INDICE

CAPÍTULO I: ASPECTOS TEÓRICOS 3

1.1. SEGURIDAD DE LA INFORMACIÓN 3
1.2. SEGURIDAD INFORMÁTICA 3
1.3. RELACIÓN ENTRE SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD
INFORMÁTICA 5
1.4. CONCEPTOS DESDE PUNTO DE VISTA INFORMÁTICO: 6
1.4.1.ACTIVOS 6
1.4.2.AMENAZAS 7
1.4.3.VULNERABILIDADES 8
1.4.4.ATAQUES 9
1.4.5.IMPACTO 15
1.4.6.PROBABILIDAD 15
1.4.7.RIESGOS 15
1.4.8.DESASTRES 18
1.5. PRINCIPIOS DE SEGURIDAD INFORMÁTICA 21
1.5.1.INTEGRIDAD 21
1.5.2.CONFIDENCIALIDAD 21
1.5.3.DISPONIBILIDAD 21
1.5.4.NO REPUDIO 21
1.6.
EQUIPO: N°5
POLÍTICAS DE SEGURIDAD INFORMÁTICA 22
1.6.1.IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA 22
1.6.2.CARACTERÍSTICAS DE LAS POLÍTICAS DE SEGURIDAD 23
1.7. PLAN DE CONTINGENCIA EN SEGURIDAD INFORMÁTICA 24
1.7.1.CARACTERÍSTICAS DEL PLAN DE CONTINGENCIA INFORMÁTICO 25
1.7.2.ELEMENTOS DEL PLAN DE CONTINGENCIA SEGÚN ISO 22301 26
1.7.3.FASES DE UN PLAN DE CONTINGENCIA INFORMÁTICO 26
CAPÍTULO II: CASOS PRÁCTICOS 28
2.1. POLÍTICA DE SEGURIDAD DE INFORMACIÓN DE SENASA 28
2.2. PLAN DE CONTINGENCIA Y SEGURIDAD DE LA INFORMACIÓN DE LA
MUNICIPALIDAD PROVINCIAL DE CANCHIS - CUZCO 32
CONCLUSIONES AULA: 310 - N 37
BIBLIOGRAFÍA 38
 CAPÍTULO I: ASPECTOS TEÓRICOS

1.1. SEGURIDAD DE LA INFORMACIÓN

Los gobiernos, las instituciones financieras, los
hospitales y las organizaciones privadas tienen enormes
cantidades de información confidencial sobre sus
empleados, productos, investigación, clientes, etc. La
mayor parte de esta información es reunida, tratada,
almacenada y puesta a disposición de las personas que
deseen revisarla. Por lo cual esta información merece un
cuidado importante para no ser expuesta y generar
problemas a la organización y a quienes les pertenece
esa información.
Con a esto podemos hablar de la seguridad de la información que es el conjunto de
políticas, procedimientos, organización, acciones y demás actividades, orientadas a
proteger la información de un amplio rango de amenazas con la finalidad de:
● Asegurar la continuidad del negocio
● Minimizar los daños a la organización
● Maximizar el retorno de las inversiones y las oportunidades de negocio
Se entiende entonces que es un conjunto de medidas preventivas y reactivas que permiten
resguardar y proteger la información. Dicho de otro modo, son todas aquellas políticas de
uso y medidas que afectan al tratamiento de los datos que se utilizan en una organización.

1.2. SEGURIDAD INFORMÁTICA

Es el proceso de prevenir y detectar el uso no autorizado de un sistema informático. Implica
el proceso de proteger contra intrusos el uso de nuestros recursos informáticos con
intenciones maliciosas o con intención de obtener ganancias, o incluso la posibilidad de
acceder a ellos por accidente

Básicamente este tipo de seguridad hace referencia al área de TI de una compañía la cual es
la encargada de preservar equipos de cómputo, manteniendo el software y hardware
actualizados con el fin de cumplir con los pilares de la información.
La seguridad informática es conformada por medidas de seguridad, como programas de
software de antivirus, firewalls, y otras medidas que dependen del usuario, como es la
activación de la desactivación de ciertas funciones de software.

Tipos de seguridad informática

Según ESIC Business&Marketing School si nos enfocamos en los elementos objeto de
protección, se hablaría de los siguientes tipos de seguridad informática:
● Seguridad de Hardware: hace referencia a la protección de elementos físicos,
incluyendo sistemas de alimentación ininterrumpida (SAI), cortafuegos o firewall de
hardware, y módulos de seguridad de hardware (HSM).
● Seguridad de Software: este concepto se refiere a la protección del software contra
ataques de hackers. Incluye casos de desbordamientos de buffer, defectos de diseño o
implementación, entre otros.
● Seguridad de red: es un subtipo de ciberseguridad principalmente relacionado con la
protección de datos en red (evitar que la información sea modificada o robada).
Ejemplos de los riesgos que cubre la seguridad de red serían: hackers, virus, robo de
identidad, ataques de hora cero, denegación de servicio, spyware o adware. El riesgo en
estos casos es debido al tipo de complejidad (un elemento infectado y conectado en red
hace que la propagación a otros equipos sea rápida y fácil).

La combinación de estos tipos de seguridad informática son distintas capas que permiten la

mitigación de riesgos de ataques o pérdidas de información y han de verse en su conjunto,
no como elementos separados.

Además, estos elementos han de ir alineados con las estrategias y necesidades del negocio,
y focalizados en reducir aquellas amenazas que estén fuera del apetito de riesgos de la
organización.

Esta estructura de control puede parecer costosa, pero la realidad es que el riesgo de pérdida
de la información puede llegar a serlo mucho más.

Ver con tus propios ojos una recuperación de servicio mundial en menos de 3 horas tras un
desastre climático hace que sin lugar a dudas, te vuelvas un verdadero creyente en
la necesidad de desarrollo de marcos de control de la seguridad de la información.

1.3. RELACIÓN ENTRE SEGURIDAD DE LA INFORMACIÓN Y

SEGURIDAD INFORMÁTICA
La seguridad informática y la seguridad de la información guarda relación sobre todo si se
tiene en cuenta que el desarrollo y la evolución de la tecnología tiende hacia el modelo de
digitalizar y manejar cualquier tipo de información mediante un sistema informático.

Por un lado la seguridad de la información abarca más dimensiones que la informática en

si, llegando a tener una importancia global en otros aspectos que pueden estar o no
relacionados.

La seguridad de la información se refiere en la actualidad a un concepto mucho más

amplio, ya que no solo tiene en cuenta la parte técnica, sino que compromete a toda la
organización desde las altas gerencias, hasta el personal que realiza la parte operativa. La
seguridad informática por su parte se refiere a la forma tradicional de asegurar activos
relacionados con la infraestructura y tecnología que administra o gestiona la información de
una organización.

La seguridad informática es en realidad una rama de un término más genérico que es la

seguridad de la información, aunque en la práctica se suelen utilizar de forma indistinta
ambos términos. La seguridad informática abarca una serie de medidas de seguridad, tales
como programas de software de antivirus, firewalls, y otras medidas que dependen del
usuario, tales como la activación de la desactivación de ciertas funciones de software, como
scripts de Java, cuidar del uso adecuado de la computadora, los recursos de red o de
Internet.  

Por tanto mientras la seguridad de la información integra toda la información

independientemente del medio en que este, la seguridad informática únicamente atiende a
la protección de las instalaciones informáticas y de la información en medios digitales.
 Fuente: Blog especializado en Sistemas de Gestión de Seguridad de la Información

1.4. CONCEPTOS DESDE PUNTO DE VISTA INFORMÁTICO:

1.4.1. ACTIVOS
Son los componentes de un sistema de información susceptible de ser atacado de manera
deliberada o accidental con consecuencias para la organización.

Tipos de activos:

A) Activos esenciales: Todo sistema de información tiene como componentes esenciales

a:
- La información que maneja la organización.
- Los servicios que presta esta.

Estos marcan los requisitos de seguridad para todos los demás componentes del sistema.

B) Activos secundarios:
❖ Arquitectura del sistema: Define su estructura interna y sus relaciones con el

exterior.

❖ Datos: Almacena la información.

❖ Servicios: Satisfacen las necesidades del usuario.

 ❖ Software: Gestiona, analiza y transforma los datos permitiendo el uso de la

información en los servicios. El código fuente es considerado dato.

❖ Equipamiento informático: Depositarios temporales o permanentes de los datos,

soporte de ejecución de las aplicaciones informáticas o procesan la transformación

de datos.

❖ Redes de comunicación: Medios de transporte de datos.

❖ Soporte de información: Dispositivo físico que almacena la información.

❖ Equipamiento auxiliar: Otros soportes que no están relacionados con los datos.

❖ Instalaciones: Lugares donde se hospedan los sistemas de información.

❖ Personal: Personas relacionadas con el sistema.

Dependencias:

Se dice cuando un “activo superior” depende de otro “activo inferior” cuando las
necesidades de seguridad del superior se reflejan en las necesidades de seguridad del
inferior.

Valoración:

El valor suele estar en la información que el sistema maneja y los servicios que se prestan
(activos esenciales), dejando a los demás activos subordinados a las necesidades de
explotación y protección social.

Dimensiones:

- Confidencialidad
- Integridad
- Disponibilidad

En los activos esenciales se debe valorar:

- Autenticidad
- Trazabilidad
1.4.2. AMENAZAS
Las amenazas son los eventos que pueden ocurrir, de todo lo que puede ocurrir es
importante lo que pueda causarles daño a los activos de la organización.

Pueden ser:

a) De origen natural: Ante ellos el sistema es víctima pasiva.

b) Del entorno: Ante ellos el sistema es víctima pasiva, pero no puede permanecer
indefenso.
c) Defecto de las aplicaciones: Nacen en el equipamiento por defectos en diseño o
implementación. Se les llaman vulnerabilidades.
d) Causadas por personas de forma accidental: Por error u omisión.
e) Causadas por personas de forma deliberada: Ataques deliberados para beneficiarse o
causar daños.

Valoración:

No todo activo es afectado por todas las amenazas, ni en todas sus dimensiones, ni en la
misma cuantía.

Una vez determinado que una amenaza puede perjudicar un activo, se valora su influencia
en dos sentidos:

- Degradación: Cuanto perjudicaría al valor del activo.

- Probabilidad: De que se materialice.

Por lo usual se usan matrices para determinarlos, en probabilidad suelen ser modelados
cualitativamente y bajo un año como referencia.

1.4.3. VULNERABILIDADES
Una vulnerabilidad de una manera muy general es un fallo en un sistema que puede ser
explotada por un atacante generando un riesgo para la organización o para el mismo
sistema. Existen dos tipos de vulnerabilidades que se mencionan a continuación:

- Las lógicas
- Las físicas
Las físicas afectan a la infraestructura de la organización de manera física y se pueden
mencionar en este tipo de clasificación a los desastres naturales o controles de acceso.
Mientras que las lógicas afectan a la infraestructura y desarrollo de la operación, pudiendo
estar en la configuración, actualización y desarrollo.

Las vulnerabilidades lógicas de configuración pueden ser por configuraciones por defecto
del sistema, exposición del software o el mal funcionamiento de los firewalls.

Las de actualización se dan por desfase del sistema que origina fallos.

Las de desarrollo son las que se ejecutan en el proceso del sistema de información.

1.4.4. ATAQUES

En un mundo cada vez más globalizado y en donde las Tecnologías de la Información se

toman más aspectos de nuestra vida personal y profesional, es que también estamos más
expuestos a sufrir algún ataque informático o cibernético. Pero, ¿qué significa eso?

Podríamos definir como un ataque informático a un intento por perjudicar o dañar un
sistema informático o de red. El problema que surge con la propagación de virus
informáticos puede ser considerable teniendo en cuenta que puede dañar o eliminar datos
de los equipos e incluso puede ocupar el programa de correo electrónico para difundirse a
otros equipos, llegando a –incluso- borrar todo el contenido existente en el disco duro.

Este tipo de ataques son originados por denominados grupos que se hacen llamar piratas
informáticos, que suelen actuar en base a diversos motivos, como por ejemplo, para hacer
daño, por espionaje, para ganar dinero, entre otras razones.

¿CÓMO OPERA UN ATAQUE INFORMÁTICO?

Este tipo de ataques se produce a raíz de alguna vulnerabilidad o debilidad en el software
o en el hardware que son detectados por estos delincuentes, para obtener beneficios, que
por lo general, es de índole económicos. Para esto causan un efecto negativo en la
seguridad de los sistemas comprometidos, derivándose luego a los activos de la
organización.

Dependiendo del ataque o del virus informático que nos afecte, se pueden provocar
distintos daños entre los que se encuentran:

� Daños menores: Este tipo de virus borra algunos programas, por lo que sólo bastará
con volver a instalarlos, ya que el daño hecho no es grave.
� Daños moderados: Esto se produce cuando un virus formatea un disco duro y
mezcla los componentes del FAT o sobrescriba el disco duro. Si este es el caso,
entonces se puede reinstalar el sistema operativo y utilizar el último backup, lo que
debería tomar alrededor de una hora.
� Daños mayores: Algunos virus pueden pasar completamente desapercibidos y
generar daños profundos, que ni siquiera pueden repararse con el backup.
� Daños severos: Este tipo de daño se da cuando un virus realiza cambios mínimos y
que son progresivos. Con esto, el usuario no tiene mayor idea cuando los datos son
correctos o han sido modificados.

TIPOS DE ATAQUES INFORMÁTICOS

Existen varios tipos de ataques, con distintos orígenes, a continuación, se mencionarán
algunos de ellos:

A) Malware
El término Malware se refiere de forma genérica a cualquier software malicioso que tiene
por objetivo infiltrarse en un sistema para dañarlo. Aunque se parece a lo que comúnmente
se le conoce como virus, el virus es un tipo de malware. Igualmente existen otros como los
gusanos, troyanos, etc.

B) Virus
El virus es un código que infecta los archivos del sistema mediante un código maligno,
pero para que esto ocurra necesita que nosotros, como usuarios, lo ejecutemos. Una vez
que se ejecuta, se disemina por todo nuestro sistema a donde nuestro equipo o cuenta de
usuario tenga acceso, desde dispositivos de hardware hasta unidades virtuales o ubicaciones
remotas en una red.

C) Gusanos
Un gusano es un programa que, una vez infectado el equipo, realiza copias de sí mismo y
las difunde por la red. A diferencia del virus, no necesita nuestra intervención, ni de un
medio de respaldo, ya que pueden transmitirse utilizando las redes o el correo electrónico.
Son difíciles de detectar, pues al tener como objetivo el difundirse e infectar a otros
equipos, no afectan al funcionamiento normal del sistema.

Su uso principal es el de la creación de botnets, que son granjas de equipos zombies

utilizados para ejecutar acciones de forma remota como por ejemplo un ataque DDoS a otro
sistema.

D) Troyanos

Son similares a virus, pero no completamente iguales. Mientras que el virus es destructivo
por sí mismo, el troyano lo que busca es abrir una puerta trasera para favorecer la
entrada de otros programas maliciosos.

Su nombre es alusivo al “Caballo de Troya” ya que su misión es precisamente, pasar

desapercibido e ingresar a los sistemas sin que sea detectado como una amenaza potencial.
No se propagan a sí mismos y suelen estar integrados en archivos ejecutables
aparentemente inofensivos.

E) Spyware
Un spyware es un programa espía, cuyo objetivo principal es obtener información. Su
trabajo suele ser también silencioso, sin dar muestras de su funcionamiento, para que
puedan recolectar información sobre nuestro equipo con total tranquilidad, e incluso
instalar otros programas sin que nos demos cuenta de ello.

F) AdWare
La función principal del adware es la de mostrar publicidad. Aunque su intención no es la
de dañar equipos, es considerado por algunos una clase de spyware, ya que puede llegar a
recopilar y transmitir datos para estudiar el comportamiento de los usuarios y orientar
mejor el tipo de publicidad.

G) Ransomware
Este es uno de los mas sofisticados y modernos malwares ya que lo que hace es secuestrar
datos  (encriptándolos) y pedir un rescate por ellos. Normalmente, se solicita una
transferencia en bitcoins,la moneda digital, para evitar el rastreo y localización. Este tipo de
ciberataque va en aumento y es uno de los más temidos en la Actualidad. 

H) Phishing
El phishing no es un software, se trata más bien de diversas técnicas de suplantación de
identidad para obtener datos de privados de las víctimas, como por ejemplo las contraseñas
o datos de seguridad bancarios.

Los medios más utilizados son el correo electrónico, mensajería o llamadas telefónicas, se
hacen pasar por alguna entidad u organización conocida, solicitando datos confidenciales,
para posteriormente utilizar esos datos en beneficio propio.
I) Denegación de servicio distribuido (DDoS)
De todos los tipos de ataques informáticos este es uno de los más conocidos y temidos, ya
que es muy económico su ejecución y muy difícil de rastrear al atacante.

La eficacia de los ataques DDoS se debe a que no tienen que superar las medidas de
seguridad que protegen un servidor, pues no intentan penetrar en su interior, sólo
bloquearlo.

Los ataques de DDoS consisten en realizar tantas peticiones a un servidor, como para lograr
que este colapse o se bloquee. Existen diversas técnicas, entre ellas la mas común es el uso
de  botnets, equipos infectados con troyanos y gusanos en los cuales los usuarios no saben
que están formando parte del ataque.

LOS ATAQUES MÁS FAMOSOS

1. Sony PlayStation Network | Abril 2011
En esta brecha de datos resultaron comprometidos los nombres, correos electrónicos, datos
de acceso y otros datos personales de unos 77 millones de personas con cuenta en
PlayStation Network (el servicio de PlayStation que permite la compra de juegos online), y
este servicio dejó de funcionar durante una semana. En ese momento, la empresa japonesa
no descartó la posibilidad de que los datos bancarios de los usuarios hubieran sido robados

2. Dropbox | Agosto 2012

El ataque tuvo lugar en 2012, pero la magnitud del mismo se conoció cuatro años más
tarde. En 2012, Dropbox (servicio de almacenamiento de datos en la nube) confirmó que
los correos electrónicos de los usuarios habían sido expuestos, pero fue en 2016 cuando
Leakbase descubrió que también habían sido robadas las contraseñas. En total, más de 68
millones de usuarios se vieron afectados. Los hackers pudieron entrar en estas cuentas
porque uno de los empleados de Dropbox usó su contraseña profesional en LinkedIn -
cuando a principios de ese año LinkedIn sufrió un ataque, los hackers tuvieron acceso a la
contraseña del empleado y la usaron para acceder a la red interna de Dropbox.

3. Cambridge Analytica | Marzo 2018

¿Quién dijo que los ataques informáticos son sólo para "extorsionar" dinero o revelar
información confidencial? En 2018, Cambridge Analytica mostró al mundo cómo el robo
de datos puede ser usado en política: en este caso, para influir en las elecciones
presidenciales de EE.UU. en 2016. Cambridge Analytica - una empresa de análisis de datos
que trabajó con el equipo de Donald Trump - utilizó sin consentimiento la información de
50 millones de perfiles de Facebook para identificar los patrones de comportamiento y
gustos de los usuarios y utilizarlos en la difusión de propaganda política.

4. Facebook | Marzo 2019

Un año después del escándalo de Cambridge Analytica, Facebook se vio involucrado una
vez más en un caso de exposición de datos. Cerca de 419 millones de números de teléfono
y de identificación de usuario en Facebook fueron almacenados en un servidor online que
no estaba protegido por contraseña. Aunque no son tan sensibles como los datos
financieros, los números de teléfono pueden ser utilizados por los hackers para spam,
phishing o fraudes asociados a la tarjeta SIM. Los Estados Unidos, el Reino Unido y
Vietnam fueron los países más afectados.
¿CÓMO EVITAR Y PROTEGER LA INFORMACIÓN DE ATAQUES
INFORMÁTICOS?

Protección del vector de ataque más común: el correo electrónico

Los correos electrónicos son uno de los puntos más débiles de una empresa debido a que a
través de éstos, los cibercriminales pueden introducir de forma fácil amenazas de software
malicioso y robo o secuestro de información con tácticas de ingeniería social para estudiar a
la víctima y elaborar mensajes de phishing personalizados. El correo electrónico es uno de
los mecanismos de entrega más comunes para las amenazas de ransomware y de día cero.

Como recomendaciones está monitorear la actividad de mensajes sospechosos y las

descargas de archivos adjuntos; se debe dar formación continua al personal de su empresa
sobre el buen uso de este medio para que sea empleado con fines laborales y alerte a la
compañía en caso de ver un correo sospechoso.

Detección temprana de códigos o archivos maliciosos

Es común que este tipo de códigos se escondan en archivos PDF, imágenes y ZIP. Una
buena práctica es implementar una plataforma antimalware capaz de descubrir, decodificar
y descifrar estos códigos ocultos y así evitar ser víctima de robo de información.

Tener visibilidad de las conexiones sospechosas a sus servicios públicos

Los cibercriminales a menudo usan direcciones IP, sitios web, archivos y servidores de
correo electrónico con un histórico de actividad maliciosa. Utilice herramientas capaces de
examinar la reputación de fuentes no confiables ubicadas fuera de su organización.

Monitorear las bases de datos y los servidores de archivos con información crítica y
sensible
Los intentos de acceso no autorizados a datos críticos o la modificación de la estructura en
las bases de datos pueden ser síntomas de alerta que indican que su red estaría amenazada.
Es importante tener al alcance herramientas que le permitan tener visibilidad y control de
las transacciones e intentos de acceso no autorizados.

Actualización de sistemas operativos

La mejor manera de garantizar que los equipos de la empresa tengan buen funcionamiento
es haciendo un inventario de todo el hardware disponible y sus licencias correspondientes.
Luego se debe realizar un plan para gerenciar sus equipos de la manera más efectiva, ya sea
entrenando a sus empleados para que realicen las actualizaciones periódicamente o
automatizando el proceso a través de una herramienta. Este punto incluye servidores y
elementos de red como routers, switches o firewalls.

1.4.5. IMPACTO
Es la magnitud del daño que provoca un ataque exitoso en el que se han perjudicado la
confidencialidad, la disponibilidad, la integridad y la autenticidad de la información del
sistema. Dependiendo de los daños causados y los activos afectados, el impacto será mayor
o menor: es posible que una amenaza comprometa a un activo prescindible del sistema
(causando un impacto bajo) o que, sin embargo, comprometa a un activo importante,
ocasionando efectos graves en el correcto funcionamiento de una organización (causando
un impacto muy elevado).

Es un indicador de lo que puede suceder cuando ocurren las amenazas, siendo la medida del
daño causado por una amenaza cuando la misma se materializa sobre un activo. El impacto
se estima como en la siguiente fórmula, conociendo el valor de los activos y su degradación
causada por las amenazas:

IMPACTO = VALOR x DEGRADACIÓN DEL ACTIVO

1.4.6. PROBABILIDAD
Se define como la estimación de posibilidades de que se materialice el riesgo o, lo que es lo
mismo, que se produzca una amenaza real.

Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de

ocurrencia implícita se corresponde con la amenaza. Para estimar la frecuencia podemos
basarnos en datos empíricos (datos objetivos) del histórico de la empresa, o en opiniones de
expertos o del empresario (datos subjetivos).
1.4.7. RIESGOS
ISO indica que el riesgo es “la probabilidad de que una amenaza determinada se materialice
explotando las vulnerabilidades de un activo o grupo de activos y por lo tanto causar daño o
pérdidas a la organización”
¿Qué hacer con los riesgos?
Las actividades cuyo objetivo es mantener el riesgo por debajo del umbral fijado se
engloban en lo que se denomina Gestión del riesgo.

GESTIÓN DE RIESGOS

La gestión de riesgos se define como el conjunto de procesos desarrollados por una

organización con el fin de disminuir la probabilidad y ocurrencia de amenazas y de
aumentar la probabilidad y ocurrencia de oportunidades con efectos negativos. Se trata de
una metodología o conjunto de metodologías encaminadas a gestionar correctamente las
incertidumbres de una amenaza.

Fases de la Gestión de Riesgos

La norma ISO 31000 establece, después de introducir los principios de gestión del riesgo y
el marco de trabajo, un proceso de gestión del riesgo con un conjunto de fases y pasos
recomendados para que las organizaciones lo adapten e implanten correctamente,
consiguiendo mejoras en la efectividad y precisión ante posibles amenazas.

El proceso de
gestión de riesgos
definido por la norma
ISO 31000 propone
una serie de fases o
procesos como se
detalla en la siguiente
figura:
J) Establecimiento del entorno y del contexto: En un primer momento, deberán
analizarse todas las peculiaridades de la organización, del entorno y de sus sistemas de
información para desarrollar una estrategia de gestión de riesgos que se adapte a sus
necesidades.
K) Fase de apreciación del riesgo: Consiste en una serie de tareas relacionadas con la
detección e identificación de los riesgos de una organización para su evaluación y
categorización. Dentro de esta fase, se encuentran las subfases siguientes:
✔ Identificación del riesgo: Una vez detectado el riesgo, habrá que proceder a
identificarlo para conocer sus características básicas.
✔ Análisis del riesgo: Cuando ya se ha identificado el riesgo, será necesario
realizar un análisis más profundo y detallado para conocer sus características y
comportamientos particulares.
✔ Evaluación del riesgo: Después de conocer en profundidad el riesgo
identificado, se tendrán que evaluar los potenciales daños y efectos negativos
que puede ocasionar para determinar su importancia y magnitud.
L) Fase de tratamiento del riesgo: Según lo determinado en el análisis y evaluación del
riesgo, se tomarán una serie de decisiones y medidas que minimicen la probabilidad de
su ocurrencia y su daño potencial.
M) Monitorización y revisión: Cuando ya se ha decidido e implantado la metodología de
detección, análisis, evaluación y tratamiento de riesgos, habrá que monitorizarla lo
máximo posible para que se integre en la organización como un proceso automático.
Además, requerirá revisiones periódicas para detectar posibles fallos y solucionarlos en
el menor tiempo posible. Durante la implantación, también se recomienda ir
realizando revisiones que garanticen su desarrollo correcto.
N) Comunicación y consulta: Durante todas las fases de gestión del riesgo, la
organización deberá estar en permanente contacto con los distintos agentes y
participantes de su sistema de información con una serie de objetivos:
⮚ Ayudar a establecer el contexto adecuadamente.
⮚ Garantizar los intereses de las partes interesadas y asegurarse que están bien
informadas.
⮚ Ayudar a asegurar que los riesgos están identificados
correctamente.
⮚ Dar apoyo al sistema de gestión de riesgos.
⮚ Desarrollar una correcta política de comunicación interna y externa de
la organización, para que todos los agentes tengan la posibilidad de
consultar los riesgos del sistema de información y sus consecuencias

1.4.8. DESASTRES
Los desastres IT, entendidos como una situación de crisis en las infraestructuras IT de una
organización, están a la orden del día. Son un hecho. En cualquier momento el sistema se
puede caer y causar daños a la organización, ya sean directos o colaterales, más o menos
críticos y más a menos reversibles.

Existen demasiados factores que pueden llegar a suponer una pérdida o interrupción del
acceso a la información crítica en una organización, entre estos tenemos:

A) Fallos en el suministro y la red eléctrica

Una de las principales causas señaladas por una gran cantidad de organizaciones como
desencadenante de desastres en los sistemas de información es algo tan mundano como un
fallo en el suministro o la red eléctrica.
Al menos, esto es lo que afirmaron el 43% de las empresas encuestadas para la elaboración
del informe Global Disaster Recovery Preparedness, publicado por la consultora Forrester
en el año 2013.

Es por ello, que un adecuado protocolo de prevención debe incluir una infraestructura de
red de área local (LAN), así como una relación de pasos para llevar a cabo su restauración
en caso de caída.

B) Fallos en el hardware y los sistemas de almacenamiento

Una vez se dispone de varios niveles de redundancia en componentes críticos, tales como
controladores de red o múltiples fuentes de alimentación, es posible que uno se sienta
mucho más protegido. Aun así, los fallos en la SAN (Storage-Area Network) o Red de
Almacenamiento figuran entre las principales causas de desastres entre las organizaciones.

Con frecuencia, éstas cuentan con una amplia red de almacenamiento y todos los servidores
virtualizados dentro de ésta. El problema es que, cuando la SAN se cae, todo el entorno de
datos de la organización también lo hace.

C) Fallos humanos

Efectivamente, el error humano también es una causa señalada en el 13% de los casos de
desastres de IT.

Como ya imaginarán, la casuística entre los errores humanos es muy variada. No obstante,
el borrado accidental de un sistema de archivos de un servidor es una de las causas más
comunes, tanto entre novatos, como expertos de IT de consumada experiencia. Las
salvaguardas utilizadas para advertir a los usuarios del borrado o sobre-escritura de
archivos son frecuentemente ignoradas por éstos. Cuando se trata de información crítica, la
ausencia de un sistema de backup y recuperación de datos se convierte en una dolorosa
situación.

D) Fallos de software

La principal razón que subyace detrás de los fallos de software es la falta de supervisión y
comprobación de los parches y actualizaciones que éstos reciben. Esto puede dar lugar a la
corrupción de determinadas aplicaciones y la consiguiente caída de los sistemas.
Por otro lado, el uso de sistemas operativos anticuados y con un deficiente mantenimiento
también está detrás de muchos de los fallos de software que desencadenan un desastre de
IT.

E) Ataques maliciosos y virus informáticos

Sorprendentemente, este tipo de fenómenos son mucho menos confirmados que los
señalados anteriormente. El problema radica en las consecuencias de los mismos.

Si el hecho de sufrir un desastre de los sistemas de información supone una gran pérdida de
credibilidad y confianza por parte de los clientes, hacerlo como consecuencia de un ciber-
ataque suele ser mediáticamente terrible.

Además, al contrario que la arbitrariedad de los anteriores casos, el daño ocasionado en este
tipo de ataques también suele estar muy medido, de forma que la información perdida o
robada tiene una importancia crítica.

Por otra parte, conviene tener en cuenta que estos ataques pueden tener su origen tanto en el
exterior de una organización, como en el interior, con independencia de la voluntad
maliciosa de los empleados.

Finalmente, no podemos olvidar que la presencia de virus, malwares y ransomwares

también es un constante y creciente problema que amenaza la operatividad diaria de
muchas organizaciones. El mayor problema de este tipo de infecciones digitales es que los
archivos pueden parecer intactos hasta el momento en que se intenta acceder a ellos.

F) Desastres naturales

Aunque también cuentan con una menor presencia estadística, los desastres naturales suelen
tener unos efectos devastadores sobre los sistemas de información de cualquier
organización.

Probablemente, uno piense en fenómenos terremotos y tsunamis, sin embargo, sucesos más
comunes –como inundaciones o pequeños incendios locales- pueden terminar afectando
gravemente a soportes relevantes dentro de la estructura IT de una empresa.
Si se quiere evitar que cualquiera de estos fenómenos ponga en jaque la viabilidad de la
empresa, se necesita contar con un Sistema de Recuperación de Desastres. Existen muchas
alternativas en el mercado. Desde las tradicionales soluciones de backup en disco y cinta,
las consolidadas soluciones basadas en snapshots nativos de los propios sistemas de
almacenamiento (ojo no sustituyen al backup, sino que lo complementan), hasta avanzados
sistemas cloud backup.

Es importante, además, realizar un análisis de la fiabilidad del sistema de backup de la

organización, para identificar las vulnerabilidades y requisitos logísticos del negocio. De
esta manera uno será capaz de elegir la mejor solución para tal cometido.

Ejemplos:

En el mundo se han dado varios desastres naturales que han centralizado la atención

mundial. Uno de ellos puede ser el huracán Katrina o Sandy, el desastre natural ocurrido en
Fukushima, tsunamis y terremotos. Todos han tenido consecuencias devastadores,
destruyendo negocios y bancos de datos completos.

Además, otros desastres como tornados, inundaciones y tormentas, pueden ser suficientes
para eliminar una empresa en cualquier lugar del mundo. Incluso, un simple incendio
localizado puede destruir todos los datos si no se ha preocupado de realizar una
relocalización de sus copias de seguridad en una ubicación remota.

1.5. PRINCIPIOS DE SEGURIDAD INFORMÁTICA

La seguridad informática hace referencia a las medidas aplicables para impedir la ejecución
de operaciones no autorizadas sobre un sistema o red informática que pueden ocasionar
efectos adversos sobre la información de la organización.

Los principios de seguridad informática permiten que un sistema informático sea seguro.

1.5.1. INTEGRIDAD
La integridad es mantener con exactitud la información tal cual fue generada, sin ser
manipulada ni alterada por personas o procesos no autorizados.
1.5.2. CONFIDENCIALIDAD
Se necesita que la información sea solamente conocida por las personas que estén
autorizadas.

1.5.3. DISPONIBILIDAD
Capacidad de permanecer accesible en el sitio, en el momento y en la forma en que los
usuarios que estén autorizados lo requieran.

1.5.4. NO REPUDIO
Consiste en implementar un mecanismo probatorio que permita demostrar la autoría y
envío de un determinado mensaje.

Integridad

SEGURIDAD
DE LA Confidenciali
No repudio INFORMACI dad
ÓN

Disponibilida
d
1.6. POLÍTICAS DE SEGURIDAD INFORMÁTICA
Las políticas de seguridad informática son declaraciones formales de las reglas que deben
cumplir las personas que tienen acceso a los activos de tecnología e información de una
organización.

Existen dos grupos principales de políticas de seguridad informática:

✔ Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y
prácticas que pueden poner en riego los sistemas y la información.

✔ Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel
de protección y seguridad.

1.6.1. IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

Las políticas de seguridad informática surgen como respuesta a los diferentes riesgos de
seguridad a la cual están expuestos los sistemas:

▪ Privacidad de la información, y su protección frente a accesos por parte de personas

no autorizadas como hackers.

▪ Integridad de los datos, y su protección frente a corrupción por fallos de soportes o

borrado.

▪ Disponibilidad de los servicios, frente a fallos técnicos internos o externos.

1.6.2. CARACTERÍSTICAS DE LAS POLÍTICAS DE SEGURIDAD

Las buenas políticas de seguridad informáticas tienen en común estas características:

▪ Concretas: tienen que poderse implementar a través de procedimientos, reglas y

pautas claras.

▪ Claras: tienen que definir de forma clara las responsabilidades y obligaciones de

los distintos tipos de usuarios: personal, administradores y dirección.

▪ Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas

de seguridad o sanciones.

En el contenido de los documentos deben estar claramente establecidos: El objetivo, los

responsables del cumplimiento, las medidas que se aplicarán en caso de incumplimiento.
Entre los documentos pueden citarse los siguientes:

Administración de usuarios que reglamentará el acceso a los recursos por el personal de la

organización.

A. Copias de respaldo: Describirá los pasos a seguir para asegurar una adecuada
recuperación de la información, a través de las copias de respaldo.
B. Tratamiento de la información: Definirá claramente los tipos de información que
es manejada por las personas autorizadas dentro de la organización.
C. Software legal: Definirá claramente el uso de software en la Empresa con licencias
de uso legal.
D. Uso del servicio de Internet y del correo electrónico: Describirá la protección de
la información mediante el uso de correo electrónico y del servicio de Internet.
E. Ambientes de Procesamiento: Define el uso de los ambientes de procesamiento de
información.
F. Seguridad en las comunicaciones: Describirá la protección de la información
durante los procesos de transmisión y recepción de datos en las redes internas y
externas.
G. Auditorías de los sistemas: Que permitirá hacer un control de los eventos de
seguridad de los sistemas.
H. Continuidad del procesamiento: Se definirán y reglamentarán las actividades
relativas a la recuperación de la información en casos críticos mediante una
metodología adecuada.
I. Protección física: Definirá la protección física de los equipos, de procesamiento,
almacenamiento y transmisión de la información.
J. Sanciones por incumplimientos: Este documento contemplará las medidas que se
aplicarán por incumplimiento de las reglas definidas.

1.7. PLAN DE CONTINGENCIA EN SEGURIDAD INFORMÁTICA

Se denomina plan de contingencia (también de recuperación de desastres o de continuación
de negocios), a la definición de acciones a realizar, recursos a utilizar y personal a emplear
en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade
los recursos informáticos o de transmisión de datos de una organización. Es decir, es la
determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una
anomalía en el sistema de información.

Un plan de contingencia se encuentra conformado por tres acciones fundamentales que son:
prevención, detección y recuperación.

Prevención Detección Recuperación

Son acciones que ayudan a Son las acciones que se deben Se definen los procesos o
prevenir cualquier tomar durante o lineamientos a seguir después
eventualidad que afecte las inmediatamente después de la de haber controlado la
actividades de las materialización de la amenaza amenaza. Se realiza la
organizaciones de manera total a fin de disminuirla. restauración de los equipos y
o parcial a fin de reducir los actividades a su estado inicial
impactos producidos. antes de materializarse la
amenaza.

1.7.1. CARACTERÍSTICAS DEL PLAN DE CONTINGENCIA INFORMÁTICO

Un plan de contingencia eficaz minimiza los daños ocasionados a la organización producto
de la materialización de las amenazas de origen natural o por errores humanos, por
consiguiente, debe cumplir con las siguientes características:

▪ Aprobación: Debe ser aprobado por la dirección y los usuarios.

▪ Flexibilidad: Debe poder adaptarse a cualquier contingencia, no debe ser específico

para un solo desastre.

▪ Mantenimiento: Ser preciso, evitar detalles innecesarios para que pueda ser
actualizado.

▪ Costo-efectividad: Las medidas aplicadas en cada una de las eventualidades

deberán ser evaluadas con relación a las ventajas que nos brindan, deben ser
razonables.

▪ Respuesta organizada: Contar con una lista de las acciones y servicios que deben
recibir prioridad.

▪ Responsabilidad: Contendrá el nombre de los responsables que deben asumir las

diferentes funciones en caso de una emergencia.
 ▪ Pruebas: Se realizarán pruebas con inventarios de tiempo y procedimientos de
respaldo, debe tener una metodología

El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el
desastre. Por ello un plan de contingencia debe contar con los siguientes aspectos:

✔ Un primer aspecto importante del plan es la organización de la contingencia, en

el que se detallan los nombres de los responsables de la contingencia y sus
responsabilidades.
✔ El segundo aspecto crítico de un Plan de Contingencia es la preparación de un
Plan de Backup, elemento primordial y necesario para la recuperación.
✔ El tercer aspecto es la preparación de un Plan de Recuperación. La empresa
debe establecer su capacidad real para recuperar información en un periodo de
tiempo aceptable.

1.7.2. ELEMENTOS DEL PLAN DE CONTINGENCIA SEGÚN ISO 22301

La ISO 22301 es una norma de carácter internacional de gestión de continuidad de negocio;
que tiene como objetivo minimizar cualquier posibilidad de que ocurra un desastre y en
caso de producirse, que su impacto sea mínimo y así minimizar el tiempo de reanudación
de la actividad que desarrolla la empresa.

Dicho plan hace referencia a las principales medidas que se pueden llevar a cabo para que
se pueda garantizar la continuidad del negocio, así como las operaciones de una
organización desde tres puntos de vista:

✔ Medios técnicos
✔ Los medios humanos. Formados por los trabajadores
✔ Y medios organizativos.

Los principales elementos que debe tener un plan de contingencia son:

Definición de las situaciones críticas: Es importante definir los activos críticos y la

relación de procesos de negocio que afecten a esos activos previamente identificados.
Asignación de responsabilidades: Se deben crear grupos humanos configurados por
personal competente como el comité de emergencia, el cual se encargará de ejecutar los
procedimientos adecuados en el caso de que se produzca una situación crítica.

Determinar las acciones de respuesta: Esto implica tener muy bien definida una hoja de
ruta con las siguientes acciones a llevar a cabo:

❖ Indicadores que marcarán el inicio del plan de contingencia.

❖ Secuencias de acciones que hay que llevar a cabo en el orden preciso.
❖ Indicadores que permiten considerar que la situación ha quedado normalizada.

1.7.3. FASES DE UN PLAN DE CONTINGENCIA INFORMÁTICO

A. Planificación: Diagnóstico inicial de la situación actual, Diseño de propuestas para
un determinado problema, Diagnóstico de la estructura organizacional.
B. Identificación de escenarios de contingencia y amenaza: Información adquirida
de los riesgos críticos, identificarlos, conocer las causas y el impacto que generarían
para la organización si llegan a materializarse.
C. Evaluación de Riesgos: Identificar, cuantificar y priorizar los riesgos, los
resultados obtenidos deben proporcionar la información necesaria para realizar una
adecuada gestión de riesgo.
D. Identificación de Vulnerabilidades Tecnológicas: Uso de la lista de los activos y
los controles existentes dentro de la organización, las vulnerabilidades se pueden
encontrar en las siguientes áreas: Organización, Procesos y procedimientos, Rutinas
de gestión, Personal, Ambiente físico, Configuración del sistema de información,
Hardware, software o equipos de comunicaciones.
E. Valoración de los activos: Identificar los activos de mayor relevancia dentro de la
organización.
F. Análisis de riesgo: El análisis de riesgos se encuentra comprendida por tres
elementos que permiten dar un valor los riesgos dentro de la organización:
probabilidad de ocurrencia del riesgo, el impacto del riesgo y la determinación del
riesgo.
G. Identificación de controles preventivos: Permiten brindar alternativas eficientes
que minimicen la aparición de vulnerabilidades.
 H. Estrategias de Protección Tecnológica: Se debe definir una estrategia de
recuperación que contenga una guía de procedimientos para la recuperación ante el
desastre, la elección de esta se determinará de acuerdo con la criticidad de los
procesos o aplicaciones, tiempo de recuperación y la seguridad requerida.

CAPÍTULO II: CASOS PRÁCTICOS

2.1. POLÍTICA DE SEGURIDAD DE INFORMACIÓN DE SENASA
El Servicio Nacional de Sanidad Agraria, tiene la necesidad de proteger los servicios y
activos de la información en sus diferentes sedes del país, lo que implica que toda
información obtenida, utilizada, procesada, almacenada y distribuida debe ser
rigurosamente asegurada. Apoyándose en los principios fundamentales para preservar la
información, como son la confidencialidad, integridad y disponibilidad de la información.

Objetivos:

● Establecer los lineamientos para la gestión de la seguridad de la información, los

cuales serán emitidos por el comité de seguridad de la información, el oficial de
seguridad de la información y la coordinación técnica de la seguridad de la
información del SENASA, en el marco de sus responsabilidades.
● Implementar el plan del sistema de gestión de la seguridad de la información
(SGSI).
● Mantener el monitoreo continuo en prevención, ante amenazas al sistema de gestión
de seguridad de la información.

Alcance:

Esta Política abarca a todos los colaboradores, proveedores y clientes de SENASA con
accesos los activos de información.

Responsabilidades
Todo el personal de SENASA y terceros, que interactúan de una manera habitual u
ocasional con los activos de información, son responsables de informarse del contenido de
la Política de Seguridad de Información y cumplirlo en el desarrollo de sus tareas
habituales.

El incumplimiento de la Política de Seguridad de Información de SENASA tendrá como

resultado la aplicación de la respectiva sanción, conforme a la magnitud y característica del
aspecto incumplido.

Política de Seguridad de Información

El Servicio Nacional de Sanidad Agraria, tiene la necesidad de proteger los servicios y

activos de la información en sus diferentes sedes del país, lo que implica que toda
información obtenida, utilizada, procesada, almacenada y distribuida debe ser
rigurosamente asegurada. Apoyándose en los principios fundamentales para preservar la
información, como son la confidencialidad, integridad y disponibilidad de la información.

Objetivos Generales de la Política de Seguridad de la Información.

● Establecer los lineamientos para la gestión de la seguridad de la información, los

cuales serán emitidos por el comité de seguridad de la información, el oficial de
seguridad de la información y la coordinación técnica de la seguridad de la
información del SENASA, en el marco de sus responsabilidades.
● Implementar el plan del sistema de gestión de la seguridad de la información
(SGSI).
● Mantener el monitoreo continuo en prevención, ante amenazas al sistema de gestión
de seguridad de la información.
● Determinar las oportunidades de mejora continua para el sistema de gestión de la
seguridad de la información.

Protección de los Activos de la Información

Todos los colaboradores del SENASA tienen el compromiso de cumplir el alcance y la
política determinada por la institución, con el objeto de salvaguardar la seguridad de la
información. Protegiéndola contra violaciones de autenticidad, accesos no autorizados,
pérdida de integridad y libre disponibilidad.

POLÍTICAS DERIVADAS

Política de activos

La sección de la Política de los activos de Tecnologías de la Información (TI), define los

requisitos para el manejo adecuado y seguro de todos los Activos de Tecnologías de la
Información en la SENASA.

Aplica a todos los Activos TI asignados a los colaboradores, proveedores, prestadores de

servicio y clientes de la Organización.

Política de control de acceso

Establecer los requisitos para el control adecuado de accesos a los Servicios de Tecnologías
de la Información y la infraestructura del SENASA.

Esta política se aplica a colaboradores, proveedores, prestadores de servicio y clientes de

SENASA con acceso a los Servicios brindados por la UIE.

Política de control de contraseña

La sección de la Política de Control de Contraseñas define los requisitos para el correcto y

seguro manejo de contraseñas en la Organización.

Esta política se aplica a colaboradores, proveedores, prestadores de servicio y clientes de

SENASA con acceso a los Servicios brindados por la UIE.

Política de correo electrónico

La sección de la Política de Correo Electrónico define los requisitos para el uso correcto y
seguro del correo electrónico en la Organización.

Esta política se aplica a colaboradores, proveedores, prestadores de servicio y clientes de

SENASA con acceso a los Servicios brindados por la UIE.
Política de internet

La sección Política de Internet define los requisitos para el acceso adecuado y seguro a
Internet.

Esta política se aplica a colaboradores, proveedores, prestadores de servicio y clientes de

SENASA con acceso a los Servicios brindados por la UIE.

Política de antivirus

La sección de Política Antivirus define los requisitos para la correcta ejecución del
antivirus y otras formas de protección en la organización.

Esta política se aplica a los servidores, estaciones de trabajo y equipos en la organización,

incluyendo dispositivos portátiles que puedan viajar fuera de las instalaciones de la
organización. Algunas directivas se aplican a equipos externos y dispositivos de acceso a
los recursos de la organización.

Política de acceso remoto

La sección de la Política de Acceso Remoto define los requisitos para el acceso remoto
seguro a recursos internos de la Organización.

Esta política se aplica a los usuarios y dispositivos que necesitan acceder a recursos
internos de la Organización desde ubicaciones remotas.

Política de subcontratación

La sección de Política de Subcontratación define los requerimientos necesarios para

minimizar los riesgos asociados con la externalización de un servicio, funciones y procesos.

Esta política se aplica a la organización; los proveedores de servicios, funciones y procesos

que están siendo subcontratados.
2.2. PLAN DE CONTINGENCIA Y SEGURIDAD DE LA INFORMACIÓN
DE LA MUNICIPALIDAD PROVINCIAL DE CANCHIS - CUZCO

PLAN: Plan de Contingencia y Seguridad de la Información

ENTIDAD: Municipalidad Provincial de Canchis –

Cuzco

ELABORADO POR: Sub Gerencia de Tecnología

de Información y Sistemas

VERSIÓN: 1.01

FECHA DE EDICIÓN: 03/07/2016

Para la entidad la información es un activo que

tiene valor, lo que requiere que se genere una
protección adecuada, debido a que pudiera estar
expuesta a un alto número de amenazas y
vulnerabilidades.

Es importante resaltar para que la organización

logre sus objetivos necesita garantizar tiempos de
disponibilidad eficiente; en otras palabras minimizar las interrupciones de la disponibilidad
de la información, ya sea por causa de algún incidente interno o externo de la organización
por lo que se debe adoptar medidas de seguridad para la información y así mismo estar
preparados para poder afrontar contingencias y desastres de tipo diverso, para lo cual se
debe establecer un Plan de Contingencias y Seguridad de la Información que sea eficiente
en todas las áreas operativas.

Por ello se presenta el siguiente Plan de Contingencias:

Fases de un plan de contingencia informático

❖ Planificación:
✔ Diagnóstico inicial de la situación actual
Efectuada una revisión del aspecto situacional de riesgos de Tecnología de
Información de la Municipalidad Provincial de Canchis consideramos que debe
elaborarse un Plan de Contingencias y Seguridad de la Información que sirva
como metodología, guía o marco de trabajo que ayude a la identificación de
riesgos y determinar controles para mitigarlos.
Dentro de los distintos aspectos a considerar en la seguridad de la información,
es necesario elaborar Políticas de Seguridad de la Información y una clasificación
de seguridad de los Activos de Información de la Municipalidad.
✔ Diagnóstico de la estructura organizacional

❖ Identificación de escenarios de contingencia y amenaza e identificación de

Vulnerabilidades Tecnológicas:
¿A qué riesgos en la seguridad informática se enfrenta la Institución? y ¿Cómo
impactarían en la Institución?

✔ Al fuego, que puede destruir los equipos y archivos: la institución no cuenta con
protección contra incendios en cada una de las áreas que cuenta con activos
informáticos.
✔ Al robo común, perdida de los equipos y archivos: La institución se encuentra en
el centro de la ciudad y se han registrado pérdidas de equipos tecnológicos, a
pesar que solo existe una sola puerta de ingreso.
✔ Al vandalismo, que dañen los equipos y archivos: No existe antecedentes, pero
han ocurridos incidentes violentos contra el palacio municipal.
✔ A fallas en los equipos, que dañen los archivos: la falla que vienen repostando los
equipos en la mayoría de los casos han sido originados por el tiempo de vida de
los equipos.
✔ A equivocaciones que produzcan daños a los archivos: el personal del área de
Subgerencia de Tecnología de Información y Sistemas solucionan cualquier
inconveniente que se presente.
Pero es de conocimiento que de manera accidental o incidental algunos usuarios
eliminaban o formateaban las unidades del disco duro, trayendo como
consecuencia la perdida de la información.
✔ A la acción de virus, que dañen los equipos y archivos: lamentablemente,
algunos usuarios no cumplen con la normativa de prohibición de instalar
programas por su cuenta, lo que conlleva a que se descargue de internet
programas que contengan virus, por ello los únicos autorizados a instalar es el
área de Subgerencia de Tecnología de Información y Sistemas.
✔ A terremotos, que destruyen los equipos y los archivos: la institución se
encuentra en un lugar de poca actividad sísmica.
✔ A accesos no autorizados, filtrándose datos importantes: se cuenta con modem de
acceso a internet los cuales tienen los puertos cerrados para evitar que algún
intruso pueda ingresar a la red interna de la entidad.
 ✔ A fraude informático, desviando fondos merced a la computadora: la institución
realiza transferencias electrónicas a los bancos, se trabaja de manera normal, no
existiendo ningún antecedente.
❖ Evaluación de Riesgos y Análisis de riesgo:

❖ Identificación de controles preventivos:

✔ Al fuego, se deben implementar sistemas de detección contra incendios en las
áreas donde se cuenten con activos de información importantes.
✔ Al robo común, se deben instalar cámaras de seguridad y alarmas contra robos, y
también se deben cerrar las puertas de entrada y ventana fuera de hora de trabajo.
✔ Al vandalismo, se debe cerrar la puerta principal cuando hay problemas con
manifestaciones.
✔ A fallas en los equipos, se deben tratar con cuidado, y realizar el mantenimiento
de estos equipos de forma regular.
✔ A equivocaciones que produzcan daños a los archivos, mayor capacitación a los
empleados en el manejo de equipos de información y de los sistemas que maneje
la institución.
✔ A la acción de virus, se deben contar con un antivirus actualizado.
Los programas de dominio público y de uso compartido (shareware), solo se usan
si proceden de una fuente fiable.
✔ A terremotos, la infraestructura es de material noble y la incidencia de que ocurra
este fenómeno natural es casi nula.
 ✔ A accesos no autorizados, se debe cerrar la puerta principal y de oficinas. Solo
personal autorizado de cada oficina puede usar equipos de su oficina y en horario
de trabajo.
✔ A fraude informático, desviando fondos merced a la computadora: la institución
realiza transferencias electrónicas a los bancos, se trabaja de manera normal, no
existiendo ningún antecedente.
❖ Estrategias de Protección Tecnológica:
PLAN DE RECUPERACION DE DESASTRES: se deben clasificar tres etapas
✔ Actividades previas al desastre
Sistemas de Información, la institución deberá tener una relación de los
Sistemas de Información con los que cuenta, tanto en las instalaciones
realizadas en el centro de cómputo como las realizadas en las áreas usuarias.
Equipos de cómputo, se debe realizar un inventario actualizado de los
equipos de manejo de información.
Obtención y almacenamiento de los respaldos de información(BACKUPS),
se debe realizar copias de seguridad de todos los elementos de software
necesarios.
✔ Actividades durante el desastre
Establecer un plan de emergencia de evacuación, como lo es el plan de
puesta a buen recaudo de los activos, la señalización de los elementos contra
el siniestro y la secuencia de llamadas en caso de siniestro.
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.) con
funciones claramente definidas a ejecutar durante el siniestro.
✔ Actividades después del desastre
Evaluación de daños, inmediatamente después que el siniestro ha concluido,
se deberá evaluar la magnitud del daño que se ha producido.
Priorización de actividades del Plan de Acción, es importante evaluar la
dedicación del personal a actividades que puedan no haberse afectado, para
ver su asignación temporal a las actividades afectadas, en apoyo al personal
de los sistemas afectados y soporte técnico.
Retroalimentación del plan de acción.
CONCLUSIONES

❖ La seguridad informática y la seguridad de la información guarda relación sobre

todo si se tiene en cuenta que el desarrollo y la evolución de la tecnología tiende
hacia el modelo de digitalizar y manejar cualquier tipo de información mediante un
sistema informático.

❖ La empresa deberá valorar, en función del riesgo y sus recursos, qué medidas de
seguridad puede resolver de forma interna, mediante sus propios medios y personal,
y qué medidas será preferible contratar mediante compañías externas que
ofrezcan soluciones efectivas sobre ciberseguridad.

❖ Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el
costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen
riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.

❖ En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una

herramienta organizacional para concientizar a cada uno de los miembros de una
organización sobre la importancia y sensibilidad de la información y servicios
críticos. 

❖ El Plan de Contingencia deberá estar basado en una evaluación de riesgos que

permitan identificar un conjunto de medidas y acciones básicas concretas de
respuesta, que se deberían tomar para afrontar de manera adecuada y efectiva,
posibles incidentes.
BIBLIOGRAFÍA

Audea. (2011). Seguridad de la información Vs seguridad informática. Obtenido de:

https://www.audea.com/seguridad-de-la-informacion-vs-seguridad-informatica/

Ayala, R. (2019). Diferencias entre seguridad informática y seguridad de la información.

Obtenido de: https://interpolados.wordpress.com/2018/12/23/diferencias-entre-
seguridad-informatica-y-seguridad-de-la-informacion/

Blog especializado en Sistemas de Gestión. (2016). ¿Seguridad informática o seguridad de

la información? Sitio web: https://www.pmg-ssi.com/2017/01/seguridad-de-la-
informacion/

Blog mdcloud. (SF). Políticas de seguridad informática y su aplicación en la empresa. Sitio

web: https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-aplicacion-en-
la-empresa/

Caso Práctico: Municipalidad Provincial de Canchis – Cusco. Obtenido de:

http://www.municanchis.gob.pe/descargas/PCSI/pcsi.pdf

Consultores, C. (2017). Seguridad Informática vs Seguridad de la Información. Obtenido

de: https://blog.orcagrc.com/diferencias-seguridad-informatica-seguridad-de-la-
informacion

Elemento de Plan de Contingencias según ISSO 22301. Obtenido de:

https://www.isotools.org/2019/06/04/elementos-del-plan-de-contingencia-segun-
iso-22301/

Interpolados. (2019). Diferencia entre Seguridad Informática y Seguridad de la

Información. Obtenido de:
https://interpolados.wordpress.com/2018/12/23/diferencias-entre-seguridad-
informatica-y-seguridad-de-la-informacion/
Leal M. (2012). Pricipios de la seguridad informática. Obtenido de:
https://2asirseguridadinformatica.files.wordpress.com/2013/11/principios-de-la-
seguridad-informc3a1tica.pdf

Méndez Luna, K. (2015). Plan de contingencia para la unidad de sistemas y tecnología de

información del gobierno Autónomo Descentralizado Antonio Ante en base a la
Norma ISO/IEC 27002 (Bachelor's thesis). Obtenido de:
http://repositorio.utn.edu.ec/bitstream/123456789/4514/2/04%20RED
%20062%20informe%20tecnico.pdf

Ministerio de Hacienda y Administraciones Públicas de España. (2012). Versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Libro I – Método. Obtenido de: https://administracionelectronica.gob.es/pae_Home

Ministerio de Hacienda y Administraciones Públicas de España. (2012). Versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Libro II – Catálogo de Elementos. Obtenido de:
https://administracionelectronica.gob.es/pae_Home

Plan de Contingencia. Obtenido de: https://sites.google.com/site/tecadmcc/home/2014-

ii/temas-de-investigacion/plan-de-contingencias-y-seguridad-de-la-informacion

Romero, M. & Et. Al. (2008). Introducción a la seguridad informática y análisis de las
vulnerabilidades. Obtenido de: https://www.3ciencias.com/wp-
content/uploads/2018/10/Seguridad-inform%C3%A1tica.pdf

Servicio Nacional de Sanidad Agraria. Obtenido de:

https://www.senasa.gob.pe/senasa/descargasarchivos/2015/01/Politica-de-
Seguridad-13-09-2016.pdf

Zambrano, S. , Valencia, D. (2017). Seguridad en informática: consideraciones. Obtenido de:

https://dialnet.unirioja.es/servlet/articulo?codigo=6137824