INSTRUMENTO DE RECOLECCIÓN DE DATOS E INFORMACIÓN PRELIMINAR SOBRE

ASPECTOS RELACIONADOS CON

CIBERSEGURIDAD EN AVIACIÓN CIVIL

Este documento tiene como finalidad hacer de su conocimiento el contenido del Instrumento de
Recolección de Datos e Información Preliminar (IRD) el cual deberá ser llenado por el personal
encargado de la TIC de la empresa. Sirva el mismo como guía para completar el formulario ofrecido
en su correo electrónico (Lea detenidamente y tome previsiones de sus respuestas antes de
comenzar con el llenado).

La información que a continuación se solicita en el presente cuestionario, deberá estar relacionada

con el uso de tecnologías y datos asociados con las operaciones de aviación civil. Esta
información será manejada de manera confidencial y utilizada para identificar el nivel de madurez
tecnológica de la empresa, para posteriormente evaluar si estas TIC se relacionan y son utilizadas
de manera segura en las operaciones de aviación civil (vuelo, tierra, mantenimiento, otras.)
En base a los resultados del instrumento, se determinará si la empresa pasa a las próximas fases
de implementación de actividades en Ciberseguridad o deba mantenerse en su estado actual.

1. ¿Se ha establecido de forma escrita el compromiso de la alta dirección sobre las

responsabilidades generales en materia de uso de tecnologías y datos de la empresa (seguridad
de la información/ciberseguridad)?
Si. (Por favor, especifique la(s) política(s) establecida(s) u otro(s) recurso(s) escrito(s) acerca
del compromiso de la alta dirección sobre estas responsabilidades)
No.

2. ¿Se han establecido responsabilidades concretas en cuanto al uso y resguardo de los activos
informáticos, tecnológicos y de información de la empresa?
Si. (Por favor, especifique la(s) política(s) establecida(s) u otro(s) recurso(s) escrito(s) en cuanto
al uso y resguardo de estos activos)
No.
3. ¿Se ha establecido de forma escrita, una política de uso de tecnologías y datos de la empresa
dirigida a los empleados?
Si. (Por favor, indique su política de uso de tecnologías y datos de la empresa la cual va dirigida
a los empleados)
No.

4. ¿Se ha establecido por parte de la alta gerencia, una política de privacidad para el uso de
tecnologías y datos de la empresa?
Si. (Por favor, indique su política de privacidad para el uso de tecnologías y datos de la
empresa)
No.

5. ¿Se ha establecido de forma escrita procedimientos para establecer e implementar medidas y

controles contra la destrucción o corrupción de datos causados por ataques cibernéticos o incidentes
de seguridad?
Si. (Por favor, indique cuál es su recurso escrito acerca de estos procedimientos)
No.

6. ¿Se ha establecido de forma escrita, procedimientos para establecer e implementar medidas y

controles contra la revelación de datos confidenciales causados por ataques cibernéticos o
incidentes de seguridad?
Si. (Por favor, indique cuál es su recurso escrito acerca de estos procedimientos)
No.

7. ¿Se ha establecido de forma escrita, procedimientos para establecer e implementar medidas y

controles contra posibles fallas o falta de disponibilidad de servicios TIC causado por ataques
cibernéticos o incidentes de seguridad?
Si. (Por favor, indique sus procedimientos establecidos)
No.
8. ¿Se ha establecido de forma escrita, procedimientos para la valoración de los riesgos e
incidentes de seguridad TIC?
Si. (Por favor, indique los procedimientos establecidos para valorar los riesgos e incidentes de
seguridad TIC)
No.

9. En relación con proveedores de servicios y/o equipos, ¿se ha establecido políticas de

confidencialidad sobre los servicios, uso y resguardo de las tecnologías y datos de la empresa?
Si. (Por favor, especifique la(s) política(s) establecida(s) u otro(s) recurso(s) escrito(s) que
traten acerca de la confidencialidad con sus proveedores de servicios con fines tecnológicos)
No.

10. Actualmente, ¿el personal (administrativo, técnico, terceros) se encuentra informado y conoce
las normas o políticas de la empresa sobre el uso de tecnologías y datos de la empresa?
Si. (especifique)
No.
11. Por favor indique cuál de las siguientes tecnologías de la información y comunicaciones,
dispone la empresa.
TIC disponibles en la empresa Si No
Infraestructura de red.
Ordenadores. (Portátil, de mesa, otros)
Periféricos (impresoras, telefonía, televisión, Smartphone).
Telefonía móvil (corporativo / personal con uso para conexión a datos e
información de la empresa).
Pizarras digitales.
Tableros interactivos.
Almacenamiento de información.
Energía (UPS, SAID)
Switches.
Equipo perimetral (firewall/proxy)
Sistemas de seguridad
(Equipos de biometría/Sistema de vigilancia).
Antivirus
Centro de datos.
Servidor Telnet
Servidor SIP
Servidores cloud.
Servidor de almacenamiento.
Servidor DNS
Servidor de email
Servidor web
Servidor de base de datos
Otro tipo de servidor (mencione).
Tecnología GPS
Tecnología TPV
Otro tipo de tecnología (mencione).
Sistemas operativos o software libre
Sistemas operativos o software privativos
Aplicaciones ofimáticas.
Navegadores de internet
12. Mencione la cantidad de personal, clientes, proveedores de la empresa con acceso a
tecnologías y datos de la empresa.
Personal, clientes, proveedores Cantidad
Personal interno de la empresa.
Personal externo (oficina matriz o filial).
Proveedores externos (empresas de servicios TIC).

13. Actualmente, ¿la empresa emplea especialistas en TIC (empleados internos cuyas funciones
estén relacionadas directamente con el mantenimiento, operatividad, desarrollo, resguardo de
las TIC)?
Si. (Por favor, indique las funciones de su(s) especialista(s) TIC)
No.

14. Por favor indique ¿qué área, unidad o gerencia es responsable de las funciones del personal

TIC en la empresa?

15. Por favor indique, ¿quién o quiénes (cantidad) ejercen funciones de TIC en la empresa?
Personal, clientes, proveedores Cantidad
Personal interno de la empresa.
Personal externo (oficina matriz o filial).
Proveedores externos (empresas de servicios TIC).

16. ¿Quiénes o quién es el responsable del mantenimiento de la infraestructura TIC (incluye

ordenadores, periféricos, servidores, redes, otros)?
Responsable Si No
Personal interno de la empresa.
Personal externo (oficina matriz o filial).
Proveedores externos (empresas de servicios TIC).
17. Describa cuáles son los sistemas o software que utiliza la empresa, que estén relacionados
con las operaciones de aviación civil.

Denominación Descripción
Nombre del Sistema (Defina en qué
consiste y la utilidad para la empresa)

Nombre del proceso al que pertenece

este sistema (ejem: administrativo,
facturación, mantenimiento, otros)

Activos asociados al sistemas

Interrelación o interconexión con otros
sistemas (indique y defina con cual o
cuales sistemas
Medidas que salvaguardan el sistema
antes mencionado
Nota: Replique esta ficha por cada sistema a describir

18. ¿Quiénes o quién es el responsable del soporte de sistemas o software relacionado con las
operaciones de aviación civil? (ejemplo: Sistema de mantenimiento aeronáutico, Sistema de
Combustible, Sistema para publicación de tarifas, Sistema de carga, Sistema de
entretenimiento o conectividad con el pasajero, Sistema de para envío de API’s, otros)

Responsable Si No
Personal interno de la empresa.
Personal externo (oficina matriz o filial).
Proveedores externos (empresas de servicios TIC).

19. ¿Quiénes o quién es el responsable de la seguridad y protección de datos relacionados con

las operaciones de aviación civil? (software, equipos de seguridad, equipo perimetral, otros)

Responsable Si No
Personal interno de la empresa.
Personal externo (oficina matriz o filial).
Proveedores externos (empresas de servicios TIC).
20. ¿Dispone la empresa de conexión a internet?

Si (mencione proveedor de servicio)

No.

21. Mencione qué tipo de conexión utiliza la empresa para acceder a internet:

Tipo de conexión Si No
Redes de cable y fibra óptica (FTTH)
Conexión DSL (ADSL, HDSL, SDSL, VDSL)
Otras conexiones fijas (PLC, leased line, framerelay,
satélite) Especifique.

22. ¿Cuál es la velocidad de navegación según su conexión a internet disponible en la empresa?

Velocidad de conexión Si No
Igual o superior a 100 Mbps.
Igual o superior a 30 Mbps.
Igual o superior a 10 Mbps.
Igual o superior a 4 Mbps.
Inferior a 2 Mbps.
Otra velocidad de navegación

23. ¿La empresa proporciona a sus empleados dispositivos portátiles para conexión móvil a
internet?
Si, dispositivos portátiles (Por favor, especifique los dispositivos portátiles proporcionados a
sus empleados.)

No, no proporciona.

24. Mencione la cantidad de empleados de la empresa que utiliza ordenadores, equipos o

dispositivos con conexión a internet proporcionados por la empresa.

25. Mencione la cantidad de empleados de la empresa que utiliza ordenadores, equipos o

dispositivos con conexión a internet de procedencia personal.
26. ¿La empresa proporciona a sus empleados conexión remota a través de protocolos SSH, Telnet,
VPN, RDP, entre otros; a los sistemas, aplicaciones, correo electrónico, bases de datos (otros
activos tecnológicos, ¿informáticos o de información) con fines corporativos o laborales?
Si. (Por favor, especifique qué tipo de conexión remota ofrece a sus empleados)
No.

27. ¿La empresa proporciona a sus empleados herramientas o software de escritorios remoto
(Anydesk, TeamViewer, VNC Connect) para conectarse a los equipos de computación?
Si. (Por favor, especifique cuál herramienta o software de escritorio remoto ofrece a sus
empleados)
No.

28. ¿La empresa contrata o dispone de servicios en la nube (cloudsevices)?

Si.
No

29.Mencione qué tipo de cloud sevices utiliza la empresa a través de internet:

Tipo de servicios cloud computing Si No

Almacenamiento de información.
Servidor de base de datos.
Aplicaciones para el tratamiento de información de
clientes/pasajeros.
Extensiones de aplicaciones para mejorar la experiencia del
usuario.
Infraestructura como Servicio (IaaS)
Plataformas y sistemas operativos PaaS
Software como Servicio SaaS
Otros usos o tipos. (Especifique)
30 ¿Utiliza la empresa herramientas de planificación de recursos empresariales (ERP/CRM
Operacional, CRM Analítico, otras) para compartir y/o gestionar datos e información de
empleados, proveedores, clientes o pasajeros con otras áreas (operativas/funcionales) de la
organización?
Si. (Por favor, especifique su herramienta de planificación de recursos empresariales utilizada)
No.

31. ¿Difunde, comparte, recibe o envía a través de correo electrónico contenido relacionado con sus
activos tecnológicos, informáticos o de información, planificación de provisiones de servicios,
mantenimientos, otra información relacionada con proveedores o clientes (cadena de suministro)?
Si. (Por favor, especifique)
No.

32. ¿Utiliza la empresa métodos de encriptación para la identificación de remitentes en

comunicaciones o para la detección de cambios en el contenido de los mensajes
enviados/recibidos?
Si. (Por favor, indique su(s) método(s) de encriptación utilizados)
No.

33. ¿Dispone la empresa de un sitio o página web?

Si (indique URL)
No.
34. Identifique los servicios que proporciona el sitio página web de la empresa:
Tipo de servicios en página web Si No
Identificación de la empresa (Nombre, visión, misión, objetivos, otros)
Información sobre horario de vuelos
Estado del vuelo (retrasos, tiempo aproximada de llegada, otros)
Reserva de vuelos.
Pago/Facturación de vuelo.
Registros (Chek-in)
Seguimiento/Monitoreo on-line de servicios (reserva, compra, otros)
Información de establecimientos de compras (alimentos, bebidas, electrónica,
textil, calzado, otros)
Información de hospedaje, traslados, otros.
Guía de visita virtual de recintos (aeropuerto, aerolínea, simuladores, otros)
Ubicación o mapa web del recinto (aeropuerto, aerolínea, simuladores, otros)
Registro de visitante o pasajero frecuente.
Recepción/ registro de información personal (identificación, datos financieros,
otros)
Vínculos de la empresa en redes sociales (Twitter, Instagram, Facebook, otras)
Política de Cookies
Políticas de privacidad, certificación, salvaguarda, otras.
Servicios de mensajería (reportes, denuncias, sugerencias, otras)
Otros servicios: especifique.
35. ¿La empresa mantiene registros o ha presentado en los últimos diez años la explotación de
vulnerabilidades o incidentes de seguridad (controles de accesos deficientes/accesos no
autorizados, fallas de diseños, robo y la divulgación no autorizada de información, otras).
Si. (especifique)

No.

Si su repuesta es “SI” especifique lo siguiente:

a) Tipo de incidente (vulnerabilidad
explotada)
b).Vectores de ataques (medios o canales).
c) Tiempo fuera de línea

d) Tiempo de recuperación:
e) Probabilidades de repetirse el suceso.
f) Gravedad del impacto en cada sistema.

36. ¿La empresa mantiene registro o ha presentado en los últimos diez años, la materialización de
alguna amenaza o ciberataque (suplantación de identidad, hackeo de página web, denegación
de servicios, entre otros)?

Si. (Especifique)

No.

Si su repuesta es “SI” especifique lo siguiente:

a) Tipo o denominación del ataque

b) Método de mitigación utilizado

c) Tiempo fuera de línea

d) Tiempo de recuperación:

e) Consecuencias del ataque

f) Probabilidades de repetirse el suceso.

37. Qué acciones realiza actualmente el personal de TIC para mantener en un nivel aceptable de

seguridad los activos informáticos y o de información.

Si (indique las acciones)

No.

38. ¿Con qué finalidad utiliza la empresa medios o redes sociales (Twitter, Instagram, Facebook,

otras)?

Uso de redes sociales (finalidad) Si No

Difusión, y/o posicionamiento de marca o nombre de la empresa.
Registro, recepción de datos e información de clientes
Centro de sugerencias, reclamos o solicitudes.
Otros usos o fines. (Especifique)

39. ¿Con qué frecuencia la empresa proporciona a sus empleados formación, capacitación o
instrucción para el fortalecimiento de competencias digitales o TIC?
Frecuencia de formación Si No
Anual
Semestral
Trimestral
Bimensual
Mensual
Nunca

40. Durante el periodo 2019-2021, la empresa ha contratado especialistas TIC.

Si (cantidad)
No