PLAN DE SEGURIDAD INFORMTICO

Propsitos de este documento

El objetivo del presente documento es establecer una metodologa para la elaboracin
del Plan de Seguridad Informtica de una entidad, mediante la descripcin de los
controles de seguridad que deben ser implementados, de forma que permita la
interpretacin clara y precisa de las polticas, medidas y procedimientos que se definan
en la misma, con el objetivo de alcanzar niveles aceptables de seguridad.
En el mismo se describen los elementos fundamentales que deben ser incluidos en el
Plan de Seguridad Informtica de una entidad (contenido) y el modo en que pueden ser
estructurados (formato). Como metodologa al fin, tiene un carcter general, o sea, no
est orientado a un tipo determinado de entidad o sistema informtico, debiendo ser
considerado como una gua de trabajo y no como un cuestionario que haya que seguir
al pie de la letra, por lo que el equipo designado para su elaboracin desarrollar los
aspectos que considere necesarios a partir del Sistema de Seguridad Informtica que
previamente se haya diseado para la entidad en cuestin, de modo que aquellos
aspectos que no correspondan a las necesidades de proteccin identificadas podrn
ser excluidos y por supuesto, se adicionar cualquier elemento que se considere
importante para los requerimientos de seguridad, con independencia de que no est
contemplado en este documento.
Auditorio
Esta metodologa est dirigida en primer lugar a aquellas personas que estn
responsabilizadas con el diseo e implementacin de un sistema de Seguridad
Informtica, entre las cuales pueden incluirse distintas categoras de personal, pero en
ningn caso deben faltar los dirigentes y funcionarios relacionados con la informacin
que se procesa, por la responsabilidad que tienen para con la misma; los especialistas
en informtica, debido a los conocimientos tcnicos que poseen y los profesionales de
la seguridad y proteccin, por su experiencia y conocimientos generales de esta
especialidad.

Aproximacin bsica
Un Sistema de Seguridad Informtica es un conjunto de medios administrativos,
medios tcnicos y personal que de manera interrelacionada garantizan niveles de
seguridad informtica en correspondencia con la importancia de los bienes a proteger
y los riesgos estimados.
El Plan de Seguridad Informtica es la expresin grfica del Sistema de Seguridad
Informtica diseado y constituye el documento bsico que establece los principios
organizativos y funcionales de la actividad de Seguridad Informtica en una Entidad y
recoge claramente las polticas de seguridad y las responsabilidades de cada uno de los
participantes en el proceso informtico, as como las medidas y procedimientos que
permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseo de un Sistema de Seguridad Informtica se distinguen
tres etapas:
1) Determinar las necesidades de proteccin del sistema informtico objeto de anlisis,
que incluye:

Caracterizacin del sistema informtico.

Identificacin de las amenazas y estimacin de los riesgos.

Evaluacin del estado actual de la seguridad.

2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos

identificados en la primera etapa.

Definir las polticas de seguridad.

Definir las medidas y procedimientos a implementar.

3) Evaluar el sistema de seguridad diseado.

Una vez cumplidas estas etapas se elabora el Plan de Seguridad Informtica.

Para la elaboracin del Plan de Seguridad Informtica se tendrn en cuenta las

consideraciones siguientes:

Sern confeccionados tantos ejemplares como se determine en cada lugar,

numerando las pginas consecutivamente.

Se determinar su clasificacin, parcial o total, de acuerdo a la informacin que

contenga, en correspondencia con las categoras que expresa el LEY ESPECIAL
CONTRA LOS DELITOS INFORMTICOS (2001). Gaceta Oficial de la
Repblica Bolivariana de Venezuela, 37.313, octubre 30 de 2001 y otras que
aplique.

Contendr las tablas y grficos que se consideren necesarios y contribuyan a su

mejor interpretacin.

Tendrn acceso a este documento, o a parte de l, las personas que en cada

rea requieran de su conocimiento.

Se mantendr permanentemente actualizado sobre la base de los cambios que

se produzcan en las condiciones que se consideraron durante su elaboracin.

Al elaborar el Plan se deber evitar repetir aspectos que ya han sido sealados
anteriormente, en todo caso se puede hacer referencia a ellos.

Tabla de Contenido
Presentacin del documento.
1.
Alcance.
2.
Caracterizacin del Sistema Informtico.
3.
Resultados del Anlisis de Riesgos.
4.
Polticas de Seguridad Informtica.
5.
Sistema de Seguridad Informtica.
5.1.
Medios humanos.
5.2.
Medios tcnicos.
5.3.
Medidas y Procedimientos de Seguridad Informtica.
5.3.1.
De proteccin fsica.
5.3.1.1. A las reas con tecnologas instaladas.
5.3.1.2. A las tecnologas de informacin.
5.3.1.3. A los soportes de informacin.
5.3.2.
Tcnicas o lgicas.
5.3.2.1. Identificacin de usuarios.
5.3.2.2. Autenticacin de usuarios.
5.3.2.3. Control de acceso a los activos y recursos.
5.3.2.4. Integridad de los ficheros y datos.
5.3.2.5. Auditoria y alarmas.
5.3.3.
De seguridad de operaciones.
5.3.4.
De recuperacin ante contingencias.
6.
Anexos.
6.1.
Programa de Seguridad Informtica
6.2.
Listado nominal de usuarios con acceso a redes de alcance global.
6.3.
Registros.

6
7
7
8
9
10
10
10
11
13
13
13
14
14
14
15
15
16
16
16
17
18
18
18
18

Presentacin del documento

La pgina inicial (portada) contendr el siguiente ttulo: PLAN DE SEGURIDAD
INFORMATICA seguido de la denominacin de la entidad.
En la segunda pgina se consignarn los datos referidos a la elaboracin, revisin y
aprobacin del Plan de Seguridad Informtica, de acuerdo al siguiente formato:
REV:
NOMBRE
CARGO
FIRMA
FECHA

ELABORADO

REVISADO

APROBADO

En la columna elaborado se consignan los datos del jefe del equipo que confeccion
el Plan de Seguridad Informtica, en la columna revisado los de la persona designada
para su revisin antes de presentarlo a aprobacin y en la columna aprobado se
reflejan los datos del jefe de la entidad en la que el Plan ser implementado.
A partir de la pgina No. 2, cada una de las pginas que conforman el Plan tendr el
encabezamiento siguiente:

Clasificacin
Documento

del

Nombre de la Entidad

Pg.___ de ___

1. Alcance.
El Alcance expresar el radio de accin que abarca el Plan, de acuerdo al Sistema
Informtico objeto de proteccin, para el cual fueron determinados los riesgos y
diseado el Sistema de Seguridad. La importancia de dejar definido claramente el
alcance del Plan (y de ah su inclusin al comienzo del mismo) estriba en que permite
tener a priori una idea precisa de la extensin y los lmites en que el mismo tiene
vigencia.
2. Caracterizacin del Sistema Informtico.
Se describir el resultado de la caracterizacin realizada al sistema informtico de la
entidad, con el objetivo de determinar qu se trata de proteger, especificando sus
principales componentes y considerando entre otros:

Bienes informticos, su organizacin e importancia.

Redes instaladas, estructura, tipo y plataformas que utilizan.

Aplicaciones en explotacin.

Servicios informticos y de comunicaciones disponibles, especificando si son en

calidad de clientes o servidores.

Caractersticas del procesamiento, transmisin y conservacin de la

informacin, teniendo en cuenta el flujo interno y externo y los niveles de
clasificacin de la misma.

Otros datos de inters.

Al describirse el sistema informtico se har uso, en los casos que lo requieran, de

diferentes tipos de esquemas, tablas, grficos, etc; a fin de facilitar una mejor
comprensin. Estos medios auxiliares pueden ser insertados, lo mismo dentro de esta
propia seccin que al final, como anexos a los cuales debe haber una obligada
referencia.

3. Resultados del Anlisis de Riesgos.

A partir de que el Plan de Seguridad Informtica es la expresin grfica del Sistema de
Seguridad Informtica diseado y de que la esencia de ese diseo es la realizacin de
un anlisis de riesgos, no se concibe seguir adelante en la elaboracin del Plan sin dejar
claramente precisados cuales fueron los resultados obtenidos en el anlisis de riesgos
realizado, por lo que en este acpite debern relacionarse las principales conclusiones
obtenidas en ese proceso, entre las cuales no pueden faltar:
a) Cules son los activos y recursos ms importantes para la gestin de la entidad
y por lo tanto requieren de una atencin especial desde el punto de vista de la
proteccin, especificando aquellos considerados de importancia crtica por el
peso que tienen dentro del sistema.
b) Que amenazas actan sobre los activos y recursos a proteger y entre ellas
cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible
impacto sobre la entidad.
c) Cules son los activos, recursos y reas con un mayor peso de riesgo y que
amenazas lo motivan.
En la medida en que las conclusiones del anlisis de riesgos sean ms precisas se
lograr una visin ms acertada de hacia dnde pueden ser dirigidos los mayores
esfuerzos de seguridad y por supuesto los recursos disponibles para ello, logrndose
que la misma sea ms rentable.

4. Polticas de Seguridad Informtica

En esta seccin se definen los aspectos que conforman la estrategia a seguir por la
Entidad sobre la base de sus caractersticas propias y en conformidad con la poltica
vigente en el pas en esta materia y el sistema de seguridad diseado, mediante el
establecimiento de las normas generales que debe cumplir el personal que participa en
el sistema informtico, las cuales se derivan de los resultados obtenidos en el anlisis
de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos,
resoluciones y otros documentos rectores. Al definir las polticas de Seguridad
Informtica se considerarn, entre otros, los aspectos siguientes:

a) El empleo conveniente y seguro de las tecnologas instaladas y cada uno de los

servicios que stas pueden ofrecer.
b) El tratamiento que requiere la informacin oficial que se procese, intercambie,
reproduzca o conserve a travs de las tecnologas de informacin, segn su categora.
c) La definicin de los privilegios y derechos de acceso a los activos de informacin
para garantizar su proteccin contra modificaciones no autorizadas, prdidas o
revelacin.
d) Los principios que garanticen un efectivo control de acceso a las tecnologas,
incluyendo el acceso remoto, y a los locales donde stas se encuentren.
e) La salva y conservacin de la informacin.
f) La conexin a redes externas a la Entidad, en especial las de alcance global y la
utilizacin de sus servicios.
g) Los requerimientos de Seguridad Informtica a tener en cuenta durante el diseo o
la adquisicin de nuevas tecnologas o proyectos de software.
h) La definicin de los principios relacionados con el monitoreo del correo
electrnico, la gestin de las trazas de auditora y el acceso a los ficheros de usuario.
i) El mantenimiento, reparacin y traslado de las tecnologas y el personal tcnico que
requiere acceso a las mismas por esos motivos.
j) Las regulaciones con relacin a la certificacin, instalacin y empleo de los Sistemas
de Proteccin Electromagntica.
k) Las regulaciones relacionadas con la certificacin, instalacin y empleo de los
Sistemas Criptogrficos, en los casos que se requiera.
l) Los principios generales para el tratamiento de incidentes y violaciones de seguridad.

5. SISTEMA DE SEGURIDAD INFORMATICA

En esta seccin se describe cmo se implementan, en las reas a proteger, las polticas
generales que han sido definidas para toda la entidad, en correspondencia con las
necesidades de proteccin en cada una de ellas, atendiendo a sus formas de ejecucin,
periodicidad, personal participante y medios.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles
de seguridad alcanzados se elaborar un Programa de Seguridad Informtica, que
incluya las acciones a realizar por etapas para lograr niveles superiores.
Se describirn por separado los controles de seguridad implementados en
correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios
humanos, de los medios tcnicos o de las medidas y procedimientos que debe cumplir
el personal.
5.1. Medios Humanos: Aqu se har referencia al papel del personal dentro del
sistema de seguridad implementado, definiendo sus responsabilidades y funciones
respecto al diseo, establecimiento, control, ejecucin y actualizacin del mismo.
Se describir la estructura concebida en la Entidad para la gestin de la Seguridad
Informtica, especificando las atribuciones y funciones de las distintas categoras de
personal, que incluyen: dirigentes a los distintos niveles (Jefe de la entidad, Jefes de
departamentos, reas y grupos de trabajo o estructuras equivalentes); Jefes y
especialistas de informtica; Administradores de redes, sistemas y aplicaciones;
Especialistas de Seguridad y Proteccin; Responsables de Seguridad Informtica y
Usuarios comunes de las tecnologas de Informacin.
5.2. Medios Tcnicos de Seguridad: Se describirn los medios tcnicos utilizados
en funcin de garantizar niveles de seguridad adecuados, tanto al nivel de software
como de hardware, as como la configuracin de los mismos. Para lo cual se tendr en
cuenta:

Sistemas Operativos y nivel de seguridad instalado,

Tipo de redes utilizadas y topologa de las mismas,

Conexiones a redes externas a la entidad,

Servidores de uso interno y externo,

Configuracin de los servicios,

Barreras de proteccin y su arquitectura,

Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.

Filtrado de paquetes,

Herramientas de administracin y monitoreo,

Habilitacin de trazas y subsistemas de auditora,

Establecimiento de alarmas del sistema,

Sistemas de proteccin criptogrfica,

Dispositivos de identificacin y autenticacin de usuarios,

Proteccin contra programas no deseados,

Software especiales de seguridad,

Medios tcnicos de deteccin de intrusos,

Cerraduras de disqueteras,

Dispositivos de proteccin contra robo de equipos y componentes,

Sistemas de aterramiento,

Proteccin electromagntica,

Fuentes de respaldo de energa elctrica,

Medios contra incendios,

Medios de climatizacin,

Otros.

5.3. Medidas y Procedimientos de Seguridad Informtica

En esta parte del Plan se relacionarn las acciones que deben ser realizadas en cada
rea especfica por el personal a que se hace referencia en el apartado 5.1, en
correspondencia con las polticas generales para toda la entidad establecidas en el
apartado 4 y con la ayuda, en los casos que lo requieran, de los medios tcnicos
descritos en el 5.2, adecuando las mismas a las necesidades de proteccin de cada una
de ellas de acuerdo con el peso del riesgo estimado para cada bien informtico objeto
de proteccin.
Las medidas y procedimientos de Seguridad Informtica que de manera especfica (no
deben ser confundidas con las polticas que tienen un carcter general) sean requeridas
en las distintas reas, sern definidas de manera suficientemente clara y precisa,

evitando interpretaciones ambiguas por parte de quienes tienen que ejecutarlas y son
de obligatorio cumplimiento por las partes implicadas.
Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigida a
garantizar un objetivo de seguridad. Los procedimientos que se definan sern descritos
en los acpites que correspondan o si se desea se har referencia a ellos agrupndolos
al final del Plan en un anexo.
Su redaccin deber hacerse lo ms clara y sencilla posible, precisando de manera
inequvoca los pasos a seguir en cada caso para evitar posibles interpretaciones
incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas
responsabilizadas para ello, sin necesidad de alguna otra ayuda adicional. En caso de
agruparse todos como un anexo, el formato a utilizar ser el siguiente:

Denominacin del procedimiento (ttulo).

Secuencia de las acciones a realizar.

Especificando en cada caso: qu se hace, cmo se hace y quin lo hace, as como los
recursos que sean necesarios para su cumplimiento.
Algunos procedimientos a considerar son los siguientes:

Otorgar (retirar) el acceso de personas a las tecnologas de informacin y

como se controla el mismo.

Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.

Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrnico,

Internet)

Definir perfiles de trabajo.

Autorizacin y control de la entrada/salida de las tecnologas de informacin.

Gestionar las claves de acceso considerando para cada nivel el tipo de clave
atendiendo a su longitud y composicin, la frecuencia de actualizacin, quin
debe cambiarla, su custodia, etc.

Realizacin de salva de respaldo, segn el rgimen de trabajo de las reas, de

forma que las salvas se mantengan actualizadas, y las acciones que se

adoptan para establecer la salvaguarda de las mismas, de forma que se garantice

la compartimentacin de la informacin segn su nivel de confidencialidad.

Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen

en presencia y bajo la supervisin de personal responsable y que en caso del
traslado del equipo fuera de la entidad la informacin clasificada o limitada sea
borrada fsicamente o protegida su divulgacin.

Salva y anlisis de registros o trazas de auditora, especificando quien lo realiza

y con qu frecuencia.

5.3.1. De proteccin fsica.

5.3.1.1. A las reas con tecnologas instaladas
Se precisarn, a partir de las definiciones establecidas en el Reglamento sobre la
Seguridad Informtica, las reas que se consideran vitales y reservadas en
correspondencia con el tipo de informacin que se procese, intercambie, reproduzca o
conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectacin
de los activos o recursos que en ellas se encuentren, relacionando las medidas y
procedimientos especficos que se apliquen en cada una. (Ejemplo: restricciones para
limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y
dispositivos tcnicos de deteccin de intrusos, etc.)
5.3.1.2. A las Tecnologas de Informacin

Se especificarn las medidas y procedimientos de empleo de medios tcnicos

de proteccin fsica directamente aplicados a las tecnologas de informacin que
por las funciones a que estn destinadas o por las condiciones de trabajo de las
reas en que se encuentran ubicadas lo requieran. (Ejemplo: utilizacin de
cerraduras de disquetera, anclaje de chasis, cerradura de encendido del
procesador etc.)

Posicin de las tecnologas de informacin destinadas al procesamiento de

informacin con alto grado de confidencialidad o sensibilidad en el local de
forma que se evite la visibilidad de la informacin a distancia, minimice la
posibilidad de captacin de las emisiones electromagnticas y garantice un
mejor cuidado y conservacin de las mismas.

Medidas y procedimientos para garantizar el control de las tecnologas de

informacin existentes, durante su explotacin, conservacin, mantenimiento y
traslado.

5.3.1.3. A los soportes de informacin

Se describir el rgimen de control establecido sobre los soportes magnticos de
informacin refirindose entre otros aspectos a:

Lo relacionado con la identificacin de los soportes removibles autorizados a

utilizar dentro de la entidad, incluyendo su identificacin fsica y lgica.

Las condiciones de conservacin de los soportes, especificando las medidas que

garanticen la integridad y confidencialidad de la informacin en ellos recogida.

Las medidas y procedimientos que se establecen para garantizar el borrado o

destruccin fsica de la informacin clasificada o limitada contenida en un
soporte una vez cumplida su finalidad.

Las medidas y procedimientos que se establecen para garantizar la integridad y

confidencialidad de la informacin clasificada o limitada durante el traslado de
los soportes.

5.3.2. Tcnicas o Lgicas

Se especificarn las medidas y procedimientos de seguridad que se establezcan, cuya
implementacin se realice a travs de software, hardware o ambas.
5.3.2.1. Identificacin de usuarios
Se explicar el mtodo empleado para la identificacin de los usuarios ante los
sistemas, servicios y aplicaciones existentes, especificando:

Como se asignan los identificadores de usuarios.

Si existe una estructura estndar para la conformacin de los identificadores de

usuarios.

Quien asigna los identificadores de usuarios.

Como se eliminan los identificadores de usuarios una vez que concluya la

necesidad de su uso y como se garantiza que estos no sean utilizados
nuevamente.

Proceso de revisin de utilizacin y vigencia de los identificadores de usuarios

asignados.

5.3.2.2. Autenticacin de usuarios.

Se explicar el mtodo de autenticacin empleado para comprobar la identificacin de
los usuarios ante los sistemas, servicios y aplicaciones existentes.
Cuando se utilice algn dispositivo especfico de autenticacin se describir su forma
de empleo. En el caso de empleo de autenticacin simple por medio de contraseas se
especificar:

Como son asignadas las contraseas.

Tipos de contraseas utilizadas (Setup, Protector de pantalla, Aplicaciones, etc.)

Estructura y periodicidad de cambio que se establezca para garantizar la

fortaleza de las contraseas utilizadas en los sistemas, servicios y aplicaciones,
en correspondencia con el peso de riesgo estimado para los mismos.

Causas que motivan el cambio de contraseas antes de que concluya el plazo

establecido.

5.3.2.3. Control de acceso a los activos y recursos

En esta parte del Plan se describirn las medidas y procedimientos que aseguran el
acceso autorizado a los activos de informacin y recursos informticos que requieren
la imposicin de restricciones a su empleo, especificando:

A que activos y recursos se le implementan medidas de control de acceso.

Mtodos de control de acceso utilizados.

Quien otorga los derechos y privilegios de acceso.

A quien se otorgan los derechos y privilegios de acceso.

Como se otorgan y suspenden los derechos y privilegios de acceso.

El control de acceso a los activos y recursos deber estar basado en una poltica de
mnimo privilegio, en el sentido de otorgar a cada usuario solo los derechos y
privilegios que requiera para el cumplimiento de las funciones que tenga asignadas.

5.3.2.4. Integridad de los ficheros y datos

Se describirn las medidas y procedimientos establecidos con el fin de evitar la
modificacin no autorizada, destruccin y prdida de los ficheros y datos, as como
para impedir que sean accedidos pblicamente, especificando:

Medidas de seguridad implementadas a nivel de sistemas operativos, aplicacin

o ambos para restringir y controlar el acceso a las bases de datos.

Medidas para garantizar la integridad del software y la configuracin de los

medios tcnicos.

Empleo de medios criptogrficos para la proteccin de ficheros y datos.

Medidas y procedimientos establecidos para la proteccin contra virus y otros

programas dainos que puedan afectar los sistemas en explotacin, as como
para evitar su generalizacin, especificando los programas antivirus utilizados y
su rgimen de instalacin y actualizacin.

5.3.2.5. Auditora y Alarmas

Se describirn las medidas y procedimientos implementados para el registro y anlisis
de las trazas de auditora en las redes y sistemas instalados, con el fin de monitorear
las acciones que se realicen (acceso a ficheros, dispositivos, empleo de los servicios,
etc.), y detectar indicios de hechos relevantes a los efectos de la seguridad que puedan
afectar la estabilidad o el funcionamiento del sistema informtico.
En caso de empleo de software especializado que permita la deteccin de posibles
errores de configuracin u otras vulnerabilidades se describirn los procedimientos
requeridos.
Se describirn adems las medidas que garanticen la integridad de los mecanismos y
registros de auditora limitando su acceso solo a las personas autorizadas para ello.
5.3.3. Seguridad de operaciones
En esta parte del Plan se incluirn las medidas y procedimientos relacionados con los
siguientes aspectos:

Identificacin y control de las tecnologas en explotacin, en particular aquellas

donde se procese informacin clasificada.

Control sobre la entrada y salida en la entidad de las tecnologas de

informacin (mquinas porttiles, perifricos, soportes, etc.).

Metodologa establecida para las salvas de la informacin, especificando su

periodicidad, responsabilidades, cantidad de versiones, etc.)

Acciones especficas durante las conexiones externas a la entidad.

Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrnico,

Internet)

Gestin de las claves de acceso considerando para cada nivel el tipo de clave, la
frecuencia de actualizacin, quin debe cambiarla, su custodia, etc.

Gestin de salvas de respaldo, segn el rgimen de trabajo de las reas,

incluyendo las acciones que se adoptan para establecer la salvaguarda de las
mismas.

Mantenimientos de los equipos, soportes y datos en presencia y bajo la

supervisin de personal responsable y en caso del traslado de equipos fuera de
la entidad.

Salva y anlisis de registros o trazas de auditora, especificando quien lo realiza

y con qu frecuencia.

5.3.4. De recuperacin ante contingencias

Se describirn las medidas y procedimientos de neutralizacin y recuperacin ante
cualquier eventualidad que pueda paralizar total o parcialmente la actividad informtica
o degraden su funcionamiento, minimizando el impacto negativo de stas sobre la
entidad.
A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las
acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad
de ocurrencia en caso de materializarse, as como para la recuperacin de los
procesos, servicios o sistemas afectados, precisando en cada caso:

Que acciones se deben realizar.

Quin las realiza.

En qu momento debe realizarlas.

Como debe realizarlas.

De qu recursos debe disponer.

6. ANEXOS
6.1. Programa de Seguridad Informtica
En esta parte del Plan se incluirn aquellos aspectos cuya realizacin requiera de un
tiempo adicional, ya sea porque necesitan algn tipo de recursos con que no se cuenta,
la realizacin de gestiones complementarias u otras causas, sealando los plazos para
su cumplimiento y el personal responsabilizado con su ejecucin. Los aspectos que lo
requieran deben ser considerados dentro del Plan de Inversiones de la entidad.
Algunos aspectos a considerar pudieran ser los siguientes:

La implementacin a mediano y largo plazo de aquellos aspectos que as lo

exijan para lograr un nivel de seguridad ptimo, como por ejemplo la
introduccin de medios tcnicos de seguridad, modificacin de locales, etc.

La preparacin y capacitacin del personal en materia de seguridad informtica,

segn su participacin en el sistema diseado, ya sea a travs de cursos
especficos, mediante la imparticin de materias relacionadas con el tema u
otras medidas de divulgacin.

La organizacin y ejecucin de pruebas, inspecciones y auditoras (internas y

externas) para asegurar la continuidad de la integridad funcional del Sistema de
Seguridad Informtica existente, mencionando con qu frecuencia se realizan,
quienes participan y el contenido de las mismas.

6.2. Listado nominal de Usuarios con acceso a redes de alcance global

Si la entidad tiene acceso a redes de alcance global se anexar un Listado de Usuarios
autorizados, especificando Nombre, Apellidos y Cargo que ocupa en la entidad, as
como los Servicios para los que est autorizado.
6.3. Registros

Se definirn los documentos de registro que se requieran para el control de la

actividad, de acuerdo a los requerimientos del sistema de seguridad diseado,
pudindose considerarse entre otros los siguientes:

Registro de inspecciones.
Registro y control de los soportes.
Registro de software de nueva adquisicin.
Registro de entrada, salida y movimiento de tecnologas de informacin.
Registro de incidencias de la Seguridad Informtica.