Documentos de Académico
Documentos de Profesional
Documentos de Cultura
“UNIANDES”
CARRERA DE SISTEMAS
2018
DEDICATORIA
Le Dedico mi trabajo a Dios Por haberme permitido llegar hasta este punto y haberme
dado salud para lograr mis objetivos, además de su infinita bondad y amor.
De igual forma, a mi Madre, a quien le debo mi vida y lo que hoy en día soy, le agradezco
el cariño y su compresión, quien ha sabido formarme con buenos sentimientos, hábitos y
valores, ayudándome a salir adelante buscando siempre el mejor camino, también a mis
familiares y amigos que siempre estuvieron pendientes del desarrollo de mi carrera
Universitaria y que han aportado de una manera u otra en mi desarrollo personal.
A los Ingenieros les agradezco por su tiempo, y su apoyo brindado, así como por los
conocimientos que me trasmitieron en el desarrollo de mi formación académica y lograr
el presente trabajo.
En primer lugar, a toda mi familia quienes fueron los me brindaron todo el apoyo
necesario en todo momento.
Así mismo, agradecer a todos quienes estuvieron vinculados de alguna manera en este
proyecto a los propietarios de Consulting Group por proporcionarme la facilidad
necesaria para completar la investigación.
El presente trabajo tiene como objetivo un plan para la seguridad informática basado en
la norma ISO/IEC 27001:2013 el cual esta propuesto para una institución privada que es
la empresa Consulting Group de Santo Domingo.
This research work has a purpose a security plan based on ISO / IEC 27001: 2013 which
is proposed for a private institution that is Consulting Group enterprise from Santo
Domingo city.
Before the computer development plan an analysis of computer security is made because
when the institution was assessed a number of deficiencies were found by the lack
security policies, procedures manuals and contingency plan also identified a large number
of problems when performing tasks that involve the technological resources, procedural
manuals, contingency plan and a large number of problems were also identified when
performing the tasks that involve the technological resources, this plan for the security of
the information includes the concepts definition of concepts such as security policies
manuals of procedures contingency plan and aligns with the vision and mission of the
enterprise as indicated by the standard applied.
Pág.
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
INTRODUCCIÓN ............................................................................................................ 1
Relación del tema propuesto con los lineamientos de desarrollo del país ........................ 1
Objetivos de Investigación................................................................................................ 5
CAPÍTULO I .................................................................................................................... 7
Seguridad Informática....................................................................................................... 8
Vulnerabilidad ................................................................................................................ 10
Amenazas ........................................................................................................................ 10
Riesgos ............................................................................................................................ 11
Integridad ........................................................................................................................ 12
Confidencialidad ............................................................................................................. 12
Disponibilidad................................................................................................................. 12
Seguridad Activa............................................................................................................. 13
CAPÍTULO II ................................................................................................................. 23
CONCLUSIONES .......................................................................................................... 50
RECOMENDACIONES ................................................................................................. 51
BILIOGRAFÍA
ANEXOS
ÍNDICE DE FIGURAS
Actualidad e Importancia
Relación del tema propuesto con los lineamientos de desarrollo del país
Macro-Objetivo 3. Asegurar el uso de las TIC para el desarrollo económico y social del
país.
3.4.1. Importancia de asegurar el uso de las TIC para el desarrollo económico y social del
país.
El macro-objetivo 3 contempla varios objetivos de los cuales el que tiene relación con el
tema es el siguiente:
1
OBJETIVO DEL MACRO-OBJETIVO EN EL PLAN NACIONALDE
TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN DEL
ECUADOR 2016-2021
3.4.1.2. Potenciar el desempeño de los procesos digitalizados del sector público de alto
impacto social (educación, salud, justicia y seguridad)
Este objetivo es importante para el Ecuador, ya que los sectores de salud, educación y
justicia están directamente relacionados con el bienestar de las personas. Como se puede
ver estos tres son los sectores donde la digitalización de procesos tiene el mayor potencial
de generación de valor. La digitalización de procesos le permite a los sectores públicos
alcanzar un mayor grado de eficiencia, ampliar su cobertura y mejorar sus sistemas de
comunicación, fomenta el desarrollo de conocimiento y disminuye el impacto negativo
sobre el medio ambiente. A continuación se analizan estos beneficios en detalle.
Conocimiento
El uso de sistemas digitales que almacenan la información de las interacciones con los
usuarios genera grandes cantidades de datos. Su análisis permite identificar patrones y
facilita la investigación y la generación de conocimiento. La creación de plataformas que
agrupan recursos aportados por los usuarios permite acelerar el aprendizaje y la adopción
de las mejores prácticas.
DESCRIPCIÓN DE LA ACTUALIDAD
En el Ecuador actualmente las empresas se enfrentan cada vez más con riesgos e
inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma
2
importante sus sistemas de información y pueden poner en peligro la continuidad del
negocio.
Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos
asociados y establezcan las estrategias y controles adecuados que aseguren una
permanente protección y salvaguarda de la información.
Problema de investigación
La Empresa Consulting Group Santo Domingo es una de las empresas más importantes
en la ciudad a nivel de cursos de capacitación. Sus funciones como instituto de
capacitación en servicios de enfermería se realizan en la Av. Chone y Pedro Vicente
Maldonado y como muchas de las empresas que manejan gran cantidad de información
no cuentan con normativas que ayuden a mantener no solo la información si no también
los bienes informáticos de la misma y las principales deficiencias se detallan a
continuación
3
No existe un manual de procedimientos en el cual facilite a realizar los
procesos dentro de la empresa esto genera dificultad a la hora de realizar
tareas.
4
Árbol de Causa-Efecto
Objetivos de Investigación
Objetivo General
Objetivos Específicos
5
b) Realizar una investigación de campo para conocer las falencias de la seguridad de
la información, procesos, y recursos tecnológicos en la empresa Consulting
Group.
c) Elaborar un plan informático en base a la norma ISO/IEC 27001:2013 orientado
en el cumplimiento de políticas y procedimientos para mejorar la seguridad de la
información y recursos tecnológicos de la Empresa Consulting Group de Santo
Domingo.
d) Presentar el proyecto de investigación mediante la vía de expertos para la
validación del plan informático.
6
CAPÍTULO I
1 FUNDAMENTACIÓN TEÓRICA
Toda organización debería contar con una línea base de seguridad para sus equipos
productivos, la cual los lleve a un nivel mínimo satisfactorio de seguridad. Un análisis de
vulnerabilidades, por su parte, tiene como objetivo identificar huecos de seguridad y
medir el impacto sobre los activos, y utiliza los hallazgos para visualizar cuáles serían las
siguientes acciones para fortalecerlos y puedan soportar ataques a los que podrían estar
expuestos
Dado que los lineamientos bases de seguridad, no son un proceso estático, sino más bien
un proceso cíclico de mejora continua, es preciso realizar diversas actividades que
mitiguen diversas vulnerabilidades que se presenten en la TIC’s
7
Resumen: El trabajo de investigación citado tiene como objetivo el desarrollo de un Plan
de seguridad informática haciendo uso de la normativa ISO/IEC 27002 para mejorar la
seguridad de la información en el GAD de Santo Domingo haciendo uso de normativas y
procedimientos para lograr los objetivos planteados y guarda relación con el presente
trabajo de investigación.
Concepto de seguridad
El autor sustenta que la seguridad desde tiempos inmemorables ha sido un punto muy
importante en la vida personal laboral de las personas, y que con el pasar del tiempo se ha
convertido en un factor sumamente importante.
La seguridad resulta ser una necesidad indispensable en los tiempos actuales, ya que es
algo que nos garantiza plena estabilidad, tranquilidad y defensa ante cualquier posible
amenaza que pudiera existir, es por eso es importante reconocer su importancia a nivel
general y no tomarla como algo sin relevancia alguna.
Seguridad Informática
¨La seguridad informática es la disciplina que con base en políticas y normas internas y
externas de la empresa, se encarga de proteger la integridad y privacidad de la
información que se encuentra almacenada en un sistema informático, contra cualquier
8
tipo de amenazas, minimizando los riesgos tanto físicos como lógicos, a los que está
expuesta. (Baca Urbina , 2016, pág. 12)
Con la seguridad informática podemos asegurar los sistemas informáticos ante posibles
amenazas y no solo a nivel físico si no lógico, garantizando así la integridad de los
mismos.
9
de tiempo podría suponer, sin olvidarnos del peligro que podría acarrear el acceso al
sistema de un usuario no autorizado.
Vulnerabilidad
Amenazas
10
El daño causado por una amenaza puede ser temporal o permanente y se puede acosaría
con una escala de severidad como otros fenómenos. Por ejemplo, los terremotos son de
diferente gravedad según su escala o un virus puede causar diferentes daños según sus
acciones. (Areitio, 2008)
Las amenazas son posibles acciones que tiende a causar un daño a los dispositivos o
sistemas informáticos en donde se encuentra almacenada la información, atentando contra
su confidencialidad, integridad y disponibilidad y pueden ser a nivel físico como por
causas humanas.
Riesgos
Se define al riesgo como la posibilidad de que una amenaza se produzca, dando, así como
resultado un ataque en el recurso informático. ya sea proveniente desde un factor interno
o externo y que podría generar perdidas a la empresa.
Seguridad de la información
11
La seguridad de la información es la disciplina se encarga de garantizar la integridad,
disponibilidad y confidencialidad de la información y se apoya de la seguridad de la
informática para lograr su objetivo mediante técnicas de protección.
Integridad
Confidencialidad
Disponibilidad
12
su correcto funcionamiento, de manera que pueda estar permanentemente a disposición
de los usuarios que deseen acceder a sus servicios. (Gómez Vieites, 2011, pág. 44)
Seguridad Activa
Se entiende por seguridad activa todas aquellas medidas que se utilizan para detectar las
amenazas, en caso de su detección generar los mecanismos adecuados para prevenir
ataques en un sistema informático, por esta razón se deber tomar en cuenta contraseñas
complejas, analizar equipos informáticos en buscar malware, encriptar información y
varios mecanismos más para lograrlo. (Garcia & Ramos, 2011, pág. 3)
La seguridad activa es fundamental ya que su objetivo es evitar los riesgos existentes que
puedan amenazar a los sistemas de información
Seguridad Pasiva
Las principales amenazas de un sistema informático son los desastres naturales, incendios
accidentales, tormentas, temperaturas extremas, terremotos e inundaciones que conllevan
consecuencias catastróficas; asimismo, se presentan amenazas ocasionadas por el hombre
como pueden ser disturbios, sabotajes internos o externos en forma deliberada, etc. La
seguridad física previene cada una de las anteriores. (Oliva, 2013, pág. 111)
13
“Llamaremos seguridad física a la que tiene que ver con la protección de los elementos
físicos de la empresa u organización, como el hardware y el lugar donde se realizan las
actividades edificio o habitaciones. Seguridad lógica es toda aquella relacionada con la
protección del software y de los sistemas operativos, que en definitiva es la protección
directa de los datos y de la información”. (Aguilera López, 2010, pág. 30)
Políticas de Seguridad.
Las Políticas de Seguridad Informática surgen como una herramienta organizacional para
concientizar a cada uno de los miembros de una organización sobre la importancia y
sensibilidad de la información y servicios críticos. Estas permiten a las compañías,
desarrollarse y mantenerse en su sector de negocios, siendo entonces las políticas de
seguridad informática una forma de comunicarse con el personal al ser un canal que
permite actuar, con respecto a los servicios y recursos informáticos dentro de la empresa.
De este modo se establecen procedimientos y reglas que pueden regular la forma en que
una organización protege, implementa y previene los diferentes daños que se presentan.
(Goyeneche, 2015)
14
El objetivo central de la seguridad informática es el de proteger o salvaguardar la
continuidad del patrimonio informativo de la empresa. Es por ello por lo que la política
de seguridad implementada debe inspirarse en necesidades reales que se han definido a
partir de las evaluaciones de los activos, amenazas y vulnerabilidades. (Francois
CARPANTIER, 2016, pág. 54)
Se puede definir a las políticas de seguridad informática como los controles que a través
de la administración y entrenamiento inmediato pueden prevenir distantitas amenazas que
pueden presentarse en los sistemas o recursos informáticos mediante normas y directrices
establecidas.
En cuanto a los aspectos lógicos se debe tomar en cuenta todas las normas y
procedimientos fundamentales como políticas de uso, acceso, protección de virus,
seguridad de contraseñas etc.
15
Cualquier política de seguridad debe tener en cuenta una serie de procedimientos
relacionados con la seguridad física, tanto en el aspecto de control de acceso físico a
equipos, como en el de tener planes de contingencia y emergencia, así como de
recuperación frente a desastres. (Diaz Orueta & Castro Gil, 2014, pág. 118)
Las políticas de seguridad deberán cubrir tanto el aspecto físico como lógico ya que
suelen existir empresas que únicamente se preocupan por uno de ambos ya sea físico o
lógico, estando más expuestos a desastres naturales o cualquier otra amenaza, es por eso
que ambos aspectos deben ser tomados en cuenta.
Según (Diaz Orueta & Castro Gil, 2014) una buena política de seguridad debe cumplir
una seria de normas generales, de sentido común:
Debe poderse implantar: Como consecuencia de ella, se deben tener unas normas
de comportamiento para los usuarios y administradores, unas políticas de uso
aceptables
Debe entenderse: Debería de explicarse a todo el personal de la organización el
alcalde de no cumplirla, así como el significado técnico y legal de una serie de
conceptos.
Debe cumplirse. Debe contemplar una seria de procedimientos de auditoria, para
comprobar que se está cumpliendo y debe especificar sanciones ante posibles
infracciones.
Debe definirse responsabilidades: Debe diferenciarse entre el rol de un usuario
con el de un administrativo en el sentido de distintas responsabilidades.
Debe ser exhaustiva: Debe tener en cuenta todos los componentes del sistema, es
decir debe incluir como objetivos asegurar Componentes físicos, sistemas de
información, organizaciones humanas, colaboradores externos etc.
Debe incluir mecanismo de actualización: Tiene que estar en constante cambio y
hay que poder hacer una nueva versión de la misma e implementarla.
Plan de Contingencia
Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evitar
que se produzcan un daño.
Plan de emergencia. Contempla qué medidas tomar cuando se materializa una
amenaza o cuando acaba de producirse.
Plan de recuperación. Indica las medidas que se aplicaran cuando se ocurrió un
desastre. El objetivo es evaluar el impacto y regresar lo antes posible a un estado
normal de funcionamiento del sistema y de la organización.
Toda organización estar expuesta a riesgos de todo tipo por más seguro que sean sus
sistemas de prevención, es por eso que con un plan de contingencia informático que
comprende una seria de pasos a seguir en el caso de un desastre se disminuye el impacto
y se recupera de una eventualidad causada por cualquier tipo de inconveniente.
ISO / IEC
La 27000 es realmente una serie de estándares, donde las normas principales son la
ISO/IEC 27001 y la ISO/IEC 27002.
17
ISO/IEC 27001:2013 es una norma de carácter internacional que tiene como objetivo
garantizar que los controles que existen para salvaguardar la información de las partes
interesadas sean adecuados para proteger la confidencialidad, integridad y disponibilidad
de la información. Estos controles deben tener en cuenta la información de clientes,
empleados, socios, y las necesidades de la sociedad en general. (Lloyd's Register, 2015,
pág. 1)
La norma ISO/IEC 27001 puede ser fundamental para el buen funcionamiento de una
organización ya que permite orientar, coordinar, implicar los procesos informáticos de
una manera correcta, esta norma se ha convertido una de las principales a mundial para la
seguridad de la información en las organizaciones.
Todos los objetivos de la ISO/IEC 27001 están alineados bajo el mismo concepto, aunque
la norma no solo significa seguridad de la información para la empresa también es
evidente que evita que se generen gastos grandes por incidentes causadas por fallos en la
seguridad por lo que es una gran inversión seguir la presente normativa.
18
Beneficio de la norma ISO 27001:2013
19
El dominio en la Gestión de Activos para la seguridad de los mismos en la
entidad.
El dominio de la Seguridad física para la salvaguarda de la información y las
instalaciones de la entidad a través por ejemplo de controles de llegada.
El dominio de la Gestión de las comunicaciones y operaciones mediante la
creación de una serie de procedimientos que garanticen la seguridad de la
información.
El dominio en la consecución, desarrollo y sostenimiento de los sistemas de
información.
El dominio en la Gestión de accidentes en la seguridad de la información
mediante la mejora constante y progresiva de la gestión de seguridad.
El dominio en el Cumplimiento de los requisitos legales aplicables.
Plan Informático.
Un plan informático formal debe contemplar un horizonte que alcanza un período variable
entre 3 y 5 años dependiendo del tamaño de la organización. No obstante, el mismo debe
ser revisado por lo menos en períodos anuales, y reformulado cada vez que se modifiquen
en forma sustancial los objetivos y metas planteadas por el nivel Directivo de la
organización. (Niemann, 2013, pág. 1)
20
es por eso que un plan informático define las estrategias necesarias para alcanzar tales
objetivos.
La seguridad informática se debe considerar como un tema importante para las entidades
por lo que no debe aislarse de los demás procesos que se manejan en ella, debido a que la
información está expuesta a diferentes amenazas y vulnerabilidades. Es un conjunto de
elementos físicos y lógicos dedicados a imposibilitar el acceso a un sistema informático
a todo aquel que no se encuentra autorizado, brindando protección a la infraestructura
tecnológica. Para lograr la seguridad en los sistemas se debe implementar un conjunto de
controles en software, hardware, políticas de control y acceso.
Hoy en día todo sistemas informático está conectado en una red interna o a internet con
la finalidad de compartir recursos entre otros ordenadores o sistema de cómputo, por lo
cual los riesgos de amenazas de ataques pueden aumentar, estas amenazas pueden
producirse tanto desde el exterior como del interior este es una de las razones más
importantes para implementar un esquema de seguridad ya que cualquier ataque al estar
conectado en red puede comprometer a todo un conjunto de sistema informático.
(Salvatierra, 2016)
Frente a una situación de riesgo existen aspectos clave que se deben tener en cuenta sobre
la seguridad de la información. En primer lugar, la confidencialidad, que previene la
divulgación de información a personas no autorizadas o a sistemas de información; otro
principio es la integridad, que asegura que la información no sea modificada; en tanto, la
disponibilidad se refiere a que el servicio de acceso a la información no será interrumpido;
el último principio es el registro que permite que se cree evidencia física de las acciones
y eventos que se realizan en un medio informático. (Doctor Tecno, 2018)
Estadísticas de Kaspersky Lab revelaron que los usuarios en América Latina han recibido
un total de 677.216.773 ataques de malware durante los primeros ocho meses del año
(1ero de enero a 31 de agosto). Esta cifra es sumamente mayor a los 398 millones que se
registraron durante el mismo periodo en 2016, lo que representa un aumento del 59%.
21
Para ponerlo en contexto, esto significa que cada hora, los usuarios en Latinoamérica son
sujetos a 117,572 ataques de malware, o 33 ataques por segundo.
Según el estudio, los usuarios en Brasil, México y Colombia han registrado el mayor
número de ataques de malware en lo que va del 2017. Además, Brasil fue reconocido
como el país, por cápita de cibernautas, más peligroso de Latinoamérica en cuanto a
amenazas en línea donde los ataques en la red afectaron al 30% de los usuarios. Este es
seguido por Honduras (23.5%), Panamá (22.6%), Guatemala (21.6%) y Chile (20.6%).
Brasil también encabeza a los países latinoamericanos en términos de alojamiento de
sitios maliciosos – el 84% de hosts ubicados en América Latina que se utilizaron en
ataques a usuarios de todo el mundo está ubicado en este país.
Según el estudio, la gran mayoría de estos ataques se dieron fuera de línea, es decir, fueron
detectados y bloqueados en el disco duro de los usuarios. La infección se pudo haber dado
a través de memorias USB, redes de trabajo u otros medios. Sin embargo, si hablamos
de los ataques con el uso del Internet, la mayoría de estos ataques se realizó vía Web
(85%), mientras que el 15% se realizó vía Email. El correo electrónico se destaca en los
círculos cibercriminales para divulgar troyanos bancarios. Además, en el Top 20 de
ataques se distingue la presencia de la familia de los troyanos Trojan.PDF. Phish, la cual
se propaga vía documentos PDF diseñados a resemblar a los originales y donde a la
víctima se le notifica sobre supuestas multas o beneficios. (Kaspersky, 2017)
22
CAPÍTULO II
Investigación Bibliográfica
Investigación de campo
Población
23
Constituirán parte de la población un total de siete (7) personas en la presente
investigación quienes se encuentran conformados de la siguiente manera:
FUNCIÓN POBLACIÓN
Dirección 1
Secretaría 3
Tesorería 1
Dep. Pedagógico 2
Total: 7
Fuente: Consulting Group Santo Domingo (2018).
Autor: Wilson Albán
Muestra
En el presente trabajo de investigación no se considera a los clientes de la empresa ya
que tareas llevadas a cabo por parte de los mismos son ajenas al uso de los equipos
informáticos de la institución.
Debido a que el total de población no es mayor a 100 se debe realizar las encuestas sin
tomar en cuenta ninguna fórmula las mismas que serán realizadas a los empleados de la
empresa Consulting Group.
Métodos de investigación
Método Inductivo-Deductivo
Método Hipotético-Deductivo
Este método será usado para plantear una posible solución en el presente trabajo de
investigación con el objetivo de partir de aspectos generales hasta llegar a situaciones
particulares.
24
En el presente trabajo de investigación se utilizará este método para poder comprobar la
problemática con la información obtenida y descomponiéndola en sus partes con cada
uno de los elementos para lograr tener una orientación más clara al momento de
desarrollar el plan informático para la empresa Consulting Group.
Técnicas de Investigación
Técnica de la Encuesta
Esta técnica se la utilizará como un estudio observacional con la finalidad de requerir
información a un grupo socialmente significativo de personas acerca del problema en
estudio para luego, mediante un análisis de tipo cualitativo, sacar las conclusiones que se
corresponda con los datos.
Técnica de la Entrevista
La entrevista se utilizará para obtener información con el fin de indagar y contrastar los
datos obtenidos, la misma que se realizará al jefe del área tecnológica en la empresa
Consulting Group.
Instrumentos de investigación
Cuestionario
Con el uso del cuestionario que consiste en un conjunto de preguntas se busca recolectar
la información necesaria para comprender con mayor detalle el problema planteado.
Guía de entrevista
Con este instrumento se logró recoger información mediante dialogo directo la guía para
el presente trabajo de investigación consiste en una guía semiestructurada porque
consisten en preguntas donde le entrevistador tiene opción de incluir preguntas
adicionales para obtener conceptos con mayor información.
25
Las encuestas serán llevadas a cabo mediante la modalidad del cuestionario cuyos
resultados se recogerán y serán cuantificados y así obtener conclusiones que sustenten la
investigación.
Una vez finalizada las entrevistas a los colaboradores como: jefe de TIC’s, Personal
Administrativo se consiguió los siguientes resultados e interpretaciones que se detallaran
a continuación para informar el criterio de cada uno poder llegar a una conclusión más
acertada.
Beneficiarios
Gerencia General
Departamento de TIC’s
Ubicación
Historia
Consulting Group Ecuador es una empresa especializada en temas de salud, consta de tres
líneas de acción, la primera es la capacitación y educación continua en salud a nivel
internacional, con un nivel académico sólido y de excelencia.
26
Misión
Visión
Para el año 2020 ser una institución modelo a nivel Nacional e Internacional, capacitando
recurso humano competente en conocimientos y habilidades prácticas, progresista, con
sólida moral, tendencias investigativas y calidad humana.
Pregunta 1
27
Mitigacion de riesgos
14%
86%
SI NO
Según los resultados obtenidos se puede observar que la mayoría del personal afirma que
no existen políticas de mitigación de riesgos informáticos esto significa que no tienen
conocimiento sobre la no existencia de las políticas
Pregunta 2
¿Tiene usted conocimiento sobre las prevenciones que hay que tomar para evitar acceso
de hackers u otro tipo de amenaza que puedan acceder a su equipo de cómputo?
14%
86%
SI NO
28
Interpretación de resultados:
Pregunta 3
¿Se controla el uso de dispositivos de almacenamiento externo (¿USB, Disco duros, CD?
29%
71%
SI NO
Interpretación de resultados
En los resultados obtenidos se puede observar que la mayoría de encuestados que significa
el 76% afirman que no se controla el uso de dispositivos de almacenamiento extraíbles y
el 29% afirman que sí.
Pregunta 4
29
¿Existe algún tipo manual de procedimiento a seguir en el caso de ocurrencia de algún
problema con su equipo informático o recurso tecnológico que usted utilice para laborar?
0%
100%
SI NO
Interpretación de resultados
Todos los encuestados han dado a conocer que no existen manuales donde puedan seguir
un procedimiento ante una eventualidad con los equipos informáticos.
Pregunta 5
30
Integridad de la información
0%
100%
SI NO
Interpretación de resultados
En los resultados obtenidos claramente se puede observar que 100% de los empleados
afirman que no existen manuales y políticas de mitigación de riesgos.
Pregunta 6
¿Tiene usted conocimiento sobre qué medidas tomar en el caso de que existe una
emergencia ocasionada por un fenómeno natural?
43%
57%
SI NO
31
Interpretación de resultados:
El 57% de los encuestados consideran que no tienen conocimiento sobre qué medidas
tomar en el caso de un de un fenómeno natural y un 43% afirman que si conocen que
hacer ante una emergencia de este tipo.
Pregunta 7
43%
57%
SI NO
Interpretación de resultados
La mayoría de encuestado con 57% aseguran que no se les da con tanta frecuencia el
mantenimiento respectivo a los equipos informáticos de la empresa y un 43% afirman que
sí.
Pregunta 8
32
¿Cree usted que un plan informático mejoraría la seguridad de la información y recursos
tecnológicos de la empresa?
SI NO
Interpretación de resultados
Según los resultados obtenidos de los encuestados al 100% aseguran que un plan
informático mejoraría la seguridad de la información y recursos tecnológicos en la
empresa.
33
Entrevista Realizada al Jefe de Tecnologías de la Información la empresa
Consulting Group
Con un alto grado de importancia a que cuida los intereses corporativos y significa mucho
para lograr los objetivos planteados la empresa.
En su mayoría Si
Sería una gran implementación ya que la empresa necesita seguir operando sin
interrupciones y sería de gran ayuda para nuestra seguridad de la información.
Análisis de la entrevista
34
Luego de haber realizado la entrevista al jefe de Tecnologías de la información de
Consulting Group se comprobó que podrían existir vulnerabilidades que puedan
perjudicar a la misma, pero a la vez se comprobó que existe interés por parte del
entrevistado para la implementación del plan informático ya que existen procesos aislados
que mientras no estén consolidados no podrán constituirse en apoyo frecuente a las
actividades diarias para beneficio de la empresa evitando así perdidas a futuro a nivel
físico y lógico.
35
CAPÍTULO III
3.1.2 Objetivos
36
Mediante políticas y normas realizar una propuesta en la cual se logre mejorar la
seguridad de la información y recursos tecnológicos en la empresa Consulting
Group, para su posterior aplicación y reflejar resultados positivos.
Duración Estimada:
En la actualidad toda empresa que requiera ser competitiva debe contar con sistemas,
recursos y plataformas de TIC’s agiles y con alto nivel de disponibilidad, lo que existe
una gestión efectiva y un amplio proceso de transformación digital, dicho proceso es por
el cual las compañías están inmersas y por el cual la mayoría están expuestas a riesgos
como ataques contra la seguridad informática de desde cualquier parte del mundo.
37
3.2 APLICACIÓN PRÁCTICA PARCIAL O TOTAL DE LA PROPUESTA
38
Desarrollar y mantener una cultura en seguridad de la Información orientada a la
identificación y análisis de riesgos, a través de la sensibilización a los funcionarios
Teniendo como base está definición de la norma ISO 27001:2013, este trabajo estará
enfocado en analizar todos los controles y requerimientos de seguridad Los hallazgos
descritos, son resultados del análisis de las medidas de seguridad y la normativa que tiene
la organización en relación a la seguridad de la información.
Esta verificación se centró en la revisión de los diferentes controles de las áreas del
alcance.
Fase II Gestión Documental
Gestión Documental
Se describirá la política de seguridad de la información de la organización: Para la
Organización la seguridad de la información de los sistemas que se gestionan y/o operan
es de vital importancia y se protegerá de cualquier pérdida en su confidencialidad,
integridad y disponibilidad.
Se han definido las políticas institucionales y una serie de políticas específicas de
seguridad de la información, las cuales hacen parte del plan de seguridad informática.
Se describían los procesos a realizar a medida de lograr una mayor organización en el
manejo de los mismos.
Fase III
Se analizan los activos vinculados a la información Y se agrupan por ámbitos
(instalaciones, Hardware, Aplicaciones)
Identificados lo activos se realiza la valoración, dicha valoración mide la criticidad de las
Integridad, Disponibilidad y Confidencialidad. Se utiliza una escala de valores siguiendo
los criterios de daño muy grave, grave, importante, menor, irrelevante.
Se analizan las amenazas que pueden afectar los activos. Se crea una tabla de
identificación de amenazas teniendo en cuenta: Amenazas, Fuente (humana, Natural,
Entorno), Agente generador, Causa y Efecto.
Se definen tablas de impacto a nivel de operación, financiero, e información de ocurrencia
de las amenazas
De igual forma Se establecen las medidas de protección, salvaguardas o contramedidas
que se deben implementar para cada uno de los activos en función del impacto que
representa la materialización de una amenaza.
39
Plan de seguridad Basado en la norma ISO 27001:2013.
La propuesta está orientada al desarrollo de un plan para la seguridad de la información
que favorece el mejoramiento de la integridad confidencialidad y disponibilidad, basada
en la norma ISO/IEC 27001 utilizando los controles necesarios para hacerla posible.
Las directrices de esta norma son muchas entre ellas:
Asegurar la continuidad de las actividades operativas de la empresa
Minimizar los daños en caso de incidentes
Concienciar al personal mediante documentos de seguridad
Alcance del Plan informático
40
significar que se dañen o se pierda información de los equipos informáticos por
daño debido a la falta de mantenimiento.
El personal no está capacitado ni se cuentan con las herramientas necesarias para
realizar respaldos de información que ayuden a mantener los datos de la empresa
seguros en el caso de que existan daños físicos o lógicos
La seguridad lógica no es efectiva y no se cuentan con los programas necesarios
ni las licencias para el uso de software como antivirus, antispyware y otros
programas que evitan que intrusos puedan ingresar a la red de la empresa
comprometiendo la integridad de la información
Análisis de resultados
Una vez realizada el análisis de la situación actual de la empresa Consulting Group, se
establece la aplicación de la entrevista y encuestas al personal de la empresa para obtener
un análisis más exacto de la seguridad informática que posee, los resultados se encuentran
en el segundo capítulo del presente proyecto, y fueron de gran ayuda ya que se valoraron
los riesgos, amenazas y vulnerabilidades existentes en la empresa.
Políticas de seguridad
Las políticas de seguridad son un conjunto de normas y reglamentos establecidas para
todos los funcionarios de las áreas administrativas existentes dentro de la empresa
Consulting Group para conseguir un adecuado nivel de protección de las características
de seguridad y calidad de la información.
41
Para el desarrollo de las políticas de Seguridad para la empresa se encuentran clasificados
en las siguientes partes.
Seguridad Constitucional
Seguridad física
Acceso lógico
42
y propiedad intelectual, se aplica a todos los sistemas informáticos, normas,
procedimientos, documentación, así como a personal de la Empresa para que cumpla con
los requerimientos legales y de licenciamiento aplicables.
Este procedimiento tiene como objetivo normar la creación de nuevas cuentas de usuario
para proteger la información contenida en los sistemas informáticos
Este procedimiento tiene el propósito de otorgar el uso de un correo institucional para las
funciones asignadas a un funcionario en la empresa
Proceso de Mantenimiento
Este procedimiento tiene como propósito realizar las tareas de mantenimiento correctivo
o preventivo a los equipos de cómputo de la empresa de acuerdo a lo que el técnico de
TIC’s crea necesario.
43
Este procedimiento tiene el propósito de realizar procesos de soporte técnico hacia algún
usuario que tenga algún inconveniente o inquietud en el uso de un equipo informático
para evitar interrupciones en su labor.
El plan informático provee una solución para garantizar la continuidad de las operaciones
de los diferentes departamentos de la Empresa, ya que determinar acciones preventivas,
reduciendo el grado de vulnerabilidad y exposición al riesgo de las diferentes áreas de la
institución.
Es necesario, por tanto, prever como actuar y que recursos son necesarios ante una
situación de contingencia con el objeto de que su impacto en las actividades sea lo menor
posible y poder restablecer las operaciones con rapidez.
Durante el desarrollo del presente plan se ha tomado en cuenta los posibles riesgos dentro
de la institución, tomando en cuenta también la eficacia y calidad de servicios que brinda
la institución a los funcionarios, personal administrativo y usuarios que conforman la
Empresa, ya que estos fueron los actores principales para la obtención de la información
que ayudara para la correcta realización de un plan de contingencia según las necesidades
de la Empresa.
44
diferentes departamentos de la Empresa.
Evitar pérdidas financieras significativas debido a la interrupción prolongada de
los servicios de computación que causan la desconfianza de clientes llevando al
fracaso de la institución.
Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y
exposición al riesgo de las diferentes áreas de la empresa.
Tomar decisiones rápidas ante anormalidades o fallas para poder reestablecer los
servicios en el menor tiempo posible o evitar las mismas.
Generar cultura y garantizar la seguridad física y lógica de la organización en todo
el personal para de esa manera poder asegurar la estabilidad de la Empresa.
Planificación
Identificación y priorización de riesgos
Definición de eventos susceptible de contingencia
Elaboración del Plan de Contingencia
Definición y Ejecución del Plan de Pruebas
Implementación del Plan de Contingencia.
Cumplimiento
Se debe realizar un seguimiento de cada uno de los puntos mencionados anteriormente, ya que
debe definirse y documentarse todos los controles específicos que se realicen y también deben
45
tener en cuenta las responsabilidades que hayan sido asignadas para realizar los controles
oportunos que aseguren que se cumplen todos los requisitos de seguridad.
Mejora
Es por esta razón que se usó el Ciclo PDCA con ISO/IEC 27001:2013, para realizar las acciones
necesarias
Planificar (Plan)
Hacer (Do)
46
seguir los pasos indicados en el mismo orden y proporción en el que se encuentran
indicados en la fase de planificación.
Verificar (Check)
En este paso se debe verificar que se ha actuado de acuerdo a lo planeado, así como que
los efectos del plan son los correctos y se corresponden a lo que inicialmente se diseñó.
Actuar (Act)
47
A continuación, se presentará el cronograma de actividades el cual detalla el trabajo
realizado a través de las etapas definidas por el presente proyecto y sugiere los tiempos
en los cuales se podrá acceder a la implementación de las políticas de seguridad
informática, manuales de procedimientos y plan de contingencia informático tal como se
detalla a continuación.
48
Figura 11 Cronograma de actividades
49
CONCLUSIONES
50
RECOMENDACIONES
Es necesario que exista un gran interés por parte de la gerencia sobre la seguridad
de la información para así coordinar las operaciones necesarias con el
departamento de tecnologías con el fin lograr eliminar posibles riesgos que
afecten a la información y procesos de la empresa.
Se recomiendo al departamento de tecnologías de la información realizar informes
frecuentes a los directivos de la institución constatando el progreso en la mejora
de la seguridad de la información y recursos tecnológicos, para que continúen
apoyando las iniciativas que ayuden a optimizar la calidad de los diferentes
servicios ofrecidos por la empresa.
Realizar pruebas semestrales o cuando se lo considere necesario sobre las
amenazas o ataques a los sistemas informáticos, mediante la aplicación de técnicas
y métodos correspondientes para eliminarlas.
Se recomienda la capacitación constante al personal administrativo de la empresa
para conocer la importancia de aplicar las políticas de seguridad informática y
cuáles son sus consecuencias de su incumplimiento.
La norma ISO 27001 establece que se deben realizar evaluaciones periódicas al
plan de seguridad informática para conocer si existen necesidades que puedan ser
incrementadas para logras las metas planteadas por la empresa.
51
BILIOGRAFÍA
Diaz Orueta, G., & Castro Gil, M. (2014). Procesos y herramientas para la seguridad
de redes. Madrid: UNED. UNIVERSIDAD NACIONAL DE EDUCACION A
DISTANCIA.
UNIANDES
CARRERA DE SISTEMAS
TEMA:
2018
Antecedentes de la investigación
La seguridad informática se va convirtiendo en una necesidad cada vez más latente en las
instituciones que disponen de un gran apoyo tecnológico. Es sabido que la tecnología
optimiza los procesos y acelera los servicios, pero así también ha dado origen al
aparecimiento de nuevas formas de delito, generalmente por intrusión indebida con la
finalidad de obtener información o desvíos financieros en forma electrónica.}
En el Ecuador actualmente las empresas se enfrentan cada vez más con riesgos e
inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma
importante sus sistemas de información y pueden poner en peligro la continuidad del
negocio.
Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos
asociados y establezcan las estrategias y controles adecuados que aseguren una
permanente protección y salvaguarda de la información.
En la ciudad de Santo Domingo de los colorados con el paso de los años las empresas ya
sean públicas o privadas han ido incrementando el uso de tecnologías de la información
y automatizando sus procesos debido a la facilidad que existe al realizar las mismas con
el uso de la tecnología, aunque esto conlleva un gran problema debido a que existen
grandes riesgos a nivel físico como lógico que pueden producir pérdidas importantes para
la empresa.
Por los motivos puntualizados anteriormente se puede concluir que la empresa Consulting
Group carece de una planificación para llevar un buen control en su seguridad y que está
expuesta constantemente a múltiples riesgos que perjudicarían operacionalmente a la
misma.
Problema Científico
Objeto de investigación
Seguridad de la información
Campo de acción
Objetivo general
Desarrollar un plan informático 2018-2022 basado en la norma ISO/IEC
27001-2013 para mejorar la seguridad de la información y recursos
tecnológicos en la empresa “Consulting Group” Santo Domingo
Objetivos específicos
Ideal a defender
Metodología a Emplear
Tipos de Investigación
Investigación de campo
Investigación bibliográfica
Métodos de Investigación
Consiste en descomponer un objeto de estudio separando cada una de sus partes del todo
para estudiarlas en forma individual, luego se integran los objetos dispersos del objeto de
estudio para estudiarlos en su totalidad. Este método se aplicó para la elaboración de la
fundamentación científica que sustentará la solución del problema.
Uno de los aspectos más importantes en la investigación son las técnicas e instrumentos
a utilizar entre se encuentran los siguientes
Encuestas - Cuestionario
Esta técnica se usa en grandes cantidades de poblaciones lo que servirá para interrogación
verbal o escrita que se les realiza a las personas con el fin de obtener determinada
información necesaria para una investigación.
La entrevista, es una técnica que, entre muchas otras, viene a satisfacer los requerimientos
de interacción personal.
Seguridad informática
- Definición de seguridad
- Definición de informática
- Integridad
- Confidencialidad
- Disponibilidad
Seguridad de la Información
- Seguridad Activa
- Seguridad Pasiva
Vulnerabilidades
Amenazas o Fuentes
- Tipos de amenazas
Seguridad Física
Seguridad Lógica
Seguridad en Redes
Políticas de seguridad
Plan de Contingencia
Que es un servicio
Enfoque de Procesos
ISO/IEC 27001
Plan Informático
Significación Práctica
La presente investigación sobre un Plan Informático 2018 - 2022 basado en las normas
ISO/IEC 27001, podrá ser aplicado en la empresa Consulting Group para llevar a cabo
una mejor administración de los procesos y controles implementados, políticas de
seguridad planes de contingencia etc. Y sería de gran apoyo a los encargados del área de
TIC’s quienes podrán determinar nuevas estrategias para conocer los riesgos y evitar que
no afecten o lleguen a perjudicar de alguna manera la continuidad de la institución
Novedad Científica
Diaz Orueta, G., & Castro Gil, M. (2014). Procesos y herramientas para la seguridad
de redes.
“UNIANDES”
CARRERA DE SISTEMAS
Objetivo
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
_____________________________________________________________________
Pregunta 5. Qué opinaría sobre una mejora en la seguridad de la información de la
empresa mediante un plan informático
______________________________________________________________________
______________________________________________________________________
Anexo 3 Formato de encuesta aplicada en el trabajo de investigación
Encuesta
“UNIANDES”
A) Si ( )
B) No ( )
2 ¿Tiene usted conocimiento sobre las prevenciones que hay que tomar para evitar acceso
de hackers u otro tipo de amenaza que puedan acceder a su equipo de cómputo?
A) Si ( )
B) No ( )
A) Si ( )
B) No ( )
A) Si ( )
B) No ( )
5 ¿Existe algún tipo de documentación que garantice la integridad de la información
asignada a usted?
A) Si ( )
B) No ( )
6 ¿Tiene usted conocimiento sobre qué medidas tomar en el caso de que existe una
emergencia ocasionada por un fenómeno natural?
A) Si ( )
B) No ( )
A) Si ( )
B) No ( )
A) Si ( )
B) No ( )
Anexo 4 Políticas de Seguridad de la información
Políticas de seguridad de la
información
V.1.0
AÑO 2018-2022
ÍNDICE GENERAL
8 Cumplimiento ........................................................................................................ 15
Actualmente existen varios controles y medidas que pueden ser, y de hecho necesitan ser
implementado dentro de una organización para asegurar el funcionamiento efectivo de
seguridad de información. Estos controles y medidas van desde técnicas soluciones y
regulaciones contractuales a la conciencia organizacional de la corriente riesgos,
amenazas y vulnerabilidades. Sin lugar a dudas, el importante de estos controles es la
política de seguridad de la información.
Las políticas de seguridad proporcionan orientación sobre las acciones relacionadas con
la gestión de la seguridad de la información que la Dirección de la Empresas Consulting
Group pueda asumir y comprometerse, y que están alineados con los objetivos planteados.
Estas políticas aplican a todos los empleados de la empresa Consulting Group, y otro
personal en todas las ubicaciones que tengan acceso a la información de los mismos
recursos de forma remota y deberán conocer y aceptar el reglamento vigente sobre su uso.
En área más susceptible a cambios, en una organización de cualquier tipo que haya optado
por organizar los sistemas de información de manera digital como una herramienta
fundamental del trabajo y de planificación, es la se Sistemas, ya que ella
Con la definición de las políticas de seguridad informática se puede lograr una cultura
operacional para que la información y los procesos se realicen de mejor manera y con
más confiabilidad.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios tales
como:
Seguridad Interna
Seguridad física
Manejo y control Centro de Cómputo
Control de usuarios
Lineamientos legales
ALCANCES Y AREA DE APLICACIÓN
Quien estará a cargo de poner en marcha las políticas de seguridad, será el departamento
de tecnológicas de la información y comunicación (TIC’s) y será el responsable absoluto
de su cumplimiento.
OBJETIVOS
1.1 Aplicación
Las políticas y estándares de seguridad informática tienen por objeto mantener un entorno
informático seguro y rentable para la protección de información confidencial o sensible;
manteniendo personal privacidad de la información; y prevenir las interrupciones que
afectan el uso de los recursos tecnológicos de Consulting Group.
Todo funcionario nuevo de la empresa Consulting Group para hacer uso de un equipo
informático deberá aceptar las condiciones de confidencialidad de uso de igual manera
deberá cumplir lo detallado en el Manual de Políticas de Seguridad
Cada vez que un nuevo funcionario se una a la empresa, tiene que ser notificado al
departamento de TIC’s, con el fin de asignarle (Perfil de usuario nuevo para inicio de
sesión, Equipo de cómputo)
Tanto los nombres de usuarios como las contraseñas, son personales y deberán ser
manejados con responsabilidad. Se prohíbe compartir usuarios y contraseñas, evitando
accesos ilícitos. Sólo en casos autorizados se compartirá la lectura de un correo ajeno.
2.3 Capacitación del personal nuevo
3 SEGURIDAD FÍSICA
3.2.3 Cualquier persona que tenga acceso a la empresa Cualquier persona que tenga
acceso a la empresa deberá registrar al momento de su entrada, el equipo de
cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas
que no sean propiedad de la entidad, en el área de recepción o portería, el cual
podrán retirar el mismo día. En caso contrario deberá tramitar la autorización de
salida correspondiente.
3.4.1 Los funcionarios no deben reubicar los equipos de cómputo, instalar o desinstalar
dispositivos, o retirar sellos de los mismos sin tener autorización del departamento
de TIC’s.
3.4.2 El funcionario a cargo del equipo de cómputo deberá usarlo únicamente para las
funciones de las cuales fue designado y no ajenas a la misma.
3.4.6 Se debe evitar tapar salidas de ventilación de los equipos informáticos tales como
de CPU o monitores poniendo objetos encima de los mismos.
3.4.7 Los equipos informáticos deben estar ubicados en un lugar limpio y donde no
exista humedad
3.4.8 El funcionario a cargo del equipo informático deberá asegurarse que los cables de
conexión no sean pisados o que no se les de buen trato, en el caso de que no se
cumpla se deberá solicitar la reubicación de los cables al Departamento de TIC’s.
3.5.3 Los encargados del Departamento de TIC’s tienen la responsabilidad de velar por
el buen uso que se les dé a los equipos de cómputo y del cumplimiento de las
políticas de seguridad. A su vez deberán ofrecer mantenimiento preventivo a las
computadoras de la Empresa.
3.6 Perdida de Equipo
3.6.1 El funcionario que tenga asignado algún equipo de cómputo, será responsable de
su uso y custodia, y por lo tanto responderá por dicho bien de acuerdo a la
normatividad vigente en caso de robo, extravió o perdida.
3.6.3 Los funcionarios deberán dar aviso inmediato Departamento de TIC’s, sobre el
robo o extravió de equipos de cómputo, o accesorios bajo su responsabilidad.
3.7.2 El funcionario que tenga asignado uno de estos dispositivos extraíbles tendrá la
responsabilidad del buen uso de los mismos.
3.7.3 Todo funcionario de Consulting Group deberá reportar al personal de TIC’s el uso
de los dispositivos USB asignados a su trabajo y de carácter personal y
responsabilizarse por el buen uso de ellas
4.1.2 Los funcionarios de Consulting Group que hagan uso de los equipos de cómputo,
deberán tener conocimiento y aplicar las medidas de prevención de virus o
gusanos de red.
4.1.6 Todo equipo informático ingresado a los Centros de Cómputo restringidos deberá
ser registrado en el libro de visitas.
4.1.7 Cuando se vaya a realzar un mantenimiento en algunos de los equipos del Centro
de Cómputo restringido, se debe dar aviso con anticipación
4.1.8 El jefe del Departamento de TIC’s deberá solicitar al Gerente de la Empresa los
equipos de protección contra amenazas como incendios, inundaciones para el
sistema eléctrico de respaldo, UPS.
4.3.2 Por ningún motivo un funcionario deberá instalar en los equipos de cómputo algún
software que no esté anteriormente autorizado el uso por el departamento de
TIC’s.
Para el uso del software la empresa debe contar con un contrato anual con la compañía
MICROSOFT, para poder hacer uso de los programas necesarios, además la empresa
tiene como política que únicamente se autoriza la instalación de software que se encuentre
soportado con su respectiva licencia. La adquisición de software será autorizada por
Gerencia general de la empresa y su adquisición será supervisada por el Departamento de
TIC’s.
4.5.1 Los funcionarios de la empresa con tienen que reportar todos los incidentes de
seguridad informática al Departamento de TIC’s inmediatamente después de su
identificación.
4.8.2 Los funcionarios deben tratar los mensajes de correo electrónico y archivos
adjuntos en el mismo con total privacidad y directamente entre Emisor y receptor
para así garantizar la seguridad la información intercambiada.
4.8.3 Está prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las
comunicaciones electrónicas.
4.8.5 Queda prohibido el uso del correo electrónico institucional con fines religiosos,
políticos, lúdicos, personales o en beneficio de terceros que vulnere los derechos
fundamentales de las personas. Por tanto, no se permitirá envió, reenvió o en
general cualquier otra conducta tendiente a la transmisión de mensajes
humorísticos, pornográficos, en cadena, publicitario y en general cualquier tipo
de mensaje ajeno a los fines laborales del funcionario sin importar que sean
únicamente texto audio o video.
4.9.1 Los funcionarios únicamente deberán hacer uso del software que haya sido
proporcionado por el departamento de TIC’s para así evitar infecciones por virus
informáticos
4.9.2 Los funcionarios de la empresa deberán verificar que la información esté libre de
cualquier tipo de código malicioso, por lo que se debe ejecutar constantemente el
software antivirus proporcionado por el Departamento de TIC’s
4.9.3 Los funcionarios de la empresa Consulting Group deben verificar que la
información y los medios de almacenamiento, estén libres de cualquier tipo de
código malicioso, por lo cual deben ejecutar el software antivirus autorizado por
el Departamento de TIC’s.
4.9.4 Todos los archivos de computadora que sean proporcionados por cualquier
personal externo o interno en relación con programas de software, bases de datos,
documentos y hojas de cálculo que necesiten ser descomprimidos para su
visualización o uso debe ser verificados por el funcionario a cargo para comprobar
que el archivo se encuentre libre de virus antes de ejecutarse.
4.9.5 Ningún funcionario deberá descargar algún tipo de software sin la debida
autorización del jefe del Departamento de Sistemas
4.9.7 Los funcionarios no deberán modificar ningún tipo de configuración para detectar
o prevenir software malicioso que sean implantadas por el Departamento de TIC’s
en: Antivirus, Outlook. Office, Navegadores u otros programas.
4.9.8 Es necesario que el personal del departamento de TIC’s capacite a los funcionarios
para dar a conocer el funcionamiento de los programas que protejan contra virus,
pero no deberán tratar de actuar de ninguna manera en el caso de aparecer una
amenaza informática debido a su complejidad y delicadeza de la información. es
necesario que el funcionario notifique al departamento de TIC’s al momento de
suceder un problema de seguridad.
4.11.5 El Plan de Contingencia se probará al menos una vez cada 12 meses y cuando se
hagan modificaciones materiales al Plan para corroborar que será efectivo y que
los miembros de la fuerza laboral entienden sus respectivos roles y
responsabilidades de recuperación.
4.11.6 Existencia de la documentación necesaria sobre los procedimientos a seguir para
poder restaurar equipos, aplicativos, sistemas operativos, archivos de
información, bases de datos entre otros.
4.11.8 Actualización frecuente del plan de recuperación según los cambios recientes en
las plataformas tecnológicas de Consulting Group tales como (hardware, software
y comunicaciones), para reflejar la realidad operativa de la empresa.
4.11.9 Disponibilidad de copias de respaldo para restablecer las operaciones en las áreas
de misión crítica definidas.
4.12.1 El acceso a internet por parte de los funcionarios debe ser utilizado con fines
corporativos, enriquecimiento intelectual o como herramienta de búsqueda de
información, todo lo que pueda contribuir al desarrollo de actividades
relacionadas con la empresa.
4.12.2 Los funcionarios deberán evitar en todo momento ingresar a sitios sospechosos o
sitios donde no se cuenten con protocolos seguros para navegar en la red, y avisar
al departamento de TIC’s cualquier sospecha que surja al navegar que ponga en
riesgo la información de la empresa.
4.12.3 El uso de Internet para asuntos personales debe ser restringido, sin comprometer
los usuarios.
5 Acceso Lógico
5.1.1 Consulting Group requiere que todos los funcionarios tengan acceso al equipo
informático encargado mediante un Usuario y una Clave de carácter privado,
personal intransferible Cámara requiere que todos los empleados que tengan
5.1.5 Todo funcionario que sospeche que sus datos de autentificación han sido
vulnerados deberán cambiarlos inmediatamente
5.1.6 Cada vez que un funcionario sea removido de la empresa o haya dimitido, el
departamento de recursos humanos deberá comunicar inmediatamente al
departamento de TIC’s, para ser bloqueado inmediatamente cuando se vuelvan
innecesarios.
5.1.9 Los funcionarios no deberán guardar su contraseña usando ningún software que
permita que pueda ser revelada con facilidad.
8 Cumplimiento
9.1 La Gerencia de Consulting Group deberá poner a disposición del área de TIC’s, la
información contractual de los equipos informáticos de Computo Escritorio,
Portátil y periférica, así como de los servicios de soporte y mantenimiento.
9.3 Los requerimientos de los equipos de cómputo, portátiles y periféricos, será llevado
a cabo mediante una solicitud y su respectiva justificación por escrito, la misma que
estará firmada por el jefe del área solicitante, y será evaluado por el departamento
de TIC’s para su autorización y su inclusión en el presupuesto correspondiente.
9.5 El Departamento de TIC’s deberá elaborar el pase de salida cuando algún equipo
informático requiera ser trasladado fuera de las instalaciones de la empresa por
motivo de garantía, reparación o evento.
9.6 Si algún equipo de cómputo es trasladado por el funcionario a oficinas distantes del
lugar asignado, para realizar sus labores, estará bajo resguardo del responsable que
retira el equipo y el pase de salida quedará en consideración del Departamento de
TIC’s para su autorización y visto bueno.
9.8 La baja de los equipos de cómputo únicamente se debe dar con la evaluación técnica
por parte del Departamento de TIC’s
AÑO 2018-2022
ÍNDICE GENERAL
Introducción ...................................................................................................................... 1
Objetivos ........................................................................................................................... 1
Alcance ............................................................................................................................. 2
Limitaciones...................................................................................................................... 2
Justificación ...................................................................................................................... 2
Responsabilidades ............................................................................................................. 2
Entre los elementos más eficaces en la toma de decisiones del sector público y ámbito
administrativo, destacan los manuales de organización y procedimientos, instrumentos
que facilitan también el aprendizaje del personal, proporcionando la orientación que se
requiere en las unidades administrativas, con el propósito de mejorar, orientar y conducir
los esfuerzos del personal, para lograr la realización de las tareas que se les han asignado,
auxiliándoles también en el cumplimiento de funciones y procesos de una manera clara y
sencilla
Con este manual, se pretende trazar los lineamientos bajo la responsabilidad del área de
Tecnología de la Información, como de los usuarios del uso de la misma, a fin de que
toda administración en este contexto se realice de una manera clara, precisa, transparente
y lo más real posible, donde se respeten los principios éticos que dentro del marco
normativo aceptado por la sociedad, produciendo así una escala de valores de hechos y
formas de comunicación dentro de la institución.
Objetivos
El manual de procedimientos establece una manera detallada de las operaciones
que necesiten realizar para satisfacer los requerimientos especificados en una
actividad determinada, de acuerdo a las normas y políticas de la empresa.
Establecer procedimientos administrativos para regular, controlar y describir el
flujo de las actividades realizadas por el Departamento de TIC’s con el fin, de
permitir unificar los criterios para la solicitud y trámites que se deben realizar para
el uso y manejo de los servicios informáticos.
Dejar establecidas las políticas de TI que regirán el uso y mantenimiento de la
plataforma tecnológica de la empresa, para así asegurar su operatividad, de
manera que los responsables del uso de las tecnologías disponibles, aseguren el
cumplimiento de las mismas, con miras al desarrollo de un trabajo óptimo y de
calidad
Alcance
Limitaciones
Justificación
Responsabilidades
Las políticas aquí documentadas deben ser de implementación obligatoria para todos
aquellos funcionarios de la empresa Consulting Group que estén involucrados directa o
indirectamente con el uso de tecnologías de información y comunicaciones.
Descripción de procedimientos
Procedimiento
Descripción:
Las cuentas de usuarios usadas en la empresa servirán para dar acceso a un usuario
autorizado para sus funciones, cada cuenta de usuario tendrá sus propios archivos y
configuraciones y se accederá a ella mediante un nombre y una contraseña
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 1 Proceso de configuración de nueva cuenta de usuario
Nº Actividades Responsable
1 Envía Solicitud de generación de usuario en el Departamento de Recursos
sistema, enviando datos básicos como nombres Humanos
apellidos cedula email
2 Recepción y aceptación de solicitud para la Departamento de TIC’s
creación de la cuenta de usuario y contraseña
3 Confirma la creación del usuario a la dependencia
en el sistema de la empresa
4 Activa y verifica el usuario en el sistema
5 Recepción de usuario y contraseña Usuario
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Recuperación de Contraseña de usuario
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Lograr recuperar un usuario y/o contraseña olvidada por un funcionario para no detener
las tareas encomendadas por la empresa.
Alcance
Frecuencia: Eventual
Tabla 2 Recuperación de cuenta de Usuario y/o Contraseña
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Proceso de Creación de Correo institucional
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Este servicio se utilizará para mejorar la comunicación, entre los funcionarios y entre
entidades públicas y privadas
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 3 Creación de correo institucional
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
2018
Flujograma del proceso
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Proceso de instalación de equipo informático
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 4 Procedimiento de instalación de equipos informáticos
Nº Actividades Responsable
equipo de comunicación.
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Procedimiento de Mantenimiento preventivo
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 5 Procedimiento de Mantenimiento Preventivo
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Procedimiento de Mantenimiento correctivo
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 6 Procedimiento de Mantenimiento Correctivo
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Procedimiento para dar de baja de equipo informático
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Realizar la revisión técnica para determinar la baja de los equipos de cómputo que no
satisfagan las necesidades operativas, que requiere las unidades administrativas del
Poder Legislativo
Alcance
Todos los equipos que tengan que ser revisados para comprobar su tiempo de utilidad
en las áreas administrativas de Consulting Group
Frecuencia: Eventual
Tabla 7 Procedimiento de baja de equipo informático
Nº Actividades Responsable
6 Recepción del equipo por parte del usuario Usuario / Área administrativa
correspondiente.
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Instalación y Control de licencias de Software
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Llevar un control sobre las licencias de software que se utilizan en los diferentes
equipos informáticos de la empresa.
Alcance
Frecuencia: Eventual
Tabla 8 Instalación y control de licencias de software
Nº Actividades Responsable
instalará la aplicación
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del proceso
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Asesoría y Soporte Técnico
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Los funcionarios deberán solicitar soporte técnico vía telefónica o correo electrónico,
el soporte será entregado por personal técnico especializado del departamento de TIC’s
quienes deberán brindar la asistencia y solucionar las incidencias reportadas por los
usuarios.
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 9 Asesoría y soporte técnico
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del proceso
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Procedimiento de Copia de seguridad
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Las copias de seguridad sirven para asegurar que la información generada por las
diferentes unidades administrativas, no se Pierda y esté disponible en caso de desastre,
o cualquier contingencia
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 10 Copias de seguridad y respaldo
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del Procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Capacitación Sobre seguridad informática al personal
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Objetivo:
Alcance
Frecuencia: Eventual
Tabla 11 Capacitación al personal
Nº Actividades Responsable
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Flujograma del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Anexo A 01: Ficha mantenimiento Preventivo y Correctivo
Datos de Usuario
SERVICIO No: FECHA DE OFICIO: NOMBRE DEL USUARIO CARGO
SERVICIO PROPORCIONADO:
IMPRESORAS/SCANNER
Señores
Departamento de Tecnologías de la información y Comunicación
Por medio de la presente, solicito la creación de una cuenta de correo electrónico institucional,
para ello adjunto los siguientes datos:
Datos Personales
Cedula / Pasaporte
Apellidos
Nombres
Dirección de Correo
Teléfono
Datos institucionales
Departamento
Cargo
Fecha de inicio funciones
[aaaa-mm-dd]
Atentamente,
Sello Institucional
Funcionario solicitante
Anexo A 04 Solicitud de Copias de Seguridad (Backups)
Nombres y Apellidos:
Cargo: Teléfono:
Departamento: Extensión:
Correo Electrónico:
TIPO DE INFORMACIÓN A ALMACENAR
Confidencial No Confidencial
Observaciones:
Horario:
FIRMAS
ASISTENCIA TÉCNICA
DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN CONSULTING GROUP
Fecha de Solicitud:
Hora:
Nombres y Apellidos:
Cargo: Teléfono:
Departamento: Extensión:
Correo Electrónico :
Tipo de Reporte
Computadora Impresora Red Local Correo Electrónico Microsoft Windows
No
Fecha:
Solución y Observaciones
FIRMAS
Fecha de Solicitud:
Numero de Solicitud:
Fecha de compra:
/ /
Información del equipo de computo
Ubicación del fragmento y
Descripción Entrega Funciona responsable
Monitor SI NO SI NO
Teclado SI NO SI NO
Mouse SI NO SI NO
Disco Duro Capacidad GB SI NO SI NO
Memoria Capacidad RAM SI NO SI NO
Procesador SI NO SI NO
Board SI NO SI NO
Lector Óptico CD DVD SI NO SI NO
Fuente SI NO SI NO
Tarjeta de Red SI NO SI NO
Tarjeta de Video SI NO SI NO
Tarjeta de Sonido SI NO SI NO
MOTIVO:
OBSERVACIONES
FIRMAS
Firma/Sello dependencia origen (Entrega) Firma/Sello departamento de TIC’s (Recibe)
Fecha de Solicitud:
Hora:
Solicitante
Teléfono / Extensión
Correo Electrónico
Departamento
Cargo
Departamento donde se requiere realizar la
instalación
Sustento de requerimiento:
Nombre de Software
Versión
INSTRUCCIONES DE DESCARGA
(si son necesarias)
Nombre del software Número de Serie Versión Fecha de adquisición Fecha de renovación Duración de la licencia
Observaciones:
____________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________
Anexo A 10: Ficha de Instalación de equipos informaticos
Hora:
Solicitante
Teléfono / Extensión
Correo Electrónico
Departamento
Cargo
1. Datos del Equipo
Marca Proveedor Modelo
2. Configuración de Hardware
SI NO
[ ] TCP
Servicio de puertos Puertos Abiertos Tipo de Puertos
[ ] UDP
4. Sistema Operativo Instalado
FIRMAS
Entrega
CRONOGRAMA DE CAPACITACIONES
N° Descripción de la capacitación Actividad MES DEL AÑO
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
10
Observaciones: _______________________________________________________________________________________________________________________
Anexo A 12 Solicitud de espacio físico para capacitación
Fecha:
Señores
Fecha Horario
Agradezco su colaboración
Atentamente,
Sello Institucional
Acta de Asistencia
Tema:
Capacitador:
IMPORTANTE
Certificamos que hemos recibido capacitación en trabajo seguro, uso de elementos, equipos de protección, uso
adecuado de herramientas y normas básicas de seguridad de la información que debo acatar en la empresa y
fuera de esta cuando me encuentre en ejercicio de mi labor para garantizar la integridad de la información
manejada por el presente.
Observaciones:
Alcance y Responsabilidades.......................................................................................... 58
Encabezado ................................................................................................................. 66
OBJETIVO GENERAL
Objetivos Específicos
Metodología
Para elaborar el Plan de Contingencia se seguirá una metodología que tiene las siguientes
fases:
Organización
Identificación y priorización de riesgos
Definición de eventos susceptibles a contingencia
Elaboración del plan de contingencia
Definición y Ejecución del plan de pruebas
Implementación de plan de contingencia
Uno de los aspectos que evidencia un carácter formal y serio en toda organización es que
ésta se encuentre siempre preparada para afrontar cualquier evento de contingencia o
dificultades en general y que le permitan poder superarlos por lo menos de manera
transitoria mientras dure dicho evento.
Este comité se reunirá por lo menos con una periodicidad trimestral y en él se definirán
los lineamientos a través de los cuales se sustentará el Plan de Contingencia.
Director Ejecutivo
Director de Oficina de Administración
El Director Ejecutivo de la Oficina de Administración, designará a otros integrantes que
considere pertinente a participar en el comité.
La Oficina de Auditoría Interna sería el órgano que supervise todos los elementos y
recursos descritos para intervenir en una situación de contingencia estén disponibles y
sean perfectamente viables de modo tal que se garantice que no se presenten carencias
y/o fallas en una situación real bajo las Funciones y Roles siguientes:
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una
pérdida, causados por la consecuencia.
Exposición al Riesgo
La ocurrencia de un evento tiene una implicancia sobre las actividades operativas del
servicio, en tal sentido, resulta vital conocer el impacto del evento cuando este se presenta,
por lo que resulta necesario cuantificar la misma, a efectos de ser muy objetivos en su
análisis. El factor numérico asignado es directamente proporcional y va en ascenso con
respecto al impacto o gravedad que su ocurrencia pueda generar sobre los diferentes
alcances del servicio y se clasificarán como se indica en el cuadro N° 1.
Fuente: Autor de la investigación Consulting Group: Tabla donde mostraremos el Cuadro de Impacto que
pueden existir en la Empresa. Elaborado: Albán W.
Fuente: Autor de la investigación Consulting Group: Tabla donde mostraremos Cuadro de Impacto que
pueden existir en la Empresa. Elaborado: Albán W.
Todo evento cuya calificación sea de “Gran Impacto: 4”, será considerado
obligatoriamente dentro del Plan de Contingencia.
Todo evento cuya exposición al riesgo sea mayor o igual a 0.15 será también
considerado en el Plan de Contingencia (ver Cuadro N °4).
Después de todo lo expuesto, se elaborará la “Matriz de Riesgo de Contingencia” en la
cual se tendrá en cuenta todos los eventos susceptibles de entrar en contingencia,
indicando su ponderación y categorización (controlable/ no controlable) para la
elaboración del Plan de Contingencia. Asimismo, se utilizarán los siguientes tópicos
como una forma de agrupar a dichos eventos:
El Plan de Contingencia abarca todos los aspectos que forman parte del servicio
informático, en tal sentido, resulta de vital importancia considerar todos los elementos
susceptibles de provocar eventos que conlleven a activar la contingencia.
Servidores
Estaciones de trabajo (laptops y
Hardware PC)
Impresoras, fotocopiadoras,
scanner
Equipos de radiofrecuencia
Equipos multimedia
Equipos de comunicaciones switch
y conectores RJ-45
Comunicaciones
Equipo de comunicaciones Router
y LAN.
Equipo de Telefonía fija
Enlaces de cobre y fibra óptica.
Cableado de Red de Datos.
Software de Base de Datos
(Oracle, SQL, PostgreSQL)
Aplicativos utilizados por el
Consulting Group.
Software Software de Aplicaciones
(WebLogic, Tomcat Apache).
Software Base (Sistemas
operativos y Ofimática)
Antivirus para protección de
servidores y estaciones de trabajo.
Información sobre Sistemas Base de datos utilizados por los
Informáticos Aplicativos.
Respaldo de información generada
con Software Base y de Ofimática.
Respaldo de las Aplicaciones
utilizadas por Consulting Group.
Respaldos de Base de Datos.
Respaldos de información y
configuración de los Servidores.
UPS
Equipos diversos Aire Acondicionado
Departamento de TIC’s
Infraestructura Física Oficinas administrativas de
Consulting Group
Operativos Logística Operativa
Energía Eléctrica
Servicios Públicos Telefonía Fija/móvil
Suministro de agua potable
Recursos Humanos Disponibilidad de personal de
dirección.
Disponibilidad de personal
operativo.
Es por ello, que una fase importante de la metodología considera un formato estándar de
registro de todos los eventos definidos que forman parte del plan, así se tendrá finalmente
un entregable acorde con los requerimientos y políticas definidas para tal fin.
Encabezado
El formato tiene un encabezado, cuyo contenido se presenta como sigue:
En el cual se desarrollará cada uno de los eventos que formarán parte del Plan de
Contingencia y se describe el contenido que deberá ir en cada campo.
En este sentido, la garantía del “éxito” del Plan de Contingencia se basa en una validación
y certificación anticipada del mismo, en cada uno de sus procesos.
Alcance y Objetivos
Dado que la mayor parte de los planes de contingencia están orientados a temas de
Siniestros, Seguridad y Recursos Humanos, cuyas situaciones son imposibles de
reproducir en la vida real (Ej.: terremotos, robos, accidentes, problemas logísticos, etc.),
es que el plan de pruebas estará enfocado principalmente a simular situaciones de
contingencia en caso de incidencias producidas sobre equipos, información y procesos,
manejados en situaciones reales y cuyos respaldos si pueden ser empleados y replicados
en una hipotética situación de contingencia.
2. Alcances
Áreas Afectadas (relación) Personal involucrado (relación)
Todas las actividades generales que forman parte de la prueba, deberán validarse,
registrarse (incluyendo observaciones) y firmarse por todos los responsables que
participaron en cada una de ellas, a fin de dar fe de su ejecución y certificación.
Como parte del presente capítulo, la Unidad de Informática, plantea el desarrollo de los
tópicos, utilizando la metodología expuesta anteriormente. Este desarrollo incluirá las
siguientes fases de la metodología:
Servicios Públicos
4 Interrupción de 0.10 4 0.40 NC
energía eléctrica
5 Interrupción de 0.10 3 0.03 NC
servicios de telefonía
Sub Factor. Riesgos relacionados a Sistemas de Información
Información
6 Perdida de Documentos 0.02 3 0.06 C
7 Sustracción o robo de 0.02 3 0.06 C
información
Software
8 Infección de equipos 0.05 4 0.20 C
por virus
9 Perdidas de los 0.01 4 0.02 C
sistemas centrales
10 Perdida del servicio 0.01 2 0.02 C
de correo
11 Falla del sistema 0.04 4 0.16 C
operativo
Comunicaciones
12 Fallas en la red de 0.02 4 0.08 C
comunicaciones interna
Hardware
13 Fallas de quipos 0.02 2 0.04 C
personales
Recursos operativos y logísticos
Falla de equipos 0.01 2 0.02 C
14 multimedia,
impresoras, scanner y
otros
Sub factor riesgos relacionados a recursos humanos
Recursos Humanos
15 Ausencia imprevista de 0.05 3 0.15 C
personal de TIC’s
16 Ausencia de personal 0.05 3 0.15 C
Administrativo para la
toma de decisiones ante
situaciones de riesgos
informáticos
Sub factor Plan de seguridad física
Infraestructura
17 Sustracción de 0.02 2 0.04 C
equipos y software
diversos
18 Sabotaje 0.01 2 0.02 NC
19 Vandalismo 0.01 3 0.03 NC
2 Sismo
4 Interrupción de energía eléctrica
5 Interrupción de servicio de telefonía
18 Sabotaje
19 Vandalismo
Contingencia Sistemas
Estaciones de Trabajo FPC-06 Información Información
(laptops y PC) Contingencia Sistemas
FPC-08 Software Información
FPC-12 Comunicaciones Contingencia Sistemas
Información
Fotocopiadoras FPC-14 Operativo Contingencia Sistemas
Información
Impresoras, y scanner y/o
equipos multimedia
Equipos Multimedia FPC-14 Operativo Contingencia Sistemas
Información
Comunicaciones
Equipos de FPC-12 Contingencia Sistemas
Comunicaciones Información
comunicaciones switch y
conectores RJ-45
Equipo de FPC-12 Comunicaciones Contingencia Sistemas
Información
Comunicaciones Router
y LAN
Equipo de telefonía Fija FPC-12 Comunicaciones Contingencia Sistemas
Información
Cableado de Red de FPC-12 Comunicaciones Contingencia Sistemas
Información
Datos
Tabla donde se muestra los Elementos Vs. Sub factores a desarrollar que pueden existir en la Empresa.
Elaborado: Alban W.
Una vez identificados los eventos de contingencia y los elementos considerados afectados
o causantes de los mismos, pasamos a desarrollar los Planes de Contingencia agrupados
por los Sub factores.
Los cuadros siguientes muestran los funcionarios responsables de cada evento de contingencia identificado:
Tabla 18 Funcionarios Responsables de cada evento de contingencia (Sistemas de información)
Los siguientes, tratarán del desarrollo de los Planes de Contingencia por cada Sub Factor identificado,
utilizando el formato anexo A02
Objetivo
Alcance
Por otro lado, consideramos que como parte del desarrollo del sub factor de Siniestros, se
debe incluir los elementos relativos a Servicios Públicos, por afectar o ser consecuencia
de siniestros que pueden presentarse:
Interrupción de Energía Eléctrica; al momento de restablecerse la energía
eléctrica, pudiera realizarse con cargas altas que pudieran ocasionar algún tipo de
siniestros, afectando la seguridad física.
El siguiente cuadro es un resumen de la Matriz de Riesgos, considerando las
contingencias relacionadas a los Siniestros:
Contingencia
Infraestructura
Incendio 0.04 4 0.16
Sismo 0.10 4 0.40
Plan de pruebas
El plan de pruebas se determinará luego del análisis de los procesos críticos del servicio
y de identificar los eventos que pudieran presentarse. La aprobación del plan de pruebas
será efectuada por el Comité de Contingencias de Pruebas previamente a su ejecución.
Descripción de Planes
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Es un proceso de combustión caracterizado por la emisión de calor acompañado de humo, llamas
o ambas que se propaga de manera incontrolable en el tiempo y en el espacio. Se producen en
materiales sólidos, líquidos combustibles inflamables, equipos e instalaciones bajo carga
eléctrica entre otros.
Este evento incluye los siguientes elementos mínimos identificados por Consulting Group los
mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la
contingencia:
Infraestructura
Recursos Humanos
B. Objetivo
Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar el tiempo de
interrupción de las operaciones de Consulting Group sin exponer la seguridad de las personas.
C. Criticidad
Consulting Group determinara que el presente evento tiene un nivel de gran impacto en el servicio
y se identifica como Critico
D. Entorno
E. Personal Encargado
El director y/o jefe de área, es quien debe dar cumplimiento a lo descrito en las Condiciones de
Prevención de Riesgo del presente Plan.
Igualmente se contará con los siguientes elementos para la detección y extinción de un posible
incendio, los cuales cubrirán los ambientes del “Centro de Datos” y áreas afines a Informática de
la empresa:
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
E. Duración
3. PLAN DE EJECUCIÓN
A. Personal encargado
B. Descripción
El jefe y/o área afectada presentará un informe al Departamento de TIC’S del Plan
explicando qué parte de las actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
D. Mecanismos de recuperación
El jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una vez que se
haya tomado las acciones descritas en la descripción del presente Plan de Recuperación,
mediante una comunicación a la Gerencia Ejecutora del Plan.
F. Proceso de actualización
El proceso de actualización será en base al informe presentado por el jefe de TIC’S luego de
lo cual se determinará las acciones a tomar.
Evento: Sismo FPC-02
Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Los sismos son movimientos en el interior de la tierra y que generan una liberación repentina de
energía que se propaga en forma de ondas provocando el movimiento del terreno.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia,
como se muestran a continuación:
Infraestructura
Recursos Humanos
Personal
B. Objetivo
Establecer las acciones que se tomarán ante un sismo a fin de minimizar el tiempo de interrupción
de las operaciones de la Empresa evitando exponer la seguridad de las personas.
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Este evento se puede dar en las instalaciones de la Empresa de todas las áreas administrativas.
E. Personal Encargado
El jefe de TIC’S, es quien debe dar cumplimiento a lo descrito en las Condiciones de Prevención
de Riesgo del presente Plan.
Sismos
El proceso de contingencia se activará inmediatamente después de ocurrir el evento.
El jefe de TIC’S Ejecutor del Plan de Contingencias deberá coordinar con la Gerencia de
la Empresa en caso se requiera la habilitación de ambientes provisionales alternos para
restablecer la función de los ambientes afectado
E. Duración
La duración total del evento dependerá del grado del sismo, la probabilidad de réplicas y los
daños a la infraestructura.
Los procesos de evacuación del personal de la Empresa serán calmados y demorará 5
minutos como máximo.
3. PLAN DE EJECUCIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
El jefe y/o área afectada presentará un informe al Departamento de TIC’S del Plan
explicando qué parte de las actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
El jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una vez que se
haya tomado las acciones descritas en la descripción del presente Plan de Recuperación,
mediante una comunicación a la Gerencia Ejecutora del Plan.
E. Proceso de actualización
El proceso de actualización será en base al informe presentado por el Jefe de TIC’S luego
de lo cual se determinará las acciones a tomar.
Evento: Interrupción de Energía FPC-02
eléctrica Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Falla general del suministro de energía eléctrica.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Servicios Públicos
Energía Eléctrica
Hardware
Servidores
Estaciones de Trabajo
Equipos diversos
UPS
B. Objetivo
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Este evento se puede dar en las instalaciones de la Empresa de todas las áreas administrativas.
E. Personal Encargado
Durante las operaciones diarias del servicio u operaciones de la Empresa se contará con
los UPS necesarios para asegurar el suministro eléctrico en las estaciones de trabajo
consideradas como críticas.
Asegurar que los equipos UPS cuenten con el mantenimiento debido con suficiente
energía para soportar una operación continúa de 30 minutos como máximo. El tiempo
variará de acuerdo a la función que cumplan los equipos UPS
Realizar pruebas periódicas de los equipos UPS para asegurar su correcto
funcionamiento.
Contar con UPS para proteger los equipos de vigilancia (cámaras, sistemas de grabación)
y de control de acceso a las instalaciones de la empresa (puertas, contactos magnéticos,
etc.)
Contar con equipos de luces de emergencia con tolerancia de 15 minutos, accionados
automáticamente al producirse el corte de fluido eléctrico, los cuales deben estar
instalados en los ambientes críticos
Contar con procedimientos operativos alternos para los casos de falta de sistemas, de tal
forma que no se afecten considerablemente las operaciones en curso.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
E. Duración
3. PLAN DE EJECUCIÓN
F. Personal encargado
G. Descripción
H. Mecanismos de comprobación
El jefe y/o área afectada presentará un informe al Departamento de TIC’S del Plan
explicando qué parte de las actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
El jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una vez que se
haya tomado las acciones descritas en la descripción del presente Plan de Recuperación,
mediante una comunicación a la Gerencia Ejecutora del Plan.
J. Proceso de actualización
El proceso de actualización será en base al informe presentado por el jefe de TIC’S luego de
lo cual se determinará las acciones a tomar.
Objetivo
Alcance
Contingencia
Información
Extravió de documentos 0.02 3 0.06
Sustracción o robo de 0.02 3 0.06
información
Software
Infección de equipos por 0.05 4 0.20
virus
Perdida de los sistemas 0.05 4 0.20
centrales
Perdida de servicio de 0.01 2 0.02
correo
Falla del sistema operativo 0.04 4 0.16
Comunicaciones
Plan de Pruebas
El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor
Sistemas de Información, seguirá la metodología expuesta en el punto 4.5 del Plan de
Contingencia.
El plan de pruebas se determinará luego del análisis de los procesos críticos de las
operaciones y de identificar los eventos que pudieran presentarse. La aprobación del plan
de pruebas será efectuada por el Comité de Contingencias de Pruebas previamente a su
ejecución.
Descripción de Planes
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Virus informático es un programa de software que se propaga de un equipo a otro y que interfiere
el funcionamiento del equipo. Además, Un virus informático puede dañar o eliminar los datos de
un equipo
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Hardware
Servidores
Estaciones de trabajo
Software
B. Objetivo
Restaurar la operatividad de los equipos después de eliminar los virus o reinstalar las aplicaciones
dañadas.
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Las estaciones de trabajo PC´s, se encuentran instaladas las áreas administrativas de la empresa
E. Personal Encargado
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo
E. Duración
La duración del evento no deberá ser mayor a Dos horas en caso se confirme la presencia de
un virus. Esperar la indicación del personal de soporte para reanudar el trabajo.
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
E. Proceso de actualización
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Es la ausencia de interacción entre el Software y el Hardware haciendo inoperativa la máquina,
es decir, el Software no envía instrucciones al Hardware imposibilitando su funcionamiento.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se
muestran a continuación:
Software
Software base
Aplicativos utilizados por Consulting Group
Hardware
Servidores
Información
B. Objetivo
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
E. Personal Encargado
Tomar las siguientes acciones preventivas que debe implementar el Departamento de TIC’S
de la Empresa para asegurar el servicio de las aplicaciones:
Contar con equipos de respaldo ante posibles fallas de los servidores.
Contar con mantenimiento preventivo para dichos equipos.
Contar con los backups de información necesarios para restablecer las aplicaciones
Anexo A04: Copias de Respaldo.
Contar con backups de las aplicaciones y de las bases de datos.
Almacenar en un lugar seguro los backups referidos a aplicaciones y datos. Se
recomienda el almacenamiento De Los Backups en un lugar externo fuera de las
instalaciones de la empresa.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo
E. Duración
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
E. Proceso de actualización
En caso existiese información pendiente de actualización, debido a la falla de los sistemas
centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar las labores de
actualización de los sistemas.
Evento: Falla de Sistemas FPC-16
Operativos Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Falla en el control de computadoras, en el interfaz hombre-máquina, recursos hardware y
software de la Empresa.
Este evento incluye los siguientes elementos mínimos identificados por la empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Software
Hardware
Servidores
Información
B. Objetivo
Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados para restaurar
las funciones de los elementos identificados.
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Se puede producir durante la operatividad, afectando a las estaciones de trabajo y/o servidores de
aplicaciones usados para dar soporte a las operaciones.
E. Personal Encargado
Contar con servicios de soporte vigentes para los principales causantes del evento:
La Empresa debe asegurarse de mantener acuerdos con sus
Proveedores de Servicio.
Revisión periódica de los logs de actividad de los servidores para prevenir su mal
funcionamiento.
Estaciones de trabajo y servidores deberán contar con antivirus
actualizados.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
E. Duración
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
El jefe de TIC’S de la Empresa desactivará el Plan de Contingencia una vez que se recupere
la funcionalidad de trabajo los sistemas
E. Proceso de actualización
En base al informe presentado que identifica las causas de la pérdida del sistema operativo
en las estaciones de trabajo y/o servidores, se determinará las acciones de preventivas a
tomar.
En caso existiese información pendiente de actualización, debido a la falla de los
sistemas centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar las
labores de actualización de los sistemas.
Sub Factor: Contingencia relacionadas a los Recursos Humanos
Objetivo
El desarrollo de este tipo de contingencias está relacionado con todos los elementos y
factores que pueden afectar y/o ser afectados por el personal de la Empresa
Alcance
del mismo e incluirá en los contratos y definiciones de puestos de trabajo para poder
Actuaciones humanas
Indisponibilidad por enfermedades
Emergencias médicas
Incapacidad temporal o permanente por accidentes
Renuncias o ceses
Se deberá comprobar que las definiciones de puestos de trabajo contemplan
Contingencia
Recurso humano
Ausencia imprevista del 0.05 3 0.15
personal del
Departamento de TIC’s
Ausencia de personal 0.05 3 0.15
ejecutivo para la toma de
decisiones ante
situaciones de riesgo
informático
Plan de Pruebas
tópico Recursos Humanos, seguirá la metodología expuesta en el punto 4.5 del Plan
de Contingencia.
previamente a su ejecución.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Ausencias del personal de Soporte Técnico relevante (enfermedad, renuncias, ceses), en toma
decisiones claves que garantice el normal funcionamiento de servidores y redes de la institución.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia,
los cuales se muestran a continuación:
Recursos humanos
Personal
B. Objetivo
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, Departamento de TIC’S y las áreas
Administrativas de la Empresa.
E. Personal Encargado
El Gerente y/o jefe de TIC’S es quién debe disponer se cumplan las Condiciones de Previsión de
Riesgo del presente Plan.
La existencia del presente evento se puede dar en cualquier momento, dependiendo de las
circunstancias personales, por lo que se considera lo siguiente: Como primera prevención,
el jefe de TIC’s, se asegurará en capacitar al Asistente de TIC’s del área de soporte técnico
con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante
la presencia de este evento.
Como segunda prevención, el jefe de TIC’s se asegurará en tener como mínimo a dos
profesionales técnicos en el área de soporte técnico y un asistente.
Incluir como parte de las funciones del personal, comunicar anticipadamente la inasistencia
a su centro de labores.
Para el control del personal se cuenta con un software de control de asistencia,
de donde se proveerá información al Jefe de Informática, para que tome las
acciones preventivas correspondientes.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
E. Duración
Máximo OCHO (08) horas. El fin del presente evento es la presencia del
reemplazo que asume la responsabilidad; hasta que se confirme la presencia del
personal de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
El jefe de TIC’S presentará un informe a la Gerencia Coordinado del Plan explicando que
parte del Servicio Informático ha sido afectado y cual son las acciones tomadas.
El jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora del Plan.
E. Proceso de actualización
En base al informe presentado por el jefe de TIC’S y las causas identificadas en el Servicio
informático se determinará las acciones a tomar.
Evento: Ausencia imprevista del FPC-13
personal de soporte técnico Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
G. Descripción del evento
Ausencias del personal de Soporte Técnico relevante (enfermedad, renuncias, ceses), en toma
decisiones claves que garantice el normal funcionamiento de servidores y redes de la institución.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia,
los cuales se muestran a continuación:
Recursos humanos
Personal
H. Objetivo
I. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
J. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, Departamento de TIC’S y las áreas
Administrativas de la Empresa.
K. Personal Encargado
El Gerente y/o jefe de TIC’S es quién debe disponer se cumplan las Condiciones de Previsión de
Riesgo del presente Plan.
La existencia del presente evento se puede dar en cualquier momento, dependiendo de las
circunstancias personales, por lo que se considera lo siguiente: Como primera prevención,
el jefe de TIC’s, se asegurará en capacitar al Asistente de TIC’s del área de soporte técnico
con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante
la presencia de este evento.
Como segunda prevención, el jefe de TIC’s se asegurará en tener como mínimo a dos
profesionales técnicos en el área de soporte técnico y un asistente.
Incluir como parte de las funciones del personal, comunicar anticipadamente la inasistencia
a su centro de labores.
Para el control del personal se cuenta con un software de control de asistencia,
de donde se proveerá información al Jefe de Informática, para que tome las
acciones preventivas correspondientes.
2. PLAN DE EJECUCIÓN
F. Eventos que activan la Contingencia
J. Duración
Máximo OCHO (08) horas. El fin del presente evento es la presencia del
reemplazo que asume la responsabilidad; hasta que se confirme la presencia del
personal de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
3. PLAN DE RECUPERACIÓN
F. Personal encargado
G. Descripción
H. Mecanismos de comprobación
El jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora del Plan.
J. Proceso de actualización
En base al informe presentado por el jefe de TIC’S y las causas identificadas en el Servicio
informático se determinará las acciones a tomar.
Evento: Ausencia del personal FPC-13
ejecutivo para la toma de Versión: 1.0
decisiones ante situaciones de
riesgo informático
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Ausencias del personal de Gerencia y/ Áreas Administrativas (enfermedad, renuncias, ceses), en
toma decisiones claves que garantice el normal funcionamiento de las actividades.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se
muestran a continuación:
Recursos humanos
Personal
B. Objetivo
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, y las áreas Administrativas de la
Empresa.
E. Personal Encargado
La existencia del presente evento se puede dar en cualquier momento, dependiendo de las
circunstancias personales que se presente a la Gerencia o Áreas Administrativas, por lo que
se considera lo siguiente:
Como primera prevención, la Gerencia asegurará en capacitar a un empleado con más de 5
años de experiencia en la Empresa que cumpla el perfil, conocimiento y capacidad para
reemplazar ante el evento.
Incluir como parte de las funciones del personal en comunicar anticipadamente la inasistencia
a su centro de labores, siempre y cuando se trate de ocasiones premeditadas.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Reporte de inasistencia del Gerente y de área administrativas. El proceso de
contingencia se activa durante las DOS HORAS iniciales del día.
E. Duración
Máximo tres horas. El fin del presente evento es la presencia del reemplazo, o el empleado
más antiguo que esté capacitado para que asuma la responsabilidad; hasta que se confirme
la presencia del Gerente o Jefe de área en caso de renuncia u otras por fuerza mayor..
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
El Gerente y/o Jefe de Área desactivará el Plan de Contingencia una vez que se haya tomado
las acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora
E. Proceso de actualización
En base al informe presentado por el Gerente y/o Jefe de Área y las causas
identificadas en la operatividad, se determinará las acciones a tomar.
Subfactor: Contingencias relacionadas a Seguridad Física
Objetivo
Alcance
Plan de Prueba
El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor
Seguridad Física, seguirá la metodología expuesta en el punto 4.5 del Plan de
Contingencia. El plan de pruebas se determinará luego del análisis de los procesos críticos
del servicio y de identificar los eventos que pudieran presentarse. La aprobación del plan
de pruebas será efectuada por la Alta Gerencia de la Empresa, previamente a su ejecución.
Infraestructura
Estrategias
Responsables
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas” del presente
Plan; se ha considerado a los responsables de la ejecución de los diferentes eventos
susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A
02: “Formato Registro Plan de Contingencia” tanto para el Plan de Prevención, Plan de
Ejecución, Plan de Recuperación y Plan de Pruebas.
Recursos
Periodos y Plazos
Criterios Empleados
Disminuir el impacto de los eventos de riesgo que se puedan presentar y que atenten
contra la normal operatividad de la Empresa, llegándose a detallar los procedimientos a
seguir durante la prevención, ejecución, recuperación y pruebas a desarrollarse.
Glosario
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría
ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que
un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se
deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios
quedan definidos en el Plan de Recuperación de Desastres que, junto con el Centro
Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las
necesidades del negocio y las operaciones de recuperación del mismo.
Después, como un plan de recuperación una vez superado el incidente para regresar el
estado previo a la contingencia.
Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas,
gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una
vez detectado y corregido el fallo. De la gama de seguros existentes, se pueden indicar
los siguientes:
Gastos extra: cubre los gastos extra que derivan de la continuidad de las
operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente
para compensar los costos de ejecución del plan de contingencia.
Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las
caídas de los medios informáticos o por la suspensión de las operaciones.
fabricación.
DESCRIPCION DE LA OCURRENCIA
OBSERVACIONES: _
Evento: FPC-XXXXX
Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
En este punto se describe el evento producido
B. Objetivo
C. Criticidad
Señala cuan crítico es un proceso, así como el nivel de impacto del mismo dentro del servicio
como se clasifica a continuación: Crítico: El proceso o actividad es altamente crítico, no puede
detenerse nunca y no deber ser interrumpido. Importante: El proceso o actividad puede ser
suspendido por un breve lapso de tiempo no mayor a las 2 horas. Menos Importante: El proceso
o actividad puede ser suspendido por un lapso de tiempo no mayor a 24 horas.
D. Entorno
En esta sección se describirá la ubicación y los ambientes, equipos informáticos, equipos diversos
(automáticos, mecánicos o manuales) donde se ejecuta el proceso en forma normal, así como las
condiciones básicas para su operación.
E. Personal Encargado
Aquí se especificará el (los) nombre(s) y cargo(s) del personal del servicio, encargado de ejecutar
el proceso en forma normal, así como sus roles dentro del mismo.
En esta sección se debe describir detalladamente las acciones que se ejecutan durante el proceso
normal y los puntos de control implementados, a efectos de prevenir que se presente el evento
que genere la activación de un estado de contingencia.
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Aquí se establecerán en forma secuencial todos los procesos o actividades que se tengan que
ejecutar con anterioridad al ingreso al proceso de contingencia.
Se especificará los cargos del personal que autorizará el inicio del proceso de contingencia.
Se especificará los cargos del personal que iniciará el proceso de contingencia.
Se especificará el nivel de coordinación con funcionarios o responsables de
la empresa.
.
Se describirá en forma detallada y secuencial los pasos a realizar para poner en marcha el
proceso de contingencia.
E. Duración
Aquí se especificará, de ser posible, el lapso de tiempo por el cual estará activada la
contingencia, así como el evento que determine el término del mismo
3. PLAN DE RECUPERACIÓN
A. Personal encargado
B. Descripción
C. Mecanismos de comprobación
E. Proceso de actualización
CÓDIGO Nº:
Metodología y Alcance:
Condiciones
de (Nombre del servidor/ pc/ maquina en proceso de prueba o certificación)
Ejecución
: Equipo:
Aplicación/Software: Versión:
Fecha de Backup: / /
De la Prueba/ Certificación .
Resultado
Diario
Semanal
Anual