SEGURIDAD INFORMATICA DE LOS ACTIVOS FISICOS INFORMATICOS

SEGURIDAD INFORMATICA

INSTITUTO SUPERIOR TECNOLOGICO PUBLICO “VICTOR RAUL HAYA DE LA

TORRE”

ACTIVOS DE INFORMACIÓN

Son los bienes relacionados a un sistema de información en cualquiera de sus etapas. Ejemplos de activos son: Información: Bases de datos y archivos,

documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, in-formación archivada, resultados de proyectos de investigación, etc.

Software: Software de aplicaciones, software de sistemas, herramientas de desarrollo, etc.

Activos físicos: Computadoras, equipamiento de redes y comunicaciones, medios de almacenamiento, mobiliario, lugares de emplazamiento.

Servicios: Servicios informáticos y de comunicaciones

LOS ACTIVOS FÍSICOS INFORMÁTICOS

Seguridad física: Infraestructura. Equipos de cómputo Cableado de red. Dispositivos de red Servidores. Antenas

INFRAESTRUCTURA

EQUIPOS DE COMPUTO

CABLEADO DE RED

SERVIDORES

PROPIETARIO DE UN ACTIVO FÍSICO.

Es el responsable patrimonial del bien

LOS ACTIVOS FISICOS INFORMATICOS

Implica el registro de los activos fijos de la institución identificando datos como tipo de activo, cuentas contables asociadas para depreciación. Incluye información como la foto del activo, el código de barras del activo, el personal responsable del bien y el departamento en el que está ubicado

EL CONTROL DE ACTIVO FIJO

El control de activo fijo se basa en mantener un registro fiel del mobiliario y equipo de una empresa o institución - sillas, mesas, computadoras, maquinaria, vehículos, herramientas, inmuebles, entre otros. Cuanto mas grande sea la institución mayor será la necesidad de llevar un registro correcto de cada bien.

Este control en necesario debido a que una parte importante el valor contable de la empresa es la relativa a los activos fijos que posee.

Además se requiere llevar un control debido a que las empresas pueden depreciar el costo de los mismos contra gastos, reduciendo los impuestos a pagar.

De acuerdo con las leyes de diferentes paises el nivel de depreciación es una funcion de la vida util de cada articulo. Es necesario llevar el control, ya que cada bien tiene un periodo diferente de depreciación por ejemplo en México, Automoviles a 4 años, Escritorios a 10 años, Equipo de computo a 3 años, Inmuebles a 10 años, Carros de ferrocarril a 16.7 años, etc

EL CONTROL DEL ACTIVO FISICO

El proceso de control se puede dividir en 3 etapas :

- Identificación, - Captura en Bases de Datos, - Control Interno.

FUNCIONES DEL SISTEMA

Activos fijos :Por clavePor descripciónPor tipoPor familiaPor marcaPor proveedorPor facturaPor clasePor usoPor nivel de obsolescenciaPor estado físicoNo identificadosMejoras y /o adaptaciones

CONDICIÓN DE REGISTROS DE ACTIVOS Los responsables de la administración del Activo Fijo de cada unidad deberán informar a la institución todas las operaciones o actos que afecten o incidan en los activos fijos para proceder a su registro:- Altas: incorporaciones por compras, donaciones u otras- Bajas: ventas, donaciones, destrucción o pérdida, obsolescencia, etc.- Traslados: cambio de ubicación de los bienes manteniendo la Unidad.- Transferencias: cambio de Unidad o responsable.

ELIMINACIÓN DE LOS REGISTROS

Sólo podrán eliminarse de los registros contables y control, contando con la documentación sustentatoria apropiada y las autorizaciones correspondientes, aquellos bienes de propiedad de la Institucion que han dejado de pertenecerle (ventas, donaciones, obsolescencia, destrucción) o bien que hayan desaparecido (pérdidas, robos).

ADICIONES, RETIROS Y VALORIZACIONES

Sólo se debe considerar adición desde el punto de vista contable aquellas erogaciones que aumenten el valor comercial del activo, su vida útil, capacidad y eficiencia. Todo retiro de activos de la operación normal tiene que estar plenamente justificado y verificado por La Supervisión Administrativa y deberá contar con las autorizaciones del director y de la Institucion según los siguientes conceptos: MAL ESTADO DESUSO (REEMPLAZO) OBSOLESCENCIA PERDIDA

INVENTARIO DE ACTIVOS

Las distintas unidades deberán ejercer un adecuado control sobre los bienes del activo fijo que asegure su salvaguarda y protección contra hechos o actos que puedan afectarlos o dañarlos sean voluntarios o fortuitos.

INVENTARIOS (TOMA FÍSICA) Los responsables de la administración del Activo Fijo de cada Unidad deberán efectuar por lo menos una vez al año un inventario de todos los bienes que se encuentren bajo su responsabilidad y reportar a la Dirección Financiera. Adicionalmente, el Administrador del los Activos Fijos podrá realizar verificaciones periódicas y sorpresivas de los bienes y sus novedades serán reportadas a las autoridades para los correctivos pertinentes.

LA ADMINISTRACIÓN DE ACTIVOS FIJOS

La administración de Activos Fijos comprende las actividades relativas a la recepción, asignación, salvaguarda, mantenimiento y control de los bienes de uso de la Institución. Para los propósitos de este Manual se establecen las siguientes definiciones:

a) Activos Fijos: El Activo Fijo es el conjunto de bienes de naturaleza relativamente permanente, adquiridos, desarrollados, construidos por administración propia o por contrato, necesarios para el cumplimiento de objetivos institucionales. Un bien para ser considerado como activo fijo debe cumplir con las siguientes características: • Que sea de naturaleza relativamente duradera, con vida útil superior a un año (como mobiliario, maquinaria, equipos, vehículos, semovientes) o bienes inmuebles como instalaciones, terrenos y edificios.

• Que este destinado al uso y no a la venta, únicamente los activos utilizados en las operaciones normales de la empresa se clasifican como activos fijos.

b) Usuario de un activo: es aquel funcionario al cual se le entregue mobiliario, equipo, maquinaria o vehículos para la ejecución de sus labores.

ETIQUETADO DEL ACTIVO FIJO

Será un proceso exclusivo del Encargado de Activos Fijos y se realizará al recibir el Activo. Este proceso deberá realizarse antes de entregar cualquier activo a las Áreas responsables. Todos los activos que ingresan deben tener su registro de inventario (etiqueta) en un lugar visible. Se considera procedente a partir de un inventario físico total identificar todos los activos, sistematizar el control numérico y así unificar las numeraciones existentes. La etiqueta debe contener la siguiente información: DATOS DE USO OBLIGATORIO: Identificación de la entidad Equipo Mueblemodelo Año Serie Lugar Fecha de compra Fecha de inventario código Firma de la persona que lo controla y revisa en Contabilidad.

CLASIFICACIÓN DE LA INFORMACIÓN

Para clasificar un Activo de Información, se evaluarán las tres características de la información en las cuales se basa la seguridad: - Confidencialidad,

- Integridad y - Disponibilidad

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Disponibilidad: Se distinguen dos casos Inaccesibilidad transitoria:

0. Información cuya inaccesibilidad transitoria no afecta la operatoria de la UNC.1. Información cuya inaccesibilidad transitoria durante 1 semana podría ocasionar

pérdidas significativas para la UNC o terceros.2. Información cuya inaccesibilidad transitoria durante 1 día podría ocasionar

pérdidas significativas a la institucion o a terceros.3. Información cuya inaccesibilidad transitoria durante 1 hora podría ocasionar pérdidas significativas a la institución o a terceros.

Inaccesibilidad permanente:0. Información cuya inaccesibilidad permanente no afecta la operatoria de la UNC.1. Información cuya inaccesibilidad permanente podría ocasionar pérdidas levespara terceros.2. Información cuya inaccesibilidad permanente podría ocasionar pérdidas signifi-cativas para la institución o terceros.

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Rotulado de la Información El Responsable de Seguridad Informática definirá

procedimientos para el rotulado y manejo de información, de acuerdo al esquema de clasificación definido. Los mismos contemplarán los activos de información tanto en formatos físicos como electrónicos e incorporarán las siguientes actividades de procesamiento de la información: Copia; Almacenamiento; Transmisión por correo, fax, correo electrónico; Transmisión oral (telefonía fija y móvil, correo de voz,

contestadores automáticos, etc.).

UBICACIÓN Y PROTECCIÓN DE ACTIVOS FÍSICOS

Los activos físicos, que incluyen el equipamiento, los medios de almacenamiento (informatizados o no), y las copias de respaldo serán ubicados y protegidos de tal manera que se reduzcanlos riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, teniendo en cuenta los siguientes puntos: 1. Ubicar dichos activos en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado.

2. Ubicar las instalaciones de procesamiento y almacenamiento de información que manejan datos clasificados , en un sitio que permita la supervisión durante su

uso.3. Aislar los elementos que requieren protección especial

para reducir el nivel general de protección requerida

SEGURIDAD FÍSICA Y AMBIENTAL

Adoptar controles adecuados para minimizar el riesgo de las amenazas potenciales detalladas, tanto en la institución como en zonas próximas.

Revisar regularmente las condiciones ambientales para verificar que las mismas no afecten de manera adversa el funcionamiento de las instalaciones de procesamiento de la información. Esta revisión se realizará periódicamente, con un período no superior a los seis meses.

El Plan de seguridad será elaborado y actualizado, con una periodicidad no mayor a un año, por el Responsable de Seguridad Física

LOS RECURSOS INFORMATICOS

Son todos aquellos componentes de Hardware y programas (Software) que son necesarios para el buen funcionamiento y la optimización del trabajo con Ordenadores y Periféricos, tanto a nivel Individual, como colectivo u organizativo, sin dejar de lado el buen funcionamiento de los mismos. Por defecto, en un hogar no se tendrán las mismas necesidades que en una empresa. Un hogar medio tendría suficiente con un PC, una impresora, un Scanner, Conexión a Internet, Windows, Word, Excel y un acceso único a todos estos Recursos.

CONTROL DE LOS RECURSOS INFORMÁTICOSPermite controlar el Hardware y Software de los activos asociados a equipos de computo como por ejemplo: Equipos (Mouse, Teclado, Monitor, Impresora, Parlantes, etc.), o, Componentes (Disco Duro, Tarjetas de Red, Tarjetas de Video, etc.), además de su ubicación física real, vale decir, en qué equipo de computo está instalado y/o conectado.Todo Recurso Informático tiene características propias similares a los activos fijos, como: Clasificación, Situación (de Baja, Operativo, etc.), Ubicación, Medidas, Código de Barras, Número de Serie, Costo, Estado, etc., las cuales son registradas en el Sistema de Activos Fijos.Teniendo la base de datos de Activos Fijos completa y actualizada, este sistema que es instalado en cada equipo de cómputo, hace un escaneo y registro automático de los datos técnicos internos como: Id del CPU, Modelo, Número de Serie, Fabricante, Número de Procesadores, Memoria RAM, Procesador, Modelo de la Tarjeta de Red, IP asignada, Modelo del Disco Duro, Capacidad del Disco Duro, Porcentaje de Uso, otros datos similares para la Tarjeta de Red y de Sonido, etc., permitiendo saber en cada momento cuál es la ubicación física de todos los componentes....

SUMINISTROS DE ENERGÍA El equipamiento estará protegido con respecto a las posibles fallas en el suministro de energía u otras

anomalías eléctricas. El suministro de energía estará de acuerdo con las especificaciones del fabricante o proveedor de cada equipo. Para asegurar la continuidad del suministro de energía, se contemplarán las siguientes medidas de control:

1. Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía. 2. Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado

regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas de la institucion. La determinación de dichas operaciones críticas, será el resultado delanálisis de impacto realizado por el Responsable de Seguridad Informática conjuntamente con los Propietarios de la Información con incumbencia. Los planes de contingenciacontemplarán las acciones que se emprenderán ante una falla de la UPS. Los equipos deUPS serán inspeccionados y probados periódicamente para asegurar que funcionan correctamente y que tienen la autonomía requerida.

3. Montar un generador de respaldo para los casos en que el procesamiento deba continuar ante una falla prolongada en el suministro de energía. Deberá realizarse un análisis de im-

pacto de las posibles consecuencias ante una interrupción prolongada del procesamiento,con el objeto de definir qué componentes será necesario abastecer de energía alternativa.Dicho análisis será realizado por el Responsable de Seguridad Informática conjuntamen-te con los Propietarios de la Información. Se dispondrá de un adecuado suministro decombustible para garantizar que el generador pueda funcionar por un período prolongado.Cuando el encendido de los generadores no sea automático, se asegurará que el tiempode funcionamiento de la UPS permita el encendido manual de los mismos. Los generado-res serán inspeccionados y probados periódicamente para asegurar que funcionen según loprevisto.

Asimismo, se procurará que los interruptores de emergencia se ubiquen cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rápido dela energía en caso de producirse una situación crítica. Se proveerá de iluminación de emergenciaen caso de producirse una falla en el suministro principal de energía. Se implementará protección

SEGURIDAD DEL CABLEADO El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra intercepción o daño, mediante las siguientes acciones: 1. Cumplir con los requisitos técnicos vigentes de la República Argentina. 2. Utilizar pisoducto o cableado embutido en la pared, siempre que sea posible, cuando corresponda a las instalaciones de procesamiento de información. 3. Proteger el cableado de red contra intercepción no autorizada o daño. 4. Evitar las interferencias entre los cables de energía de los cables de comunicaciones. 5. Proteger el tendido del cableado troncal (backbone). Para los sistemas sensibles o críticos detallados se implementarán los siguientes controles adicionales: a. Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspección. b. Utilizar rutas o medios de transmisión alternativos

ADMINISTRACIÓN DE LA REDControles de Redes El Responsable de Seguridad Informática y el

Responsable del Área Informática definirán controles para garantizar la seguridad de los datos y los servicios conectados en las redes de la institución, contra el acceso no autorizado, considerando la ejecución de las siguientes acciones:

1. Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el responsable establecido en el punto de Asignación de Responsabilidades en Materia de Seguridad de la

|Información.”.

ADMINISTRACIÓN Y SEGURIDAD DE LOS MEDIOS DE ALMACENAMIENTO

Administración de Medios Informáticos Extraíbles.

El Responsable de Seguridad Informática definirá procedimientos para la administración de medios informáticos extraíbles, como cintas, discos, casetes e informes impresos. El cumpli miento de los procedimientos se hará de acuerdo al “ Control de Accesos.”. Se debe- rán considerar las siguientes acciones para la implementación de los procedimientos: 1. Eliminar de forma segura los contenidos, si ya no son requeridos, de cualquier medio reutilizable que ha de ser retirado o reutilizado por la institución. (“ Desafectación o Reutilización Segura de los Equipos.”). 2. Requerir autorización (comunicar en forma fehaciente) para retirar cualquier medio de la UNC y realizar un control de todos los retiros a fin de mantener un registro de auditoría. 3. Almacenar todos los medios en un ambiente seguro y protegido, de acuerdo con las espe- cificaciones de los fabricantes o proveedores. Se documentarán todos los procedimientos y niveles de autorización, en concordancia con el la “Clasificación y Control de Activos.”.

DIAGRAMA DE GANT PARA EL CONTROL DE LOS ACTIVOS INFORMATICOS

TRABAJO :

1-¿Qué es un activo físico informático?2.¿Mencione 10 ejemplos de activos físicos informáticos?3.¿Que es el propietario de un activo fijo?4- Cuales son las tres etapas para el proceso del control del activo físico?5.¿Que se refiere altas de activos informáticos?6.¿Que se refiere baja de activos informáticos?7¿Cómo adoptaría una seguridad Física y ambiental para los activos informáticos?