc.)

6.3.2. Control de DatosLa necesidad de controlar eficientemente el ingreso de los datos se pone en evidenciaante la circunstancia de que un dato incorrectamente ingresado puede llegar a recorrertodo el sistema en esas condiciones.En ese sentido es necesario tener en cuenta factores tales como: Complejidad del sistema. Volumen de datos a procesar. Mentalizacin del personal.Que ayudarn en la eleccin de los controles a implementar.Los controles limitarn la ocurrencia de errores y sus consecuencias apuntando adeterminar que todas las transacciones se hayan registrado correctamente en su puntode origen y sean transmitidas hacia el procesamiento.CONTROLES RESUELVEDisuasivos Impiden omisiones, abusos, siniestros, y

violaciones a secreto previo a lasoperaciones de entrada de datos (Ej.:tarjeta de crdito, bancaria, etc.).

Preventivos Actan en el momento del ingreso de datosrechazando los invlidos y obligando a sucorreccin previo al procesamiento dedatos (Ej.: Cdigo de Cuenta Corrientetipeada por un cajero)

Detectivos Advierten sobre errores producidos,permitiendo al sistema corregir elproblema.

Correctivos Acciones que permiten a un sistemaefectuar las modificaciones necesarias enel menor tiempo posible y de esa forma

mantener su capacidad de procesamiento.



25/42


26/42


7. Servicios contratados.Contratos con terceras partes.En los contratos donde se terceriza alguna de las actividades vinculadas alprocesamiento de datos del organismo, deben incluirse consideraciones para asegurar elcumplimiento de los objetivos de control referidos a Seguridad, especialmente respectoa la continuidad de los servicios, la confidencialidad de la informacin, laadministracin de la seguridad de accesos y el control sobre los cambios.



27/42


8. Seguridad en Redes informticas.Introduccin.Debemos considerar al hablar de seguridad en redes la visin de que una red es nicaen estructura, diseo, equipos, software y aplicaciones.Por lo tanto el ambiente en el cual funciona es variable en sentido operacional einstitucional, por lo que las guas y recomendaciones aqu presentadas en amplitud sonadaptables al momento de tener que implementarlas en diferentes entornos y ambientestecnolgicos.Apreciando sus distintos niveles podemos visualizar que abarcan todo el mbitoinformtico actual, alcanzando a grandes, medianas y pequeas empresas, hacindoseextensiva en todas las reas.Tipos de redesTipo de Red AlcancesLAN (locales) Local rea Network Son Redes localizadas en un rea

geogrficamente reducida, con topologay arquitecturas que las caracterizan.Operan a altas velocidades.

MAN( Metropolitanas) Metropolitanrea Network

Son redes expandidas por Laninterconectadas en un rea geogrficaextendida, tpicamente una ciudad.Operan en un amplio rango develocidades.

WAN ( Amplias) Wide rea NetworkWide

Son redes expandidas en un reageogrfica amplia, tpicamente un pas.Operan en un amplio rango de

velocidades e incluyen diversos mediosde enlace.Como consecuencia de ello, cada vez se vuelve ms necesario una proteccin eficaz auna indebida lectura, modificacin o prdida de datos.Los objetivos de un sistema se orientan a minimizar la oportunidad de intrusiones, larpida deteccin de las mismas y si es necesario, la reconstruccin del status de losdatos en el momento de la violacin.En definitiva la seguridad de una Red debe prever mecanismos adecuados para laidentificacin del usuario receptor y emisor as como controles de acceso a los recursos.Es importante que su administracin no sea engorrosa de implementar en funcin de sucrecimiento.

Como ltimo punto y no menos importante debe procurarse el seguimiento de su usobajo la forma de pistas de auditora.El solo conocimiento pblico de que hay una auditora corriendo constituye unimportante freno a las tentativas de violacin.

Necesidad de:IdentificacinAutenticacinEncriptado de datosControl de accesos a recursosAuditora



28/42


8.1. Servicios en Internet.Debido a que en plan estratgico aprobado por la superioridad de la institucin planificaen el mediano y largo plazo implementar servicios de redes extendidas. Todos losservicios provistos a los usuarios internos para acceder por Internet (telnet, ftp, etc.), ascomo para los usuarios externos a travs de la red interna, deben estar documentados ycorrespondientemente autorizados.

8.2. Capacitacin a los usuarios.Los usuarios de la institucin que utilicen servicios provistos a travs de la red Internetdeben recibir capacitacin especfica respecto a su funcionalidad y a los riesgos ymedidas de seguridad pertinentes.

8.3. Firewalls.En los caso en que se cuente con una conexin con la red Internet, debe implementarse

un Firewall que controle a la totalidad del trfico entrante y saliente de la red interna,prohibiendo el pasaje de todo el trfico que no se encuentre expresamente autorizado.El sistema operativo del firewall debe estar configurado de modo de garantizar que losusuarios o eventuales atacantes no puedan eludir los controles establecidos.Cada uno de los servicios prestados con relacin a Internet debe contar con una versinsegura (denominada proxy) en el firewall instalado.La configuracin del firewall implementado debe revisarse peridicamente y alproducirse cambios sobre los sistemas relacionados con Internet. Asimismo, todos loscambios que se practiquen sobre la configuracin deben estar autorizados.

8.4. Encriptamiento en forma sensitiva.

Toda la informacin calificada como confidencial o restringida que se transmita a travsde Internet entre la que se destacan las claves, deber encriptarse a fin de evitar suexposicin a individuos no autorizados.

8.5. Herramientas de anlisis de redes.Deben utilizarse herramientas que aseguren la administracin de la seguridad de lasredes, las que monitorean peridicamente en busca de posibles debilidades deseguridad, las cuales deben ser solucionadas.Segn como son las organizaciones, la actividad que desarrollan y cual es el sistema encuestin, depender del nivel de seguridad que el mismo tendr.



29/42


ANEXOS.

1. SEGURIDAD EN REDES.

2. ANLISIS DE RIESGOS.

3. SEGURIDAD FISICA.



30/42


3.Anexo1: Seguridad en redesCriterios para la definicin de la seguridadLa seguridad puede ser dirigida por tres fases:1. Minimizar la probabilidad de que una amenaza pueda concretarse.2. Minimizar el dao que pueda ocurrir.3. Recuperar la red fcil y efectivamente.

EncriptadoLa forma ms antigua y mejor conocida de encriptacin son los sistemas de clavesprivadas (por lo general un nmero) para disimular datos y mantenerlos en secretoaplicando un conjunto de operaciones matemticas.Los criptogramas de las revistas de crucigramas son ejemplos simples de esta tcnica.La encriptacin es la mejor forma de proteger uno de los productos econmicos msimportantes: La Informacin

El elemento ms importante cuando se utiliza un mtodo de encriptado en la clave perootros elementos que deben ser resguardados son los equipos, programas y algoritmos deencriptado.Los elementos ms importantes para la administracin de claves son: Tcnicas o mtodos de generacin de claves. Desempeo de las terminales. Distribucin de claves. Eliminacin y destruccin de claves.El administrador de Seguridad y el Auditor, debern asegurarse de que existe unadecuado mtodo de control sobre estos elementos y que estos se cumplan.1. La generacin de las claves debe hacerse en un lugar seguro y su conocimiento

debe ser limitado.

Desarrollar una poltica para la generacin de claves, indicando los responsables,estndares y frecuencias de cambio. Esta poltica tambin debe definir queinformacin va a ser encriptada y que nivel de seguridad requiere dichainformacin.

La generacin de las claves debe ser limitada a personal con niveles deseguridad confiables para la empresa.

Limitar la cantidad de personas que deben conocer estas claves. Mantener la documentacin de las claves y el algoritmo de encriptado en lugares

muy seguros. Los perifricos de encriptado deben localizarse en reas seguras y de acceso

restringido. Los cambios de las claves maestras, deben ser previamente aprobadas y

documentadas. El manejo de las claves debe ser especficamente asignado a un nmero limitado

de personas. Deben realizarse peridicos y sorpresivos controles sobre las claves, algoritmos

y personal encargado del manejo de las mismas.



31/42


2. La Distribucin de las claves debe ser controlado para asegurar una adecuaday necesaria distribucin.

El procedimiento de distribucin de clave maestra debe ser seguro y al menornumero de personas posibles.

Se debe confeccionar y mantener actualizada una lista con todas las personascon acceso a las claves y cualquier cambio debe ser autorizado.

El centro de distribucin de claves debe ser seguro y contar con un proceso deautenticacin de identificacin de los sectores en servicio que requieran el usode las claves.

Utilizar fechas y tiempos de expiracin de las claves. Emplear personal capacitado, cuando se requiera la implementacin de sistemas

de encriptado en lugares remotos.

Todos los algoritmos o claves debe ser almacenadas en lugares seguros.

3. Las claves y su documentacin deben ser destruidas para que no caigan en maluso.

Las claves deben ser borradas o destruidas cuando estas expiran o son retiradas. Debe haber un procedimiento que verifique que las claves han sido borradas y

destruidas. Toda la documentacin perteneciente a una clave que ha expirado o ha sido

borrada, debe ser destruida y verificar fehacientemente su destruccin ( con laintervencin de dos personas).

Se debe evaluar:Nivel de seguridad necesarioComplejidad del mtodo utilizadoTamao y control de las clavesTasa de errores en el proceso de encriptadoEl volumen y tamao de los mensajes a ser encriptados



32/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de SistemasSeguridad e Integridad en una Red: Matriz de Riesgos.

Categora/ Riesgo Expuesto a

UbicacinAcceso desautorizado . Destruccin de datos

. Acceso a informacinconfidencial

PersonalErrores y omisiones . Inexactitud en la

InformacinIngreso de datos inexactos intencionalmente . Entradas ineficientesInhabilidad de uso . Reportes inexactos

Fraude . Prdidas variasTransmisinErrores de lnea . Inexactitud de la

InformacinErrores de hardware . Pobre performance

Software de comunicacionesCambio de modificaciones impropias . Ineficiente operacin

. Falta de integridad en lainformacin

Poca calidad en el soft . Prdida de calidad yexactitud

Software de aplicacionesProcesamiento impropio . Informacin inexactaErrores y omisiones . Informacin incompletaModificacin . Operacin ineficiente

ArchivosAccesos desautorizados . Compromiso de datosRecuperacin fallida . Prdida de datos

Modificacin . Prdida de laconfidencialidad y/oprivacia

Destruccin . Prdida o reduccin de laintegridad de la Base dedatos

HardwareFallas . Inexactitud de lainformacin . Inoperabilidad del negocioVandalismo . Ineficiente operacinObsolescencia . Pobre performance



33/42


Anexo 2. Anlisis de riesgos.

1. AccidentesLa ocurrencia de un accidente en la instalacin es una posibilidad que debemos evaluarconstantemente, debiendo tomar las medidas y recaudos necesarios para que no seproduzcan.Como ante la eventualidad de cualquier hecho no solamente debemos tomar una medidaprotectora y luego no ocuparnos ms del tema, sino por el contrario debemos verificar ycomprobar que las medidas tomadas sean correctas, controlando el mal funcionamientoy perfeccionarlo de ser posible.Un electrocutado ( un accidente de posible ocurrencia) es una eventualidad contra lacual debemos estar constantemente alerta. El tratar de evitar todas las causas a travs deuna correcta instalacin elctrica contando con disyuntores, etc., nos dar la tranquilidad

de haber eliminado ese factor de riesgo.

2. Catstrofes naturalesHay lugares que estn ms expuestos que otros a la ocurrencia de una catstrofe natural;en nuestro pas por ejemplo hay ciudades que han sufrido inundaciones o terremotos.Si bien en la Ciudad de Buenos Aires no hay peligro de terremoto y desborde del Ro dela Plata por una sudestada es poco probable que afecte zonas de oficinas, inundacionespor lluvias han producido problemas de anegamiento en algunas zonas de la Capital y elGran Buenos Aires.En algunas ciudades del interior se han producido grandes inundaciones y se tiene

conocimiento de centros de Cmputos que han sido gravemente afectados por estasdesgracias naturales.

3. IncendiosLa abundancia de material combustible (papeles, insumos, alcohol isoproplico, etc.)con la presencia de instalacin elctrica es uno de los riesgos a los que debemos prestarms atencin.

4. Errores de utilizacin u operacin de los sistemas informatizados deinformacin.Cuando no existen Manuales de Usuario o de Operaciones y no se ha capacitado

correctamente al personal se pueden presentar problemas con respecto al manejo yutilizacin de los Sistemas.Tambin es posible que los mismos ocurran producto de una actitud de sabotaje.No ser la primera vez que un operador renuncia a su trabajo y se lleva ladocumentacin, o el conocimiento porque nunca se document.



34/42


5. DelitosLa utilizacin de la Informtica es algo que de por s representa un valor agregado a laactividad, es por ello y porque los elementos y aspectos que lo rodean son de valor quehacemos hincapi en el funcionamiento correcto de nuestros recursos Informticos.Actualmente los medios periodsticos dan mucha difusin a las acciones ilcitas querodean a la actividad informtica. Incluso a veces el sensacionalismo puede exponer auna empresa a la duda de sus clientes.Si se publica que en el Banco XX, empleados deshonestos utilizaban los equipos decomputacin para adulterar los saldos de las cajas de ahorro. Seguramente los clientesse replantearan seguir operando con esa Entidad y se ver afectada su cartera dedepsitos.De la misma forma las operaciones de tipo corporativo, especficamente con lasempresas, prestan especial atencin a la seguridad con que las instituciones deservicios aseguran sus operaciones.

Que se conozca la deuda de un cliente particular es grave, pero en el caso de serperteneciente a los activos de una empresa tiene consecuencias muy graves.Tipos de Delito La depredacin o robo de elementos fsicos. La destruccin de archivos. La adulteracin de registros. La difusin de informacin. El acceso no autorizado a travs de las comunicaciones. El robo de un sistema. La utilizacin de software no autorizado.Activos Informticos El Equipamiento. El Software Original. Los Sistemas Desarrollados. Las Claves de Acceso a los Sistemas. La Metodologa de Trabajo. Los Datos: Nuestros y De los Clientes o Usuarios. Los Listados y Comprobantes que se Desechan. La continuidad del servicio.Actualmente los datos constituyen un patrimonio que no es ni tangible ni activable, perode altsimo valor. El conocimiento por parte de la competencia de informacin

financiera o contable de cualquier empresa puede constituirse en una situacin designificativa exposicin.Si mantenemos datos de nuestros clientes y usuarios, la difusin de esta informacinperjudicar no solo a ellos sino tambin nuestra imagen, al margen de los daos yperjuicios que debemos afrontar.En algunos casos como las empresas que brindan informacin sobre particulares, suprincipal patrimonio son los datos. Por lo tanto debern protegerlos de los robos y de lasadulteraciones de personal deshonesto.La utilizacin de software no autorizado tiene implicancias legales y compensacioneseconmicas que debemos afrontar. Adems la posibilidad de ser noticia periodstica nosdebe alentar a no tomar actitudes de este tipo.



35/42

Polticas de Seguridad Informtica Segundo documento de trabajoelevado al Comit de Sistemas6. La matriz de riesgo informtico.6. 1. Cmo construirlaLa construccin de un elemento grfico como este nos facilita el anlisis de losproblemas que se pueden presentar y su impacto econmico.De la evaluacin de los riesgos resultar las medidas que se tomarn para su correccin,las que pueden ser: Totales Parciales OtrosPara su construccin se deber volcar en forma vertical los RIESGOS que puedenocurrir, menores prdidas en la parte superior y mayores en la inferior, horizontalmentese ubicarn de izquierda a derecha segn su frecuencia.

FrecuenciaPoca Mucha

Cada deEquipoVirus

Accidentes

InunDacin

Incendio

BajaPrdid

aAlta

Terremoto



36/42


7. Matriz de riesgo por sistemaDel conjunto de Sistemas Informatizados de Informacin se debe determinar cuales sonms crticos para prestarle mayor atencin y evaluar si los controles son los apropiados.

7.1.Elementos a tener en CuentaHay varios aspectos a tener en cuenta para la determinacin de la criticidad de losSistemas Informatizados de Informacin los que detallamos a continuacin clasificadospor su nivel de criticidad: Han ocurrido fraudes. Mueve dinero. Mucho mantenimiento. Transacciones de montos importantes. Ingreso de usuarios de otras empresas.

Muchas transacciones Cmo se procesa. Muchas pantallas de ingreso de datos. Muchos usuarios. Utiliza comunicaciones.

7.2. Valuacin del Riesgo por AspectoA cada uno de los Factores de Riesgo explicitados para los Sistemas, le debemos asociarun valor de ponderacin lo que nos ayudar a centrar nuestro esfuerzos en elseguimiento de los problemas atinentes.A continuacin detallamos estos valores de ponderacin: Han ocurrido fraudes 10 Mueve Dinero 10 Mucho mantenimiento 10 Transacciones de montos importantes 10 Ingreso de usuarios de otras empresas 10 Muchas Transacciones 8 Como se Procesa:

a. En Tiempo Real 8b. En forma Batch 6

Muchas pantallas de ingreso de datos 6 Muchos Usuarios 4 Utiliza comunicaciones 4

7.3.Determinacin de la matriz por sistemasPor cada uno de los Sistemas se debe establecer cada uno de los aspectos que se handetallado en el punto anterior, una vez establecido se deben volcar en forma matricialcolocando cada una de las valuaciones y realizando la sumatoria por cada Aplicacin.Una vez obtenida el total por Aplicacin debemos ordenarlas por puntaje de mayor amenor, as podremos construir la matriz ponderada por Mayor Nivel de Riesgo.



37/42


Sistema A B C D E F G H I J K Total

5 10 2 8 6 4 10 4 1 501

23456789

10

A 1B 2C 3

D 4E 5F 6G 7H 8I 9

J 10



38/42


Anexo 3: Seguridad fsica.

Es el conjunto de medidas para preservar nuestra instalacin de la accin de los factoresde riesgo.

La seguridad fsica y los controles a efectuar es algo que desde hace ya mucho tiempose le a prestado demasiada atencin, pero al mismo tiempo todos sabemos que porreconocer naturalmente esta debilidad muchas veces y en Centros de Cmputos de altonivel se siguen encontrando grandes deficiencias.Estas deficiencias obedecen por lo general a la ponderacin del flujo eficiente deltrabajo como objetivo principal, relegando a la seguridad a un segundo planoarriesgando de esta forma la continuidad en el procesamiento.Ya que este aspecto debe ser tenido en cuenta en el principio de la instalacin de unCentro de Procesamiento de Datos y antes que este se encuentre en produccin, se debeplanificar cuidadosamente los factores claves que deben ser observados y generar lasnormas que ayuden a una revisin peridica de su correcto funcionamiento con el fin desalvaguardar las instalaciones.Los puntos de chequeo mnimos a efectuar deben ser los siguientes:1. Ubicacin y Construccin.2. Energa Elctrica.3. Accesos.4. Catstrofes Naturales.5. Alarmas/ extintores.6. Criterio de resguardos.

1. Ubicacin y Construccin

La ubicacin de las instalaciones principales debern estar ubicadas lejos de las reas detransito de gran escala a efectos de salvaguardarla de los riesgos inherentes a la cercanade personas o cosas, por lo general este requisito interfiere con la eficiencia del flujo detrabajo pero es indispensable para conservar una adecuada seguridad, mitigando losriesgos y reduciendo la exposicin.En cuanto a la construccin, los administradores han aprendido poco acerca de losrequisitos de diseo para las instalaciones informticas, por otra parte los arquitectosrara vez son expertos en los principios de diseo de las instalaciones que contemplen unalto nivel de seguridad, quizs por este motivo se realizan malos diseos.Se debe priorizar una adecuada ubicacin orientndose no solo a la salvaguarda delmismo, sino que tambin garantice un buen mantenimiento y acceso a todos los

procedimientos de proteccin y deteccin de distinta ndole.Aspectos a tener en cuenta Lejos de reas de transito. Lejos de ventanas. Que no de al exterior. Elementos no combustibles. Puertas de seguridad.



39/42


2. Energa Elctrica

El suministro de energa es de fundamental importancia debindose apuntar a conservarla continuidad del servicio y su estabilidad.

Es de priorizar el apoyo a los elementos componentes de los sistemas de informacin,como as tambin a los dems elementos que hacen a su proteccin como ser el aireacondicionado y los distintos sistemas de alarma.Es de destacar que para el caso de redes y terminales distribuidas dentro de laorganizacin, se hace dificultoso su mantenimiento, pero se debe vigilar y dar atencina los elementos claves de los componentes de la red.A) Tener ms de una lnea de alimentacin.B) Fuentes de poder alternativas: Generadores Ups (Unit Power System)

C) Alarmas con respecto al servicio: Amperaje Voltaje, etc. Estabilizadores Luz de emergencia

3. Accesos

En cuanto a los accesos al centro de cmputos, se debe prever el control que permitirprotegerlo contra: dao, uso no autorizado, perdida de informacin o modificacin de lamisma.

Este aspecto en especial debe ser estudiado para poder definir las polticas a seguir paradotar a la instalacin a los controles que a continuacin se detallan: Restriccin de acceso a instalaciones. Mantener un estricto control de personal autorizado a acceder. Evaluar el o los medios de acceso durante las distintas horas del da. Procedimientos para el acceso de terceras personas. Dotar a las terminales de claves de acceso,password, o por tcnicas similares. Identificacin de los usuarios y efectuar controles sobre los mismos para verificar

que laspasswords no son transmitidas a otros individuos. Que laspasswords sean cambiadas en forma obligatoria en periodos a determinar.

Vigilar los procedimientos de anulacin y/o cancelacin depasswords en elmomento adecuado.

Tener establecidos planes de seguridad de acceso, vigilar su cumplimiento yverificar si los mismos son lo suficientemente detallados, comprensibles y han sidosometidos a pruebas.



40/42


4. Catstrofes Naturales

En muchas partes el riesgo de inundacin es algo comn causando daos considerables,es en estos lugares de riesgo que se debe optar por ubicar al Centro de procesamiento dedatos en lugares altos en estructuras de varios pisos.No por lo descripto solamente se evitarn daos por inundacin, ya que estas hanocurrido cuando esta situacin es provocada por rotura de caeras y obstrucciones dedrenaje.Es por esta razn que se debe extremar los cuidados en la ubicacin del centro deprocesamiento de datos evitando la cercana de caeras y distintos tipos de conductoresde este tipo de elemento.De no ser posible se debern instalar detectores de agua o inundacin, como as tambinla ubicacin estrategia de bombas de emergencia para evitar inundaciones inesperadas.



41/42


5. Alarmas / Extintores (estas consideraciones se deben mantener actualizadas conlos proveedores)Deteccin: Alarmas detectoras de humo, Alarmas detectoras de calor.Extintores: Extintores que se accionan automticamente, Rociadores de agua (paraalgunos de los lugares de la instalacin), Extintores manuales.

Extintores para distintas clases de Fuego(Ej.)

CLASE DE FUEGO AGUA AGUA YAFFF

ANHID.CARBO.

POLVOABC

POLVOBC

HALON1211BCF

POLVO SECO

A Materiales queproducen brasas(madera, papel,cartn y otros)

SAccin deenfriamiento

SEnfra ysofoca

NONo apagaeste tipofuegos

SISe fundesobre loselementos

NONo esespecficopara ese

uso

SIAbsorbeel calor

NONo es especfico para eseuso

B Lquidosinflamables(naftas, alcoholesy otros)

NOEsparce elcombustible

SiSofocapor mediodeespumigeno

SiSofoca a ldesplazarel oxigeno

SiRompe lacadena decombustin




C Equiposenergizadoselctricamente

NOConducelaelectricidad

NOConducelaelectricidad

SiNo esconductordeelectricidad





D Materialescombustibles(aluminio,magnesio y otros)

NONo esespecficopara eseuso






SIEs necesario utilizar elpolvo adecuado para cadariesgo

SI No es No peligroRecomendable

Caractersticas MATAFUEGOS MANUALES MATAFUEGOS RODANTES

Capacidad 1Kg. 2

Kg. 5Kg. 10Kg. 25Kg. 50Kg. 70Kg. 100Kg.Modo de Uso Quitar el precinto y la traba. Colocarse a distancia

conveniente del fuego ysegn tipo y capacidad deextintor.

Oprimir la palanca deaccionamiento

Dirigir el chorro a la base delfuego.

Quitar el precinto y la traba. Desenrollar la manguera Colocarse a distancia

conveniente del fuego ysegn tipo y capacidad deextintor.

Accionar la palanca de lavlvula del recipiente.

Abrir la vlvula de salida delextremo de la manguera.

Dirigir el chorro a la base delfuego



42/42


6. Criterio de resguardos

Uno de los elementos primordiales y tradicionales que se debe considerar en el controldel procesamiento es la seguridad de la informacin abarcando los siguientes tpicos: Almacenamiento de seguridad en un lugar distante. Identificacin y control de archivos Precisin de los archivos. Acceso fsico restringido. Estructura y metodologa de resguardos. Auditora y control.Esta actividad posibilita la continuidad del procesamiento de datos, ante distintassituaciones a la cul se expone cualquier tipo de organizacin permitiendo efectuar lossiguientes procedimientos:

Volver a arrancar todas las cadenas de proceso interrumpidas por: Falla de fluidoelctrico, fallo del software, etc.

Corregir un fallo de un soporte fsico como por ej.: un disco ilegible que obliga asu sustitucin fsica, adems de la recarga de su contenido a partir de una copia deseguridad.

Arrancar de nuevo en un emplazamiento exterior en caso de destruccin total delequipamiento de produccin (comnmente llamado Back-up del equipamiento).

Responder a obligaciones legales en materia de archivo para cumplir conobligaciones comerciales, contables, fiscales, etc.)

Elementos a retener a travs de los resguardos o Back-up: Software de base. Software y datos de aplicaciones en produccin. Software y datos de aplicaciones en desarrollo y mantenimiento.En definitiva reservar la informacin de la organizacin, por ende su ms valiosopatrimonio.Si bien no existe una nica recomendacin de cmo se deben estructurar las copias deresguardo podemos enunciar dos alternativas distintas:

Estructura ABUELO, PADRE, HIJO. Resguardo de archivos diarios parciales y completos por semana.

esquema director de seguridad

Documents