Plan de seguridad ISO 27001

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO

DE INGENIERO EN SISTEMAS E INFORMÁTICA.
TEMA: PLAN INFORMÁTICO 2018-2022 BASADO EN LA NORMA ISO/IEC

27001-2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN Y
RECURSOS TECNOLÓGICOS EN LA EMPRESA “CONSULTING GROUP”
SANTO DOMINGO.
AUTOR: ALBAN REYNA WILSON ALEJANDRO
TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.
SANTO DOMINGO – ECUADOR
2018
DEDICATORIA
Le Dedico mi trabajo a Dios Por haberme permitido llegar hasta este punto y haberme
dado salud para lograr mis objetivos, además de su infinita bondad y amor.
De igual forma, a mi Madre, a quien le debo mi vida y lo que hoy en día soy, le agradezco
el cariño y su compresión, quien ha sabido formarme con buenos sentimientos, hábitos y
valores, ayudándome a salir adelante buscando siempre el mejor camino, también a mis
familiares y amigos que siempre estuvieron pendientes del desarrollo de mi carrera
Universitaria y que han aportado de una manera u otra en mi desarrollo personal.
A los Ingenieros les agradezco por su tiempo, y su apoyo brindado, así como por los
conocimientos que me trasmitieron en el desarrollo de mi formación académica y lograr
el presente trabajo.
WILSON ALEJANDRO ALBAN REYNA

AGRADECIMIENTO
En primer lugar, a toda mi familia quienes fueron los me brindaron todo el apoyo
necesario en todo momento.
Así mismo, agradecer a todos quienes estuvieron vinculados de alguna manera en este
proyecto a los propietarios de Consulting Group por proporcionarme la facilidad
necesaria para completar la investigación.
De igual manera a la Universidad Regional Autónoma de los Andes “UNIANDES”, que

mediante sus autoridades y docentes apoyan constante en la formación académica del
estudiante de una manera profesional y siempre con la toda predisposición necesaria para
que el estudiante logre su objetivo.
WILSON ALEJANDRO ALBAN REYNA

RESUMEN
El presente trabajo tiene como objetivo un plan para la seguridad informática basado en
la norma ISO/IEC 27001:2013 el cual esta propuesto para una institución privada que es
la empresa Consulting Group de Santo Domingo.
Antes del desarrollo del plan informático se efectúa un análisis de la seguridad

informática ya que cuando se evaluó a la institución se encontraron varias deficiencias
por el hecho de no contar con políticas de seguridad, manuales de procedimientos, plan
de contingencia y también se identificaron una gran cantidad de problemas al realizar las
tareas que involucren los recursos tecnológicos de la misma, este plan para la seguridad
de la información contiene la definición de conceptos como las políticas de seguridad
manuales de procedimientos plan de contingencia y se alinea con la visión y misión de la
empresa tal como lo indica la norma aplicada.
En cuanto al marco metodológico que recoge los resultados de la investigación de campo

en el cual se ve plasmado en las encuestas y los resultados de la misma confirman los
problemas que existe en la institución y también nos ayudó a llegar a la solución.
Finalmente, el desarrollo de la propuesta mediante la realización de políticas de

seguridad, manuales de procedimientos y plan de contingencia se lo realizo en base de un
análisis técnico desarrollado en la empresa Consulting Group Santo Domingo con el fin
de lograr mejorar la confidencialidad y disponibilidad de los procesos e información de
la misma.
ABSTRACT
This research work has a purpose a security plan based on ISO / IEC 27001: 2013 which
is proposed for a private institution that is Consulting Group enterprise from Santo
Domingo city.
Before the computer development plan an analysis of computer security is made because
when the institution was assessed a number of deficiencies were found by the lack
security policies, procedures manuals and contingency plan also identified a large number
of problems when performing tasks that involve the technological resources, procedural
manuals, contingency plan and a large number of problems were also identified when
performing the tasks that involve the technological resources, this plan for the security of
the information includes the concepts definition of concepts such as security policies
manuals of procedures contingency plan and aligns with the vision and mission of the
enterprise as indicated by the standard applied.
In methodological framework terms methodological framework includes the results of

field research in which is demonstrated in the surveys and the results confirm the
problems in the institution and also helped us get to the solution.
Finally, development Proposal through the realization of security policies, procedures

manuals and contingency plan was carried out based on a technical analysis developed in
Group Consulting enterprise in Santo Domingo city in order to improve the
confidentiality and availability of the processes and information.
ÍNDICE GENERAL
Pág.
APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
INTRODUCCIÓN ............................................................................................................ 1
Actualidad e Importancia .................................................................................................. 1
Relación del tema propuesto con los lineamientos de desarrollo del país ........................ 1
MACRO-OBJETIVO DEL PLAN NACIONAL DE TELECOMUNICACIONES Y

TECNOLOGÍAS DE LA INFORMACIÓN DEL ECUADOR 2016-2021 ..................... 1
IMPORTANCIA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL

DETELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN DEL
ECUADOR 2016-2021 ..................................................................................................... 1
OBJETIVO DEL MACRO-OBJETIVO EN EL PLAN NACIONALDE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN DEL
ECUADOR 2016-2021 ..................................................................................................... 2
POLÍTICA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE

ECUADOR 2016-2021 ..................................................................................................... 2
Descripción de la actualidad ............................................................................................. 2
Importancia del tema a desarrollar.................................................................................... 3
Problema de investigación ................................................................................................ 3

Formulación del problema ................................................................................................ 4
Árbol de Causa-Efecto ...................................................................................................... 5
Objetivos de Investigación................................................................................................ 5
Objetivo General ............................................................................................................... 5
Objetivos Específicos ....................................................................................................... 5
CAPÍTULO I .................................................................................................................... 7
1 FUNDAMENTACIÓN TEÓRICA ....................................................................... 7
1.1 Antecedentes de la Investigación .......................................................................... 7
1.2 Actualidad del objeto de estudio de la investigación ............................................ 8
Concepto de seguridad ...................................................................................................... 8
Seguridad Informática....................................................................................................... 8
Importancia de la seguridad informática .......................................................................... 9
Vulnerabilidad ................................................................................................................ 10
Amenazas ........................................................................................................................ 10
Riesgos ............................................................................................................................ 11
Seguridad de la información ........................................................................................... 11
Integridad ........................................................................................................................ 12
Confidencialidad ............................................................................................................. 12
Disponibilidad................................................................................................................. 12
Seguridad Activa............................................................................................................. 13
Seguridad Pasiva ............................................................................................................. 13
Seguridad Física y Lógica............................................................................................... 13
Políticas de Seguridad. .................................................................................................... 14
Importancia de las Políticas de Seguridad ...................................................................... 15
Aspectos físicos y lógicos de las políticas de seguridad. ................................................ 15
Normas generales de las políticas de seguridad.............................................................. 16
Plan de Contingencia ...................................................................................................... 16

ISO / IEC ........................................................................................................................ 17
Objetivo de la norma ISO 27001:2013 ........................................................................... 18
Beneficio de la norma ISO 27001:2013 ......................................................................... 19
Estructura del estándar ISO 27001: 2013 ....................................................................... 19
Dominios de la ISO 27001:2013 .................................................................................... 19
Plan Informático. ............................................................................................................ 20
1.3 Actualidad de la temática en el contexto nacional e internacional ........................... 21
CAPÍTULO II ................................................................................................................. 23
2 Diseño Metodológico y Diagnostico ................................................................... 23
2.1 Paradigma y tipo de investigación ...................................................................... 23
2.1.1 Paradigma Asumido ......................................................................................... 23
2.1.2 Modalidad y tipo de investigación .................................................................... 23
2.2 Procedimiento para la búsqueda y procesamiento de los datos .......................... 23
2.2.1 Población y Muestra Población ........................................................................ 23
2.2.2 Plan de Recolección de la información ............................................................ 24
2.3 Planes de procesamiento y análisis de la información ........................................ 25
2.4 Resultados del diagnóstico de la situación actual ............................................... 26
2.4.1 Análisis e interpretación de resultados ............................................................. 27
2.3.2 Resumen de las principales insuficiencias detectadas con la aplicación de los

métodos. .......................................................................................................................... 35
CAPÍTULO III ................................................................................................................ 36
3 PROPUESTA DE SOLUCIÓN AL PROBLEMA .............................................. 36
3.1 ESTRUCTURA DE LA PROPUESTA .............................................................. 36
3.1.1 Nombre de la propuesta .................................................................................... 36
3.1.2 Objetivos ........................................................................................................... 36
3.1.3 Elementos que la conforman ............................................................................ 37
3.1.4 Explicación de cómo la propuesta contribuye a solucionar las insuficiencias

identificadas en el diagnostico ........................................................................................ 37
3.2 APLICACIÓN PRÁCTICA PARCIAL O TOTAL DE LA PROPUESTA ....... 38
3.2.1 Aplicación práctica de la propuesta y comprobación de los resultados

demostrados .................................................................................................................... 38
CONCLUSIONES .......................................................................................................... 50
RECOMENDACIONES ................................................................................................. 51
BILIOGRAFÍA
ANEXOS
ÍNDICE DE FIGURAS
Figura 1 Diagrama Causa-Efecto ...................................................................................... 5

Figura 2 Políticas y riesgos informáticos ........................................................................ 28
Figura 3 Medidas a tomar en caso de acceso no autorizado ........................................... 28
Figura 4 Uso de dispositivos de almacenamiento extraíbles .......................................... 29
Figura 5 Existencia de manual de procedimientos ......................................................... 30
Figura 6 Políticas de Mitigación de riesgos .................................................................... 31
Figura 7 Medidas a tomar en caso de fenómeno ............................................................ 31
Figura 8 Mantenimiento a equipos informáticos ........................................................... 32
Figura 9 Plan informático mejorara seguridad de información ...................................... 33
Figura 10 Ciclo PDCA en ISO 27001:2013 ................................................................... 46
Figura 11 Cronograma de actividades ............................................................................ 49
ÍNDICE DE TABLAS
Tabla 1 Población de la empresa Consulting Group Santo Domingo. ........................... 24

Tabla 2 pregunta sobre políticas de mitigación de riesgos ............................................. 27
Tabla 3 prevención ante amenazas informáticas ............................................................ 28
Tabla 4 Uso de dispositivos extraíbles ........................................................................... 29
Tabla 5 Existencia de manual de procedimientos ........................................................... 30
Tabla 6 Integridad de la información .............................................................................. 30
Tabla 7 Medidas a tomar en caso de fenómeno natural .................................................. 31
Tabla 8 Mantenimiento a equipos informáticos ............................................................. 32
Tabla 9 Plan informático para mejorar seguridad de información ................................. 33
ÍNDICE DE ANEXOS
Anexo 1 Perfil del Proyecto de investigación

Anexo 2 Formato de Entrevista aplicada en el trabajo de investigación
Anexo 3 Formato de encuesta aplicada en el trabajo de investigación
Anexo 4 Políticas de Seguridad de la información
Anexo 5 Manual de procedimientos
Anexo 6 Plan de contingencia informático
Anexo 7 Aprobación del Proyecto de Investigación
Anexo 8 Solicitud de aprobación para la realización del Proyecto de Investigación
Anexo 9 Respuesta de carta de aceptación del Proyecto de Investigación
Anexo 10 Certificado de Cumplimiento de Plan Informático emitido por la empresa
INTRODUCCIÓN
Actualidad e Importancia
Actualmente la informática es parte fundamental de todas las empresas ya sean públicas

o sean del sector privado y por lo tanto es de gran necesidad contar con un departamento
destinado al proveer de todos los servicios tecnológicos de la empresa, también es
importante que se cuente con una infraestructura que cumpla con todos los estándares y
normas establecidas, así mismo una planificación para que sirva como apoyo para que los
sistemas y todo el apartado tecnológico mantenga la integridad necesaria y funcione
acorde a las necesidades de la organización.
Relación del tema propuesto con los lineamientos de desarrollo del país
El presente proyecto de investigación está relacionado con el PLAN NACIONAL DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE INFORMACIÓN DEL
ECUADOR 2016-2021
MACRO-OBJETIVO DEL PLAN NACIONAL DE TELECOMUNICACIONES Y

TECNOLOGÍAS DE LA INFORMACIÓN DEL ECUADOR 2016-2021
Macro-Objetivo 3. Asegurar el uso de las TIC para el desarrollo económico y social del
país.
IMPORTANCIA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL

DETELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN DEL
ECUADOR 2016-2021
3.4.1. Importancia de asegurar el uso de las TIC para el desarrollo económico y social del
país.
En el ámbito social, la incorporación de TIC en sectores como salud, educación o justicia,

permite aumentar la eficiencia en la provisión de estos servicios reduciendo el gasto
público, mejorar la calidad de los servicios utilizando análisis de datos (analytics) que
permiten generar conocimientos (insights) clave, y por último brindar una mejor
experiencia al cliente a través del uso de herramientas digitales.
El macro-objetivo 3 contempla varios objetivos de los cuales el que tiene relación con el
tema es el siguiente:
1
OBJETIVO DEL MACRO-OBJETIVO EN EL PLAN NACIONALDE
ECUADOR 2016-2021
3.4.1.2. Potenciar el desempeño de los procesos digitalizados del sector público de alto
impacto social (educación, salud, justicia y seguridad)
Este objetivo es importante para el Ecuador, ya que los sectores de salud, educación y
justicia están directamente relacionados con el bienestar de las personas. Como se puede
ver estos tres son los sectores donde la digitalización de procesos tiene el mayor potencial
de generación de valor. La digitalización de procesos le permite a los sectores públicos
alcanzar un mayor grado de eficiencia, ampliar su cobertura y mejorar sus sistemas de
comunicación, fomenta el desarrollo de conocimiento y disminuye el impacto negativo
sobre el medio ambiente. A continuación se analizan estos beneficios en detalle.
Conocimiento
El uso de sistemas digitales que almacenan la información de las interacciones con los
usuarios genera grandes cantidades de datos. Su análisis permite identificar patrones y
facilita la investigación y la generación de conocimiento. La creación de plataformas que
agrupan recursos aportados por los usuarios permite acelerar el aprendizaje y la adopción
de las mejores prácticas.
POLÍTICA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE

ECUADOR 2016-2021
3.4.2. Política sectorial Nro. 3
Favorecer la apropiación de las TIC en la población y en los sectores productivos, como

herramienta de desarrollo económico y de acercamiento de las instituciones del Estado
a la población
DESCRIPCIÓN DE LA ACTUALIDAD
En el Ecuador actualmente las empresas se enfrentan cada vez más con riesgos e
inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma
2
importante sus sistemas de información y pueden poner en peligro la continuidad del
negocio.
Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos
asociados y establezcan las estrategias y controles adecuados que aseguren una
permanente protección y salvaguarda de la información.
Importancia del tema a desarrollar
La creación de un plan informático basado en la norma ISO/IEC 27001-2013 para mejorar

la seguridad de la información y recursos tecnológicos en la empresa “Consulting Group”
permitirá que todos los bienes de la empresa puedan estar controlado bajo normas y
políticas de seguridad también así permitirá evaluar posibles riesgos a los cuales pueda
estar sujeta información valiosa de la organización esto es importante ya que actualmente
existen muchas amenazas físicas y lógicas , por lo cual puede ayudar para que otras
empresas o investigadores de la ciudad sientan interés en el tema debido a que el presente
plan informático ayuda a mantener un estricto control en la información y los recursos
tecnológicos y se eviten pérdidas importantes a futuro.
Problema de investigación
La Empresa Consulting Group Santo Domingo es una de las empresas más importantes
en la ciudad a nivel de cursos de capacitación. Sus funciones como instituto de
capacitación en servicios de enfermería se realizan en la Av. Chone y Pedro Vicente
Maldonado y como muchas de las empresas que manejan gran cantidad de información
no cuentan con normativas que ayuden a mantener no solo la información si no también
los bienes informáticos de la misma y las principales deficiencias se detallan a
continuación
 La empresa no cuenta con políticas de seguridad para garantizar la integridad

de los datos que se manejan dentro de la misma, esto puede significar que la
información se pueda ver comprometida por personas ajenas a la empresa.
 No cuenta con un plan de contingencia a nivel informático para la seguridad

física de la empresa por lo que existe un alto riesgo de que los equipos sufran
daño por algún tipo de desastre natural.
3
 No existe un manual de procedimientos en el cual facilite a realizar los
procesos dentro de la empresa esto genera dificultad a la hora de realizar
tareas.
 Actualmente la empresa no cuenta con una planificación que ayude a dar

mantenimiento correctivo y preventivo a los equipos informáticos esto podría
significar que se dañen o se pierda información de los equipos informáticos
por daño debido a la falta de mantenimiento.
 El personal no está capacitado ni se cuentan con las herramientas necesarias

para realizar respaldos de información que ayuden a mantener los datos de la
empresa seguros en el caso de que exista daños físicos o lógicos
 La seguridad lógica no es efectiva y no se cuentan con los programas

necesarios ni las licencias para el uso de software como antivirus, antispyware
y otros programas que evitan que intrusos puedan ingresar a la red de la
empresa comprometiendo la integridad de la información.
Por los motivos anteriormente puntualizados se puede determinar que la empresa

Consulting Group carece de una planificación para llevar a cabo un control integro en su
seguridad y que puede estar constantemente expuesta a riesgos que perjudicarían
operacionalmente a la misma.
Formulación del problema
¿Cómo mejorar la seguridad de la información y recursos tecnológicos en la empresa

Consulting Group de Santo Domingo?
4
Árbol de Causa-Efecto
Figura 1 Diagrama Causa-Efecto

Autor: Wilson Albán
Fuente: Autor de la investigación
Objetivos de Investigación
Objetivo General
Desarrollar un Plan informático 2018-2022 basado en la norma ISO/IEC 27001-2013 para

mejorar la seguridad de la información y recursos tecnológicos en la empresa Consulting
Group Santo Domingo.
Objetivos Específicos
a) Fundamentar bibliográficamente todos los conceptos teóricos referentes a la

seguridad de la información normas ISO/IEC 27001:2013, políticas de seguridad,
planes de contingencia.
5
b) Realizar una investigación de campo para conocer las falencias de la seguridad de
la información, procesos, y recursos tecnológicos en la empresa Consulting
Group.
c) Elaborar un plan informático en base a la norma ISO/IEC 27001:2013 orientado
en el cumplimiento de políticas y procedimientos para mejorar la seguridad de la
información y recursos tecnológicos de la Empresa Consulting Group de Santo
Domingo.
d) Presentar el proyecto de investigación mediante la vía de expertos para la
validación del plan informático.
6
CAPÍTULO I
1 FUNDAMENTACIÓN TEÓRICA
1.1 Antecedentes de la Investigación
Los avances de las Tecnologías de la Información y Comunicación ocasionan que las

empresas otorguen mayor atención a la protección de sus activos de información, con el
fin de generar confianza en los clientes, en sus propias instituciones y de minimizar
riesgos derivados de vulnerabilidades informáticas. Por esta razón, es necesario que
existan políticas de seguridad globales, que garanticen control y eficacia en: la
administración privada, áreas de negocio y comercio electrónico.
Toda organización debería contar con una línea base de seguridad para sus equipos
productivos, la cual los lleve a un nivel mínimo satisfactorio de seguridad. Un análisis de
vulnerabilidades, por su parte, tiene como objetivo identificar huecos de seguridad y
medir el impacto sobre los activos, y utiliza los hallazgos para visualizar cuáles serían las
siguientes acciones para fortalecerlos y puedan soportar ataques a los que podrían estar
expuestos
Dado que los lineamientos bases de seguridad, no son un proceso estático, sino más bien
un proceso cíclico de mejora continua, es preciso realizar diversas actividades que
mitiguen diversas vulnerabilidades que se presenten en la TIC’s
Se realizó una investigación correspondiente al tema del trabajo de tesis en la biblioteca

de la Universidad Regional Autónoma de los Andes “UNIANDES” de ciudad de Santo
Domingo y en los repositorios de las demás extensiones del país disponibles en internet
en donde se pudo observar que hay temas relacionados al trabajo de investigación, lo cual
será de gran ayuda y una guía a seguir para que la investigación sea realizada de la mejor
manera
Tema: “Plan de Seguridad Informática en base a parámetros de la norma ISO/IEC 27002

para mejorar la Seguridad de la Información en el Departamento de Tecnologías de
Información y Comunicación del Gobierno Autónomo” previo a la obtención del título
de magister en ingeniería de sistemas de computación autor: Alejandro Guevara Pupiales
(Andres Alejandro Guevara, 2017)
7
Resumen: El trabajo de investigación citado tiene como objetivo el desarrollo de un Plan
de seguridad informática haciendo uso de la normativa ISO/IEC 27002 para mejorar la
seguridad de la información en el GAD de Santo Domingo haciendo uso de normativas y
procedimientos para lograr los objetivos planteados y guarda relación con el presente
trabajo de investigación.
1.2 Actualidad del objeto de estudio de la investigación
Concepto de seguridad
De acuerdo a (Sánchez R. , 2003) “Seguridad es una necesidad básica de la persona y de

los grupos humanos y al mismo tiempo un derecho inalienable del hombre y de la nación.
Seguridad proviene de latín Securitas, que a su vez se deriva del adjetivo Securus, sin
cura, sin temor; implica las nociones de garantía, protección, tranquilidad, confianza,
prevención, previsión, preservación, defensa, control, paz y estabilidad de las personas y
grupos sociales, frente a amenazas o presiones que atenten contra su existencia, su
integridad, sus viene, el respeto y ejercicio de sus derechos, etc.”.
El autor sustenta que la seguridad desde tiempos inmemorables ha sido un punto muy
importante en la vida personal laboral de las personas, y que con el pasar del tiempo se ha
convertido en un factor sumamente importante.
La Seguridad trae consigo una ausencia de amenazas, situación que en el mundo

contemporáneo es muy difícil de sostener, las sociedades actuales son crecientemente
sociedades de riesgo. El componente riesgo es permanente y da carácter propio a los
estados y sociedades, como tal la Seguridad no puede ser entendida como ausencia de
amenazas. (Lara, 2006)
La seguridad resulta ser una necesidad indispensable en los tiempos actuales, ya que es
algo que nos garantiza plena estabilidad, tranquilidad y defensa ante cualquier posible
amenaza que pudiera existir, es por eso es importante reconocer su importancia a nivel
general y no tomarla como algo sin relevancia alguna.
Seguridad Informática
¨La seguridad informática es la disciplina que con base en políticas y normas internas y
externas de la empresa, se encarga de proteger la integridad y privacidad de la
información que se encuentra almacenada en un sistema informático, contra cualquier
8
tipo de amenazas, minimizando los riesgos tanto físicos como lógicos, a los que está
expuesta. (Baca Urbina , 2016, pág. 12)
Los objetivos principales de la seguridad informática son proteger el sistema informático,

tanto como la información, como los equipos en sí, así como los usuarios del sistema.
(Alfonso García & Alegre Ramos, 2003, pág. 10)
Con la seguridad informática podemos asegurar los sistemas informáticos ante posibles
amenazas y no solo a nivel físico si no lógico, garantizando así la integridad de los
mismos.
Dato a que actualmente los ataques, amenazas y consecuencias de aplicar medidas de

protección aumentan día a día, el mundo parece cada vez más interesado en los problemas
de la seguridad informática, la piratería y el hacking. Estos componen un buen elemento
de términos que muy a menudo se emplean equivocadamente, intercambiando uno con
otros, provocando el pánico ante peligros que no se les corresponde necesariamente y
sembrando las dudas en temas que todo el mundo debería conocer antes de conectar a la
red.
La seguridad Informática, o de forma m global, la seguridad en los sistemas de

información, representa el conjunto de medios y técnicas implementados para asegurar la
integridad y que no se difundan involuntariamente los datos que recorren el sistema de
información, entendido como tal al conjunto de datos y de recursos (físicos, lógicos y
humanos) que permiten almacenar y que circule la información que contiene. también
representa la red de actores que intervienen sobre él, que intercambian datos, acceden a
ellos y los usan. (Olivares, 2015)
Se puede describir a la seguridad informática como un conjunto de técnicas y/o

actividades destinadas a prevenir, proteger y resguardar todo lo que pueda ser considerado
como susceptible perdida, robo o daño, y también abarca múltiples áreas relacionadas con
los sistemas de información.
Importancia de la seguridad informática.
Su finalidad es preservar la información y la integridad de un sistema informático es algo

muy importante para una empresa u organización, por lo que en pérdidas económicas y
9
de tiempo podría suponer, sin olvidarnos del peligro que podría acarrear el acceso al
sistema de un usuario no autorizado.
Igualmente es también importante para un usuario que emplee su ordenador en el ámbito

doméstico, por lo que le podría suponer el perder documentos o fotos personales, sin
olvidarnos del inconveniente que supondría el no poder disponer de su equipo un tiempo
determinado el coste de intentar recuperar la información perdida. (Alfonso García &
Alegre Ramos, 2003, pág. 2)
Es necesario reconocer la importancia de la seguridad informática en las empresas ya que

esta nos garantiza que la información se encuentre segura evitando de esta manera
perdidas a futuro que podrían afectar gravemente a la organización.
Vulnerabilidad
Una vulnerabilidad es cualquier debilidad en el sistema informático que puede permitir a

la amenaza causarle daños y producir pérdidas en la organización., Las vulnerabilidades
se corresponden con fallos en los sistemas físicos y/o lógicos, aunque también pueden
tener su origen en los defectos de ubicación, instalación, configuración y mantenimiento
de los equipos. (Gómez Vieites, 2011, pág. 61)
Vulnerabilidad se refiere a una debilidad existente en un sistema informático

permitiéndole a un atacante violar la confidencialidad, integridad, disponibilidad, sistema
o de sus datos y aplicaciones, de igual manera Las vulnerabilidades son el resultado de
bugs, que son un defecto en un software o en un hardware que no han sido descubiertos
por los creadores o diseñadores de los mismos
Amenazas
En sistemas de información se entiende por amenaza la presencia y uno o más factores

de diversa índole (personas, máquinas o sucesos) que –de tener la oportunidad- atacarían
al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad. Hay
diferentes tipos de amenazas de las que hay que proteger al sistema, desde las físicas
como cortes eléctricos, fallos del hardware o riesgos ambientales hasta os errores
intencionados o no de los usuarios, la entrada de software malicioso (virus, troyanos,
gusanos) o el robo, destrucción o modificación de la información. (Aguilera López, 2010,
pág. 13)
10
El daño causado por una amenaza puede ser temporal o permanente y se puede acosaría
con una escala de severidad como otros fenómenos. Por ejemplo, los terremotos son de
diferente gravedad según su escala o un virus puede causar diferentes daños según sus
acciones. (Areitio, 2008)
Las amenazas son posibles acciones que tiende a causar un daño a los dispositivos o
sistemas informáticos en donde se encuentra almacenada la información, atentando contra
su confidencialidad, integridad y disponibilidad y pueden ser a nivel físico como por
causas humanas.
Riesgos
El riesgo se define como la posibilidad de que no se obtengan los resultados deseados. En

informática, las empresas nunca desean sufrir un ataque externo o interno a sus sistemas
de información, pero los ataques siempre suceden de manera que esa posibilidad o
probabilidad se materializa. La empresa siempre está amenazada de sufrir algún daño en
su sistema informático, daño que puede provocar pérdidas de muchos tipos y las
amenazas son mayores cuando los sistemas de información presentan ciertos puntos
débiles llamados ¨vulnerabilidades¨ (Baca Urbina , 2016, pág. 23)
Se define al riesgo como la posibilidad de que una amenaza se produzca, dando, así como
resultado un ataque en el recurso informático. ya sea proveniente desde un factor interno
o externo y que podría generar perdidas a la empresa.
Seguridad de la información
La seguridad de la información se interesa por la protección de la información

almacenada, tratada o transmitida electrónicamente frente a cualquier amenaza voluntaria
o accidental.
La integridad es garantía contra la alteración de información; la accesibilidad asegura que

cada elemento de información y cada funcionalidad del sistema puedan ser utilizados por
los usuarios autorizados y, la confidencialidad impide el conocimiento de la información
a quienes no estén autorizados. Este aspecto es el corazón de la política de seguridad de
un sistema de información y requiere una previa delimitación de los ámbitos a proteger,
una clasificación de la información. (Molina, 2003, pág. 12)
11
La seguridad de la información es la disciplina se encarga de garantizar la integridad,
disponibilidad y confidencialidad de la información y se apoya de la seguridad de la
informática para lograr su objetivo mediante técnicas de protección.
Integridad
La función de integridad se encarga de garantizar que un mensaje o fichero no ha sido

modificado desde su creación o durante su transmisión a través de una red informática.
De este modo, es posible detectar si se ha añadido o eliminado algún dato en un mensaje
o fichero almacenado, procesado o transmitido por un sistema o red informática. (Gómez
Vieites, 2011, pág. 43)
La integridad es uno de los aspectos más importantes en la seguridad de la información,

ya que garantiza que la información sólo puede ser modificada por quien está autorizado
y de manera controlada evitando así accesos y cambios no deseados en la misma.
Confidencialidad
Es el servicio de seguridad o condición que asegura que la información no pueda estar

disponible o ser descubierta por o para personas, entidades o procesos no autorizado. La
confidencialidad a veces denominada secreto o privacidad se refiere a la capacidad del
sistema para evitar que personas no autorizadas puedan acceder a la información
almacenada en él.
Alguno de los mecanismos utilizados para salvaguardar la confidencialidad de los datos

es, por ejemplo, el uso de técnicas de control de acceso mediante políticas de seguridad a
los sistemas o el cifrado del a información confidencial (Sánchez & Chalmeta, 2003)
Es muy importante la confidencialidad de la información ya que de esta manera una

organización se puede asegurar que únicamente los datos transmitiros únicamente estarán
disponibles para aquellas personas que tengan acceso autorizado a ella.
Disponibilidad
La disponibilidad del sistema informático también es una cuestión de especial

importancia para garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un
sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar
12
su correcto funcionamiento, de manera que pueda estar permanentemente a disposición
de los usuarios que deseen acceder a sus servicios. (Gómez Vieites, 2011, pág. 44)
Es fundamental en la seguridad de la información y se entiende como la capacidad de

garantizar que tanto el sistema como los datos van a estar disponibles al usuario
autorizado en todo momento evitando así pausas en los procedimientos de la
organización.
Seguridad Activa
Se entiende por seguridad activa todas aquellas medidas que se utilizan para detectar las
amenazas, en caso de su detección generar los mecanismos adecuados para prevenir
ataques en un sistema informático, por esta razón se deber tomar en cuenta contraseñas
complejas, analizar equipos informáticos en buscar malware, encriptar información y
varios mecanismos más para lograrlo. (Garcia & Ramos, 2011, pág. 3)
La seguridad activa es fundamental ya que su objetivo es evitar los riesgos existentes que
puedan amenazar a los sistemas de información
Seguridad Pasiva
La seguridad pasiva tiene como objetivo comprender todo el conjunto de medidas

utilizadas para que una vez que se produzca el ataque o el fallo en la seguridad de nuestro
sistema, hacer que el impacto sea el menor posible, y activar mecanismos de recuperación
del mismo. (Garcia & Ramos, 2011, pág. 5)
Es fundamental para las organizaciones mantener un estricto procedimiento después que

exista un incidente de seguridad, y es necesario tomar todas las medidas que se tengan
establecidas con el fin de lograr que el impacto del incidente sea lo menor posible para
que la empresa se recupere sin muchos inconvenientes.
Seguridad Física y Lógica
Las principales amenazas de un sistema informático son los desastres naturales, incendios
accidentales, tormentas, temperaturas extremas, terremotos e inundaciones que conllevan
consecuencias catastróficas; asimismo, se presentan amenazas ocasionadas por el hombre
como pueden ser disturbios, sabotajes internos o externos en forma deliberada, etc. La
seguridad física previene cada una de las anteriores. (Oliva, 2013, pág. 111)
13
“Llamaremos seguridad física a la que tiene que ver con la protección de los elementos
físicos de la empresa u organización, como el hardware y el lugar donde se realizan las
actividades edificio o habitaciones. Seguridad lógica es toda aquella relacionada con la
protección del software y de los sistemas operativos, que en definitiva es la protección
directa de los datos y de la información”. (Aguilera López, 2010, pág. 30)
La seguridad lógica se encarga desde la seguridad de uso del software, a la protección de

los datos y programas, así como un control de acceso de los usuarios a la información.
Entre los elementos que nos ayudan a mantener la seguridad lógica tenemos los Antivirus.
Un antivirus es el programa que se encarga de analizar el contenido de los ficheros y en
caso de detectar un malware en su interior proceder a su desinfección. (Junta Andalucia,
2012)
La seguridad física en un sistema informática es la aplicación de barreras físicas y

procedimientos antes amenazas del mismo tipo a nivel de hardware y pueden existir
riesgos como desastres naturales, sobretensiones o causado por el hombre, la seguridad
lógica consiste en aplicar barreras ante amenazas que se relacionen a los datos e
información contenida en los sistemas informáticos.
Políticas de Seguridad.
Las Políticas de Seguridad Informática surgen como una herramienta organizacional para
concientizar a cada uno de los miembros de una organización sobre la importancia y
sensibilidad de la información y servicios críticos. Estas permiten a las compañías,
desarrollarse y mantenerse en su sector de negocios, siendo entonces las políticas de
seguridad informática una forma de comunicarse con el personal al ser un canal que
permite actuar, con respecto a los servicios y recursos informáticos dentro de la empresa.
De este modo se establecen procedimientos y reglas que pueden regular la forma en que
una organización protege, implementa y previene los diferentes daños que se presentan.
(Goyeneche, 2015)
La política de seguridad define la protección de los sistemas de información de la

empresa. Comprende un conjunto de bases para definir una estrategia, directrices,
procedimientos, códigos de conducta y normas organizativas y técnicas. Implica la
implementación de una seguridad adecuada a los usos, económicamente viable y
conforme a la legislación.
14
El objetivo central de la seguridad informática es el de proteger o salvaguardar la
continuidad del patrimonio informativo de la empresa. Es por ello por lo que la política
de seguridad implementada debe inspirarse en necesidades reales que se han definido a
partir de las evaluaciones de los activos, amenazas y vulnerabilidades. (Francois
CARPANTIER, 2016, pág. 54)
Se puede definir a las políticas de seguridad informática como los controles que a través
de la administración y entrenamiento inmediato pueden prevenir distantitas amenazas que
pueden presentarse en los sistemas o recursos informáticos mediante normas y directrices
establecidas.
Importancia de las Políticas de Seguridad
Es de vital importancia el uso las políticas de seguridad para que la información no se

pierda, no se altere, esté segura y disponible cuando se lo requiera, para el normal
desenvolvimiento de las actividades que se realizan una organización, Con el diseño de
las políticas de seguridad para el área de TIC’s. se puede garantizar el funcionamiento
correcto y normal de la organización ante cualquier tipo problemas, dando así una mayor
credibilidad y confianza a todos los clientes. (Marcillo & Vallejo, 2005, pág. 23)
Es importante hacer que en el diseño de la política de seguridad participe la gente

adecuada. Un aspecto importante de la política de seguridad es asegurar que todos
conozcan su propia responsabilidad para mantenerla, es entendible que este conjunto de
normas llamadas políticas se anticipen a todas las amenazas que existen, sin embargo,
esta no puede asegurar que para cada tipo de proceso haya alguien que lo pueda manejar
de manera consciente y responsable. (Agudelo, 2014)
Las políticas de seguridad informática constituyen una gran importancia en una

organización ya con estas estamos estableciendo normas y directrices para la correcta
gestión y uso de los activos informáticos y de igual muy importante para así evitar
pérdidas a futuro que afecten a la empresa.
Aspectos físicos y lógicos de las políticas de seguridad.
En cuanto a los aspectos lógicos se debe tomar en cuenta todas las normas y
procedimientos fundamentales como políticas de uso, acceso, protección de virus,
seguridad de contraseñas etc.
15
Cualquier política de seguridad debe tener en cuenta una serie de procedimientos
relacionados con la seguridad física, tanto en el aspecto de control de acceso físico a
equipos, como en el de tener planes de contingencia y emergencia, así como de
recuperación frente a desastres. (Diaz Orueta & Castro Gil, 2014, pág. 118)
Las políticas de seguridad deberán cubrir tanto el aspecto físico como lógico ya que
suelen existir empresas que únicamente se preocupan por uno de ambos ya sea físico o
lógico, estando más expuestos a desastres naturales o cualquier otra amenaza, es por eso
que ambos aspectos deben ser tomados en cuenta.
Normas generales de las políticas de seguridad
Según (Diaz Orueta & Castro Gil, 2014) una buena política de seguridad debe cumplir
una seria de normas generales, de sentido común:
 Debe poderse implantar: Como consecuencia de ella, se deben tener unas normas
de comportamiento para los usuarios y administradores, unas políticas de uso
aceptables
 Debe entenderse: Debería de explicarse a todo el personal de la organización el
alcalde de no cumplirla, así como el significado técnico y legal de una serie de
conceptos.
 Debe cumplirse. Debe contemplar una seria de procedimientos de auditoria, para
comprobar que se está cumpliendo y debe especificar sanciones ante posibles
infracciones.
 Debe definirse responsabilidades: Debe diferenciarse entre el rol de un usuario
con el de un administrativo en el sentido de distintas responsabilidades.
 Debe ser exhaustiva: Debe tener en cuenta todos los componentes del sistema, es
decir debe incluir como objetivos asegurar Componentes físicos, sistemas de
información, organizaciones humanas, colaboradores externos etc.
 Debe incluir mecanismo de actualización: Tiene que estar en constante cambio y
hay que poder hacer una nueva versión de la misma e implementarla.
Plan de Contingencia
Un plan de contingencia es un instrumento de gestión que contiene medidas ya sean

tecnológicas humanas y de organización que garanticen la continuidad del negocio y
contiene medidas preventivas y de recuperación para recuperarlo ante desastres el
16
personal no solamente debe estar informado del plan de contingencia sino preparado para
actuar ante un peligro o un desastre Ejemplo: incendios, terremotos, ataques informáticos
etc. (Aguilera López, 2010, pág. 23)
Un plan de contingencia informático puede incluir hasta de tres subplanes independientes
 Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evitar
que se produzcan un daño.
 Plan de emergencia. Contempla qué medidas tomar cuando se materializa una
amenaza o cuando acaba de producirse.
 Plan de recuperación. Indica las medidas que se aplicaran cuando se ocurrió un
desastre. El objetivo es evaluar el impacto y regresar lo antes posible a un estado
normal de funcionamiento del sistema y de la organización.
Toda organización estar expuesta a riesgos de todo tipo por más seguro que sean sus
sistemas de prevención, es por eso que con un plan de contingencia informático que
comprende una seria de pasos a seguir en el caso de un desastre se disminuye el impacto
y se recupera de una eventualidad causada por cualquier tipo de inconveniente.
ISO / IEC
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollopor

ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de
la información utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.
Norma ISO 27001:2013
Según (Heredero, 2011, pág. 360) para la adecuada gestión de la seguridad de la

información, es necesario implantar un sistema que aborde esta tarea de forma metódica,
documentado y basada en objetivos claros de seguridad y una evaluación de los riesgos a
los que estas sometida la información de la organización.
La 27000 es realmente una serie de estándares, donde las normas principales son la
ISO/IEC 27001 y la ISO/IEC 27002.
17
ISO/IEC 27001:2013 es una norma de carácter internacional que tiene como objetivo
garantizar que los controles que existen para salvaguardar la información de las partes
interesadas sean adecuados para proteger la confidencialidad, integridad y disponibilidad
de la información. Estos controles deben tener en cuenta la información de clientes,
empleados, socios, y las necesidades de la sociedad en general. (Lloyd's Register, 2015,
pág. 1)
La norma ISO/IEC 27001 puede ser fundamental para el buen funcionamiento de una
organización ya que permite orientar, coordinar, implicar los procesos informáticos de
una manera correcta, esta norma se ha convertido una de las principales a mundial para la
seguridad de la información en las organizaciones.
Objetivo de la norma ISO 27001:2013
Como principales objetivos de la norma ISO/IEC 27001:2013 se tiene: establecimiento

de una metodología de gestión de la seguridad clara y estructurada, Reducción del riesgo
de pérdida, robo o corrupción de información, Los clientes tienen acceso a la información
a través medidas de seguridad. Los riesgos y sus controles son continuamente revisados,
Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
Los objetivos de la normativa se pueden lograr: asegurando que la política de seguridad

de la información y los objetivos de seguridad de la información son establecidos y
compatibles con la dirección estratégica de la organización; asegurando la integración de
los requisitos del sistema de gestión de seguridad de la información en los procesos dela
organización; asegurando que los recursos necesarios para el sistema de gestión de
seguridad de la información estén disponibles; comunicando la importancia de una
efectiva gestión de seguridad de la información y en conformidad con los requisitos del
sistema de gestión de seguridad. (Frayssinet, 2015, pág. 38)
Todos los objetivos de la ISO/IEC 27001 están alineados bajo el mismo concepto, aunque
la norma no solo significa seguridad de la información para la empresa también es
evidente que evita que se generen gastos grandes por incidentes causadas por fallos en la
seguridad por lo que es una gran inversión seguir la presente normativa.
18
Beneficio de la norma ISO 27001:2013
En el ámbito de la propia organización, ya que se establece un importante compromiso

con la seguridad de la información. Existen diferentes registros y medidas de control que
facilitan que la seguridad de la información se encuentre garantizada en la empresa y que
todos los esfuerzos realizados puedan demostrarse, En el cumplimiento legal de las
exigencias, se manifiesta la conformidad de la organización en el cumplimiento de los
requisitos legales que se le aplique la legislación de la región en la que se encuentra
ubicada la organización y la actividad que realice, En el aspecto comercial, se genera
credibilidad y confianza entre todos los clientes de la organización. Se debe tener presente
que nos encontramos en una sociedad en la que falta confianza de los clientes afecta a
nuestras ventas de la misma forma que la calidad y la funcionalidad de los productos, por
lo que se debe cuidar los dos aspectos. (Excellence, 2015)
El beneficio es establecimiento de una metodología de gestión de la seguridad de la

información clara y bien estructurada, permitiendo así la reducción de los riegos de
pérdida, robo o corrupción de la información, los usuarios tienen acceso a la información
de manera segura, los riesgos deben ser controlados constantemente, para evitar mal
proceso en el almacenamiento de la información.
Estructura del estándar ISO 27001: 2013
Esta norma ISO 27001 contiene 11 dominios de control de seguridad de la información,

y un total de 112 controles.
Dominios de la ISO 27001:2013
Los objetivos contemplados en la norma ISO 27001 algunos de los dominios de la

información a valuar se muestran de forma resumida a continuación:
 El dominio de la Política de Seguridad para facilitar a las organizaciones,

conforme a los requisitos legales e institucionales, la gestión de la seguridad en
la información.
 El dominio en la Organización de la Seguridad de la Información a través de
un marco relacionado que ayuda a la misma a implantar y controlar la seguridad
de la información en la entidad.
19
 El dominio en la Gestión de Activos para la seguridad de los mismos en la
entidad.
 El dominio de la Seguridad física para la salvaguarda de la información y las
instalaciones de la entidad a través por ejemplo de controles de llegada.
 El dominio de la Gestión de las comunicaciones y operaciones mediante la
creación de una serie de procedimientos que garanticen la seguridad de la
información.
 El dominio en la consecución, desarrollo y sostenimiento de los sistemas de
información.
 El dominio en la Gestión de accidentes en la seguridad de la información
mediante la mejora constante y progresiva de la gestión de seguridad.
 El dominio en el Cumplimiento de los requisitos legales aplicables.
Estos controles tienen como objetivo salvaguardia de la información de una organización

impidiendo que esta se pierda, proporcionando la certeza a las mismas de la continuidad
de los servicios prestados en situaciones de riesgos.”
Plan Informático.
Un plan informático es un proceso, expresado en un documento escrito y conocido por

todos los usuarios de la unidad (Subgerencia, Subdirección, Departamento Unidad) de
Informática, el cual empieza con el desarrollo de objetivos, define estrategias y políticas
para alcanzar tales objetivos, desarrolla planes detallados para asegurar que las estrategias
se sigan con el fin de que tales objetivos se realicen e términos de productos y resultados
concretos medibles por la unidad de Informática, por los usuarios y por el nivel Director
de la empresa y/u organización, en parámetros no técnicos y exentos de ambigüedad.
Un plan informático formal debe contemplar un horizonte que alcanza un período variable
entre 3 y 5 años dependiendo del tamaño de la organización. No obstante, el mismo debe
ser revisado por lo menos en períodos anuales, y reformulado cada vez que se modifiquen
en forma sustancial los objetivos y metas planteadas por el nivel Directivo de la
organización. (Niemann, 2013, pág. 1)
La protección de los sistemas informáticos, es cada vez más compleja y requiere de un

proceso continuo de análisis frente a nuevos riesgos o a la ineficacia de las medidas de
protección tradicionales frente a nuevas variantes de los riesgos habituales o más comunes
20
es por eso que un plan informático define las estrategias necesarias para alcanzar tales
objetivos.
1.3 Actualidad de la temática en el contexto nacional e internacional
La seguridad informática se debe considerar como un tema importante para las entidades
por lo que no debe aislarse de los demás procesos que se manejan en ella, debido a que la
información está expuesta a diferentes amenazas y vulnerabilidades. Es un conjunto de
elementos físicos y lógicos dedicados a imposibilitar el acceso a un sistema informático
a todo aquel que no se encuentra autorizado, brindando protección a la infraestructura
tecnológica. Para lograr la seguridad en los sistemas se debe implementar un conjunto de
controles en software, hardware, políticas de control y acceso.
Hoy en día todo sistemas informático está conectado en una red interna o a internet con
la finalidad de compartir recursos entre otros ordenadores o sistema de cómputo, por lo
cual los riesgos de amenazas de ataques pueden aumentar, estas amenazas pueden
producirse tanto desde el exterior como del interior este es una de las razones más
importantes para implementar un esquema de seguridad ya que cualquier ataque al estar
conectado en red puede comprometer a todo un conjunto de sistema informático.
(Salvatierra, 2016)
Según un estudio del Banco Interamericano de Desarrollo (BID) y de la Organización de

los Estados Americanos (OEA), cuatro de cada cinco países latinoamericanos incluido
Ecuador carecen de una estrategia de seguridad de la información y ciberseguridad.
Frente a una situación de riesgo existen aspectos clave que se deben tener en cuenta sobre
la seguridad de la información. En primer lugar, la confidencialidad, que previene la
divulgación de información a personas no autorizadas o a sistemas de información; otro
principio es la integridad, que asegura que la información no sea modificada; en tanto, la
disponibilidad se refiere a que el servicio de acceso a la información no será interrumpido;
el último principio es el registro que permite que se cree evidencia física de las acciones
y eventos que se realizan en un medio informático. (Doctor Tecno, 2018)
Estadísticas de Kaspersky Lab revelaron que los usuarios en América Latina han recibido
un total de 677.216.773 ataques de malware durante los primeros ocho meses del año
(1ero de enero a 31 de agosto). Esta cifra es sumamente mayor a los 398 millones que se
registraron durante el mismo periodo en 2016, lo que representa un aumento del 59%.
21
Para ponerlo en contexto, esto significa que cada hora, los usuarios en Latinoamérica son
sujetos a 117,572 ataques de malware, o 33 ataques por segundo.
Según el estudio, los usuarios en Brasil, México y Colombia han registrado el mayor
número de ataques de malware en lo que va del 2017. Además, Brasil fue reconocido
como el país, por cápita de cibernautas, más peligroso de Latinoamérica en cuanto a
amenazas en línea donde los ataques en la red afectaron al 30% de los usuarios. Este es
seguido por Honduras (23.5%), Panamá (22.6%), Guatemala (21.6%) y Chile (20.6%).
Brasil también encabeza a los países latinoamericanos en términos de alojamiento de
sitios maliciosos – el 84% de hosts ubicados en América Latina que se utilizaron en
ataques a usuarios de todo el mundo está ubicado en este país.
Según el estudio, la gran mayoría de estos ataques se dieron fuera de línea, es decir, fueron
detectados y bloqueados en el disco duro de los usuarios. La infección se pudo haber dado
a través de memorias USB, redes de trabajo u otros medios. Sin embargo, si hablamos
de los ataques con el uso del Internet, la mayoría de estos ataques se realizó vía Web
(85%), mientras que el 15% se realizó vía Email. El correo electrónico se destaca en los
círculos cibercriminales para divulgar troyanos bancarios. Además, en el Top 20 de
ataques se distingue la presencia de la familia de los troyanos Trojan.PDF. Phish, la cual
se propaga vía documentos PDF diseñados a resemblar a los originales y donde a la
víctima se le notifica sobre supuestas multas o beneficios. (Kaspersky, 2017)
Gracias a los estudios e investigaciones realizadas por empresas como Kaspersky se

puede conocer que los riesgos informáticos se encuentran en constante crecimiento por
lo que no se ha logrado solventar el problema de la seguridad informática en las
organizaciones a nivel mundial.
22
CAPÍTULO II
2 DISEÑO METODOLÓGICO Y DIAGNOSTICO
2.1 PARADIGMA Y TIPO DE INVESTIGACIÓN
2.1.1 Paradigma Asumido
La metodología aplicada en el presente trabajo de investigación se caracteriza por contar

con dos tendencias, La Modalidad cualitativa debido a que esta específicamente basada
en principios teóricos y la información será recopilada mediante encuestas y cuestionarios
que se realizaran a los funcionarios de la empresa Consulting Group y la Modalidad
Cuantitativa, porque se verá reflejada en los resultados obtenidos.
2.1.2 Modalidad y tipo de investigación
Investigación Bibliográfica
Consiste en la recopilación de información existente en libros, revistas e internet, este

tipo de investigación permitió la elaboración de antecedentes de la investigación referido
especialmente seguridad en los procesos informáticos, inseguridades y más, el mismo que
fundamenta científicamente la propuesta de solución.
Investigación de campo
Este tipo de investigación es un método cualitativo de recopilación de datos y por este

motivo se lo utilizó para diagnosticar y comprobar la problemática existente, la presente
fue llevada a cabo en el lugar mismo donde se tuvieron las manifestaciones del problema,
es decir en la Empresa Consulting Group Se utilizaron entrevistas y encuestas como
herramientas de investigación que permitieron la recopilación de información para su
posterior análisis.
2.2 Procedimiento para la búsqueda y procesamiento de los datos
2.2.1 Población y Muestra Población
Población
23
Constituirán parte de la población un total de siete (7) personas en la presente
investigación quienes se encuentran conformados de la siguiente manera:
Tabla 1 Población de la empresa Consulting Group Santo Domingo.
FUNCIÓN POBLACIÓN
Dirección 1
Secretaría 3
Tesorería 1
Dep. Pedagógico 2
Total: 7
Fuente: Consulting Group Santo Domingo (2018).
Muestra
En el presente trabajo de investigación no se considera a los clientes de la empresa ya
que tareas llevadas a cabo por parte de los mismos son ajenas al uso de los equipos
informáticos de la institución.
Debido a que el total de población no es mayor a 100 se debe realizar las encuestas sin
tomar en cuenta ninguna fórmula las mismas que serán realizadas a los empleados de la
empresa Consulting Group.
2.2.2 Plan de Recolección de la información
Métodos, Técnicas e Instrumentos
Métodos de investigación
Método Inductivo-Deductivo
Este método comienza con lo particular a lo general del problema y viceversa y es

aplicado en el presente trabajo con la finalidad de pasar del fundamente teórico a lo
práctico y así entender de mejor manera el funcionamiento de producción que se realiza
de acuerdo con los procesos de la problemática.
Método Hipotético-Deductivo
Este método será usado para plantear una posible solución en el presente trabajo de
investigación con el objetivo de partir de aspectos generales hasta llegar a situaciones
particulares.
Método Analítico – Sintético
24
En el presente trabajo de investigación se utilizará este método para poder comprobar la
problemática con la información obtenida y descomponiéndola en sus partes con cada
uno de los elementos para lograr tener una orientación más clara al momento de
desarrollar el plan informático para la empresa Consulting Group.
Técnicas de Investigación
Técnica de la Encuesta
Esta técnica se la utilizará como un estudio observacional con la finalidad de requerir
información a un grupo socialmente significativo de personas acerca del problema en
estudio para luego, mediante un análisis de tipo cualitativo, sacar las conclusiones que se
corresponda con los datos.
Técnica de la Entrevista
La entrevista se utilizará para obtener información con el fin de indagar y contrastar los
datos obtenidos, la misma que se realizará al jefe del área tecnológica en la empresa
Consulting Group.
Instrumentos de investigación
Cuestionario
Con el uso del cuestionario que consiste en un conjunto de preguntas se busca recolectar
la información necesaria para comprender con mayor detalle el problema planteado.
Guía de entrevista
Con este instrumento se logró recoger información mediante dialogo directo la guía para
el presente trabajo de investigación consiste en una guía semiestructurada porque
consisten en preguntas donde le entrevistador tiene opción de incluir preguntas
adicionales para obtener conceptos con mayor información.
2.3 Planes de procesamiento y análisis de la información
En el presente capitulo se analizará la información obtenida de la investigación realizada

en la empresa Consulting Group. La relección de la información es de fuentes primarias
ya que se utilizará como técnica una entrevista al jefe de TIC’s y encuestas al personal
administrativo.
25
Las encuestas serán llevadas a cabo mediante la modalidad del cuestionario cuyos
resultados se recogerán y serán cuantificados y así obtener conclusiones que sustenten la
investigación.
La entrevista a través de la guía de entrevista se valorará mediante un análisis técnico de

las preguntas debido a que son preguntas abiertas.
2.4 Resultados del diagnóstico de la situación actual
Una vez finalizada las entrevistas a los colaboradores como: jefe de TIC’s, Personal
Administrativo se consiguió los siguientes resultados e interpretaciones que se detallaran
a continuación para informar el criterio de cada uno poder llegar a una conclusión más
acertada.
Caracterización del sector
Empresa ejecutora Consulting Group Santo Domingo
Beneficiarios
Gerencia General
Departamento de TIC’s
Ubicación
Provincia: Sucursal Santo Domingo de los Tsáchilas

Ciudad: Santo Domingo
Parroquia: Bombolí
Calle: Dir: Pedro Vicente Maldonado y Chone
Matriz Santo Domingo
Actualmente la empresa consta con 26 sucursales a nivel nacional solventar la amplia

cartera de clientes que la misma lleva desde hace años atrás la persona a cargo es el Ing.
Roberto Zurita como Gerente general.
Historia
Consulting Group Ecuador es una empresa especializada en temas de salud, consta de tres
líneas de acción, la primera es la capacitación y educación continua en salud a nivel
internacional, con un nivel académico sólido y de excelencia.
26
Misión
Desarrollar programas por Competencias Laborales, de manera integral, competitivos y

fortalecidos con personal capacitado, comprometido en la creación de un ambiente de
enseñanza y aprendizaje eficiente, incentivando la responsabilidad, honestidad, principios
éticos y la formación de mejores seres humanos, como respuesta a las necesidades
productivas y al desarrollo social de Ecuador.
Visión
Para el año 2020 ser una institución modelo a nivel Nacional e Internacional, capacitando
recurso humano competente en conocimientos y habilidades prácticas, progresista, con
sólida moral, tendencias investigativas y calidad humana.
2.4.1 Análisis e interpretación de resultados
Encuestas realizadas al personal administrativo de Consulting Group
Pregunta 1
¿En la empresa existen políticas para la mitigación de riesgos informáticos?
Tabla 2 pregunta sobre políticas de mitigación de riesgos
PARÁMETROS CANTIDAD PORCENTAJE

SI 2 14%
NO 5 86%
TOTAL 7 100%
Fuente: Investigación Consulting Group

27
Mitigacion de riesgos
14%
86%
SI NO
Figura 2 Políticas y riesgos informáticos

Fuente: Autor de la investigación
Interpretación de resultados:
Según los resultados obtenidos se puede observar que la mayoría del personal afirma que
no existen políticas de mitigación de riesgos informáticos esto significa que no tienen
conocimiento sobre la no existencia de las políticas
Pregunta 2
¿Tiene usted conocimiento sobre las prevenciones que hay que tomar para evitar acceso
de hackers u otro tipo de amenaza que puedan acceder a su equipo de cómputo?
Tabla 3 prevención ante amenazas informáticas

SI 0 14%
NO 7 86%
TOTAL 7 100%
Prevención ante amenazas
14%
86%
SI NO
Figura 3 Medidas a tomar en caso de acceso no autorizado

Fuente: Investigación de campo realizada por el autor
28
Como resultado la mayoría de encuestados dieron a conocer que no tienen conocimiento

que hacer para evitar el acceso de hackers a los equipos de cómputo que tienen asignados
para sus funciones esto se considera un gran riesgo para la información de la empresa.
Pregunta 3
¿Se controla el uso de dispositivos de almacenamiento externo (¿USB, Disco duros, CD?
Tabla 4 Uso de dispositivos extraíbles
RESPUESTA CANTIDAD PORCENTAJE

SI 5 29%
NO 2 71%
TOTAL 7 100%
Uso de dispositivos extraibles
29%
71%
SI NO
Figura 4 Uso de dispositivos de almacenamiento extraíbles

Interpretación de resultados
En los resultados obtenidos se puede observar que la mayoría de encuestados que significa
el 76% afirman que no se controla el uso de dispositivos de almacenamiento extraíbles y
el 29% afirman que sí.
Pregunta 4
29
¿Existe algún tipo manual de procedimiento a seguir en el caso de ocurrencia de algún
problema con su equipo informático o recurso tecnológico que usted utilice para laborar?
Tabla 5 Existencia de manual de procedimientos

SI 0 0%
NO 7 100%
TOTAL 7 100%
Existencia de manual de procedimientos
0%
100%
SI NO
Figura 5 Existencia de manual de procedimientos

Todos los encuestados han dado a conocer que no existen manuales donde puedan seguir
un procedimiento ante una eventualidad con los equipos informáticos.
Pregunta 5
¿Existe documentación que garantice la integridad de la información asignada a usted?
Tabla 6 Integridad de la información

SI 0 0%
NO 7 100%
TOTAL 7 100%
30
Integridad de la información
0%
100%
SI NO
Figura 6 Políticas de Mitigación de riesgos

En los resultados obtenidos claramente se puede observar que 100% de los empleados
afirman que no existen manuales y políticas de mitigación de riesgos.
Pregunta 6
¿Tiene usted conocimiento sobre qué medidas tomar en el caso de que existe una
emergencia ocasionada por un fenómeno natural?
Tabla 7 Medidas a tomar en caso de fenómeno natural

SI 3 43%
NO 4 57%
TOTAL 7 100%
Medidas a tomar en caso de fenómeno natural
43%
57%
SI NO
Figura 7 Medidas a tomar en caso de fenómeno

31
El 57% de los encuestados consideran que no tienen conocimiento sobre qué medidas
tomar en el caso de un de un fenómeno natural y un 43% afirman que si conocen que
hacer ante una emergencia de este tipo.
Pregunta 7
¿Se le da con frecuencia el respectivo mantenimiento a los equipos informáticos?
Tabla 8 Mantenimiento a equipos informáticos

SI 3 43%
NO 4 57%
TOTAL 7 100%
Mantenimiento a equipos informáticos
43%
57%
SI NO
Figura 8 Mantenimiento a equipos informáticos

La mayoría de encuestado con 57% aseguran que no se les da con tanta frecuencia el
mantenimiento respectivo a los equipos informáticos de la empresa y un 43% afirman que
sí.
Pregunta 8
32
¿Cree usted que un plan informático mejoraría la seguridad de la información y recursos
tecnológicos de la empresa?
Tabla 9 Plan informático para mejorar seguridad de información

SI 7 100%
NO 0 0%
TOTAL 7 100%
Plan informático para mejorar seguridad de

información
SI NO
Figura 9 Plan informático mejorara seguridad de información

Según los resultados obtenidos de los encuestados al 100% aseguran que un plan
informático mejoraría la seguridad de la información y recursos tecnológicos en la
empresa.
33
Entrevista Realizada al Jefe de Tecnologías de la Información la empresa
Consulting Group
Pregunta 1. ¿Con que importancia Consulting Group toma a la seguridad

informática?
Con un alto grado de importancia a que cuida los intereses corporativos y significa mucho
para lograr los objetivos planteados la empresa.
Pregunta 2. ¿Se realiza mantenimiento de los equipos informáticos periódicamente?
Si, se lo realiza cada 3 meses.
Pregunta 3. ¿Actualmente la empresa cuenta con políticas y manuales de seguridad

para los procesos informáticos?
No se cuenta con un amplio manual de procesos ni políticas se conoce los procedimientos,

pero no detalladamente y solo cubren hasta ciertos puntos vitales en la empresa
Pregunta 4. ¿Los equipos informáticos que son utilizados por el personal

administrativo de la empresa, están en constante actualización o mantenimiento?
En su mayoría Si
Pregunta 5. Qué opinaría sobre una mejora en la seguridad de la información de la

empresa mediante un plan informático
Sería una gran implementación ya que la empresa necesita seguir operando sin
interrupciones y sería de gran ayuda para nuestra seguridad de la información.
Análisis de la entrevista
34
Luego de haber realizado la entrevista al jefe de Tecnologías de la información de
Consulting Group se comprobó que podrían existir vulnerabilidades que puedan
perjudicar a la misma, pero a la vez se comprobó que existe interés por parte del
entrevistado para la implementación del plan informático ya que existen procesos aislados
que mientras no estén consolidados no podrán constituirse en apoyo frecuente a las
actividades diarias para beneficio de la empresa evitando así perdidas a futuro a nivel
físico y lógico.
2.3.2 Resumen de las principales insuficiencias detectadas con la aplicación de los

métodos.
Durante el desarrollo del trabajo de investigación se mantuvo contacto con el personal

administrativo jefe de TIC’s, con el fin de aplicar los métodos, técnicas e instrumentos
descritos anteriormente con el fin de conseguir la información necesaria para el desarrollo
del plan informático.
Con la aplicación de la investigación bibliográfica y de campo se pudieron constatar los

problemas existentes en la organización, ya que con la primera se enfocó en buscar
información en fuentes como libros, revistas, artículos de internet, etc. Y con la
investigación de campo se pudo verificar los problemas en el lugar y tiempo que suceden,
aplicando herramientas como La encuestas y la entrevista para recopilar la información
de mejor manera y analizarla para el desarrollo del Plan informático.
Una vez aplicada la encuesta al personal administrativo de Consulting Group al realizar

la tabulación y análisis de los datos obtenidos se pudieron detectar la problemática en la
empresa que es la falta de seguridad en los procesos informáticos y de los recursos
tecnológicos de la misma, de igual manera al realizar la entrevista al jefe de TIC’s se pudo
evidenciar que la seguridad informática representa una gran importancia para la empresa
y tienen algunas ineficiencias en el desarrollo de los procedimientos que involucren los
recursos tecnológicos, por lo que pueden significar riesgos si no se los resuelve mediante
una gestión adecuada, esta ineficiencia refuerza la necesidad del desarrollo del plan
informático para dar solución a la problemática.
35
CAPÍTULO III
3 PROPUESTA DE SOLUCIÓN AL PROBLEMA
3.1 ESTRUCTURA DE LA PROPUESTA
3.1.1 Nombre de la propuesta
Plan informático 2018-2022 basado en la norma ISO/IEC 27001-2013 para mejorar la

seguridad de la información y recursos tecnológicos en la empresa “Consulting Group”
Santo Domingo
3.1.2 Objetivos
3.1.2.1 Objetivo General
Desarrollar un Plan informático 2018-2022 basado en la norma ISO/IEC 27001-2013 para

mejorar la seguridad de la información y recursos tecnológicos en la empresa “Consulting
Group” Santo Domingo.
3.1.2.2 Objetivos Específicos
 Elaborar el plan informático orientado al cumplimiento de normas, políticas,

procedimientos, análisis para la mejorar la seguridad de la información y de los
recursos tecnológicos para crear una cultura de seguridad informática en la
empresa Consulting Group.
 Comprender y adquirir un conocimiento integral de los componentes y las
operaciones de un plan informático basado en la norma ISO/IEC 27001-2013 así
como las normas que se aplicaran para su desarrollo.
36
 Mediante políticas y normas realizar una propuesta en la cual se logre mejorar la
seguridad de la información y recursos tecnológicos en la empresa Consulting
Group, para su posterior aplicación y reflejar resultados positivos.
3.1.3 Elementos que la conforman
 Análisis de la situación actual

 Diseño de los procedimientos
 Manual de políticas de seguridad informática
 Manual de procedimientos
 Plan de contingencia informático
 Cronograma de tiempo estimado de implementación
Duración Estimada:
Fecha de Inicio: 2018
Fecha de Finalización: 2022
3.1.4 Explicación de cómo la propuesta contribuye a solucionar las insuficiencias

identificadas en el diagnostico
En la actualidad toda empresa que requiera ser competitiva debe contar con sistemas,
recursos y plataformas de TIC’s agiles y con alto nivel de disponibilidad, lo que existe
una gestión efectiva y un amplio proceso de transformación digital, dicho proceso es por
el cual las compañías están inmersas y por el cual la mayoría están expuestas a riesgos
como ataques contra la seguridad informática de desde cualquier parte del mundo.
El desarrollo de la propuesta plantea como solución el desarrollo de un plan informático

el cual permitirá mejorar la seguridad de la información y los recursos tecnológicos de la
empresa mediante medidas de seguridad que permitirán el acceso seguro y el control de
los activos garantizando así la integridad, disponibilidad y confidencialidad de los
mismos.
37
3.2 APLICACIÓN PRÁCTICA PARCIAL O TOTAL DE LA PROPUESTA
3.2.1 Aplicación práctica de la propuesta y comprobación de los resultados

demostrados
La realización de esta propuesta está orientada al desarrollo de un Plan informático para

mejorar la seguridad de la información, y recursos tecnológicos basados en la norma
ISO/IEC 27001:2013.
Luego de realizar un análisis de riesgo de la información en las áreas dependientes del
departamento de TIC’s, donde se encuentran funcionando un sistema de información,
bienes informáticos cuyos riesgos no son iguales es preciso establecer las prioridades en
las tareas a realizar para minimizar los riesgos. El departamento de TIC’s de la Empresa
debe asumir el riesgo residual, es decir el nivel restante de riesgo después de su
tratamiento.
El aporte de este trabajo de investigación está considerado en los siguientes puntos de la
propuesta:
Fases a aplicar relacionadas a la Norma ISO/IEC 27001
Fases I. Situación Actual
Objetivo General:
Planear, diseñar y recomendar la implementación de un Sistema de Gestión de Seguridad
de la Información (SGSI) enfocado a los procesos de las áreas de: División informática,
control interno, administración servicios al personal, seguridad lógica y de recursos
tecnológicos en Consulting Group.
Objetivos Específicos:
 Identificar el estado actual de los procesos existentes en el área de TI
 Establecer controles para minimizar los riesgos significativos y de alto impacto
para el negocio, como el robo o fuga de información, accesos no autorizados, mal
cualquier otro daño que afecte la divulgación indebida de la información
confidencial, la alteración o modificación de la misma, y en general la continuidad
de las operaciones.
 Establecer la brecha de seguridad entre los procesos y el SGSI bajo la norma
ISO27001:2013.
 Establecer claramente al interior de la compañía los roles y responsabilidades en
términos de seguridad de la Información.
38
 Desarrollar y mantener una cultura en seguridad de la Información orientada a la
identificación y análisis de riesgos, a través de la sensibilización a los funcionarios
Teniendo como base está definición de la norma ISO 27001:2013, este trabajo estará
enfocado en analizar todos los controles y requerimientos de seguridad Los hallazgos
descritos, son resultados del análisis de las medidas de seguridad y la normativa que tiene
la organización en relación a la seguridad de la información.
Esta verificación se centró en la revisión de los diferentes controles de las áreas del
alcance.
Fase II Gestión Documental
Gestión Documental
Se describirá la política de seguridad de la información de la organización: Para la
Organización la seguridad de la información de los sistemas que se gestionan y/o operan
es de vital importancia y se protegerá de cualquier pérdida en su confidencialidad,
integridad y disponibilidad.
Se han definido las políticas institucionales y una serie de políticas específicas de
seguridad de la información, las cuales hacen parte del plan de seguridad informática.
Se describían los procesos a realizar a medida de lograr una mayor organización en el
manejo de los mismos.
Fase III
Se analizan los activos vinculados a la información Y se agrupan por ámbitos
(instalaciones, Hardware, Aplicaciones)
Identificados lo activos se realiza la valoración, dicha valoración mide la criticidad de las
Integridad, Disponibilidad y Confidencialidad. Se utiliza una escala de valores siguiendo
los criterios de daño muy grave, grave, importante, menor, irrelevante.
Se analizan las amenazas que pueden afectar los activos. Se crea una tabla de
identificación de amenazas teniendo en cuenta: Amenazas, Fuente (humana, Natural,
Entorno), Agente generador, Causa y Efecto.
Se definen tablas de impacto a nivel de operación, financiero, e información de ocurrencia
de las amenazas
De igual forma Se establecen las medidas de protección, salvaguardas o contramedidas
que se deben implementar para cada uno de los activos en función del impacto que
representa la materialización de una amenaza.
39
Plan de seguridad Basado en la norma ISO 27001:2013.
La propuesta está orientada al desarrollo de un plan para la seguridad de la información
que favorece el mejoramiento de la integridad confidencialidad y disponibilidad, basada
en la norma ISO/IEC 27001 utilizando los controles necesarios para hacerla posible.
Las directrices de esta norma son muchas entre ellas:
 Asegurar la continuidad de las actividades operativas de la empresa
 Minimizar los daños en caso de incidentes
 Concienciar al personal mediante documentos de seguridad
Alcance del Plan informático
El plan informático abarca el departamento de tecnologías de la información y los

departamentos del área administrativa de la empresa Consulting Group.
Límites del Plan de seguridad.

El plan Informático no establecerá políticas o normas de seguridad para el sistema de
información que tenga la empresa ya que el mismo ya cuenta con sus propias normas
mediante manuales de operación
Análisis de la situación actual.

El desarrollo de la investigación dio como resultado fallos en los procedimientos,
carencias en las políticas de seguridad y normativas de control aplicables en los procesos
informáticos que engloba al control de la información generada por la empresa.
En la empresa Consutling Group se pudieron encontrar las siguientes falencias:
 La empresa no cuenta con políticas de seguridad para garantizar la integridad de

los datos que se manejan dentro de la misma, esto puede significar que la
información se pueda ver comprometida por personas ajenas a la empresa.
 No cuenta con un plan de contingencia a nivel informático para la seguridad física
de la empresa por lo que existe un alto riesgo de que los equipos sufran daño por
algún tipo de desastre natural.
 No existe un manual de procedimientos en el cual facilite a realizar los procesos
dentro de la empresa esto genera dificultad a la hora de realizar tareas.
 Actualmente la empresa no cuenta con una planificación que ayude a dar
mantenimiento correctivo y preventivo a los equipos informáticos esto podría
40
significar que se dañen o se pierda información de los equipos informáticos por
daño debido a la falta de mantenimiento.
 El personal no está capacitado ni se cuentan con las herramientas necesarias para
realizar respaldos de información que ayuden a mantener los datos de la empresa
seguros en el caso de que existan daños físicos o lógicos
 La seguridad lógica no es efectiva y no se cuentan con los programas necesarios
ni las licencias para el uso de software como antivirus, antispyware y otros
programas que evitan que intrusos puedan ingresar a la red de la empresa
comprometiendo la integridad de la información
Análisis de resultados
Una vez realizada el análisis de la situación actual de la empresa Consulting Group, se
establece la aplicación de la entrevista y encuestas al personal de la empresa para obtener
un análisis más exacto de la seguridad informática que posee, los resultados se encuentran
en el segundo capítulo del presente proyecto, y fueron de gran ayuda ya que se valoraron
los riesgos, amenazas y vulnerabilidades existentes en la empresa.
Procesos y diseño de los procesos

Es el desarrollo y cumplimiento de cada uno de los procesos necesarios para la correcta
funcionalidad y eficacia de la Empresa Consulting Group o según la norma ISO
27001:2013.
A continuación, se detallará el uso de cada uno de los controles que se utilizaron para el
desarrollo del presenta plan informático:
Políticas de seguridad
Las políticas de seguridad son un conjunto de normas y reglamentos establecidas para
todos los funcionarios de las áreas administrativas existentes dentro de la empresa
Consulting Group para conseguir un adecuado nivel de protección de las características
de seguridad y calidad de la información.
Con la colaboración del departamento de Tecnologías de Información se compromete a

liderar y fomentar a todos los empleados de la empresa Vidriería Lolita la seguridad de
acuerdo a las políticas de seguridad y los objetivos que en la misma se define y apruebe,
y cree un sistema de gestión para la seguridad de la información que se articule de forma
que cumpla los requisitos legales o reglamentarios, gestión en la protección y distribución
de los activos de la empresa. Ver Anexo 4 Políticas de Seguridad
41
Para el desarrollo de las políticas de Seguridad para la empresa se encuentran clasificados
en las siguientes partes.
Seguridad Constitucional
Se debe asegurar la integridad, confidencialidad y disponibilidad de la información y los

recursos asociados a esta, razón por la cual se debe administrar adecuadamente la
seguridad de la información de la Empresa y establecer un marco gerencial para iniciar y
controlar su implementación y establecer las funciones y responsabilidades, regirá a todo
el ambiente de tecnología de la información y funcionarios administrativos de la Empresa.
Seguridad física
Consulting Group velera por la efectividad en los mecanismos de seguridad física y

controles de acceso que aseguren el perímetro de su instalación, Así mismo el control de
las amenazas físicas internas y externas.
Administración de operaciones en los centros de cómputo
El Departamento de Tecnologías de la información, asignara funciones específicas a sus

funcionarios, quienes deberán efectuar la operación y administración de dichos recursos
tecnológicos, manteniendo y actualizando la documentación de los procesos operativos
para la ejecución de las actividades.
Acceso lógico
Proteger la información de la Empresa, normando el acceso a través de los sistemas

informáticos, considerando: perfiles, permisos, cuentas, contraseñas y protectores de
pantalla. Esta política cubre toda la información que se encuentra almacenada y
gestionada en activos tecnológicos. Su cumplimiento es de carácter obligatorio para
quienes necesitan hacer uso de la misma.
Cumplimiento de seguridad informática
La Empresa velara por la identificación, documentación y cumplimiento de la legislación

relacionada con la seguridad de la información, entre ella la referente a derechos de autor
42
y propiedad intelectual, se aplica a todos los sistemas informáticos, normas,
procedimientos, documentación, así como a personal de la Empresa para que cumpla con
los requerimientos legales y de licenciamiento aplicables.
Manual de procedimientos informáticos
El manual de procedimientos informáticos contiene la definición de los procedimientos a

atender y efectuar las tareas y requerimientos más comunes y frecuentas que desarrolla el
departamento de tecnologías, producto especialmente de solicitudes presentadas por los
diferentes funcionarios de la empresa
Previamente se realizó un análisis a la empresa que permitió gestionar la seguridad de la

información de la misma, se asignaron roles, y compromisos que deben cumplir cada uno
de los funcionarios, mediante esquemas y flujogramas detallando procesos a seguir, con
el fin de proteger la seguridad de la información y optimizar tareas para evitar posibles
falencias en el servicio institucional y perdida de información. Ver Anexo 5 Manual de
Procedimientos
Se encuentra clasificado en diferentes procesos, algunos detallados a continuación:
Proceso para configuración de nueva cuenta de usuario
Este procedimiento tiene como objetivo normar la creación de nuevas cuentas de usuario
para proteger la información contenida en los sistemas informáticos
Proceso de creación de correo institucional
Este procedimiento tiene el propósito de otorgar el uso de un correo institucional para las
funciones asignadas a un funcionario en la empresa
Proceso de Mantenimiento
Este procedimiento tiene como propósito realizar las tareas de mantenimiento correctivo
o preventivo a los equipos de cómputo de la empresa de acuerdo a lo que el técnico de
TIC’s crea necesario.
Proceso de soporte técnico
43
Este procedimiento tiene el propósito de realizar procesos de soporte técnico hacia algún
usuario que tenga algún inconveniente o inquietud en el uso de un equipo informático
para evitar interrupciones en su labor.
Proceso Copia de seguridad
Este procedimiento tiene el propósito de realiza los procesos relacionados a la gestión y

generación de copias de seguridad (backup) para garantizar la recuperación de
información ante posibles perdidas
Plan de Contingencia Informático

En la empresa Consulting Group, es necesario proteger la información ante la posible
pérdida, destrucción o el sabotaje de la misma, es por eso que se establece implementar
un Plan de Contingencia informático.
El plan informático provee una solución para garantizar la continuidad de las operaciones
de los diferentes departamentos de la Empresa, ya que determinar acciones preventivas,
reduciendo el grado de vulnerabilidad y exposición al riesgo de las diferentes áreas de la
institución.
Es necesario, por tanto, prever como actuar y que recursos son necesarios ante una
situación de contingencia con el objeto de que su impacto en las actividades sea lo menor
posible y poder restablecer las operaciones con rapidez.
En la propuesta del presente documento se establece la elaboración de un plan de

contingencia informático como parte de la solución para mejorar la seguridad de la
información, está basado en la realidad que manifiesta la Empresa Consulting Group. Ver
Anexo 6 Plan de Contingencia Informático
Durante el desarrollo del presente plan se ha tomado en cuenta los posibles riesgos dentro
de la institución, tomando en cuenta también la eficacia y calidad de servicios que brinda
la institución a los funcionarios, personal administrativo y usuarios que conforman la
Empresa, ya que estos fueron los actores principales para la obtención de la información
que ayudara para la correcta realización de un plan de contingencia según las necesidades
de la Empresa.
 Proveer una solución para garantizar la continuidad de las operaciones de los
44
diferentes departamentos de la Empresa.
 Evitar pérdidas financieras significativas debido a la interrupción prolongada de
los servicios de computación que causan la desconfianza de clientes llevando al
fracaso de la institución.
 Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y
exposición al riesgo de las diferentes áreas de la empresa.
 Tomar decisiones rápidas ante anormalidades o fallas para poder reestablecer los
servicios en el menor tiempo posible o evitar las mismas.
 Generar cultura y garantizar la seguridad física y lógica de la organización en todo
el personal para de esa manera poder asegurar la estabilidad de la Empresa.
La metodología empleada es el resultado de la experiencia práctica de la Empresa

Consulting Group en la implementación de planes de contingencia, mitigación de riesgos
y seguridad, lo cual garantiza que el documento final sea necesariamente objetivo y
práctico, a fin de contar con una herramienta efectiva en caso de una contingencia real.
La presente metodología se podría resumir en seis fases de la siguiente manera:
 Planificación
 Identificación y priorización de riesgos
 Definición de eventos susceptible de contingencia
 Elaboración del Plan de Contingencia
 Definición y Ejecución del Plan de Pruebas
 Implementación del Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias de permitan realizar:

análisis de riegos, de prevención, de emergencia, de respaldo y recuperación para
enfrentar algún desastre, por lo que se debe tomar como guía para la definición de los
procedimientos de seguridad de la información que cada departamento de la empresa debe
definir.
Cumplimiento
Se debe realizar un seguimiento de cada uno de los puntos mencionados anteriormente, ya que
debe definirse y documentarse todos los controles específicos que se realicen y también deben
45
tener en cuenta las responsabilidades que hayan sido asignadas para realizar los controles
oportunos que aseguren que se cumplen todos los requisitos de seguridad.
Mejora
Luego de la implementación del Plan de seguridad Informática para el departamento de

tecnologías de la Información se realiza un seguimiento informático basado en los objetivos,
controles, implementados de la Norma ISO 27001, donde se constata que el Plan de Seguridad
satisface las metas planteadas obteniendo una mejora significativa en la integridad,
confidencialidad y disponibilidad de la información.
Es por esta razón que se usó el Ciclo PDCA con ISO/IEC 27001:2013, para realizar las acciones
necesarias
Figura 10 Ciclo PDCA en ISO 27001:2013
Fuente: Gestión de la seguridad de la información. Fases del ciclo de vida de PDCA.
Planificar (Plan)
En esta etapa se planifica los cambios y lo que se pretende alcanzar. Es el momento de

establecer una estrategia en el papel, de valorar los pasos a seguir y de planificar lo que
se debe utilizar para conseguir los fines que se estipulan en este punto.
Hacer (Do)
Implica la realización de todo lo planificado en la fase anterior, durante esta se

desarrollaron los controles que integran la declaración de aplicabilidad, se procede a
46
seguir los pasos indicados en el mismo orden y proporción en el que se encuentran
indicados en la fase de planificación.
Verificar (Check)
En este paso se debe verificar que se ha actuado de acuerdo a lo planeado, así como que
los efectos del plan son los correctos y se corresponden a lo que inicialmente se diseñó.
Actuar (Act)
El objetico de esta fase es mejorar todos los incumplimientos detectados en la fase de

verificación. Adoptar acciones correctivas y preventivas basadas en revisiones internas
con el objetivo de mejorar el SGSI. También suelen aparecer recomendaciones y
observaciones que suelen servir para volver al paso inicial de Planificar.
El desarrollo de la propuesta ayudara a promover la calidad de los servicios que ofrece el

departamento de TIC’s a todas las áreas administrativas de la Empresa Consulting Group
Santo Domingo.
Al implementa Plan para la mejorar de la seguridad de la Información basado en la Norma

ISO 27001:2013 sus beneficios son:
 Garantizar la confidencialidad, integridad y disponibilidad de información

sensible que la Empresa genera diariamente.
 Reducir la incertidumbre por el conocimiento de los riesgos e impactos
asociados en cada uno de los procesos que se realizan para la seguridad de
la información de la Empresa.
 Mejorar continuamente la gestión de la seguridad de la información.
 Garantizar la continuidad de negocio de manera rápida y eficiente
mediante un plan de contingencia.
 Incremento de la Confianza de los usuarios de la Empresa.
 Reducir los costos asociados a los incidentes
 Mejorar la implicación y participación de los funcionarios en la gestión de
la seguridad de la información.
 Mejora en los procesos y servicios prestados que el Departamento de
TIC’s brinda a todas las áreas administrativas de la Empresa.
47
A continuación, se presentará el cronograma de actividades el cual detalla el trabajo
realizado a través de las etapas definidas por el presente proyecto y sugiere los tiempos
en los cuales se podrá acceder a la implementación de las políticas de seguridad
informática, manuales de procedimientos y plan de contingencia informático tal como se
detalla a continuación.
48
Figura 11 Cronograma de actividades
Fuente: Albán W. (2018). Empresa Consulting Group Santo Domingo
49
CONCLUSIONES
 El desarrollo del plan informático, se realizó bajo las necesidades de la empresa,

por lo que nos permitió ayudar a mejorar la seguridad de los procesos realizados
mediante los correctos controles y con la asignación de roles específicos a quienes
correspondan para proteger el activo más importante que es la información ante
posibles eventualidades.
 Las políticas de seguridad elaboradas establecen un gran avance en cuanto a
gestión de la seguridad de la información ya que realiza una reducción de riesgos
y vulnerabilidades que existen en la empresa.
 Mediante la norma ISO 27001:2013 se logró desarrollar la estructura que nos
permitió llegar a la solución para la continuidad de los procesos en la empresa
Consulting Group.
 El plan informático se concentra en mejorar la seguridad de la información y
recursos tecnológicos de la empresa, por lo que ayuda a optimizar la
confidencialidad, integridad y disponibilidad de la información y recursos de la
misma.
 La tecnología cambia cada día, es por esta razón que Consulting Group debe estar
constantemente actualizada, en temas referentes a las tecnologías de la
información y aplicando procedimientos y manuales para la estandarización de
procesos.
50
RECOMENDACIONES
 Es necesario que exista un gran interés por parte de la gerencia sobre la seguridad
de la información para así coordinar las operaciones necesarias con el
departamento de tecnologías con el fin lograr eliminar posibles riesgos que
afecten a la información y procesos de la empresa.
 Se recomiendo al departamento de tecnologías de la información realizar informes
frecuentes a los directivos de la institución constatando el progreso en la mejora
de la seguridad de la información y recursos tecnológicos, para que continúen
apoyando las iniciativas que ayuden a optimizar la calidad de los diferentes
servicios ofrecidos por la empresa.
 Realizar pruebas semestrales o cuando se lo considere necesario sobre las
amenazas o ataques a los sistemas informáticos, mediante la aplicación de técnicas
y métodos correspondientes para eliminarlas.
 Se recomienda la capacitación constante al personal administrativo de la empresa
para conocer la importancia de aplicar las políticas de seguridad informática y
cuáles son sus consecuencias de su incumplimiento.
 La norma ISO 27001 establece que se deben realizar evaluaciones periódicas al
plan de seguridad informática para conocer si existen necesidades que puedan ser
incrementadas para logras las metas planteadas por la empresa.
51
BILIOGRAFÍA
Agudelo, D. F. (2014). Informática, El riesgo y la falta de Politicas de Seguridad.

Bogota.
Aguilera López, P. (2010). Seguridad Informatica. Madrid: Editex.
Alfonso García , C., & Alegre Ramos, M. (2003). Seguridad Informática.
Andres Alejandro Guevara. (2017). Santo Domingo.
Areitio, J. (2008). Seguridad de la información Redes, informatica y sistemas de

información. Madrid.
Baca Urbina , G. (2016). Introduccion a la seguridad informatica. Ciudad de Mexico:

Grupo Editorial Patria.
Diaz Orueta, G., & Castro Gil, M. (2014). Procesos y herramientas para la seguridad
de redes. Madrid: UNED. UNIVERSIDAD NACIONAL DE EDUCACION A
DISTANCIA.
Diego, S. (2003). La seguridad a traves de los años. Madrid.
Doctor Tecno. (18 de Mayo de 2018). El universo. Obtenido de

https://www.eluniverso.com/tendencias/2018/05/08/nota/6749997/seguridad-
tecnologia-informacion-es-clave-negocio-exitoso
Francois CARPANTIER, J. (2016). La seguridad informática en la PYME. Malaga:

Ediciones ENI.
Frayssinet, M. (2015). Taller de transición de la norma ISO/IEC 27001:2013. Obtenido

de http://www.gobiernodigital.gob.pe/docs/Tallerv01%206.pdf
Garcia , A., & Ramos, M. (2011). Seguridad Informartica. Madrid: Paraninfo.
Gómez Vieites. (2011). Enciclopedia de la seguridad informatica. Madrid: RA-MA

Editorial.
Goyeneche, A. D. (2015). Política de Seguridad Informática como herramienta.

Bogota.
Heredero, C. d. (2011). Organización y transformación de los sistemas de información
en la empresa. Madrid: ESIC.
ISO Tools. (24 de Marzo de 2014). Pmg-SSI. Obtenido de https://www.pmg-

ssi.com/2014/03/iso-27001-los-dominios-de-la-informacion/
Junta Andalucia. (2012). Junta de Andalucia. Obtenido de

http://www.juntadeandalucia.es/institutodeadministracionpublica/publico/anexos
/empleo/c2.1000/TEMA%2011
Kaspersky. (11 de Septiembre de 2017). Obtenido de

https://latam.kaspersky.com/about/press-releases/2017_33-attacks-per-second-
increase-in-malware-attacks-in-latin-america
Lara. (2006). Vulnerabilidades en ausencia de seguridad.
Lloyd's Register. (2015). LRQA. Obtenido de http://www.lrqa.es/certificaciones/iso-

iec27001/
Marcillo, C., & Vallejo, P. (2005). Diseño de politicas de seguridad . Sangolqui.
Molina, J. M. (2003). La seguridad de la Información y las Comunicaciones . Madrid.
Niemann, K. (2013). Conceptos básicos sobre un Plan Informático. Valparaiso.
Oliva, M. d. (2013). Seguridad Física,Prevención y Detección. Celerinet, 111.
Olivares, J. (2015). Seguridad Informatica Hackig Etico.
Salvatierra, P. (23 de Noviembre de 2016). Eumed. Obtenido de

http://www.eumed.net/rev/caribe/2016/11/seguridad.html
Sánchez, J. S., & Chalmeta, R. (2003). Ingeniería de proyectos Informáticos:

Actividades y Procedimientos.
Sánchez, R. (2003). Seguridad de La Informacion. Cartagena.
Santos, J. C. (2011). Seguridad y Alta Disponbilidad. Madrid: Edicion Ra-Ma.
Serrano, J. O. (2015). Seguridad Informatica Hacking Etico. Madrid: Ediciones Eni.

ANEXOS
Anexo 1 Perfil del Proyecto de investigación
UNIANDES
CARRERA DE SISTEMAS
PERFIL DE PROYECTO DE INVESTIGACIÓN PREVIO A LA

OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS E
INFORMÁTICA.
TEMA:
PLAN INFORMÁTICO 2018-2022 BASADO EN LA NORMA ISO/IEC 27001-

2013 PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN Y
RECURSOS TECNOLÓGICOS EN LA EMPRESA “CONSULTING GROUP”
SANTO DOMINGO
AUTOR: ALBAN REYNA WILSON ALEJANDRO
TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, Mgs.
SANTO DOMINGO – ECUADOR
2018
Antecedentes de la investigación
Actualmente la informática es parte fundamental de todas las empresas ya sean públicas

o sean del sector privado y por lo tanto es de gran necesidad contar con un departamento
destinado al proveer de todos los servicios tecnológicos de la empresa, también es
importante que se cuente con una infraestructura que cumpla con todos los estándares y
normas establecidas, así mismo una planificación para que sirva como apoyo para que los
sistemas y todo el apartado tecnológico mantenga la integridad necesaria y funcione
acorde a las necesidades de la organización.
En una investigación precedente de la tesis de La ingeniera Dayana Rodríguez Chávez

(2015). Plan informático 2016 - 2020 basado en las normas ITIL para mejorar la seguridad
de la información, infraestructura y recursos tecnológicos en el sindicato de choferes
profesionales de Santo Domingo, Afirma que:
La seguridad informática se va convirtiendo en una necesidad cada vez más latente en las
instituciones que disponen de un gran apoyo tecnológico. Es sabido que la tecnología
optimiza los procesos y acelera los servicios, pero así también ha dado origen al
aparecimiento de nuevas formas de delito, generalmente por intrusión indebida con la
finalidad de obtener información o desvíos financieros en forma electrónica.}
Así también la información pasa por la integridad, la disponibilidad, la confidencialidad

y la auditoria como pilares básicos para la seguridad de los sistemas informáticos. Para
las empresas dicha seguridad es muy importante, por eso en el mercado existen diferentes
soluciones para un mantenimiento informático que asegure la preparación de los sistemas
ante posibles eventualidades que puedan afectar al crecimiento de una empresa. Una de
las soluciones que encontramos es un sistema de gestión de seguridad de la información.
Este sistema incluye diferentes temas como políticas de seguridad en sistemas
informáticos, el aseguramiento de los recursos empresariales o la planificación de la
seguridad, y se compone de tres procesos diferenciados: la planificación, la
implementación y la verificación y actualización
Con la información recopilada se concluye que la seguridad de la información y recursos

tecnológicos se constituye en un aspecto importante en las empresas y dentro de ellas la
seguridad informática garantiza la privacidad de la información y la continuad de los
servicios que ofrece la empresa
Situación problemica
En el Ecuador actualmente las empresas se enfrentan cada vez más con riesgos e
inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma
importante sus sistemas de información y pueden poner en peligro la continuidad del
negocio.
Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos
asociados y establezcan las estrategias y controles adecuados que aseguren una
permanente protección y salvaguarda de la información.
En la ciudad de Santo Domingo de los colorados con el paso de los años las empresas ya
sean públicas o privadas han ido incrementando el uso de tecnologías de la información
y automatizando sus procesos debido a la facilidad que existe al realizar las mismas con
el uso de la tecnología, aunque esto conlleva un gran problema debido a que existen
grandes riesgos a nivel físico como lógico que pueden producir pérdidas importantes para
la empresa.
La empresa Consulting Group es muy reconocida en la ciudad debido a su gran

inventario de clientes que maneja, y la gran cantidad de procesos que se realizan en la
misma y actualmente no se cuenta con una planificación que ayude a controlar o agilizar
los mismos, La organización en los procesos no es suficiente para mantener una fluidez
que permita que las funciones que se desarrollen sean eficientes.
En la empresa Consulting Group pueden encontrase varios problemas
 La empresa no cuenta con políticas de seguridad para garantizar la

integridad de los datos que se manejan dentro de la misma, esto puede
significar que la información se pueda ver comprometida por personas
ajenas a la empresa.
 No cuenta con un plan de contingencia a nivel informático para la seguridad

física de la empresa por lo que existe un alto riesgo de que los equipos sufran
daño por algún tipo de desastre natural.
 No existe un manual de procedimientos en el cual facilite a realizar los

procesos dentro de la empresa esto genera dificultad a la hora de realizar
tareas.
 Actualmente la empresa no cuenta con una planificación que ayude a dar
mantenimiento correctivo y preventivo a los equipos informáticos esto
podría significar que se dañen o se pierda información de los equipos
informáticos por daño debido a la falta de mantenimiento.
 El personal no está capacitado ni se cuentan con las herramientas necesarias

para realizar respaldos de información que ayuden a mantener los datos de
la empresa seguros en el caso de que existan daños físicos o lógicos
 La seguridad lógica no es efectiva y no se cuentan con los programas

necesarios ni las licencias para el uso de software como antivirus,
antispyware y otros programas que evitan que intrusos puedan ingresar a la
red de la empresa comprometiendo la integridad de la información.
Por los motivos puntualizados anteriormente se puede concluir que la empresa Consulting
Group carece de una planificación para llevar un buen control en su seguridad y que está
expuesta constantemente a múltiples riesgos que perjudicarían operacionalmente a la
misma.
Problema Científico
¿Cómo mejorar la seguridad de la información y recursos tecnológicos en la empresa

Consulting Group de Santo Domingo?
Objeto de investigación y campo de acción
Objeto de investigación
 Seguridad de la información
Campo de acción
 Seguridad de la información y Recursos tecnológicos
Identificación de la línea de investigación
Línea de las tecnologías de la información y comunicación
Objetivo general
 Desarrollar un plan informático 2018-2022 basado en la norma ISO/IEC
27001-2013 para mejorar la seguridad de la información y recursos
tecnológicos en la empresa “Consulting Group” Santo Domingo
Objetivos específicos
 Fundamentar científicamente la teoría referente a normas ISO/IEC 27001-

2013, seguridad física y lógica, políticas de seguridad, plan de contingencia,
seguridad de la información, gestión de la seguridad informática, Normas y
Estándares Internacionales para tener un sustento bibliográfico en la
elaboración del plan informático
 Realizar investigación de campo para conocer las deficiencias de la

seguridad de la información, procesos, y recursos tecnológicos en la
organización.
 Elaborar el plan informático orientado al cumplimiento de normas,

políticas, procedimientos, análisis para la mejora de los recursos
tecnológicos para crear una cultura de seguridad informática en la empresa
“Consulting Group”
Ideal a defender
Con la implementación de un plan informático 2018-2022 basado en la norma ISO/IEC

27001-2013 mejorará la seguridad de la información y recursos tecnológicos en la
empresa “Consulting Group” Santo Domingo
 Variable Independiente: Plan Informático 2018-2022 Basado en las normas

ISO/IEC 27001/2013
 Variable Dependiente: Seguridad de la información y recursos tecnológicos
Metodología a Emplear
La presente investigación se sustenta en la aplicación de diferentes métodos con un

enfoque cuali-cuantitativo con tendencia cualitativa.
El análisis Cuali-Cuantitativo representa un conjunto de procesos sistemáticos, empíricos

y críticos de investigación e implementar la recolección y análisis de datos cuantitativos
y cualitativos, así como su integración y discusión conjunta, información recabada y
lograr un mayor entendimiento del fenómeno.
Se utilizó el enfoque cuantitativo en la recolección, análisis e interpretación de resultados

mediante la medición numérica, conteo y el uso de estadísticas para establecer con
exactitud los patrones de comportamiento en la población a investigar.
Tipos de Investigación
Investigación de campo
Se utilizó la investigación de campo para diagnosticar los problemas a nivel de seguridad

de la información y como se están llevando a cargo los actuales procesos en Consulting
Group de Santo Domingo
Investigación bibliográfica
Este tipo de investigación se basa en recopilar información existente en libros, revistas,

internet entre otros medios de información y estos permitirán que la investigación para el
plan información que mejorara la seguridad de la información y los recursos tecnológicos
en Consulting Group este fundamentada científicamente
Métodos, técnicas e instrumentos
Métodos de Investigación
Método Analítico – Sintético
Consiste en descomponer un objeto de estudio separando cada una de sus partes del todo
para estudiarlas en forma individual, luego se integran los objetos dispersos del objeto de
estudio para estudiarlos en su totalidad. Este método se aplicó para la elaboración de la
fundamentación científica que sustentará la solución del problema.
Método Inductivo - Deductivo
Este método está basado en la lógica y relacionamiento con el estudio de hechos

particulares. (BERNAL, 2006)
Es decir, el método inductivo es aquel método científico que alcanza conclusiones

generales partiendo de hipótesis o antecedentes en particular, en el desarrollo del presente
proyecto de investigación se lo utilizó en la observación, registro y acciones de los
hechos; además en la deducción de los problemas que presenta la empresa, los mismos
que se formularán a partir de la idea a defender.
Técnicas e Instrumentos de Investigación
Uno de los aspectos más importantes en la investigación son las técnicas e instrumentos
a utilizar entre se encuentran los siguientes
Encuestas - Cuestionario
Esta técnica se usa en grandes cantidades de poblaciones lo que servirá para interrogación
verbal o escrita que se les realiza a las personas con el fin de obtener determinada
información necesaria para una investigación.
Este instrumento de investigación se utilizará ya que es necesario recopilar información

relevante que ayude a fundamentar de mejor manera sobre los recursos tecnológicos y la
seguridad de la información en la empresa
Entrevista – Guía de Entrevista
La entrevista, es una técnica que, entre muchas otras, viene a satisfacer los requerimientos
de interacción personal.
Esquema del Contenidos
 Seguridad informática
- Definición de seguridad
- Definición de informática
- Definición de seguridad informática
- Objetivos de la Seguridad Informática
 Principios de la Seguridad Informática
- Integridad
- Confidencialidad
- Disponibilidad
 Seguridad de la Información
- Seguridad Activa
- Seguridad Pasiva
 Vulnerabilidades
 Amenazas o Fuentes
- Tipos de amenazas
 Riesgos o Tipos de Riesgos
 Seguridad Física
 Seguridad Lógica
 Seguridad en Redes
 Políticas de seguridad
 Plan de Contingencia
- Contenido del plan de contingencia
- Etapas del plan de contingencia
 Que es un servicio
 Enfoque de Procesos
 La calidad o Administración por procesos
 Normas y/o estándares internacionales ISO
- Propósito de los estándares
 ISO/IEC 27001
 Plan Informático
- Plan de Seguridad Informático

Aporte Teórico
La presente investigación tiene como objetivo generar una cultura de seguridad

informática en Consulting Group de Santo Domingo de los Colorados con el desarrollo
de un plan informático basado en la norma ISO/IEC 27001/2013 con el fin de mejorar la
seguridad de la información, y recursos tecnológicos para así, evaluar el impacto que
causa el manejo de las tecnológicas dentro de la empresa y familiarizar a los usuarios al
buen uso de las tecnológicas para también evitar amenazas ya sean físicas y lógicas.
Significación Práctica
La presente investigación sobre un Plan Informático 2018 - 2022 basado en las normas
ISO/IEC 27001, podrá ser aplicado en la empresa Consulting Group para llevar a cabo
una mejor administración de los procesos y controles implementados, políticas de
seguridad planes de contingencia etc. Y sería de gran apoyo a los encargados del área de
TIC’s quienes podrán determinar nuevas estrategias para conocer los riesgos y evitar que
no afecten o lleguen a perjudicar de alguna manera la continuidad de la institución
Novedad Científica
Como novedad se puede definir el desarrollo de un plan informático 2018-2022 basado

en las normas ISO/IEC 27001-2013 para mejorar la seguridad de la información, y
recursos tecnológicos el cual es una novedad debido a que por medio de este se puede
ayudar a la implementación de normas de control interno y el presente trabajo de
investigación se convierte en una guía para que la empresa evalué su nivel de fortaleza y
hasta qué punto mantienen un control de sus procesos y de su seguridad tanto física como
lógica.
BIBLIOGRAFÍA
Agudelo, D. F. (2014). Informática, El riesgo y la falta de Politicas de Seguridad.

Bogota.
Aguilera López, P. (2010). Seguridad Informatica.
Alfonso García , C., & Alegre Ramos, M. (2003). Seguridad Informática.
Andres Alejandro Guevara. (2017). Santo Domingo.
Areitio, J. (2008). Seguridad de la información Redes, informatica y sistemas de

información. Madrid.
Baca Urbina , G. (2016). Introduccion a la seguridad informatica .
Diaz Orueta, G., & Castro Gil, M. (2014). Procesos y herramientas para la seguridad
de redes.
Diego, S. (2003). La seguridad a traves de los años. Madrid.
Doctor Tecno. (18 de Mayo de 2018). El universo. Obtenido de

https://www.eluniverso.com/tendencias/2018/05/08/nota/6749997/seguridad-
tecnologia-informacion-es-clave-negocio-exitoso
Francois CARPANTIER, J. (2016). La seguridad informática en la PYME.
Frayssinet, M. (2015). Taller de transición de la norma ISO/IEC 27001:2013. Obtenido

de http://www.gobiernodigital.gob.pe/docs/Tallerv01%206.pdf
Garcia , A., & Ramos, M. (2011). Seguridad Informartica.
Gómez Vieites. (2011). Enciclopedia de la seguridad informatica. RA-MA.
Goyeneche, A. D. (2015). Política de Seguridad Informática como herramienta.

Bogota.
Heredero, C. d. (2011). Organización y transformación de los sistemas de información

en la empresa. Madrid: ESIC.
ISO Tools. (24 de Marzo de 2014). Pmg-SSI. Obtenido de https://www.pmg-

ssi.com/2014/03/iso-27001-los-dominios-de-la-informacion/
Junta Andalucia. (2012). Junta de Andalucia. Obtenido de
http://www.juntadeandalucia.es/institutodeadministracionpublica/publico/anexos
/empleo/c2.1000/TEMA%2011
Kaspersky. (11 de Septiembre de 2017). Obtenido de

https://latam.kaspersky.com/about/press-releases/2017_33-attacks-per-second-
increase-in-malware-attacks-in-latin-america
Lara. (2006). Vulnerabilidades en ausencia de seguridad.
Lloyd's Register. (2015). LRQA. Obtenido de http://www.lrqa.es/certificaciones/iso-

iec27001/
Marcillo, C., & Vallejo, P. (2005). Diseño de politicas de seguridad. Sangolqui.
Molina, J. M. (2003). La seguridad de la Información y las Comunicaciones . Madrid.
Niemann, K. (2013). Conceptos básicos sobre un Plan Informático. Valparaiso.
Oliva, M. d. (2013). Seguridad Física,Prevención y Detección. Celerinet, 111.
Olivares, J. (2015). Seguridad Informatica Hackig Etico.
Ramos, M. d. (2011). Seguridad Informatica .
Salvatierra, P. (23 de Noviembre de 2016). Eumed. Obtenido de

http://www.eumed.net/rev/caribe/2016/11/seguridad.html
Sánchez, J. S., & Chalmeta, R. (2003). Ingeniería de proyectos Informáticos:

Actividades y Procedimientos.
Sánchez, R. (2003). Seguridad de La Informacion . MADRID.
Santos, J. C. (2011). Seguridad y Alta Disponbilidad. Madrid: Edicion Ra-Ma.
Serrano, J. O. (2015). Seguridad Informatica Hacking Etico.

Anexo 2 Formato de Entrevista aplicada en el trabajo de investigación
“UNIANDES”
CARRERA DE SISTEMAS
Entrevista realizada al jefe del departamento de TIC’s de la empresa Consulting

Group santo domingo.
Objetivo
Conocer las necesidades, usos y beneficios de la elaboración las necesidades, usos y

beneficios de la elaboración de un plan informático 2018-2022 basado en la norma
ISO/IEC 27001-2013 para mejorar la seguridad de la información y recursos tecnológicos
en la empresa “Consulting Group” Santo Domingo
Pregunta 1. ¿Con que importancia Consulting Group toma a la seguridad

informática?
______________________________________________________________________
______________________________________________________________________
Pregunta 2. ¿Actualmente la empresa cuenta con políticas y manuales de seguridad

para los procesos informáticos?
______________________________________________________________________
______________________________________________________________________
Pregunta 3. ¿Se realiza mantenimiento de los equipos informáticos periódicamente?
______________________________________________________________________
______________________________________________________________________
Pregunta 4. ¿Los equipos informáticos que son utilizados por el personal

administrativo de la empresa, están en constante actualización o mantenimiento?
______________________________________________________________________
_____________________________________________________________________
Pregunta 5. Qué opinaría sobre una mejora en la seguridad de la información de la
empresa mediante un plan informático
______________________________________________________________________
______________________________________________________________________
Anexo 3 Formato de encuesta aplicada en el trabajo de investigación
Encuesta
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES CARRERA DE SISTEMAS
Encuesta realizada al personal administrativo de la empresa Consulting Group

Santo Domingo
Objetivo: Conocer las necesidades, usos y beneficios de la elaboración de un plan

informático 2018-2022 basado en la norma ISO/IEC 27001-2013 para mejorar la
seguridad de la información y recursos tecnológicos en la empresa “Consulting Group”
Santo Domingo.
1 ¿En la empresa existen políticas para la mitigación de riesgos informáticos?
A) Si ( )
B) No ( )
2 ¿Tiene usted conocimiento sobre las prevenciones que hay que tomar para evitar acceso
de hackers u otro tipo de amenaza que puedan acceder a su equipo de cómputo?
A) Si ( )
B) No ( )
3 ¿Se controla el uso de dispositivos de almacenamiento externo (¿USB, Disco duros,

CD’s?
A) Si ( )
B) No ( )
4 ¿Existe algún tipo manual de procedimiento a seguir en el caso de ocurrencia de algún

problema con su equipo informático o recurso tecnológico que usted utilice para laborar?
A) Si ( )
B) No ( )
5 ¿Existe algún tipo de documentación que garantice la integridad de la información
asignada a usted?
A) Si ( )
B) No ( )
6 ¿Tiene usted conocimiento sobre qué medidas tomar en el caso de que existe una
emergencia ocasionada por un fenómeno natural?
A) Si ( )
B) No ( )
7 ¿Se le da con frecuencia el respectivo mantenimiento a los equipos informáticos?
A) Si ( )
B) No ( )
8 ¿Cree usted que un plan informático mejoraría la seguridad de la información y recursos

tecnológicos de la empresa?
A) Si ( )
B) No ( )
Anexo 4 Políticas de Seguridad de la información
Políticas de seguridad de la
información
Documento de Directrices y Normas

Administrativas
V.1.0
AÑO 2018-2022
ÍNDICE GENERAL
1 DESARROLLO GENERAL ................................................................................... 1
1.1 Aplicación ........................................................................................................... 1
1.2 Evaluación de las políticas de seguridad............................................................. 1
1.3 Beneficios de la aplicación ................................................................................. 1
2 CONTROLES PARA LA ADMINISTRACIÓN DE LA SEGURIDAD ............... 1
2.1 Creación de Usuario Nuevo ................................................................................ 1
2.2 Responsabilidades del usuario ............................................................................ 1
2.3 Capacitación del personal nuevo......................................................................... 2
2.4 Incumplimiento de las normativas ...................................................................... 2
3 SEGURIDAD FÍSICA ............................................................................................ 2
3.1 Control de Acceso a información y recursos informáticos ................................. 2
3.2 Controles para el Acceso Físico .......................................................................... 2
3.3 Seguridad en área de trabajo ............................................................................... 3
3.4 Protección y Ubicación de los equipos ............................................................... 3
3.5 Mantenimiento de Equipos ................................................................................. 4
3.6 Perdida de Equipo ............................................................................................... 5
3.7 Uso de dispositivos extraíbles ............................................................................. 5
3.8 Daño del equipo .................................................................................................. 5
4 ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPU…5
4.2 Uso de medios de almacenamiento ..................................................................... 6
4.3 Adquisición de Software ..................................................................................... 7
4.4 Licenciamiento de Software................................................................................ 8
4.5 Identificación de incidentes ................................................................................ 8
4.6 Administración de la red ..................................................................................... 8
4.7 Seguridad de la red .............................................................................................. 9
4.8 Uso del correo electrónico .................................................................................. 9

4.9 Controles contra software maliciosos ............................................................... 10
4.10 Controles para la generación y restauración de copias de respaldo (backups) . 11
4.11 Planes de Contingencias.................................................................................... 11
4.12 Acceso y uso del internet .................................................................................. 12
5 Acceso Lógico ....................................................................................................... 13
5.1 Control de acceso lógico a y autentificación .................................................... 13
5.2 Cambio de privilegios de usuario...................................................................... 14
5.3 Control de Accesos remotos ............................................................................. 14
6 Cumplimiento de las normativas ........................................................................... 14
7 Declaración de propiedad exclusiva ...................................................................... 15
8 Cumplimiento ........................................................................................................ 15
9 Equipos del área administrativa............................................................................. 15
10 Violaciones a las políticas de Seguridad............................................................ 17

INTRODUCCIÓN
Actualmente existen varios controles y medidas que pueden ser, y de hecho necesitan ser
implementado dentro de una organización para asegurar el funcionamiento efectivo de
seguridad de información. Estos controles y medidas van desde técnicas soluciones y
regulaciones contractuales a la conciencia organizacional de la corriente riesgos,
amenazas y vulnerabilidades. Sin lugar a dudas, el importante de estos controles es la
política de seguridad de la información.
Las políticas de seguridad proporcionan orientación sobre las acciones relacionadas con
la gestión de la seguridad de la información que la Dirección de la Empresas Consulting
Group pueda asumir y comprometerse, y que están alineados con los objetivos planteados.
El propósito de las Políticas de seguridad para el departamento de tecnología de la

información es definir los controles de seguridad necesarios para salvaguardar los activos
de la empresa y garantizar la, confidencialidad, disponibilidad e integridad de la
información contenida en la misma
Estas políticas aplican a todos los empleados de la empresa Consulting Group, y otro
personal en todas las ubicaciones que tengan acceso a la información de los mismos
recursos de forma remota y deberán conocer y aceptar el reglamento vigente sobre su uso.
En la actualidad el acceso global a la información proporciona muchas oportunidades,

pero también muchos desafíos. La comercialización de Internet ha permitido que hackers,
creadores de virus y bandas que vulneran sistemas informáticos puedan atacar redes
académicas libres y abiertas. Toda la información de la compañía, independientemente
de la manera en que se mantenga o documentado (formato) debe estar adecuadamente
protegido mediante la implementación un conjunto de controles, que se definen en las
políticas, estándares y procedimientos.
En área más susceptible a cambios, en una organización de cualquier tipo que haya optado
por organizar los sistemas de información de manera digital como una herramienta
fundamental del trabajo y de planificación, es la se Sistemas, ya que ella
La información es un activo importante y de gran valor para la empresa Consulting Group.

La cual debe proteger su información de amenazas, internas y externas, deliberadas o
accidentales, que podría interrumpir su trabajo o infringir los derechos del personal o los
clientes.
Con la definición de las políticas de seguridad informática se puede lograr una cultura
operacional para que la información y los procesos se realicen de mejor manera y con
más confiabilidad.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios tales
como:
 Seguridad Interna
 Seguridad física
 Manejo y control Centro de Cómputo
 Control de usuarios
 Lineamientos legales
ALCANCES Y AREA DE APLICACIÓN
El ámbito de aplicación de las normas y políticas de seguridad, es en el entorno

información institucional de la empresa Consulting Grupo Santo Domingo
Quien estará a cargo de poner en marcha las políticas de seguridad, será el departamento
de tecnológicas de la información y comunicación (TIC’s) y será el responsable absoluto
de su cumplimiento.
OBJETIVOS
 Proteger y administrar adecuadamente la información en Consulting Group, frente

a amenazas internas o externas con el fin de garantizar la disponibilidad,
confidencialidad e integridad de los datos y de igual manera garantizar el
funcionamiento continuo de los servicios que ofrece la empresa.
 Posibilitar la creación de controles y promover la optimización de los recursos e

inversiones en tecnología de la información, contribuyendo a minimizar los
riesgos asociados
 Preservar la información que se maneja en Consulting Grupo en Cuanto a:

 Integridad: garantía de que la información se mantenga en su estado
original, con el fin de protegerla en su transmisión en contra alteraciones
indebidas, intencionales o accidentales.
 Confidencialidad: garantía de que el acceso a la información se obtenga
solamente por personas autorizadas.
 Disponibilidad: garantía de que los usuarios autorizados obtengan acceso a
la información y los activos correspondientes cuando sea necesario.
1 DESARROLLO GENERAL
1.1 Aplicación
Las políticas y estándares de seguridad informática tienen por objeto mantener un entorno
informático seguro y rentable para la protección de información confidencial o sensible;
manteniendo personal privacidad de la información; y prevenir las interrupciones que
afectan el uso de los recursos tecnológicos de Consulting Group.
1.2 Evaluación de las políticas de seguridad
Debido al constante avance tecnológico y los frecuentes problemas de seguridad en las

organizaciones, se torna necesario realizar modificaciones y actualizaciones
periódicamente.
1.3 Beneficios de la aplicación
Las amenazas informáticas constantes existentes en la actualidad constituyen una gran

problemática para cualquier organización es por eso que las políticas de seguridad son el
vínculo entre personas, procesos y tecnología. Es un documento formal que describe el
comportamiento requerido y los controles de seguridad para proteger los activos
corporativos.
2 CONTROLES PARA LA ADMINISTRACIÓN DE LA SEGURIDAD
Todo funcionario nuevo de la empresa Consulting Group para hacer uso de un equipo
informático deberá aceptar las condiciones de confidencialidad de uso de igual manera
deberá cumplir lo detallado en el Manual de Políticas de Seguridad
2.1 Creación de Usuario Nuevo
Cada vez que un nuevo funcionario se una a la empresa, tiene que ser notificado al
departamento de TIC’s, con el fin de asignarle (Perfil de usuario nuevo para inicio de
sesión, Equipo de cómputo)
2.2 Responsabilidades del usuario
Tanto los nombres de usuarios como las contraseñas, son personales y deberán ser
manejados con responsabilidad. Se prohíbe compartir usuarios y contraseñas, evitando
accesos ilícitos. Sólo en casos autorizados se compartirá la lectura de un correo ajeno.
2.3 Capacitación del personal nuevo
El departamento de TIC’s es responsable de llevar a cabo capacitaciones al personal

nuevo acerca de normativas existentes en la empresa con respecto a la seguridad de la
información de la empresa, de igual manera dar a conocer cuáles son las sanciones en el
caso de incumplimiento de las políticas establecidas.
2.4 Incumplimiento de las normativas
La empresa toma en serio el tema de la seguridad. Aquellas personas que usen la

información y los recursos tecnológicos de la empresa deben ser conscientes de que
pueden ser sancionados si incumplen alguna normativa. En el caso de que se compruebe
la violación de una política y si la empresa se ve afectada por la misma, un empleado
puede estar sujeto a medidas disciplinarias que incluyen el despido, en el caso incurrir
gravemente contra una normativa el empleado podría ser sancionado bajo las leyes de la
justicia del estado ecuatoriano.
3 SEGURIDAD FÍSICA
El acceso a información confidencial tanto en formato de medios duros como blandos

debe restringirse físicamente para evitar que personas no autorizadas obtengan datos
confidenciales.
3.1 Control de Acceso a información y recursos informáticos
3.1.1 El funcionario tiene la responsabilidad de resguardar las unidades de

almacenamiento que tengan a su cargo, independientemente de que información
contenga.
3.1.2 Los funcionarios tienen la obligación de informar inmediatamente al

Departamento de TIC’s en caso de que se detecte cualquier tipo de riesgo en los
equipos informáticos, como fugas de agua, descargas eléctricas, caídas, golpes o
en caso de peligro de incendio.
3.1.3 Cada funcionario es responsable de evitar en todo momento cualquier filtración o

fuga de información de los equipos informáticos que tenga asignados a su cargo.
3.2 Controles para el Acceso Físico
3.2.1 Los equipos de cómputo personales, portátiles o cualquier activo tecnológico,

podrá ser retirado de la empresa únicamente con la autorización de salida, anexado
el comunicado de autorización del equipo informático debidamente firmado y
sellado por el encargado del departamento de TIC’s.
3.2.2 El acceso a las dependencias de la empresa con cualquier equipo de grabación,

fotografía, video, sonido u otro tipo de equipo similar, solo se puede hacer con la
autorización de la empresa y justificando el motivo por el cual lo autoriza.
3.2.3 Cualquier persona que tenga acceso a la empresa Cualquier persona que tenga
acceso a la empresa deberá registrar al momento de su entrada, el equipo de
cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas
que no sean propiedad de la entidad, en el área de recepción o portería, el cual
podrán retirar el mismo día. En caso contrario deberá tramitar la autorización de
salida correspondiente.
3.3 Seguridad en área de trabajo
3.3.1 El rack de comunicaciones de la empresa Consulting Group es un área restringida,

por lo tanto, únicamente el personal autorizado puede acceder al mismo.
3.4 Protección y Ubicación de los equipos
3.4.1 Los funcionarios no deben reubicar los equipos de cómputo, instalar o desinstalar
dispositivos, o retirar sellos de los mismos sin tener autorización del departamento
de TIC’s.
3.4.2 El funcionario a cargo del equipo de cómputo deberá usarlo únicamente para las
funciones de las cuales fue designado y no ajenas a la misma.
3.4.3 El funcionario tendrá la responsabilidad de solicitar capacitación para el manejo

de las herramientas informáticas que se utilizan en su función, para asa evitar
riesgos por mal uso de los mismos.
3.4.4 Es responsabilidad de los empleados almacenar la información únicamente en el

directorio donde será harán las copias de seguridad automáticas como “Mis
Documentos”.
3.4.5 Se restringe el consumo de alimentos o la ingesta de líquidos mientras se opera
los equipos de cómputo mientras se opera el equipo de cómputo asignado.
3.4.6 Se debe evitar tapar salidas de ventilación de los equipos informáticos tales como
de CPU o monitores poniendo objetos encima de los mismos.
3.4.7 Los equipos informáticos deben estar ubicados en un lugar limpio y donde no
exista humedad
3.4.8 El funcionario a cargo del equipo informático deberá asegurarse que los cables de
conexión no sean pisados o que no se les de buen trato, en el caso de que no se
cumpla se deberá solicitar la reubicación de los cables al Departamento de TIC’s.
3.4.9 Cuando se requiere realizar cambios múltiples de los equipos de cómputo

derivado de reubicación de lugares físicos de trabajo o cambios locativos, éstos
deberán ser notificados con tres días de anticipación al Departamento de Tic’s a
través de un plan detallado.
3.4.10 Queda terminantemente prohibido a todos los funcionarios ajenos al departamento

de TIC’s desarmen o destapen los equipos de cómputo.
3.5 Mantenimiento de Equipos
3.5.1 El mantenimiento o reparación de los equipos informáticos será llevados a cabo

únicamente por el personal autorizado por el Departamento de TIC’s
3.5.2 Los funcionarios tienen la obligación de respaldar mediante copias de seguridad

(backups) la información que puedan considerar relevante cuando el equipo de
cómputo sea enviado a reparación y borrar la información sensible que se
encuentre en el equipo, para evitar la pérdida involuntaria de la misma.
3.5.3 Los encargados del Departamento de TIC’s tienen la responsabilidad de velar por
el buen uso que se les dé a los equipos de cómputo y del cumplimiento de las
políticas de seguridad. A su vez deberán ofrecer mantenimiento preventivo a las
computadoras de la Empresa.
3.6 Perdida de Equipo
3.6.1 El funcionario que tenga asignado algún equipo de cómputo, será responsable de
su uso y custodia, y por lo tanto responderá por dicho bien de acuerdo a la
normatividad vigente en caso de robo, extravió o perdida.
3.6.2 El préstamo de equipos de cómputo portátiles se deberá solicitar al departamento

de TIC’s, y tendrá que tener el visto bueno del Secretario General de la Empresa.
3.6.3 Los funcionarios deberán dar aviso inmediato Departamento de TIC’s, sobre el
robo o extravió de equipos de cómputo, o accesorios bajo su responsabilidad.
3.7 Uso de dispositivos extraíbles
3.7.1 El uso de quemadores externos de discos es únicamente para copias de seguridad

de software y respaldos de información.
3.7.2 El funcionario que tenga asignado uno de estos dispositivos extraíbles tendrá la
responsabilidad del buen uso de los mismos.
3.7.3 Todo funcionario de Consulting Group deberá reportar al personal de TIC’s el uso
de los dispositivos USB asignados a su trabajo y de carácter personal y
responsabilizarse por el buen uso de ellas
3.7.4 El Departamento de TIC’s de la Empresa Consulting Group, es el responsable y

deberá llevar control y dar autorización sobre los dispositivos extraíbles que se
usen ya sean USB, Discos duros externos CD o DVD para el manejo de la
información o realización de copias de seguridad.
3.8 Daño del equipo
Todo equipo de cómputo accesorio o periférico bajo la responsabilidad de un funcionario

que sufra daño, desperfecto o negligencia se levantara un reporte por incumplimiento de
las políticas de seguridad establecidas
4 ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE

CÓMPUTO
4.1.1 Los funcionarios deberán proteger la información utilizada en la infraestructura

tecnológica de Empresa Consulting Group. De igual manera, deberán proteger la
información reservada o confidencial que por necesidades institucionales deba ser
guardada, almacenada o transmitida, ya sea dentro de la red interna de la empresa
otras dependencias de sedes alternas o rede externas como internet.
4.1.2 Los funcionarios de Consulting Group que hagan uso de los equipos de cómputo,
deberán tener conocimiento y aplicar las medidas de prevención de virus o
gusanos de red.
4.1.3 El Departamento de TIC’s es el que establece las políticas y procedimientos

administrativos para regular, controlar y describir el acceso de visitantes o
funcionarios no autorizados a las instalaciones de computo que estén restringidas
4.1.4 Cuando algún funcionario no autorizado o persona ajena a la empresa requiera

ingresar al cuarto de servidores, deberá solicitar mediante comunicado interno
debidamente firmado y autorizado por el jefe de su dependencia y deberá hacerlo
con anticipación la cual deberá tener el visto bueno de la gerencia de la empresa
especificando el motivo de la visita y la actividad a realizar, la cual se realizara
con la presencia de un funcionario del Departamento de TIC’s
4.1.5 El encargado del Departamento de TIC’s tiene la responsabilidad de llevar un

registro de todas las visitas autorizadas a los centros de cómputo restringidos.
4.1.6 Todo equipo informático ingresado a los Centros de Cómputo restringidos deberá
ser registrado en el libro de visitas.
4.1.7 Cuando se vaya a realzar un mantenimiento en algunos de los equipos del Centro
de Cómputo restringido, se debe dar aviso con anticipación
4.1.8 El jefe del Departamento de TIC’s deberá solicitar al Gerente de la Empresa los
equipos de protección contra amenazas como incendios, inundaciones para el
sistema eléctrico de respaldo, UPS.
4.2 Uso de medios de almacenamiento
4.2.1 Los funcionarios de Consulting Group deberán conservar los registros o

información que se encuentra activa y aquella que ha sido clasificada como
confidencial
4.2.2 Las actividades que realicen funcionarios en la infraestructura Tecnológica de

información y Comunicaciones de la Empresa podrán ser objeto de auditoria
cuando se lo requiera.
4.3 Adquisición de Software
4.3.1 Los funcionarios que requieran la instalación de cualquier tipo de software,

deberán realizar el debido procedimiento dirigido hacia el departamento de TIC’s
justificando el uso por el cual lo requieren
4.3.2 Por ningún motivo un funcionario deberá instalar en los equipos de cómputo algún
software que no esté anteriormente autorizado el uso por el departamento de
TIC’s.
4.3.3 El Departamento de TIC’s determinará la conveniencia o no de la instalación de

un determinado software en el equipo de cómputo.
4.3.4 El Departamento de TIC’s, deberá informar a los funcionarios, Directos,

administrativos su política institucional contra la piratería de software, utilizando
los medios de comunicaciones Disponibles; Páginas Web, Emails, Carteleras o
Boletines, de igual manera se debe informar las sanciones existentes en el caso de
incurrir al incumplimiento del uso de las licencias de software.
4.3.5 La empresa Consulting Group deberá poseer un contrato con la Compañía

Microsoft, para garantizar la legalidad de los programas adquiridos, Cualquier
otro software que no pueda ser provisto por Microsoft, será adquirido a otro
proveedor debidamente certificado, el cual tendrá que entregar al momento de la
compra el software con su respectiva licencia y documentación pertinente para
certificar la originalidad del mismo.
4.3.6 El manejo de las licencias y sus respectivos CD’s es responsabilidad únicamente

del departamento de TIC’s.
4.3.7 Se debe llevar un inventario de los programas instalados en cada equipo de

cómputo para tener un mejor control de los mismos, cualquier otro tipo de petición
de software deberá ser tramitada mediante el departamento de TIC’s según el
procedimiento correspondiente.
4.3.8 Constantemente el Departamento de TIC’s junto con la gerencia de la empresa

deberá ofrecer capacitaciones hacia los funcionarios sobre el correcto manejo de
las tecnológicas de información y computación, para lograr aprovecharlas de
mejor manera y con un correcto uso, de igual manera es necesario lograr crear una
conciencia laboral donde se estimule el uso de software adquiridos legalmente
evitando la practica indebida de usar software no autorizado o también llamado
software “pirata”.
4.4 Licenciamiento de Software
Para el uso del software la empresa debe contar con un contrato anual con la compañía
MICROSOFT, para poder hacer uso de los programas necesarios, además la empresa
tiene como política que únicamente se autoriza la instalación de software que se encuentre
soportado con su respectiva licencia. La adquisición de software será autorizada por
Gerencia general de la empresa y su adquisición será supervisada por el Departamento de
TIC’s.
4.5 Identificación de incidentes
4.5.1 Los funcionarios de la empresa con tienen que reportar todos los incidentes de
seguridad informática al Departamento de TIC’s inmediatamente después de su
identificación.
4.5.2 Cuando se detecte una posible sospecha de que la información confidencial ha

sido revelada o vulnerada sin autorización de algún directo administrativo
competente, el funcionario deberá notificar de manera inmediata al Departamento
de TIC’s
4.5.3 Cualquier tipo de incidente generado durante la utilización u operación de los

equipos informáticos de la empresa debe ser reportado al departamento de TIC’s.
4.6 Administración de la red
Los funcionarios de la empresa tienen prohibido establecer redes de área local,

conexiones remotas a redes ya sean internas o externas, para realizar cambio de
información con otros equipos utilizando el protocolo de transferencia (FTP) u otro tipo
de protocolo de transferencia de información utilizando la infraestructura de red de la
Empresa sin tener autorización del jefe del departamento de TIC’s
4.7 Seguridad de la red
Se considera como un ataque o y falta grave toda actividad no autorizada por el

Departamento de TIC’s de la empresa, en la cual los funcionarios realicen exploración de
los recursos informáticos de la empresa, también como de las aplicaciones que operan en
la red con fines de detectar una posible vulnerabilidad.
4.8 Uso del correo electrónico
4.8.1 Los funcionarios no tienen permitido el uso de cuentas de correo electrónico

asignadas a otras personas, ni recibir mensajes en cuentas ajenas. En el caso de
ser necesario leer el correo de alguien más mientas este funcionario este fuera de
actividades laborables, deberá re-direccionar el correo interno, quedando
prohibido hacerlo a una dirección de correo electrónico que no sea parte de la
empresa a menos que cuenta con la autorización del departamento de TIC’s.
4.8.2 Los funcionarios deben tratar los mensajes de correo electrónico y archivos
adjuntos en el mismo con total privacidad y directamente entre Emisor y receptor
para así garantizar la seguridad la información intercambiada.
4.8.3 Está prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las
comunicaciones electrónicas.
4.8.4 El intercambio de correos debe utilizar los buzones institucionales, queda

prohibido tramitar información institucional a través de emails privados de uso
personal como (Hotmail, Gmail, Yahoo).
4.8.5 Queda prohibido el uso del correo electrónico institucional con fines religiosos,
políticos, lúdicos, personales o en beneficio de terceros que vulnere los derechos
fundamentales de las personas. Por tanto, no se permitirá envió, reenvió o en
general cualquier otra conducta tendiente a la transmisión de mensajes
humorísticos, pornográficos, en cadena, publicitario y en general cualquier tipo
de mensaje ajeno a los fines laborales del funcionario sin importar que sean
únicamente texto audio o video.
4.9 Controles contra software maliciosos
4.9.1 Los funcionarios únicamente deberán hacer uso del software que haya sido
proporcionado por el departamento de TIC’s para así evitar infecciones por virus
informáticos
4.9.2 Los funcionarios de la empresa deberán verificar que la información esté libre de
cualquier tipo de código malicioso, por lo que se debe ejecutar constantemente el
software antivirus proporcionado por el Departamento de TIC’s
4.9.3 Los funcionarios de la empresa Consulting Group deben verificar que la
información y los medios de almacenamiento, estén libres de cualquier tipo de
código malicioso, por lo cual deben ejecutar el software antivirus autorizado por
el Departamento de TIC’s.
4.9.4 Todos los archivos de computadora que sean proporcionados por cualquier
personal externo o interno en relación con programas de software, bases de datos,
documentos y hojas de cálculo que necesiten ser descomprimidos para su
visualización o uso debe ser verificados por el funcionario a cargo para comprobar
que el archivo se encuentre libre de virus antes de ejecutarse.
4.9.5 Ningún funcionario deberá descargar algún tipo de software sin la debida
autorización del jefe del Departamento de Sistemas
4.9.6 Si un funcionario sospecha de alguna infección en el equipo de cómputo deberá

dejar de usar el mismo inmediatamente y notificar de urgencia al Departamento
de TIC’s para su respectiva revisión.
4.9.7 Los funcionarios no deberán modificar ningún tipo de configuración para detectar
o prevenir software malicioso que sean implantadas por el Departamento de TIC’s
en: Antivirus, Outlook. Office, Navegadores u otros programas.
4.9.8 Es necesario que el personal del departamento de TIC’s capacite a los funcionarios
para dar a conocer el funcionamiento de los programas que protejan contra virus,
pero no deberán tratar de actuar de ninguna manera en el caso de aparecer una
amenaza informática debido a su complejidad y delicadeza de la información. es
necesario que el funcionario notifique al departamento de TIC’s al momento de
suceder un problema de seguridad.
4.10 Controles para la generación y restauración de copias de respaldo (backups)
4.10.1 La información de los equipos de cómputo debe ser periódicamente respaldada en

dispositivos destinados para tal fin, con el fin de preservar su seguridad a futuro
ante una posible emergencia.
4.10.2 Todo funcionario es responsable de la generación de las copias de seguridad

(backups) asegurándose de validar el respaldo. En el caso de que necesitar
asistencia para hacerlo deberá solicitar asistencia técnica al Departamento de
TIC’s.
4.10.3 Las copias de seguridad deben ser realizadas una vez a la semana y el último día
hábil del mes, Un funcionario de TIC’s revisara una vez a la semana el correcto
cumplimiento de este procedimiento.
4.10.4 El funcionario debe conocer y manejar adecuadamente el software utilizado para

la generación o restauración de las copias de seguridad, registrando el contenido
y su prioridad. generación y/o restauración de copias de respaldo, registrando el
contenido y su prioridad.
4.10.5 Los medios de copia de seguridad deben almacenarse en instalaciones seguras,

donde se cuenta con una seguridad apropiada y donde solo los funcionarios
autorizados tengan acceso.
4.11 Planes de Contingencias
4.11.1 Con el fin de asegurar, recuperar o restablecer la disponibilidad de las aplicaciones

que soportan los procesos de misión crítica y las operaciones informáticas que
soportan los servicios críticos de la Institución, ante el evento de un incidente o
catástrofe parcial y/o total.
4.11.2 El Departamento de TIC’s deberá tener en existencia la documentación de roles

detallados y a la vez tareas para las personas que estén a cargo de la ejecución del
plan ante desastres.
4.11.3 Es necesario tener en existencia equipos informáticos para respaldos o evidencia

de los proveedores, de la disponibilidad del equipo y tiempos necesarios para su
instalación, préstamo arriendo o sustitución.
4.11.4 Existencia de la documentación necesaria sobre los procedimientos a seguir

durante el periodo de la contingencia y capacitación a los funcionarios en estos
procedimientos.
4.11.5 El Plan de Contingencia se probará al menos una vez cada 12 meses y cuando se
hagan modificaciones materiales al Plan para corroborar que será efectivo y que
los miembros de la fuerza laboral entienden sus respectivos roles y
responsabilidades de recuperación.
4.11.6 Existencia de la documentación necesaria sobre los procedimientos a seguir para
poder restaurar equipos, aplicativos, sistemas operativos, archivos de
información, bases de datos entre otros.
4.11.7 Existencia de la documentación sobre las pruebas periódicas para la

implementación del plan de recuperación ante desastres para verificar y analizar
los tiempos de respuesta capitalizando los resultados de la prueba para el
afinamiento del mismo.
4.11.8 Actualización frecuente del plan de recuperación según los cambios recientes en
las plataformas tecnológicas de Consulting Group tales como (hardware, software
y comunicaciones), para reflejar la realidad operativa de la empresa.
4.11.9 Disponibilidad de copias de respaldo para restablecer las operaciones en las áreas
de misión crítica definidas.
4.12 Acceso y uso del internet
4.12.1 El acceso a internet por parte de los funcionarios debe ser utilizado con fines
corporativos, enriquecimiento intelectual o como herramienta de búsqueda de
información, todo lo que pueda contribuir al desarrollo de actividades
relacionadas con la empresa.
4.12.2 Los funcionarios deberán evitar en todo momento ingresar a sitios sospechosos o
sitios donde no se cuenten con protocolos seguros para navegar en la red, y avisar
al departamento de TIC’s cualquier sospecha que surja al navegar que ponga en
riesgo la información de la empresa.
4.12.3 El uso de Internet para asuntos personales debe ser restringido, sin comprometer
los usuarios.
4.12.4 Cualquier información que es accedida, transmitida, recibida o producida en

Internet está sujeta a divulgación y auditoria, Por lo tanto, Consulting Group, se
reserva el derecho a monitorear y registrar todos los accesos a ella
4.12.5 Se prohíbe la divulgación y / o el intercambio indebido de información del área

administrativa de la empresa en (sitios o comunidades de chat, mensajería
instantánea, blogs) Entre otro tipo de sitio web que surja en internet.
4.12.6 Los funcionarios no podrán en ningún caso utilizar los recursos el servicio de
internet institucional para descargar o distribuir software ilegal o pirateado o
cualquier tipo de descarga que se considere ilegal según las leyes del estado
ecuatoriano.
5 Acceso Lógico
Los datos de autentificación (Nombre de Usuario y Contraseña) son los responsables de

proteger la identidad del funcionario evitando y previniendo que una persona ajena a la
empresa permita suplantar la identidad del mismo, de igual manera los funcionarios que
cuenten con estos datos de autentificación a un equipo informático serán los completos
responsables de su correcto uso.
5.1 Control de acceso lógico a y autentificación
5.1.1 Consulting Group requiere que todos los funcionarios tengan acceso al equipo
informático encargado mediante un Usuario y una Clave de carácter privado,
personal intransferible Cámara requiere que todos los empleados que tengan
5.1.2 Todos los funcionarios de la empresa tienen la obligación de proteger su

información de autentificación.
5.1.3 Si el funcionario olvida su contraseña de autentificación, deberá solicitar

formalmente el cambio al departamento de TIC’s.
5.1.4 Después de 3 (tres) intentos de acceso, la cuenta de usuario se bloqueará. Para el

desbloqueo es necesario que el funcionario se contacte con el Departamento de
TIC’s para y deberá establecerse un proceso para la renovación de la contraseña.
5.1.5 Todo funcionario que sospeche que sus datos de autentificación han sido
vulnerados deberán cambiarlos inmediatamente
5.1.6 Cada vez que un funcionario sea removido de la empresa o haya dimitido, el
departamento de recursos humanos deberá comunicar inmediatamente al
departamento de TIC’s, para ser bloqueado inmediatamente cuando se vuelvan
innecesarios.
5.1.7 El departamento de TIC’s será el único responsable en caso de ausencia de

ejecutar los movimientos de altas, bajas o cambios de perfil de los usuarios.
5.1.8 Sin importar el motivo la contraseña asignada al funcionario no debe ser
compartida o revelada, de hacer esto queda bajo su responsabilidad las acciones
que se realicen con la misma.
5.1.9 Los funcionarios no deberán guardar su contraseña usando ningún software que
permita que pueda ser revelada con facilidad.
5.2 Cambio de privilegios de usuario
5.2.1 Cuando exista un cambio de roles o responsabilidades de un funcionario deberá

ser notificado al Departamento de TIC’s, para que se realice la respectiva
modificación de los privilegios de usuario.
5.3 Control de Accesos remotos
5.3.1 La administración remota de los equipos informáticos conectados a internet no

está permitida, a menos que cuente con el visto bueno y se lo haga con un
mecanismo de control de acceso seguro avalado por el propietario la información
y de igual forma por el Departamento de TIC’s.
6 Cumplimiento de las normativas
El Departamento de TIC’s tiene como una de sus principales funciones revisar el

cumplimiento de las políticas de seguridad, ya que estas garantizan acciones correctivas
y preventivas para la protección de la información y recursos informáticos de la empresa.
Así mismo Todos los funcionarios deberán cumplir con las Políticas de Seguridad
Informática y documentos relacionados a las mismas.
7 Declaración de propiedad exclusiva
Consulting Group tiene propiedad y derechos exclusivos de las patentes, derechos de

autor, programas o cualquier propiedad intelectual desarrollada por los funcionarios de la
plataforma tecnológica de la empresa.
8 Cumplimiento
8.1 La seguridad de los sistemas de información será revisada regularmente y auditados

para garantizar que se cumpla con las políticas de seguridad informática.
8.2 El Departamento de TIC’s deberá implantar mecanismos de control que permitan

identificar tendencias en el uso de los recursos informáticos del personal interno o
externo, con el objetivo de revisar toda actividad en los procesos que ejecuta y la
estructura de los archivos que se procesan.
8.3 El diseño, operación, uso y administración de los sistemas de información deben

tener en cuenta todos los requisitos legales, reglamentarios y requisitos de
seguridad, así como las políticas de seguridad de la organización
9 Equipos del área administrativa
9.1 La Gerencia de Consulting Group deberá poner a disposición del área de TIC’s, la
información contractual de los equipos informáticos de Computo Escritorio,
Portátil y periférica, así como de los servicios de soporte y mantenimiento.
9.2 El Departamento de TIC’s, será el responsable de validar el cumplimiento de las

condiciones técnicas de los equipos de cómputo, escritorio, portátiles y periféricos
adquiridos.
9.3 Los requerimientos de los equipos de cómputo, portátiles y periféricos, será llevado
a cabo mediante una solicitud y su respectiva justificación por escrito, la misma que
estará firmada por el jefe del área solicitante, y será evaluado por el departamento
de TIC’s para su autorización y su inclusión en el presupuesto correspondiente.
9.4 El Departamento de TIC’s será el encargado de transmitir las asignaciones,

reasignaciones, bajas etc., de los equipos de cómputo, portátiles y periféricos, antes
el departamento financiero de la empresa entidad encarga del inventario de Activos
para su ejecución, con base a las solicitudes realizadas al respecto y las revisiones
de aprovechamiento de los mismos.
9.5 El Departamento de TIC’s deberá elaborar el pase de salida cuando algún equipo
informático requiera ser trasladado fuera de las instalaciones de la empresa por
motivo de garantía, reparación o evento.
9.6 Si algún equipo de cómputo es trasladado por el funcionario a oficinas distantes del
lugar asignado, para realizar sus labores, estará bajo resguardo del responsable que
retira el equipo y el pase de salida quedará en consideración del Departamento de
TIC’s para su autorización y visto bueno.
9.7 Las diferentes áreas de Consulting Group serán encargadas de proporcionar al

Departamento de TIC’s, la relación de bienes y equipos que entrarán en proceso de
baja, según corresponda, el Departamento de TIC’s realizar la respectiva evaluación
técnica del equipo informático, a la vez definirá la reasignación o baja definitiva
del bien y tendrá que ser informada al área financiera para el control de inventarios
de Activos.
9.8 La baja de los equipos de cómputo únicamente se debe dar con la evaluación técnica
por parte del Departamento de TIC’s
9.9 El Departamento de TIC’s no se responsabiliza de proporcionar asesoría técnica,

mantenimiento correctivo y preventivo a los equipos de cómputo que sean
propiedad y de uso personal del funcionario.
9.10 Es responsabilidad de cada funcionario quien tenga asignado un equipo de

escritorio o portátil la información contenida en la misma.
9.11 En caso de reinstalaciones de equipo, el funcionario será el responsable de verificar

que toda la información y archivos de trabajo estén contenidos en el equipo
asignado, el funcionario deberá firmar la Solicitud o Asignación del servicio
proporcionado por el técnico o ingeniero asignado firmado de conformidad
9.12 El Departamento de TIC’s no es responsable por ningún motivo de la configuración

de dispositivos portátiles como Teléfonos Inteligentes, Tablets, Dispositivos
inalámbrico de reproducción de audio, entre otros que sean propiedad del
funcionario
10 Violaciones a las políticas de Seguridad
10.1 Las violaciones sospechosas de la Política de Seguridad Informática (penetración

del sistema, infección de algún tipo de virus) que puedan comprometer a la
integridad de los sistemas de información de la empresa debe ser reportada
inmediatamente al departamento de TIC’s.
10.2 La violación o el incumplimiento de las políticas de seguridad informática tendrán

como resultado medidas disciplinarias que varían de acuerdo a la gravedad de la
violación y podrán ocasionar el despido del infractor o procedimientos legales.
10.3 Consulting Group podrá divulgar información de un usuario almacenada en los

sistemas de acuerdo con la autorización suscrita por el mismo, por disposición legal
o por solicitud de autoridad judicial o administrativa.
10.4 Así como la ética, la seguridad debe ser entendida como parte fundamental de la
cultura en el interior de Consulting Group. Es decir, cualquier incidente de
seguridad se sustenta como alguien actuando contra la ética y las buenas costumbres
regidas por la empresa
Anexo 5 Manual de Procedimientos
Manual de procedimientos del Departamento

de tecnologías de la información y
comunicación
V.1.0
AÑO 2018-2022
ÍNDICE GENERAL
Introducción ...................................................................................................................... 1
Objetivos ........................................................................................................................... 1
Alcance ............................................................................................................................. 2
Limitaciones...................................................................................................................... 2
Justificación ...................................................................................................................... 2
Responsabilidades ............................................................................................................. 2
Descripción de procedimientos ......................................................................................... 2
Proceso para la Configuración de Nueva cuenta de usuario ............................................. 3
Recuperación de Contraseña de usuario ........................................................................... 6
Proceso de Creación de Correo institucional .................................................................... 9
Proceso de instalación de equipo informático ................................................................ 12
Procedimiento de Mantenimiento preventivo ................................................................. 15
Procedimiento de Mantenimiento correctivo .................................................................. 18
Procedimiento para dar de baja de equipo informático .................................................. 21
Instalación y Control de licencias de Software ............................................................... 24
Asesoría y Soporte Técnico ............................................................................................ 27
Procedimiento de Copia de seguridad ............................................................................ 30
Capacitación Sobre seguridad informática al personal ................................................... 33

Tablas
Tabla 1 Proceso de configuración de nueva cuenta de usuario ........................................ 4
Tabla 2 Recuperación de cuenta de Usuario y/o Contraseña ............................................ 7
Tabla 3 Creación de correo institucional ........................................................................ 10
Tabla 4 Procedimiento de instalación de equipos informáticos ..................................... 13
Tabla 5 Procedimiento de Mantenimiento Preventivo ................................................... 16
Tabla 6 Procedimiento de Mantenimiento Correctivo .................................................... 19
Tabla 7 Procedimiento de baja de equipo informático ................................................... 22
Tabla 8 Instalación y control de licencias de software ................................................... 25
Tabla 9 Asesoría y soporte técnico ................................................................................. 28
Tabla 10 Copias de seguridad y respaldo ....................................................................... 31
Tabla 11 Capacitación al personal .................................................................................. 34

Figuras
Figura 1 Configuración de Nueva cuenta de usuario ........................................................ 5
Figura 2 Recuperación de cuenta de Usuario y/o Contraseña .......................................... 8
Figura 3 Creación de correo institucional ....................................................................... 11
Figura 4 Procedimiento de instalación de equipos informáticos .................................... 14
Figura 5 Procedimiento de Mantenimiento Preventivo .................................................. 17
Figura 6 Procedimiento de Mantenimiento correctivo ................................................... 20
Figura 7 Baja de equipo informático .............................................................................. 23
Figura 8 Instalación y control de licencias de software .................................................. 26
Figura 9 Asesoría y soporte técnico ................................................................................ 29
Figura 10 Copias de seguridad y respaldo ...................................................................... 32
Figura 11 Capacitación al personal ................................................................................. 35

Anexos
Anexo A 01: Ficha mantenimiento Preventivo y Correctivo ......................................... 36
Anexo A 02: Gestión dé cuenta de usuario..................................................................... 38
Anexo A 03: Solicitud de creación de Creación de Correo institucional ....................... 39
Anexo A 04 Solicitud de Copias de Seguridad (Backups) ............................................. 40
Anexo A 05: Bitácora de Seguimiento de Backups ........................................................ 41
Anexo A 06: Ficha de requerimiento para Asistencia Técnica ...................................... 42
Anexo A 07: Acta de baja de Equipo informático .......................................................... 43
Anexo A 08: Ficha de instalación de software ............................................................... 45
Anexo A 09: Control de licencias de software ............................................................... 46
Anexo A 10: Ficha de Instalación de equipos informaticos ........................................... 47
Anexo A 11 Cronograma de Capacitación ..................................................................... 49
Anexo A 12 Solicitud de espacio físico para capacitación ............................................. 50
Anexo A 13 Acta de asistencia ....................................................................................... 51

Introducción
Entre los elementos más eficaces en la toma de decisiones del sector público y ámbito
administrativo, destacan los manuales de organización y procedimientos, instrumentos
que facilitan también el aprendizaje del personal, proporcionando la orientación que se
requiere en las unidades administrativas, con el propósito de mejorar, orientar y conducir
los esfuerzos del personal, para lograr la realización de las tareas que se les han asignado,
auxiliándoles también en el cumplimiento de funciones y procesos de una manera clara y
sencilla
En los Procedimientos se declaran todas las actividades que lo componen y se definen

todos los controles necesarios (y sus indicadores de seguimiento) para cumplir con los
requerimientos definidos las normas y políticas de la empresa, tratando de cubrir los
aspectos de la misma siguiendo en parte de forma detallada su estructura
Con este manual, se pretende trazar los lineamientos bajo la responsabilidad del área de
Tecnología de la Información, como de los usuarios del uso de la misma, a fin de que
toda administración en este contexto se realice de una manera clara, precisa, transparente
y lo más real posible, donde se respeten los principios éticos que dentro del marco
normativo aceptado por la sociedad, produciendo así una escala de valores de hechos y
formas de comunicación dentro de la institución.
Objetivos
 El manual de procedimientos establece una manera detallada de las operaciones
que necesiten realizar para satisfacer los requerimientos especificados en una
actividad determinada, de acuerdo a las normas y políticas de la empresa.
 Establecer procedimientos administrativos para regular, controlar y describir el
flujo de las actividades realizadas por el Departamento de TIC’s con el fin, de
permitir unificar los criterios para la solicitud y trámites que se deben realizar para
el uso y manejo de los servicios informáticos.
 Dejar establecidas las políticas de TI que regirán el uso y mantenimiento de la
plataforma tecnológica de la empresa, para así asegurar su operatividad, de
manera que los responsables del uso de las tecnologías disponibles, aseguren el
cumplimiento de las mismas, con miras al desarrollo de un trabajo óptimo y de
calidad
Alcance
El presente documento es exclusivamente aplicable a los procesos realizados por el

Departamento de Tecnologías de la información de la empresa Consulting Group, y por
ningún motivo deberá ser entregado a personal ajeno a la misma, así mismo es
responsabilidad del Departamento de TIC’s su uso y difusión
Limitaciones
Las limitaciones surgen específicamente en el Departamento de TIC’s donde para realizar

los procedimientos se manejaron Términos técnicos y especializados debido a la
naturaleza de las mismas actividades que se realizan.
Justificación
Para Consulting Group es importante contar con un Manual de Procedimientos por lo

siguiente:
 Permite conocer el funcionamiento interno por lo que respecta a descripción de

tareas, ubicación, requerimientos y a los puestos responsables de su ejecución.
 Auxilia en la inducción del puesto y al adiestramiento y capacitación del personal
ya que describen en forma detallada las actividades de cada puesto.
 Interviene en la consulta de todo el personal. Que se desee emprender tareas de
simplificación de trabajo como análisis de tiempos, delegación de autoridad, etc.
 Facilita las labores de auditoria, evaluación del control interno y su evaluación
Responsabilidades
Las políticas aquí documentadas deben ser de implementación obligatoria para todos
aquellos funcionarios de la empresa Consulting Group que estén involucrados directa o
indirectamente con el uso de tecnologías de información y comunicaciones.
Descripción de procedimientos
A continuación, Se definirán los procedimientos a seguir

Proceso para la Configuración de Nueva cuenta de usuario
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN Código:
MANUAL DE PROCEDIMIENTOS DE Página: 1 de 3
GESTIÓN INFORMATICA
Procedimiento
Descripción:
Las cuentas de usuarios usadas en la empresa servirán para dar acceso a un usuario
autorizado para sus funciones, cada cuenta de usuario tendrá sus propios archivos y
configuraciones y se accederá a ella mediante un nombre y una contraseña
Objetivo:
Normar la creación de cuentas de usuario para proteger la información contenida en los

sistemas informáticos.
Alcance
El procedimiento aplica en Consulting Group, iniciando con una solicitud de activación

de nuevo usuario por parte de la dependencia y termina con la entrega del usuario y
contraseña.
Frecuencia: Eventual
Tabla 1 Proceso de configuración de nueva cuenta de usuario
Nº Actividades Responsable
1 Envía Solicitud de generación de usuario en el Departamento de Recursos
sistema, enviando datos básicos como nombres Humanos
apellidos cedula email
2 Recepción y aceptación de solicitud para la Departamento de TIC’s
creación de la cuenta de usuario y contraseña
3 Confirma la creación del usuario a la dependencia
en el sistema de la empresa
4 Activa y verifica el usuario en el sistema
5 Recepción de usuario y contraseña Usuario
Fin del procedimiento
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo

Domingo
Flujograma del procedimiento
Figura 1 Configuración de Nueva cuenta de usuario
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo
Recuperación de Contraseña de usuario
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
El proceso de recuperación de usuario o contraseña está diseñado para que los

funcionarios puedan seguir su labor sin perder la información de los sistemas de
información usados en la empresa.
Objetivo:
Lograr recuperar un usuario y/o contraseña olvidada por un funcionario para no detener
las tareas encomendadas por la empresa.
Alcance
Todas las áreas administrativas de Consulting Group
Tabla 2 Recuperación de cuenta de Usuario y/o Contraseña
1 Envía solicitud de recuperación de contraseña Usuario

y/o cuenta de usuario
2 Recibe solicitud enviando un memorando para Departamento de TIC’s

la recuperación de la cuenta o contraseña
3 Realiza proceso de recuperación de cuenta o Departamento de TIC’s

contraseña y procede a enviar un memorando
del correcto procedimiento de recuperación.
4 Verifica que la contraseña este recuperada y Departamento de TIC’s

procede a enviar la solicitud de recuperación
completada al usuario
5 Recibe la solicitud y verifica el Usuario

funcionamiento de usuario o contraseña,
procede a firmar la solicitud conforme a lo
realizado.
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo

Domingo 2018
Figura 2 Recuperación de cuenta de Usuario y/o Contraseña
Proceso de Creación de Correo institucional
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Este servicio se utilizará para mejorar la comunicación, entre los funcionarios y entre
entidades públicas y privadas
Objetivo:
Otorgar un ordenamiento en el uso del servicio de correo electrónico, institucional de

Consulting Group.
Alcance
Tabla 3 Creación de correo institucional
1 Usuario envía solicitud para la creación de la Usuario / Área

cuenta de correo administrativa
2 Se recibe Documentación y se verifica los

datos del funcionario
3 Aprueba solicitud realiza ejecución,

comprueba correcto funcionamiento.
3.1 No aprueba solicitud y notifica al usuario

especificando motivos.
4 Una vez que este operativo el correo, se

informa al funcionario de la creación del
correo electrónico.
2018
Flujograma del proceso
Figura 3 Creación de correo institucional
Proceso de instalación de equipo informático
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Cuando se requiera instalar en la empresa un nuevo equipo informático es necesario

hacerlo con su debido proceso para su buen funcionamiento.
Objetivo:
Integrar a la red empresarial un nuevo equipo informático, así también la actualización,

sustitución o instalación de componentes tanto como de hardware como de software.
Alcance
Tabla 4 Procedimiento de instalación de equipos informáticos
1 Solicitar instalación de equipo Usuario / Área

administrativa
2 Recibir solicitud e instruir a técnico Departamento de TIC’s

informático de TIC’s sobre el trabajo a realizar
3 Analizar requerimiento y consultar

documentos técnicos.
Verificación de usuario de red, si existe

actualizar las credenciales caso contrario crear
4
el usuario
Asistente de TIC’s
Conectar equipo informático, si hay un punto
5 de red disponible, si no instalar el punto de red
en el puesto de trabajo.
6 Realizar configuración de conectividad en el
equipo de comunicación.
7 Configurar perfil del usuario y verificar acceso

a recursos de red (Internet, recursos
compartidos de red y sistemas)
8 Confirmar recepción y firmar hoja de servicio Usuario / Área

recibido a satisfacción. administrativa
9 Actualizar control de equipos informáticos. Asistente de TIC’s
Fuente: Consulting Group Investigación de campo realizada por el autor. Santo Domingo 2018
Figura 4 Procedimiento de instalación de equipos informáticos
Procedimiento de Mantenimiento preventivo
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
El departamento de TIC’s será el encargado de realizar el mantenimiento preventivo a

cada uno de los equipos informático de las diferentes dependencias los cuales
consistirán en limpieza física de CPU interna y externa, teclados mouse monitores
UPS’s, impresoras y otros que se requieran y que tengan vinculación con el equipo de
cómputo para su realización se deberá hacer fuera del espacio de trabajo evitar ensuciar
el lugar de labores.
Objetivo:
Aumentar al máximo la disponibilidad y confiabilidad del equipo llevando a cabo un

mantenimiento planeado.
Alcance
Todos los equipos de las áreas administrativas de Consulting Group
Tabla 5 Procedimiento de Mantenimiento Preventivo
1 Determina la dependencia a la que se proporcionará Departamento de

el servicio de mantenimiento preventivo. TIC’s
2 Instruye al técnico que corresponda, inicie al

trabajo de mantenimiento preventivo de la unidad
administrativa seleccionada.
3 Recibe indicación y acude a la Dependencia

Asistente de TIC’s
usuaria, solicitando al servidor público responsable
facilite el equipo de cómputo y los periféricos para
realizar el servicio.
4 Facilitar el equipo de cómputo y los periféricos que Usuario / Área

tiene asignado. administrativa
5 Inicia y ejecuta servicio de mantenimiento

preventivo en monitores, impresoras, CPU,
teclado, mouse y demás periféricos.
6 Concluido el trabajo registra los datos del servicio

el documento correspondiente y solicita a usuario
firme de conformidad.
7 Entrega equipo y periféricos, recibiendo el formato Asistente de TIC’s

de servicio firmado, el procedimiento se repetirá
tantas veces como equipos existan en el área
administrativa a la que acuda el técnico de TIC’s y
por cada una de las máquinas elaborará el formato
de servicio correspondiente.
8 Reporta y entrega al titular del Departamento de

Hardware y Redes los formatos de los servicios
finalizados.
Figura 5 Procedimiento de Mantenimiento Preventivo
Procedimiento de Mantenimiento correctivo
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
El mantenimiento correctivo es el trabajo realizado en un equipo informático para

restaurar su estado operacional, y no es planificado se lleva a cabo a partir de un reporte
por parte de un usuario operador del equipo.
Objetivo:
Mediante procedimientos lograr solucionar las fallas en los equipos informáticos lo

más rápido posible a fin de minimizar la interrupción de producción en la empresa
Alcance
Todos los equipos de las áreas administrativas de Consulting Group
Tabla 6 Procedimiento de Mantenimiento Correctivo
1 Reportar falla del equipo al departamento de Usuario / Área

TIC’s. administrativa
2 Recibir requerimiento, registrar y trasladar a Departamento de TIC’s

Técnico de soporte.
3 Visitar el puesto de trabajo, (si el puesto esta

fuera de la sede, tramitar el transporte y el
permiso de misión oficial).
Técnico de TIC’s
Proceder a realizar diagnóstico preliminar del
4
equipo, si no requiere cambio de repuestos
reparar y sigue el paso 6. Si la reparación del
equipo necesita repuestos, presentar
requerimiento a Coordinador de Soporte.
5 Presentar solicitud de repuestos a Jefe de Coordinador de soporte

Informática.
6 Solicitar la compra de repuestos, si la Jefe de TIC’s

reparación del equipo necesita repuestos, si no
se puede reparar equipo.
7 Coordinar la compra de repuesto caso Departamento Financiero

contrario sigue con el proceso
8 Recibe equipo reparado y firma hoja de Usuario / Área administrativa

servicio
9 Efectuar consulta a solicitante de satisfacción Departamento de TIC’s

del servicio.
10 Registrar solución en el sistema de Técnico de TIC’s

requerimientos y cierra requerimiento.
Figura 6 Procedimiento de Mantenimiento correctivo
Procedimiento para dar de baja de equipo informático
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Todo bien informático cumple su tiempo de vida útil y en la actualidad la tecnología

avanza de una manera veloz, es por ello que los equipos informáticos necesitan ser
actualizados constantemente para que los procesos que se realicen en la empresa sean
llevados de manera más eficaz.
Objetivo:
Realizar la revisión técnica para determinar la baja de los equipos de cómputo que no
satisfagan las necesidades operativas, que requiere las unidades administrativas del
Poder Legislativo
Alcance
Todos los equipos que tengan que ser revisados para comprobar su tiempo de utilidad
en las áreas administrativas de Consulting Group
Tabla 7 Procedimiento de baja de equipo informático
1 Se detecta posibles problemas con un equipo Departamento

informático por parte de un usuario, se de TIC’s
procederá a verificar el estado del mismo
2 Si no se logra solucionar el problema se debe

verificar los reportes de parte del soporte
técnico de TIC’s anteriormente realizados y la
vida útil del mismo.
3 Determina si los componentes son posibles de

actualizarse, remplazarse o definitivamente Técnico de
cambiar el equipo, en virtud de que ya no es TIC’s
operable.
4 Si el técnico a cargo determina que el equipo

definitivamente no tiene una solución procede
a realizar la respectiva acta de baja del equipo
informático.
5 El técnico de TIC’s deberá realizar el préstamo

de un equipo a un usuario temporalmente o la
asignación de uno nuevo según el
procedimiento correspondiente.
6 Recepción del equipo por parte del usuario Usuario / Área administrativa
correspondiente.
7 Firma acta de entrega de equipo y recepción Departamento de TIC’s

del mismo (si no posee)
Figura 7 Baja de equipo informático
Instalación y Control de licencias de Software
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Todo bien informático cumple su tiempo de vida útil y en la actualidad la tecnología

avanza de una manera veloz, es por ello que los equipos informáticos necesitan ser
actualizados constantemente para que los procesos que se realicen en la empresa sean
llevados de manera más eficaz.
Objetivo:
Llevar un control sobre las licencias de software que se utilizan en los diferentes
equipos informáticos de la empresa.
Alcance
Todos los equipos en las áreas administrativas de Consulting Group
Tabla 8 Instalación y control de licencias de software
1 Solicitar instalación de licencia de software. Usuario / área Administrativa
2 Verificar disponibilidad de licencias del

software solicitado.
3 Analizar requerimiento y consulta control de Departamento de TIC’s

licencias.
Elaborar informe si no hay disponibilidad de

4
licencias y notificar a Usuario; si no asignar
licencia, actualizar control y entregar
credenciales a Técnico de TIC’s.
5 Recibir credenciales para instalar hardware,
software con sus licencias solicitado, si la
computadora del usuario tiene capacidad para Técnico de TIC’s
que la ejecución del software se realice, si no
comunicar a usuario la razón por la que no
instalará la aplicación
5 Realizar un informe y notificar al

departamento de TIC’s sobre el resultado del
servicio
Figura 8 Instalación y control de licencias de software
Asesoría y Soporte Técnico
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Los funcionarios deberán solicitar soporte técnico vía telefónica o correo electrónico,
el soporte será entregado por personal técnico especializado del departamento de TIC’s
quienes deberán brindar la asistencia y solucionar las incidencias reportadas por los
usuarios.
Objetivo:
Evitar la interrupción de las tareas encomendadas a los funcionarios por medio de

soporte técnico del departamento de TIC’s para solucionar los problemas dados en los
equipos informáticos.
Alcance
Tabla 9 Asesoría y soporte técnico
1 Solicitar servicio de soporte o asistencia Usuario / área

informática. administrativa
2 Recibir solicitud y asignar la tarea al Técnico de Departamento de TIC’s

TIC’s
3 Verificar falla o comportamiento anormal del

equipo
4 Revisar hardware, software y configuración del

equipo.
Técnico de TIC’s
Realizar corrección si la falla es del software; si la
5
falla es de hardware realizar el reporte y seguir el
procedimiento 5 de mantenimiento correctivo.
6 Realizar pruebas de funcionamiento del equipo
7 Elaborar hoja de servicio, actualizar y cerrar el

registro del requerimiento con la descripción del
servicio brindado.
8 Firmar hoja de recepción del servicio a satisfacción Usuario / área

administrativa
Figura 9 Asesoría y soporte técnico
Procedimiento de Copia de seguridad
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Las copias de seguridad sirven para asegurar que la información generada por las
diferentes unidades administrativas, no se Pierda y esté disponible en caso de desastre,
o cualquier contingencia
Objetivo:
Asegurar la información la información de la empresa a través de copias de respaldo

de archivos, programas, sistemas operativos y bases de datos garantizando su
recuperación ante posibles pérdidas, su integridad y la continuidad de los procesos de
la empresa.
Alcance
Tabla 10 Copias de seguridad y respaldo
1 Establece la importancia de realizar los Departamento de TIC’s

respaldos e identificar los datos a los que se va
a realizar backup.
2 Alistar, configurar y verificar hardware para

copias de respaldo.
3 Verificar el estado de los medios de

almacenamiento en disco duro, cinta u otro
dispositivo.
4 Técnico de TIC’s
Ejecutar copia de seguridad y respaldo.
Verificar que el backup realizado haya

6 quedado bien ejecutado en el medio de
almacenamiento.
7 Identificar, rotular y almacenar y Cerrar

Operación.
Envía medios al área de resguardo

8
Flujograma del Procedimiento
Figura 10 Copias de seguridad y respaldo
Capacitación Sobre seguridad informática al personal
DEPARTAMENTO DE
TECNOLOGÍAS DE LA
Procedimiento
Descripción:
Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir con las

Políticas y Estándares de Seguridad Informática para Usuarios en el presente manual.
Objetivo:
Capacitar al personal deberá contar sobre el uso de los sistemas de información de la

empresa y de igual manera sobre las políticas y estaderas de seguridad informática.
Alcance
Tabla 11 Capacitación al personal
1 Elaborar cronograma para realizar Departamento de TIC’s

capacitación.
2 Solicitar espacio para capacitación a la

gerencia de la empresa.
3 Enviar informes de existencia de capacitación

para conocimiento del personal como también
fecha y ahora.
Jefe de TIC’s
Realización de cursos de capacitación para el
4 personal.
5 Elaborar acta de participación.
6 Reprogramar nuevas fechas cuando se crea Departamento de TIC’s

necesario volver a capacitar al personal cuando
existan modificaciones en las políticas
informáticas de la empresa.
Figura 11 Capacitación al personal
Anexo A 01: Ficha mantenimiento Preventivo y Correctivo
Datos de Usuario
SERVICIO No: FECHA DE OFICIO: NOMBRE DEL USUARIO CARGO
TIPO DE SERVICIO: AREA / DEPARTAMENTO TEL. Y EXT.:

PREVENTIVO CORRECTIVO
DESCRIPCIÓN DEL EQUIPO
MARCA: MODELO:
SERIE: FECHA DE RECEPCIÓN DE EQUIPO:
INDIQUE EL MOTIVO DE SU SOLICITUD MARCANDO ALGUNA(S) DE LAS OPCIONES SOMBREADAS Y EN NEGRITA
 SOPORTE TÉCNICO  SERVICIO DE INTERNET  OTROS
Indique los problemas que presenta el Indique los problemas que Indique que servicio desea solicitar
equipo: presenta el equipo:
 No prende / No inicia  Problema de Internet  Instalación/Actualización de
 Se reinicia  Conexión a la red programas
 Malware (virus)  Solicitud de Correo  Actualización de Antivirus
 Bloqueo / Lentitud  Configurar correo  Respaldo de información
 Impresora / Scanner  Problemas con páginas web  Instalación de Sistema operativo
 Puertos USB  Problema con Correo  Apoyo Técnico
 Sistema Operativo electrónico  Recuperación de información
 Mensaje de error
 Problema de Regulador
 Problema con el Mouse
 Problemas con el teclado
 Problema con el Monitor
 Problema con el CPU Otro Otro
Otro
*** RECOMENDACIONES GENERALES ***

Si requiere respaldar otras carpetas o archivos favor anotar la ruta completa de estos, ejemplo: “c:\personal\documentos”, no utilice rutas incompletas o nombres
irrelevantes como “todo”, “carpeta del spss”, “carpeta de fulanito”, etc. Seleccionando las carpetas indicadas en este format o (ejemplo: Mis documentos), la
selección aplicará para todas las cuentas de usuario del equipo, a menos que se especifique lo contrario. El área de Soporte Técnico no se hará respo nsable por
perdida de información del usuario que no se indiquen con claridad o no se especifiquen en la presenta solicitud.
ESPACIO LLENADO POR EL AREA DE SOPORTE TECNICO

DIAGNOSTICO:
EL EQUIPO REQUIERE COMPRA DE HARDWARE O SOFTWARE: SI NO Cual:
SERVICIO PROPORCIONADO:
SE REINSTALO ARCHIVOS OFICIALES: SI NO SE ELIMINO INFORMACION NO OFICIAL: SI NO Cual:
SOFTWARE REINSTALADO: WINDOWS: XP WIN7 WIN10 OFFICE: 2013 2016
IMPRESORAS/SCANNER
FECHA DE ENTREGA DEL EQUIPO: / /

Firmas
SOPORTE TÉCNICO RECIBÍ DE CONFORMIDAD
NOMBRE Y FIRMA NOMBRE Y FIRMA

Anexo A 02: Gestión dé cuenta de usuario
Anexo A 03: Solicitud de creación de Creación de Correo institucional
COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIÓN CONSULTING GROUP
SOLICITUD DE CREACIÓN DE CUENTAS DE CORREO ELECTRÓNICO
INSTITUCIONAL
Fecha:
Señores
Departamento de Tecnologías de la información y Comunicación
Por medio de la presente, solicito la creación de una cuenta de correo electrónico institucional,
para ello adjunto los siguientes datos:
Datos Personales
Cedula / Pasaporte
Apellidos
Nombres
Dirección de Correo
Teléfono
Datos institucionales
Departamento
Cargo
Fecha de inicio funciones
[aaaa-mm-dd]
El suscrito asume las responsabilidades inherentes a la administración de la cuenta de correo

electrónico institucional asignada.
Atentamente,
Sello Institucional
Funcionario solicitante
Anexo A 04 Solicitud de Copias de Seguridad (Backups)
FORMATO DE SOLICITUD DE BACKUP

DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN CONSULTING GROUP
Fecha de Solicitud: Numero de Solicitud
DATOS DEL SOLICITANTE
Nombres y Apellidos:
Cargo: Teléfono:
Departamento: Extensión:
Correo Electrónico:
TIPO DE INFORMACIÓN A ALMACENAR
Confidencial No Confidencial
INFORMACIÓN A RESPALDAR (BACKUP)

Tipo/Fuente de datos: (Ej:
Carpetas, archivos Word, Excel
Power Point, Base de datos SQL,
Logs, Exchange, Archivos de
sistema)
Backup de información alojada en
unidades compartidas:
Especifique la ruta (Ej.
\\172.16.9.31\ArchivosABC)
Indique los archivos a los cuales se
les deberá realizar backup: (liste
todos y cada uno de los archivos
que requiera sean respaldados)
MEDIOS MAGNÉTICOS A ALMACENAR LA INFORMACIÓN
Discos Rígidos(HDD) Dispositivo Extraíble(USB) Disco Duro extraíble CD-DVD/R OTROS
Observaciones:
Total GB a respaldar (Tamaño):

COPIAS PERIÓDICAS
Detalle Diario Semanal Mensual Anual

Agenda (Ej: Diario: Lunes a
Viernes, Mensual: último domingo
de cada mes, Semanal: Sábados,
Anual: último domingo del año,
Eventual: Fecha específica)
Horario:
FIRMAS
Departamento de TIC’s Solicitante

Anexo A 05: Bitácora de Seguimiento de Backups
Bitácora de Seguimiento a Backups
Fecha de Hora Hora Tamaño Contenido de Backup Medio de Fecha de Responsable de

Backup (Inicio) (Final) de almacenamiento entrega a Custodia
(DDMMAA) Backup custodia
Anexo A 06: Ficha de requerimiento para Asistencia Técnica
ASISTENCIA TÉCNICA
Fecha de Solicitud:
Hora:
Nombre de quien reporta
Nombres y Apellidos:
Cargo: Teléfono:
Departamento: Extensión:
Correo Electrónico :
Tipo de Reporte
Computadora Impresora Red Local Correo Electrónico Microsoft Windows
Office Otro Software
Describa brevemente la solicitud de servicio:
¿Se había solicitado con anterioridad este servicio?

Si
No
Fecha:
Solución y Observaciones
Acepta como terminado el Servicio: Si No
Fecha de Finalización del reporte: _________________________
Servicio realizado por: _________________________
FIRMAS

Anexo A 07: Acta de baja de Equipo informático
Acta de baja de equipo informático

DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN CONSULTING GROUP+
Fecha de Solicitud:
Numero de Solicitud:
Dependencia origen (Entrega)

Responsable actual
Documento de Identidad C.I.
Departamento
Cargo
Departamento de TIC’s (Recibe)
Responsable a cargo
Documento de Identidad C.I.
N°
Descripción del equipo informático Inventario No. Serie N° Mac o IP
Fecha de compra:
/ /
Información del equipo de computo
Ubicación del fragmento y
Descripción Entrega Funciona responsable
Monitor SI NO SI NO
Teclado SI NO SI NO
Mouse SI NO SI NO
Disco Duro Capacidad GB SI NO SI NO
Memoria Capacidad RAM SI NO SI NO
Procesador SI NO SI NO
Board SI NO SI NO
Lector Óptico CD DVD SI NO SI NO
Fuente SI NO SI NO
Tarjeta de Red SI NO SI NO
Tarjeta de Video SI NO SI NO
Tarjeta de Sonido SI NO SI NO
DICTAMEN TÉCNICO. CALIFICACIÓN DE EQUIPO

BAJA DEFINITIVA
BAJA PARA DEPÓSITO Y APROVECHAMIENTO FUTURO DE PIEZAS O COMPONENTES.
BAJA PARA DONACIÓN A OTRAS INSTITUCIONES
MOTIVO:
OBSERVACIONES
FIRMAS
Firma/Sello dependencia origen (Entrega) Firma/Sello departamento de TIC’s (Recibe)
Firma/Sello de responsable actual Firma/Sello Soporte Técnico TIC’s

Anexo A 08: Ficha de instalación de software
SOLICITUD INSTALACIÓN DE SOFTWARE

Fecha de Solicitud:
Hora:
Solicitante
Teléfono / Extensión
Correo Electrónico
Departamento
Cargo
Departamento donde se requiere realizar la
instalación
Sustento de requerimiento:
Fecha inicio de uso del Fecha fin de

software uso del software
Dicho formulario deberá remitirse con una antelación mínima de 15 días a la fecha de utilización del software
Nombre de Software
Versión
TIPO DE SOFTWARE CON LICENCIA LIBRE
INSTRUCCIONES DE DESCARGA
(si son necesarias)
INSTRUCCIONES DE INSTALACIÓN DEL SOFTWARE
Si no se especifican instrucciones de instalación, se realizará la instalación por defecto

Anexo A 09: Control de licencias de software
FICHA DE REGISTRO DE LICENCIAS DE SOFTWARE
Nombre del software Número de Serie Versión Fecha de adquisición Fecha de renovación Duración de la licencia
Observaciones:
____________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________
Anexo A 10: Ficha de Instalación de equipos informaticos
SOLICITUD INSTALACIÓN DE EQUIPO INFORMÁTICO

Fecha de Solicitud: Solicitud N°:
Hora:
Solicitante
Teléfono / Extensión
Correo Electrónico
Departamento
Cargo
1. Datos del Equipo
Marca Proveedor Modelo
Ubicación física de la instalación
2. Configuración de Hardware
Placa inventario Marca y/o modelo monitor
Modelo CPU Serial Monitor
Serial CPU Marca y/o modelo teclado

Velocidad Serial Teclado
Procesador
Marca y/o Modelo Mouse
Memoria RAM
Marca Capacidad Tecnología Serial Mouse
Disco Duro
IDE SATA Otro
3. Configuración de Red
Nombre de equipo En Red Dirección IP Dirección Mac Velocidad
SI NO
[ ] TCP
Servicio de puertos Puertos Abiertos Tipo de Puertos
[ ] UDP
4. Sistema Operativo Instalado
Windows 7 (x86/x64) [ ] Windows 8/8.1(x86/x64) [ ] Windows 10 (x86/x64) [ ] Otro [ ]

5. Software Instalado (Especificar)
6. Recomendaciones y/o observaciones
FIRMAS
Entrega

Devolución
Solicitante Departamento de TIC’s

Anexo A 11 Cronograma de Capacitación
CRONOGRAMA DE CAPACITACIONES
N° Descripción de la capacitación Actividad MES DEL AÑO
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
10
Observaciones: _______________________________________________________________________________________________________________________
Anexo A 12 Solicitud de espacio físico para capacitación
COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIÓN CONSULTING GROUP
Solicitud de Espacio físico para capacitaciones
Fecha:
Señores
Gerencia General Consulting Group Santo Domingo
Por medio de la presente, solicito la prestación de espacio físico dentro de la institución

como motivo de capacitación a los funcionarios:
Fecha Horario
Agradezco su colaboración
Atentamente,
Sello Institucional
Departamento de TIC’s Gerencia General

Anexo A 13 Acta de asistencia
Acta de Asistencia
Fecha: Hora de inicio:
Lugar Hora de finalización:
Tema:
Capacitador:
IMPORTANTE
Certificamos que hemos recibido capacitación en trabajo seguro, uso de elementos, equipos de protección, uso
adecuado de herramientas y normas básicas de seguridad de la información que debo acatar en la empresa y
fuera de esta cuando me encuentre en ejercicio de mi labor para garantizar la integridad de la información
manejada por el presente.
Nombre Dependencia Teléfono Correo Electrónico Firma
Observaciones:
Capacitador Departamento de TIC’s

Anexo 6 Plan de contingencia informático
PLAN DE CONTINGENCIA PARA EL

DEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN
v.1.0
AÑO 2018 - 2022

ÍNDICE
INTRODUCCIÓN .......................................................................................................... 57
OBJETIVO GENERAL .................................................................................................. 57
Objetivos Específicos ..................................................................................................... 57
Alcance y Responsabilidades.......................................................................................... 58
Fases de la metodología aplicada.................................................................................... 58
Organización del Plan de Contingencia .......................................................................... 58
Coordinación ejecutora del Plan ..................................................................................... 59
Comité de contingencia .................................................................................................. 60
Funciones y Roles del Comité del Plan de Contingencia ............................................... 60
Contraloría del Plan de Contingencia ............................................................................. 61
Análisis del Riesgo ......................................................................................................... 61
Probabilidad del Riesgo .................................................................................................. 62
Impacto del Riesgo....................................................................................................... 62
Exposición al Riesgo ...................................................................................................... 62
Definición de la Matriz de Riesgo .................................................................................. 62
Exposición = Impacto X Probabilidad ............................................................................ 63
Elaboración de los Planes de Contingencia .................................................................... 66
Formato de Registro del Plan de Contingencia .......................................................... 66
Encabezado ................................................................................................................. 66
Definición y ejecución del plan de pruebas .................................................................... 66
Alcance y Objetivos ........................................................................................................ 67
Validación y Registro de Pruebas ................................................................................... 68
DESARROLLO DE FASES, ACTIVIDADES, ESTRATEGIAS, PROGRAMAS. ..... 68
Identificación y Priorización de Riesgos ........................................................................ 69
Definición de Eventos susceptibles de Contingencia ..................................................... 71
Elaboración del Plan de Contingencia ............................................................................ 72

Desarrollo de las Actividades ......................................................................................... 74
Sub factor: Contingencias relacionadas a siniestros ....................................................... 74
Sub Factor: Contingencia relacionadas a los sistemas de información .......................... 84
Sub Factor: Contingencia relacionadas a los Recursos Humanos .................................. 95
Subfactor: Contingencias relacionadas a Seguridad Física .......................................... 103

ÍNDICE DE TABLAS
Tabla 1 Cuadro de impacto ............................................................................................. 63

Tabla 2 Cuadro de Probabilidad de Ocurrencia .............................................................. 63
Tabla 3 Eventos susceptibles de contingencia ................................................................ 64
Tabla 4 Matriz de Riesgo de Contingencia ..................................................................... 69
Tabla 5 Eventos Controlables ......................................................................................... 70
Tabla 6 Eventos no controlables ..................................................................................... 71
Tabla 7 Elementos vs sub factores a desarrollar ............................................................. 71
Tabla 8 Funcionarios Responsables de cada evento de contingencia (Sistemas de
información).................................................................................................................... 73
Tabla 9 Funcionarios Responsables de cada evento de contingencia (Recursos Humanos)
........................................................................................................................................ 73
Tabla 10 funcionarios responsables de cada evento de contingencia (Seguridad Física)
........................................................................................................................................ 73
Tabla 11 Riesgos relacionados a siniestros..................................................................... 75
Tabla 12 Riesgos Relacionadas a Sistemas de Información ........................................... 84
Tabla 13 Riesgos relacionadas a recursos humanos ....................................................... 95
Tabla 14 Plan de Seguridad Física ................................................................................ 104
Tabla 15 Sub factores priorizados por la empresa ....................................................... 104
Tabla 16 Sub factores priorizados por la empresa ........................................................ 105
Tabla 17 Sub factores priorizados por la empresa ........................................................ 105
ÍNDICE DE ANEXOS
Anexo 1 Formato de ocurrencia de evento ................................................................... 110

Anexo 2 Formato de registro del plan de contingencia ................................................ 111
Anexo 3 Control y Verificación de Pruebas de Contingencia ...................................... 113
Anexo 4 Copias de respaldo ......................................................................................... 114
INTRODUCCIÓN
El plan de contingencia de la información vital de la fundación ante la posible pérdida,

destrucción, robo y otras amenazas, es abarcar la preparación e implementación de un
completo plan de contingencia Informático.
Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios)

están expuestos a riesgo y puede ser fuente de problemas. El Hardware, el Software están
expuestos a diversos Factores de Riesgo Humano y Físicos. Estos problemas menores y
mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes
críticos (el disco duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.)
o por fallas técnicas (errores humanos, virus informático, etc.) que producen daño físico
irreparable.
La coordinación de TIC’s tiene el propósito de proteger la información y así asegurar su

procesamiento y desarrollo de funciones institucionales. En base a esos importante contar
con un Plan de contingencia adecuado de forma que ayude a la Empresa a recobrar
rápidamente el control y capacidades para procesar la información y restablecer la marcha
normal de la Fundación.
OBJETIVO GENERAL
Permitir la continuidad en los procedimientos informáticos, de la empresa, así como

enfrentarnos a fallas y eventos inesperados; con el propósito de asegurar y restaurar los
equipos e información con las menores perdidas; buscando mejorar la calidad de los
servicios que brinda Consulting Group.
Objetivos Específicos
 Garantizar la continuidad de las operaciones de los elementos considerados

críticos que componen los Sistemas de Información de la empresa Consulting
Group
 Realizar un conjunto de acciones con el fin de evitar el fallo, o en su caso,
disminuir las consecuencias que de él se puedan derivar.
 Contar con personal capacitado y organizado para afrontar adecuadamente las
contingencias que puedan producirse en las actividades de la empresa.
Alcance y Responsabilidades
El Plan de Contingencias Informático está basado en la realidad que manifiesta la

Empresa Consulting Group, y puede servir como punto de partida hacia la adecuación y
establecimiento de políticas en los diferentes procesos.
Es responsabilidad del Asesor de Sistemas o quien este delegue por escrito, el

cumplimiento del presente documento; cualquier cambio en la versión de este documento
debe ser revisado por el Asesor de Sistemas y el Coordinador Administrativo.
Metodología
Para elaborar el Plan de Contingencia se seguirá una metodología que tiene las siguientes
fases:
 Organización
 Identificación y priorización de riesgos
 Definición de eventos susceptibles a contingencia
 Elaboración del plan de contingencia
 Definición y Ejecución del plan de pruebas
 Implementación de plan de contingencia
Fases de la metodología aplicada
Organización del Plan de Contingencia
Uno de los aspectos que evidencia un carácter formal y serio en toda organización es que
ésta se encuentre siempre preparada para afrontar cualquier evento de contingencia o
dificultades en general y que le permitan poder superarlos por lo menos de manera
transitoria mientras dure dicho evento.
Es necesario entonces que la definición de un Plan de Contingencia informático deba

hacerse de manera formal y responsable de tal forma que involucre en mayor o menor
medida a toda la organización en el Plan de Prevención, Ejecución y Recuperación, pero
definiendo un grupo responsable para su elaboración, validación y mantenimiento
Por lo que se propone la siguiente organización
Ilustración 1 Organización Administrativa del Plan de Contingencia
A continuación, se describe las funciones y roles de la Organización Administrativa del

Plan de Contingencia:
Coordinación ejecutora del Plan
La Coordinación ejecutora del Plan de Contingencia será responsabilidad del Director

Ejecutivo, definiendo todas las políticas y acciones a llevarse a cabo durante un evento
de contingencia, también será responsable de que todas las actividades se cumplan de
acuerdo a lo planeado. Dicha coordinación será asistida y ejecutada en colaboración de
las Direcciones de Líneas de la Empresa.
 Mantener permanentemente actualizado el Plan de Contingencia.

 Responsable de la ejecución del plan de contingencia, cuando se presenten los
eventos que lo activan.
 Evaluar el impacto de las contingencias que se presenten.
 Elaborar los informes referidos al Plan de contingencias
 Proponer incorporaciones de eventos al plan de contingencia al Comité de
Contingencia.
 Proponer la capacitación al personal nuevo del servicio, sobre las actividades que
deben ejecutar cuando se presente la contingencia.
 Velar que el personal se encuentre debidamente capacitado y preparado para
ejecutar el plan de contingencia.
 Proponer reuniones periódicas sobre el plan de contingencia.
Comité de contingencia
El Comité de Contingencias es el órgano donde se coordinan y aprueban todas las

actividades previamente planificadas para ejecutarse en el caso de contingencias del
servicio.
Este comité se reunirá por lo menos con una periodicidad trimestral y en él se definirán
los lineamientos a través de los cuales se sustentará el Plan de Contingencia.
Dicho comité estará integrado por los siguientes miembros:
 Director Ejecutivo
 Director de Oficina de Administración
El Director Ejecutivo de la Oficina de Administración, designará a otros integrantes que
considere pertinente a participar en el comité.
Funciones y Roles del Comité del Plan de Contingencia
 Participar en las reuniones periódicas propuestas por el Coordinador del Plan de

Contingencia.
 Proponer la incorporación y/o modificaciones del Plan de contingencia.
 Aprobar y/o rechazar las incorporaciones y/o modificaciones del Plan de
Contingencia propuesta por el coordinador de contingencia o sus miembros.
 Verificar que el personal a su cargo se encuentre debidamente capacitado en la
ejecución del plan de contingencia.
 Coordinar la ejecución de las actividades del plan de pruebas.
 Aprobar los informes presentados por la coordinación del plan respecto a
cualquier evento relacionado con el mismo.
 Determinar las prioridades y plazos de recuperación de los diferentes servicios
que pudieran verse afectados.
 Coordinar con los recursos y/o proveedores externos necesarios para soportar y
restaurar los servicios afectados por la contingencia.
 Coordinar y ejecutar la capacitación al personal nuevo del servicio sobre las
actividades que deben de ejecutar cuando se presenta la contingencia.
Contraloría del Plan de Contingencia
La Oficina de Auditoría Interna sería el órgano que supervise todos los elementos y
recursos descritos para intervenir en una situación de contingencia estén disponibles y
sean perfectamente viables de modo tal que se garantice que no se presenten carencias
y/o fallas en una situación real bajo las Funciones y Roles siguientes:
 Verificar que el plan de contingencia se encuentre actualizado.

 Revisar y verificar que el documento de plan de contingencia se enmarque dentro
del alcance establecido.
 Velar por suministrar los recursos necesarios para la viabilidad del plan de
Contingencia y Seguridad.
 Corroborar que el plan de contingencia se cumpla correctamente.
 Presentar los informes del Plan de Contingencia al Comité de Contingencia de la
Empresa.
 Certificar que todos los recursos descritos en el Plan de Contingencia (materiales,
humanos, externos, etc.) sean viables y se encuentren disponibles para su uso
cuando un evento de contingencia lo requiera.
 Auditar los procesos que forman parte del Plan de Contingencia, corroborando
que se cumpla correctamente. Participar y visar las pruebas de validación del Plan
de Contingencia. Informar al Comité respecto a cualquier evento o anomalía
encontrada que ponga en riesgo la ejecución de todo o parte del plan.
 Proponer y recomendar actividades o procesos de mejora que permitan minimizar
los riesgos de operación.
Identificación y Priorización de Riesgos
Denominamos INCIDENCIA al hecho que se pueda presentar en cualquier momento,

bajo una probabilidad de ocurrencia.
Análisis del Riesgo
El análisis del riesgo se basa en la información generada en la fase de identificación, que

se convierte ahora en información para la toma de decisiones. En la fase del análisis, se
consideran tres elementos que permiten aproximar un valor objetivo de riesgo de la lista
de riesgos principales: la probabilidad, impacto y exposición del riesgo. Estos elementos
permitirán al equipo coordinador categorizar los riesgos, lo que a su vez le permite dedicar
más tiempo y principalmente a la administración de los riesgos más importantes.
Probabilidad del Riesgo
Es la probabilidad de que una condición se produzca realmente. La probabilidad del

riesgo debe ser superior a cero, pues si no el riesgo no plantea una amenaza al servicio.
Asimismo, la probabilidad debe ser inferior al 100% o el riesgo será una certeza; dicho
de otro modo, es un problema conocido.
La probabilidad se puede entender también como la posibilidad de la consecuencia,

porque si la condición se produce se supone que la probabilidad de la consecuencia será
del 100%.
Impacto del Riesgo
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una
pérdida, causados por la consecuencia.
Es una calificación aplicada al riesgo, para describir su impacto en relación al grado de

afectación del nivel de servicio normal. Cuanto mayor sea el número, mayor es el
impacto.
Para nuestro caso, clasificaremos el impacto con una escala del 1 al 4.
Exposición al Riesgo
La exposición al riesgo es el resultado de multiplicar la probabilidad por el impacto. A

veces, un riesgo de alta probabilidad tiene un bajo impacto y se puede ignorar sin
problemas; otras veces, un riesgo de alto impacto tiene una baja probabilidad, por lo que
también se podría pensar en ignorarlo, en cuyo caso habrá que considerar también la
criticidad de dicho evento. Los riesgos que tienen un alto nivel de probabilidad y de
impacto son los que más necesidad tienen de administración, pues son los que producen
los valores de exposición más elevados.
Definición de la Matriz de Riesgo
La ocurrencia de un evento tiene una implicancia sobre las actividades operativas del
servicio, en tal sentido, resulta vital conocer el impacto del evento cuando este se presenta,
por lo que resulta necesario cuantificar la misma, a efectos de ser muy objetivos en su
análisis. El factor numérico asignado es directamente proporcional y va en ascenso con
respecto al impacto o gravedad que su ocurrencia pueda generar sobre los diferentes
alcances del servicio y se clasificarán como se indica en el cuadro N° 1.
Tabla 11 Cuadro de impacto
Impacto Descripción Valor
Poco Impacto Pérdida de Información y/o equipamiento no 1

Sensitivo
Moderado Impacto Pérdida de información sensible 2
Alto Impacto Pérdida de información sensible, retraso o 3

interrupción
Gran Impacto Información crítica, daño serio, patrimonial 4
Fuente: Autor de la investigación Consulting Group: Tabla donde mostraremos el Cuadro de Impacto que
pueden existir en la Empresa. Elaborado: Albán W.
Tabla 12 Cuadro de Probabilidad de Ocurrencia
Probabilidad de Ocurrencia Descripción
Frecuente Incidentes repetidos
Probable Incidentes aislados
Ocasional Sucede alguna vez
Remoto Improbable que suceda
Fuente: Autor de la investigación Consulting Group: Tabla donde mostraremos Cuadro de Impacto que
pueden existir en la Empresa. Elaborado: Albán W.
Asimismo, la probabilidad de ocurrencia de un evento resulta de gran importancia para

determinar qué tan posible es que dicho evento se presente en la realidad. La
determinación de esta probabilidad se obtendrá de la estadística recogida de los eventos
que se hayan presentado a lo largo de la administración del servicio por otros proveedores,
así como la información obtenida de otros planes de contingencia para servicios similares.
Exposición = Impacto X Probabilidad
Finalmente, después de haber ponderado y validado objetivamente las probabilidades de

ocurrencia y los impactos asociados, se establecerán las políticas que se han de considerar
para determinar cuáles son aquellos eventos que formarán parte del Plan de Contingencia,
como sigue:
 Todo evento cuya calificación sea de “Gran Impacto: 4”, será considerado
obligatoriamente dentro del Plan de Contingencia.
 Todo evento cuya exposición al riesgo sea mayor o igual a 0.15 será también
considerado en el Plan de Contingencia (ver Cuadro N °4).
Después de todo lo expuesto, se elaborará la “Matriz de Riesgo de Contingencia” en la
cual se tendrá en cuenta todos los eventos susceptibles de entrar en contingencia,
indicando su ponderación y categorización (controlable/ no controlable) para la
elaboración del Plan de Contingencia. Asimismo, se utilizarán los siguientes tópicos
como una forma de agrupar a dichos eventos:
 Contingencias relacionadas a Siniestros

 Contingencias relacionadas a los Sistemas de Información
 Contingencias relacionadas a los Recursos Humanos
 Plan de Seguridad Física
Definición de eventos susceptibles de contingencia
El Plan de Contingencia abarca todos los aspectos que forman parte del servicio
informático, en tal sentido, resulta de vital importancia considerar todos los elementos
susceptibles de provocar eventos que conlleven a activar la contingencia.
Los principales elementos, que serán considerados para su evaluación:
Tabla 13 Eventos susceptibles de contingencia
 Servidores
 Estaciones de trabajo (laptops y
Hardware PC)
 Impresoras, fotocopiadoras,
scanner
 Equipos de radiofrecuencia
 Equipos multimedia
 Equipos de comunicaciones switch
y conectores RJ-45
Comunicaciones
 Equipo de comunicaciones Router
y LAN.
 Equipo de Telefonía fija
 Enlaces de cobre y fibra óptica.
 Cableado de Red de Datos.
 Software de Base de Datos
(Oracle, SQL, PostgreSQL)
 Aplicativos utilizados por el
Consulting Group.
Software  Software de Aplicaciones
(WebLogic, Tomcat Apache).
 Software Base (Sistemas
operativos y Ofimática)
 Antivirus para protección de
servidores y estaciones de trabajo.
Información sobre Sistemas  Base de datos utilizados por los
Informáticos Aplicativos.
 Respaldo de información generada
con Software Base y de Ofimática.
 Respaldo de las Aplicaciones
utilizadas por Consulting Group.
 Respaldos de Base de Datos.
 Respaldos de información y
configuración de los Servidores.
 UPS
Equipos diversos  Aire Acondicionado
 Departamento de TIC’s
Infraestructura Física  Oficinas administrativas de
Consulting Group
Operativos  Logística Operativa
 Energía Eléctrica
Servicios Públicos  Telefonía Fija/móvil
 Suministro de agua potable
Recursos Humanos  Disponibilidad de personal de
dirección.
 Disponibilidad de personal
operativo.
Elaboración de los Planes de Contingencia
Una de las fases importantes del Plan de Contingencia es la documentación y revisión de

la información que se plasmará en una guía práctica y de claro entendimiento por el
personal de Consulting Group.
Es por ello, que una fase importante de la metodología considera un formato estándar de
registro de todos los eventos definidos que forman parte del plan, así se tendrá finalmente
un entregable acorde con los requerimientos y políticas definidas para tal fin.
El contenido de todos los eventos que conformarán el Plan de Contingencia es:
Formato de Registro del Plan de Contingencia

Para una lectura fácil y rápida del Plan de Contingencia, se ha diseñado un formato, Ver
Anexo A02: “Formato Registro Plan de Contingencia”, el mismo que describimos a
continuación y que se compone de las siguientes partes:
Encabezado
El formato tiene un encabezado, cuyo contenido se presenta como sigue:
Elaborado: En todos los casos se indica “Consulting Group”.
Código del Formato: FPC – XX (ver matriz de riesgo de Contingencia).
Nombre del evento: Claro y de fácil entendimiento. Cuerpo Principal
En el cual se desarrollará cada uno de los eventos que formarán parte del Plan de
Contingencia y se describe el contenido que deberá ir en cada campo.
Definición y ejecución del plan de pruebas
Conscientes que una situación de contingencia extrema puede presentarse en cualquier

momento, y por ende convertirse en un problema prioritario de atender si éste se produjera
en el horario de oficina que pueda resultar impactante durante las actividades de
Consulting Group; es que se hace necesario definir de manera específica todas las
acciones necesarias para asegurar que, en caso real de contingencia y tener un conjunto
de prestaciones y funcionalidades mínimas que permitan posteriormente ejecutar el plan
de recuperación de manera rápida y segura.
En este sentido, la garantía del “éxito” del Plan de Contingencia se basa en una validación
y certificación anticipada del mismo, en cada uno de sus procesos.
Alcance y Objetivos
Dado que la mayor parte de los planes de contingencia están orientados a temas de
Siniestros, Seguridad y Recursos Humanos, cuyas situaciones son imposibles de
reproducir en la vida real (Ej.: terremotos, robos, accidentes, problemas logísticos, etc.),
es que el plan de pruebas estará enfocado principalmente a simular situaciones de
contingencia en caso de incidencias producidas sobre equipos, información y procesos,
manejados en situaciones reales y cuyos respaldos si pueden ser empleados y replicados
en una hipotética situación de contingencia.
En este contexto previo, podemos precisar los siguientes objetivos a alcanzar en la

realización de las pruebas:
 Programar la prueba y validación de todas las actividades que se llevarán a cabo

como parte del Plan de Ejecución del Plan de Contingencia respecto a una posible
interrupción de los procesos identificados como críticos para el servicio de la
empresa.
 Identificar por medio de la prueba, las posibles causas que puedan atentar contra
su normal ejecución y las medidas correctivas a aplicar para subsanar los errores
o deficiencias que se deriven de ella (retroalimentación del plan).
 Determinar los roles y funciones que cumplirán los responsables en la prueba, los
mismos que serán los asignados para su ejecución en caso de una situación real
de contingencia.
Con el fin de garantizar la ejecución integral de la prueba, se diseñará un conjunto de
casos de pruebas funcionales, que serán ejecutados por un grupo determinado de usuarios
de las diferentes direcciones y jefaturas de la empresa, los cuales probarán, verificarán y
observarán cualquier incidencia que se origine durante dicha prueba, a fin de
retroalimentar cualquier acción que pueda corregir el plan.
La información que se desarrollará como parte del Plan de Pruebas, tiene el siguiente
esquema:
1. Objetivos de la prueba del plan de contingencia

Definición Objetivos
2. Alcances
Áreas Afectadas (relación) Personal involucrado (relación)
3. Descripción de la prueba a efectuarse

Evaluación de una situación de Emergencia
Medios disponibles para operar
Fechas y horas
4. Resultados esperados de las pruebas
Relación de posibles acciones
Validación y Registro de Pruebas
Todas las actividades generales que forman parte de la prueba, deberán validarse,
registrarse (incluyendo observaciones) y firmarse por todos los responsables que
participaron en cada una de ellas, a fin de dar fe de su ejecución y certificación.
En el Anexo A03 “Control y Certificación de Pruebas de Contingencia” se muestra el

formato que se usará para la validación y registro de dichas pruebas, así como el detalle
de la información que deberá ser ingresada en cada campo:
Implementación del Plan de Contingencia
La implementación del presente plan se realizará en el segundo mes de su aprobación.
DESARROLLO DE FASES, ACTIVIDADES, ESTRATEGIAS, PROGRAMAS.
Como parte del presente capítulo, la Unidad de Informática, plantea el desarrollo de los
tópicos, utilizando la metodología expuesta anteriormente. Este desarrollo incluirá las
siguientes fases de la metodología:
 Identificación y Priorización de riesgos

 Definición de Eventos susceptibles de Contingencia.
 Elaboración del Plan de Contingencia.
Identificación y Priorización de Riesgos
En la tabla N °4 muestra la matriz de Riesgo de Contingencia, ponderado de acuerdo a

los valores de riesgo e impacto en el servicio (operatividad), usando el conocimiento y la
experiencia práctica de Informática en Gestión de Sistemas de Información:
Tabla 14 Matriz de Riesgo de Contingencia
Ítem Descripción del Probabilidad Impacto Ponderación Alerta Categoría

Riesgo
Sub Factor. Riesgos relacionados a Siniestros

INFRAESTRUCTURA
1 Incendio 0.04 4 0.16 C
2 Sismo 0.10 4 0.40 NC
3 Inundación por 0.02 1 0.02 C
desperfecto de los
servicios sanitarios
Servicios Públicos
4 Interrupción de 0.10 4 0.40 NC
energía eléctrica
5 Interrupción de 0.10 3 0.03 NC
servicios de telefonía
Sub Factor. Riesgos relacionados a Sistemas de Información
Información
6 Perdida de Documentos 0.02 3 0.06 C
7 Sustracción o robo de 0.02 3 0.06 C
información
Software
8 Infección de equipos 0.05 4 0.20 C
por virus
9 Perdidas de los 0.01 4 0.02 C
sistemas centrales
10 Perdida del servicio 0.01 2 0.02 C
de correo
11 Falla del sistema 0.04 4 0.16 C
operativo
Comunicaciones
12 Fallas en la red de 0.02 4 0.08 C
comunicaciones interna
Hardware
13 Fallas de quipos 0.02 2 0.04 C
personales
Recursos operativos y logísticos
Falla de equipos 0.01 2 0.02 C
14 multimedia,
impresoras, scanner y
otros
Sub factor riesgos relacionados a recursos humanos
Recursos Humanos
15 Ausencia imprevista de 0.05 3 0.15 C
personal de TIC’s
16 Ausencia de personal 0.05 3 0.15 C
Administrativo para la
toma de decisiones ante
situaciones de riesgos
informáticos
Sub factor Plan de seguridad física
Infraestructura
17 Sustracción de 0.02 2 0.04 C
equipos y software
diversos
18 Sabotaje 0.01 2 0.02 NC
19 Vandalismo 0.01 3 0.03 NC
Nota: El color rojo de la alerta representa que el evento es altamente impactante en el

servicio por lo tanto debe ser obligatoriamente controlado.
En la columna CATEGORÍA por cada evento, se considera la identificación de aquellos

eventos Controlables (C), y No Controlables (NC).
En las tablas N° 5 y N° 6 se resumen los eventos según la categorización de eventos

controlables y no controlables:
Tabla 15 Eventos Controlables
N° Tabla 4 Eventos Controlables

1 Incendio
3 Inundación por desperfecto de los servicios sanitarios
6 Extravió de documentos
7 Sustracción o robo de información
8 Infección de equipos por virus
9 Perdidas de los sistemas centrales
10 Perdida del servicio de correo
11 Falla del sistema operativo
12 Fallas en la red de comunicaciones internas
13 Fallas de equipos personales
14 Falla de equipos multimedia, impresoras, scanner y otros
15 Ausencia imprevista del personal del Departamento de TIC’s
Ausencia de personal ejecutivo para la toma de decisiones ante situaciones
16 de riesgo informático
17 Sustracción de equipos y software diversos
Tabla 16 Eventos no controlables
N° Tabla 4 Eventos no Controlables
2 Sismo
4 Interrupción de energía eléctrica
5 Interrupción de servicio de telefonía
18 Sabotaje
19 Vandalismo
Definición de Eventos susceptibles de Contingencia
Una vez identificados los eventos de contingencia, presentamos el cuadro N °7

“Elementos vs. Subfactores”, donde se muestra la relación existente entre los elementos
mínimos definidos por la Unidad de Informática, haciendo una referencia de todos los
Planes de Contingencia relacionados al mismo e indicando a que sub factor desarrollado
pertenecen.
Tabla 17 Elementos vs sub factores a desarrollar
PLAN DE CONTINGENCIA DESARROLLADO

ELEMENTO
CÓDIGO ALCANCE SUBFACTOR
Hardware
FPC-04 Servicios Públicos Contingencia Siniestros
Contingencia Sistemas
FPC-07 Información Información
FPC-08 Software Información
Servidores
Contingencia Seguridad
PC-18 Infraestructura Física
FPC-04 Servicios Públicos Contingencia Siniestros
Estaciones de Trabajo FPC-06 Información Información
(laptops y PC) Contingencia Sistemas
FPC-12 Comunicaciones Contingencia Sistemas
Información
Fotocopiadoras FPC-14 Operativo Contingencia Sistemas
Información
Impresoras, y scanner y/o
equipos multimedia
Equipos Multimedia FPC-14 Operativo Contingencia Sistemas
Información
Comunicaciones
Equipos de FPC-12 Contingencia Sistemas
Comunicaciones Información
comunicaciones switch y
conectores RJ-45
Equipo de FPC-12 Comunicaciones Contingencia Sistemas
Información
Comunicaciones Router
y LAN
Equipo de telefonía Fija FPC-12 Comunicaciones Contingencia Sistemas
Información
Cableado de Red de FPC-12 Comunicaciones Contingencia Sistemas
Información
Datos
Tabla donde se muestra los Elementos Vs. Sub factores a desarrollar que pueden existir en la Empresa.
Elaborado: Alban W.
Elaboración del Plan de Contingencia
Una vez identificados los eventos de contingencia y los elementos considerados afectados
o causantes de los mismos, pasamos a desarrollar los Planes de Contingencia agrupados
por los Sub factores.
A manera de resumen, presentamos un flujo general que explica la forma de responder

ante la ocurrencia de un evento de contingencia:
Fuente: Albán W (2018). Consulting Group Santo Domingo.
Los cuadros siguientes muestran los funcionarios responsables de cada evento de contingencia identificado:
Tabla 18 Funcionarios Responsables de cada evento de contingencia (Sistemas de información)
Sub factor: Sistemas de Información

Código Descripción del Evento de Contingencia Responsable (s) Titulares o sus
Representantes
Gerente Administrativo, Área

FPC-06 Extravío de documentos
Administrativa, jefe de TIC’S
FPC-07 Sustracción o robo de información
FPC-08 Infección de equipos por virus Jefe de TIC’S, Asistente de TIC’S
FPC-09 Pérdidas de los sistemas centrales Jefe de TIC’S, Asistente de TIC’S
FPC-10 Perdida del servicio de correo Jefe de TIC’S, Asistente de TIC’S
FPC-11 Falla del sistema operativo Jefe de TIC’S, Asistente de TIC’S
Fallas en la red de comunicaciones
FPC-12 Jefe de TIC’S, Asistente de TIC’S
interna
FPC-13 Falla de equipos personales Jefe de TIC’S, Asistente de TIC’S
Falla de equipos multimedia, impresoras,
FPC-14 scanner y otros Jefe de TIC’S, Asistente de
TIC’S
Fuente: Albán W (2018). Consulting Group Santo Domingo.
Tabla 19 Funcionarios Responsables de cada evento de contingencia (Recursos Humanos)
Sub factor: Recursos Humanos

Código Descripción del Evento de Contingencia Responsable (s) Titulares o
sus
Representantes
Ausencia imprevista del personal del
FPC-15 Administrativa y/o Recursos
departamento de TIC’s
Humanos
Ausencia de personal Administrativo para
la toma de decisiones ante situaciones de Gerente Administrativo, Área
FPC-16 riesgo informático Administrativa y/o Recursos
Humano
Fuente: Albán W (2018). Consulting Group Santo Domingo
Tabla 20 funcionarios responsables de cada evento de contingencia (Seguridad Física)
Sub factor: Seguridad Física

Código Descripción del Evento de Responsable (s) Titulares o
sus
Contingencia
Representantes
Sustracción de equipos y software diversos Gerente Administrativo, Área
FPC-17
FPC-18 Sabotaje
PC-19 Vandalismo
Los siguientes, tratarán del desarrollo de los Planes de Contingencia por cada Sub Factor identificado,
utilizando el formato anexo A02
Desarrollo de las Actividades
Sub factor: Contingencias relacionadas a siniestros
Siniestro: Se entiende por Siniestro a las emergencias originadas por la naturaleza

(sismos, inundaciones, erupciones volcánicas, deslizamientos, entre otros), y aquellas
producidas por causas no controlables tales como choques eléctricos, explosiones,
derrames, etc.
A continuación, se indica los puntos a desarrollarse para el presente subfactor:
Objetivo
Incluir en el Plan de Contingencia todos los eventos relacionados a siniestros que

permitan proveer de un conjunto de acciones destinadas a planificar, organizar, preparar,
controlar y mitigar una emergencia que se presente en las instalaciones, con la finalidad
de reducir al mínimo las posibles consecuencias humanas y operativas TIC que pudieran
derivarse de la misma.
Alcance
El alcance está circunscrito a los eventos de contingencia o emergencias que pudieran

afectar, paralizar o dañar las instalaciones, el personal o los recursos TIC’s.
Una consideración adicional a tenerse en cuenta ante la ocurrencia de un siniestro que

inhabilite total o parcialmente el “Centro de Datos”, es la coordinación que debe
realizarse con la Alta Dirección de la empresa
Por otro lado, consideramos que como parte del desarrollo del sub factor de Siniestros, se
debe incluir los elementos relativos a Servicios Públicos, por afectar o ser consecuencia
de siniestros que pueden presentarse:
 Interrupción de Energía Eléctrica; al momento de restablecerse la energía
eléctrica, pudiera realizarse con cargas altas que pudieran ocasionar algún tipo de
siniestros, afectando la seguridad física.
El siguiente cuadro es un resumen de la Matriz de Riesgos, considerando las
contingencias relacionadas a los Siniestros:
Tabla 21 Riesgos relacionados a siniestros
Descripción del Probabilidad Impact Ponderación Alerta

Evento de Ocurrencia o
Contingencia
Infraestructura
Incendio 0.04 4 0.16
Sismo 0.10 4 0.40
Inundación por 0.02 1 0.02

desperfecto de los
Servicios Públicos
Interrupción de energía 0.10 4 0.40
eléctrica
Falta de suministro de 0.01 3 0.03
agua
Interrupción de 0.01 3 0.03
servicios
de telefonía
Plan de pruebas
El plan de pruebas se determinará luego del análisis de los procesos críticos del servicio
y de identificar los eventos que pudieran presentarse. La aprobación del plan de pruebas
será efectuada por el Comité de Contingencias de Pruebas previamente a su ejecución.
Descripción de Planes
Se detallarán los Planes de Contingencia de los eventos de mayor impacto identificados

en la Matriz de Riesgo de Contingencia.
Evento: Incendio FPC-01
Versión: 1.0
Entidad Entidad
Fecha: responsable: involucrada: Pag.
1. PLAN DE PREVENCIÓN
A. Descripción del evento
Es un proceso de combustión caracterizado por la emisión de calor acompañado de humo, llamas
o ambas que se propaga de manera incontrolable en el tiempo y en el espacio. Se producen en
materiales sólidos, líquidos combustibles inflamables, equipos e instalaciones bajo carga
eléctrica entre otros.
Este evento incluye los siguientes elementos mínimos identificados por Consulting Group los
mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la
contingencia:
Infraestructura
 “Centro de Datos” de la Sede central de Consulting Group
Recursos Humanos
 Personal debidamente entrenado para afrontar el evento
B. Objetivo
Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar el tiempo de
interrupción de las operaciones de Consulting Group sin exponer la seguridad de las personas.
C. Criticidad
Consulting Group determinara que el presente evento tiene un nivel de gran impacto en el servicio
y se identifica como Critico
D. Entorno
Este evento puede ocurrir en todas las áreas administrativas de la empresa
E. Personal Encargado
El director y/o jefe de área, es quien debe dar cumplimiento a lo descrito en las Condiciones de
Prevención de Riesgo del presente Plan.
F. Condiciones de Prevención de Riesgo
 Realizar inspecciones de seguridad periódicamente.

 Mantener las conexiones eléctricas seguras en el rango de su vida útil.
 Charlas sobre el uso y manejo de extintores de cada uno de los tipos.
 Acatar las indicaciones del INDECI, en torno al evento
 Contar con una relación de teléfonos de emergencia que incluya a los bomberos,
ambulancias, y personal de Consulting Group responsable de las acciones de prevención
y ejecución de la contingencia.
Igualmente se contará con los siguientes elementos para la detección y extinción de un posible
incendio, los cuales cubrirán los ambientes del “Centro de Datos” y áreas afines a Informática de
la empresa:
 Implementar detectores de humo en el “Centro de Datos”

 Considerar la Implementación de la Central de detección de incendios
 Mantener actualizado los extintores (Agente Limpio FE-25)
2. PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
La Contingencia se activará al ocurrir un incendio
El proceso de contingencia se activará inmediatamente después de ocurrir el evento.
B. Procesos Relacionados antes del evento.

 Identificar la ubicación de las estaciones manuales de alarma contra incendio.
 Identificar la ubicación de los extintores.
 Conocer el número de emergencia del Departamento de seguridad y Vigilancia de la
empresa.
 Tener número de teléfono del personal responsable en seguridad Informática y
contingencia de la empresa.
 Conocer el número de emergencia de los bomberos.
C. Personal que autoriza la contingencia.
El Director de Administración, sus Representantes pueden activar la contingencia.
D. Descripción de las actividades después de activar la contingencia
 Tratar de apagar el incendio con extintores

 Comunicar al personal responsable de TIC’s
 Evacuar el área afectada
Luego de extinguido el incendio, se deberán realizar las siguientes actividades:

- Evaluación de daños ocasionados a los bienes e instalaciones.
- Inventario general de la documentación, personal, equipos, etc. y/o recursos afectados,
indicando el estado de operatividad de los mismos
- En caso se haya detectado bienes afectados por el evento, se evaluará el caso para
determinar la reposición o restauración
E. Duración
La duración de la contingencia dependerá del tiempo que demande controlar el incendio
A. Personal encargado
El personal encargado del Plan de Recuperación es el Departamento de TIC’S y el

equipo del área afectada, cuyo rol principal es asegurar el normal desarrollo de las
operaciones de la Empresa
B. Descripción
El plan de recuperación estará orientado a recuperar en el menor tiempo posible las

actividades afectadas durante la interrupción del servicio.
C. Mecanismos de comprobación
El jefe y/o área afectada presentará un informe al Departamento de TIC’S del Plan
explicando qué parte de las actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
D. Mecanismos de recuperación
Se efectuará de acuerdo a las instrucciones impartidas que se menciona en el punto a.
E. Desactivación del plan de contingencia
El jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una vez que se
haya tomado las acciones descritas en la descripción del presente Plan de Recuperación,
mediante una comunicación a la Gerencia Ejecutora del Plan.
F. Proceso de actualización
El proceso de actualización será en base al informe presentado por el jefe de TIC’S luego de
lo cual se determinará las acciones a tomar.
Evento: Sismo FPC-02
Versión: 1.0
Entidad Entidad
Los sismos son movimientos en el interior de la tierra y que generan una liberación repentina de
energía que se propaga en forma de ondas provocando el movimiento del terreno.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, los mismos
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia,
como se muestran a continuación:
Infraestructura
 Áreas administrativas de Consulting Group
Recursos Humanos
 Personal
B. Objetivo
Establecer las acciones que se tomarán ante un sismo a fin de minimizar el tiempo de interrupción
de las operaciones de la Empresa evitando exponer la seguridad de las personas.
C. Criticidad
La empresa determina que el presente evento tiene un nivel de gran impacto en el servicio y se
identifica como CRITICO.
D. Entorno
Este evento se puede dar en las instalaciones de la Empresa de todas las áreas administrativas.
El jefe de TIC’S, es quien debe dar cumplimiento a lo descrito en las Condiciones de Prevención
de Riesgo del presente Plan.
 Contar con un plan de evacuación de las instalaciones de Consulting Group, el mismo

que debe ser de conocimiento de todo el personal.
 Realizar simulacros de evacuación con la participación de todo el personal de la
Empresa.
 Mantener las salidas libres de obstáculos.
 Señalizar todas las salidas.
 Señalizar las zonas seguras.
 Definir los puntos de reunión en caso de evacuación
Sismos
El proceso de contingencia se activará inmediatamente después de ocurrir el evento.

 Tener la lista de los empleados por Direcciones y/o Oficinas actualizada.
 Inspecciones diarias de seguridad interna.
 Inspecciones trimestrales de seguridad externa.
 Tener número de teléfono del personal responsable en seguridad Informática y
contingencia de Consulting Group.
 Realización de simulacros internos en horarios que no afecten las actividades
El Gerente Administrativo o sus Representantes pueden activar la contingencia.
 Desconectar el fluido eléctrico

 Evacuar las oficinas administrativas de acuerdo a las disposiciones del jefe de TIC’s o
gerente administrativo utilizando las rutas establecidas en los simulacros y se debe
considerar escaleras de emergencia, señalización de rutas, etc.
 Alejarse de las ventanas para evitar sufrir cortes pro roturas o desprendimientos de
restos de vidrio.
 Evaluación de los daños ocasionados por el sismo sobre las instalaciones físicas,
ambientes de trabajo, estanterías, instalaciones eléctricas, documentos, etc.
 Inventario general de documentación, personal, equipos, etc. y/o recursos afectados,
indicando el estado de operatividad de los mismos.
 Limpieza de las áreas afectadas por el sismo.
 En todo momento se coordinará con personal de mantenimiento de la Empresa, para las
acciones que deban ser efectuadas por ellos.
El jefe de TIC’S Ejecutor del Plan de Contingencias deberá coordinar con la Gerencia de
la Empresa en caso se requiera la habilitación de ambientes provisionales alternos para
restablecer la función de los ambientes afectado
Luego de extinguido el incendio, se deberán realizar las siguientes actividades:

- Evaluación de daños ocasionados a los bienes e instalaciones.
- Inventario general de la documentación, personal, equipos, etc. y/o recursos afectados,
indicando el estado de operatividad de los mismos
- En caso se haya detectado bienes afectados por el evento, se evaluará el caso para
determinar la reposición o restauración
E. Duración
La duración total del evento dependerá del grado del sismo, la probabilidad de réplicas y los
daños a la infraestructura.
Los procesos de evacuación del personal de la Empresa serán calmados y demorará 5
minutos como máximo.

B. Descripción
El plan de recuperación estará orientado a recuperar en el menor tiempo posible la

producción pendiente durante la interrupción del servicio.
acciones tomadas.
D. Desactivación del plan de contingencia
E. Proceso de actualización
El proceso de actualización será en base al informe presentado por el Jefe de TIC’S luego
de lo cual se determinará las acciones a tomar.
Evento: Interrupción de Energía FPC-02
eléctrica Versión: 1.0
Entidad Entidad
Falla general del suministro de energía eléctrica.
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Servicios Públicos
 Energía Eléctrica
Hardware
 Servidores
 Estaciones de Trabajo
Equipos diversos
 UPS
B. Objetivo
Restaurar las funciones consideradas como críticas para el servicio
C. Criticidad
D. Entorno
Este evento se puede dar en las instalaciones de la Empresa de todas las áreas administrativas.
El Departamento de TIC’S, jefe de TIC’S, es responsables de realizar las coordinaciones para

restablecer el suministro de energía eléctrica.
 Durante las operaciones diarias del servicio u operaciones de la Empresa se contará con
los UPS necesarios para asegurar el suministro eléctrico en las estaciones de trabajo
consideradas como críticas.
 Asegurar que los equipos UPS cuenten con el mantenimiento debido con suficiente
energía para soportar una operación continúa de 30 minutos como máximo. El tiempo
variará de acuerdo a la función que cumplan los equipos UPS
 Realizar pruebas periódicas de los equipos UPS para asegurar su correcto
funcionamiento.
 Contar con UPS para proteger los equipos de vigilancia (cámaras, sistemas de grabación)
y de control de acceso a las instalaciones de la empresa (puertas, contactos magnéticos,
etc.)
 Contar con equipos de luces de emergencia con tolerancia de 15 minutos, accionados
automáticamente al producirse el corte de fluido eléctrico, los cuales deben estar
instalados en los ambientes críticos
 Contar con procedimientos operativos alternos para los casos de falta de sistemas, de tal
forma que no se afecten considerablemente las operaciones en curso.
Corte de suministro de energía eléctrica en la empresa.
Cualquier actividad de servicio dentro de las instalaciones de Consulting Group.
El Gerente Administrativo o sus Representantes pueden activar la contingencia.
 Informar al Director de Administración y/o Jefe de Informática del problema

presentado.
 Dar aviso del corte de energía eléctrica en forma oportuna a todas las áreas de la
Empresa y coordinar las acciones necesarias.
 Las actividades afectadas por la falta de uso de aplicaciones, deberán iniciar sus
procesos de contingencia a fin de no afectar las operaciones en curso.
 En el caso de los equipos que entren en funcionamiento automático con UPS ́s, se
deberá monitorear el tiempo de autonomía del equipo y no exceder el indicado
anteriormente.
 En caso la interrupción de energía sea mayor a quince minutos, se deberán apagar los
servidores de producción, y desarrollo hasta que regrese el fluido eléctrico.
E. Duración
El tiempo máximo de duración de la contingencia dependerá del proveedor externo de

energía eléctrica
F. Personal encargado

G. Descripción
El plan de recuperación estará orientado a recuperar en el menor tiempo posible la

producción pendiente durante la interrupción del servicio.
H. Mecanismos de comprobación
acciones tomadas.
I. Desactivación del plan de contingencia
J. Proceso de actualización
El proceso de actualización será en base al informe presentado por el jefe de TIC’S luego de
lo cual se determinará las acciones a tomar.
Sub Factor: Contingencia relacionadas a los sistemas de información
A continuación, se muestra los puntos a desarrollarse para el presente sub factor
Objetivo
Los planes de contingencia de los eventos relacionados a los Sistemas de Información

tienen por objetivo que ante cualquier evento que atente contra la normal operación tanto
en hardware, software como en cualquier elemento interno o externo relacionado a los
mismos, se dispongan de alternativas de solución frente al problema a fin de asegurar la
operación del servicio y/o minimizar el tiempo de interrupción.
Alcance
El alcance de dichos planes se circunscribe a las actividades de uso de sistemas y/o

aplicaciones, así como a las operaciones del servicio que son afectadas durante la
operatividad de la Empresa.
Resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los

Sistemas de Información que se describirán en detalle más adelante
Tabla 22 Riesgos Relacionadas a Sistemas de Información

Contingencia
Información
Extravió de documentos 0.02 3 0.06
Sustracción o robo de 0.02 3 0.06
información
Software
Infección de equipos por 0.05 4 0.20
virus
Perdida de los sistemas 0.05 4 0.20
centrales
Perdida de servicio de 0.01 2 0.02
correo
Falla del sistema operativo 0.04 4 0.16
Comunicaciones
Fallas en la red de 0.02 4 0.08

comunicación interna
Hardware
Falla de equipos 0.02 2 0.04
personales
Recursos operativos y logísticos
Falla de equipos 0.01 2 0.02
multimedia,
impresoras, scanner y
otros
Plan de Pruebas
El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor
Sistemas de Información, seguirá la metodología expuesta en el punto 4.5 del Plan de
Contingencia.
El plan de pruebas se determinará luego del análisis de los procesos críticos de las
operaciones y de identificar los eventos que pudieran presentarse. La aprobación del plan
de pruebas será efectuada por el Comité de Contingencias de Pruebas previamente a su
ejecución.
Descripción de Planes
Se detallarán los Planes de Contingencia de alguno de los eventos identificados en la

Matriz de Riesgo de Contingencia.
Evento: Infección por virus FPC-12
Versión: 1.0
Entidad Entidad
Virus informático es un programa de software que se propaga de un equipo a otro y que interfiere
el funcionamiento del equipo. Además, Un virus informático puede dañar o eliminar los datos de
un equipo
que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Hardware
 Servidores
 Estaciones de trabajo
Software
 Aplicativos utilizados por Consulting Group

 Sistemas operativos
B. Objetivo
Restaurar la operatividad de los equipos después de eliminar los virus o reinstalar las aplicaciones
dañadas.
C. Criticidad
D. Entorno
Las estaciones de trabajo PC´s, se encuentran instaladas las áreas administrativas de la empresa
El Departamento de TIC’S, jefe de TIC’S, es responsable en la supervisión del correcto

funcionamiento de las estaciones PC´s
 Establecimiento de políticas de seguridad para prevenir el uso de aplicaciones no

autorizadas en las estaciones de trabajo.
 Restringir el acceso a Internet a las estaciones de trabajo que por su uso no lo requieran.
 Deshabilitar los puertos de comunicación USB en las estaciones de trabajo que no los
requieran habilitados, para prevenir la conexión de unidades de almacenamiento externo.
 Aplicar filtros para restricción de correo entrante, y revisión de archivos adjuntos en los
correos y así prevenir la infección de los terminales de trabajo por virus.
 Contar con antivirus instalados en cada estación de trabajo, el mismo que debe estar
actualizado permanentemente.
 Contar con equipos de respaldo ante posibles fallas de las estaciones, para su reemplazo
provisional hasta su desinfección y habilitación.
 Mensajes de error durante la ejecución de programas.

 Lentitud en el acceso a las aplicaciones.
 Fallo general en el equipo (sistema operativo, aplicaciones).
Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo
El Gerente Administrativo, jefe de TIC’S o sus Representantes pueden activar la

contingencia.
 Desconectar la estación infectada de la red de la empresa.

 Verificar si el equipo se encuentra infectado, utilizando un detector de virus
actualizado.
 Rastrear de ser necesario el origen de la infección (archivo infectado, correo
electrónico, etc.)
 Eliminar el agente causante de la infección.
 Remover el virus del sistema.
 Probar el sistema.
 En caso no solucionarse el problema:
- Formatear el equipo
 Efectuar las pruebas necesarias con el usuario.
 Solicitar conformidad del servicio.
E. Duración
La duración del evento no deberá ser mayor a Dos horas en caso se confirme la presencia de
un virus. Esperar la indicación del personal de soporte para reanudar el trabajo.
3. PLAN DE RECUPERACIÓN
El Técnico de Soporte de Sistemas de la Empresa, luego de restaurar el correcto

funcionamiento de la estación de trabajo (PC), coordinará con el usuario responsable y/o jefe
del área para reanudar las labores de trabajo con el equipo
B. Descripción
Se informará al jefe de TIC’S de la Empresa, el tipo de virus encontrado y el procedimiento

usado para removerlo.
En función a esto, se tomarán las medidas preventivas del caso enviando una alerta vía correo
al personal de la Empresa.
El evento será evaluado y registrado de ser necesario en el formato de ocurrencia de eventos.
Se llenará el formato de ocurrencia de eventos y se remitirá a la Coordinación Ejecutora del

Plan para su revisión
Con el aviso del Técnico de Soporte de Sistemas de la Empresa, se desactivará el presente

Plan.
El problema de infección presentado en la estación de trabajo, no debe detener la Aplicación

de actualización de datos en las Aplicaciones de la Empresa.
Evento: Perdida de los sistemas FPC-13
centrales Versión: 1.0
Entidad Entidad
Es la ausencia de interacción entre el Software y el Hardware haciendo inoperativa la máquina,
es decir, el Software no envía instrucciones al Hardware imposibilitando su funcionamiento.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se
muestran a continuación:
Software
 Software base
Hardware
 Servidores
Información
 Respaldo de Base de Datos

 Respaldo de las aplicaciones utilizadas por la Empresa
 Respaldo de software
B. Objetivo
Mantener operativo los servidores de producción donde se ejecutan las aplicaciones de la

empresa.
C. Criticidad
D. Entorno
Los servidores de aplicaciones están situados en el centro de datos de la Empresa.
Jefe de TIC’S de la Empresa es el responsable de asegurar el correcto funcionamiento de los

servidores durante los servicios. Se coordinarán las acciones necesarias para restablecer el
servicio en caso se produzca el evento.
Tomar las siguientes acciones preventivas que debe implementar el Departamento de TIC’S
de la Empresa para asegurar el servicio de las aplicaciones:
 Contar con equipos de respaldo ante posibles fallas de los servidores.
 Contar con mantenimiento preventivo para dichos equipos.
 Contar con los backups de información necesarios para restablecer las aplicaciones
Anexo A04: Copias de Respaldo.
 Contar con backups de las aplicaciones y de las bases de datos.
 Almacenar en un lugar seguro los backups referidos a aplicaciones y datos. Se
recomienda el almacenamiento De Los Backups en un lugar externo fuera de las
instalaciones de la empresa.
 Falla en acceso a aplicaciones

 Perdida de conexión con base de datos.
Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo
El jefe de TIC’S o sus Representantes pueden activar la contingencia.
 Remitirse a los Procedimientos de recuperación de sistemas de la Empresa
E. Duración
La duración del evento estará en función de la complejidad del problema encontrado.

Esperar la indicación del jefe de TIC’S de la Empresa para reanudar la operación
normal con las aplicaciones.
El jefe de TIC’S de la Empresa, luego de verificar la corrección del problema de acceso a

los servidores, coordinará con los Gerente para la reanudación de los trabajos operativos con
las aplicaciones de la Empresa
B. Descripción
Se informará a la Gerencia la causa que motivó la paralización del servicio. En función a

esto, se tomarán las medidas preventivas del caso y se revisará el plan de contingencia para
actualizarlo en caso sea necesario
Se llenará el formato de ocurrencia de eventos y se remitirá a la Coordinación Ejecutora del

Plan para su revisión
Con el aviso del jefe de TIC’S de la Empresa, se desactivará el presente Plan.
En caso existiese información pendiente de actualización, debido a la falla de los sistemas
centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar las labores de
actualización de los sistemas.
Evento: Falla de Sistemas FPC-16
Operativos Versión: 1.0
Entidad Entidad
Falla en el control de computadoras, en el interfaz hombre-máquina, recursos hardware y
software de la Empresa.
Este evento incluye los siguientes elementos mínimos identificados por la empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Software
Hardware
 Servidores
Información
 Respaldo de Base de Datos

 Respaldo de las aplicaciones utilizadas por la Empresa
 Respaldo de software
B. Objetivo
Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados para restaurar
las funciones de los elementos identificados.
C. Criticidad
D. Entorno
Se puede producir durante la operatividad, afectando a las estaciones de trabajo y/o servidores de
aplicaciones usados para dar soporte a las operaciones.
El jefe de TIC’S de la empresa es el responsable de coordinar las acciones necesarias para

asegurar el correcto funcionamiento de las aplicaciones.
Se debe asegurar de cubrir los siguientes aspectos:

Contar con los backups diarios de datos de las aplicaciones en producción en la Empresa
Anexo A 04: Copias de Respaldo.
Contar con servicios de soporte vigentes para los principales causantes del evento:
La Empresa debe asegurarse de mantener acuerdos con sus
Proveedores de Servicio.
Revisión periódica de los logs de actividad de los servidores para prevenir su mal
funcionamiento.
Estaciones de trabajo y servidores deberán contar con antivirus
actualizados.
Detención de las funciones de trabajo en estaciones de trabajo /o servidores

de aplicaciones.
Identificación de falla en el monitor de los servidores de aplicaciones y/o
estaciones de trabajo.
Respaldo disponible de los sistemas operativos para la ejecución de las

aplicaciones en los servidores.
En el caso de las estaciones de trabajo

Proceder a la revisión de la estación de trabajo para determinar la causa de la falla
Verificar si el equipo se encuentra infectado, utilizando un detector de virus
Actualizado
Rastrear de ser necesario el origen de la infección (archivo infectado, correo
electrónico, etc.)
Remover el virus del sistema.
Probar el sistema.
En caso no solucionarse el problema:
 Formatear el equipo
 Personalizar la estación para el usuario
 Conectar la estación a la red del Archivo.
Efectuar las pruebas necesarias con el usuario.
Solicitar conformidad del servicio
En el caso de los servidores de aplicaciones:

Direcciones y/o Jefaturas:
 Reportar el problema al área de soporte Técnico.

 Coordinar las acciones a realizarse y el tiempo aproximado de interrupción del
servicio.
 Comunicar a los directores y/o jefes de áreas para que se tomen las acciones del
caso y no se afecte en sus operaciones.
E. Duración
El tiempo máximo de la contingencia no debe sobrepasar las Cinco horas
El personal encargado del Plan de Recuperación para las operaciones de la

empresa es el jefe de TIC’S.
B. Descripción
Se informará al jefe de TIC’S de la Empresa la causa del problema presentado y el

procedimiento usado para atender el problema. En función a esto, se tomarán las medidas
preventivas del caso enviando una alerta vía correo al personal de la Empresa. El evento será
evaluado y registrado de ser necesario en el formato de ocurrencia de eventos.
El jefe de TIC’S de la Empresa presentará un informe a la Coordinación Ejecutora

del Plan explicando que parte del Servicio ha fallado y cuáles son las acciones
correctivas y/o preventivas a realizar.
El jefe de TIC’S de la Empresa desactivará el Plan de Contingencia una vez que se recupere
la funcionalidad de trabajo los sistemas
En base al informe presentado que identifica las causas de la pérdida del sistema operativo
en las estaciones de trabajo y/o servidores, se determinará las acciones de preventivas a
tomar.
En caso existiese información pendiente de actualización, debido a la falla de los
sistemas centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar las
labores de actualización de los sistemas.
Sub Factor: Contingencia relacionadas a los Recursos Humanos
A continuación, se muestra los puntos a desarrollarse para el presente sub factor:
Objetivo
El desarrollo de este tipo de contingencias está relacionado con todos los elementos y
factores que pueden afectar y/o ser afectados por el personal de la Empresa
Alcance
La seguridad referida al personal se contemplará desde las etapas de selección
del mismo e incluirá en los contratos y definiciones de puestos de trabajo para poder
cumplir el objetivo de reducir los riesgos de:
 Actuaciones humanas
 Indisponibilidad por enfermedades
 Emergencias médicas
 Incapacidad temporal o permanente por accidentes
 Renuncias o ceses
Se deberá comprobar que las definiciones de puestos de trabajo contemplan
todo lo necesario en cuanto las responsabilidades encomendadas.
A continuación, se presenta un resumen de la Matriz de Riesgos, considerando las

contingencias relacionadas a los Recursos Humanos que se describirán en detalle más
adelante:
Tabla 23 Riesgos relacionadas a recursos humanos

Contingencia
Recurso humano
Ausencia imprevista del 0.05 3 0.15
personal del
Ausencia de personal 0.05 3 0.15
ejecutivo para la toma de
decisiones ante
situaciones de riesgo
informático
Plan de Pruebas
El plan de pruebas correspondiente a los eventos desarrollados como parte del
tópico Recursos Humanos, seguirá la metodología expuesta en el punto 4.5 del Plan
de Contingencia.
El plan de pruebas se determinará luego del análisis de los procesos críticos
del servicio y de identificar los eventos que pudieran presentarse. La
aprobación del plan de pruebas será efectuada por la Gerencia de la Empresa
previamente a su ejecución.
Descripción de los Planes Se detallarán los Planes de Contingencia de los eventos

identificados.
Evento: Ausencia imprevista del FPC-13
personal de soporte técnico Versión: 1.0
Entidad Entidad
Ausencias del personal de Soporte Técnico relevante (enfermedad, renuncias, ceses), en toma
decisiones claves que garantice el normal funcionamiento de servidores y redes de la institución.
los cuales se muestran a continuación:
Recursos humanos
Personal
B. Objetivo
Asegurar la continuidad del Servicio Informático de la Empresa
C. Criticidad
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, Departamento de TIC’S y las áreas
Administrativas de la Empresa.
El Gerente y/o jefe de TIC’S es quién debe disponer se cumplan las Condiciones de Previsión de
Riesgo del presente Plan.
La existencia del presente evento se puede dar en cualquier momento, dependiendo de las
circunstancias personales, por lo que se considera lo siguiente: Como primera prevención,
el jefe de TIC’s, se asegurará en capacitar al Asistente de TIC’s del área de soporte técnico
con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante
la presencia de este evento.
Como segunda prevención, el jefe de TIC’s se asegurará en tener como mínimo a dos
profesionales técnicos en el área de soporte técnico y un asistente.
Incluir como parte de las funciones del personal, comunicar anticipadamente la inasistencia
a su centro de labores.
Para el control del personal se cuenta con un software de control de asistencia,
de donde se proveerá información al Jefe de Informática, para que tome las
acciones preventivas correspondientes.
Reporte de inasistencia del personal de Soporte Técnico. El proceso de contingencia se

activa durante las DOS (02) HORAS iniciales del día.
Se podría dar por:

Conocimiento del jefe de TIC’S por parte del reporte de inasistencia del Sistema de Control
de Asistencia.
Conocimiento del jefe de TIC’S por comunicación telefónica por parte del personal de
Soporte Técnico ausente o algún familiar.
 Confirmado la inasistencia del personal de soporte Técnico, el Jefe de Informática

asignará la responsabilidad al Asistente del área de soporte técnico capacitado para
reemplazar en las funciones que el personal titular de soporte técnico poseía.
 El jefe de TIC’S solicitará al Gerente de la Empresa, el reemplazo del personal.
E. Duración
Máximo OCHO (08) horas. El fin del presente evento es la presencia del
reemplazo que asume la responsabilidad; hasta que se confirme la presencia del
personal de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
El personal encargado del Plan de Recuperación es el jefe de TIC’S, cuyo rol

principal es asegurar el normal funcionamiento del Servicio Informático.
B. Descripción
Regularización en los servicios pendiente durante la ausencia.

Revisión de los servicios atendidos si fuera el caso.
Definir los ajustes para asegurar rápida y mejora en la acción y prevención del
presente evento.
El jefe de TIC’S presentará un informe a la Gerencia Coordinado del Plan explicando que
parte del Servicio Informático ha sido afectado y cual son las acciones tomadas.
El jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora del Plan.
En base al informe presentado por el jefe de TIC’S y las causas identificadas en el Servicio
informático se determinará las acciones a tomar.
Evento: Ausencia imprevista del FPC-13
personal de soporte técnico Versión: 1.0
Entidad Entidad
G. Descripción del evento
Ausencias del personal de Soporte Técnico relevante (enfermedad, renuncias, ceses), en toma
decisiones claves que garantice el normal funcionamiento de servidores y redes de la institución.
los cuales se muestran a continuación:
Recursos humanos
Personal
H. Objetivo
Asegurar la continuidad del Servicio Informático de la Empresa
I. Criticidad
J. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, Departamento de TIC’S y las áreas
Administrativas de la Empresa.
K. Personal Encargado
El Gerente y/o jefe de TIC’S es quién debe disponer se cumplan las Condiciones de Previsión de
Riesgo del presente Plan.
L. Condiciones de Prevención de Riesgo
circunstancias personales, por lo que se considera lo siguiente: Como primera prevención,
el jefe de TIC’s, se asegurará en capacitar al Asistente de TIC’s del área de soporte técnico
con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante
la presencia de este evento.
Como segunda prevención, el jefe de TIC’s se asegurará en tener como mínimo a dos
profesionales técnicos en el área de soporte técnico y un asistente.
Incluir como parte de las funciones del personal, comunicar anticipadamente la inasistencia
a su centro de labores.
Para el control del personal se cuenta con un software de control de asistencia,
de donde se proveerá información al Jefe de Informática, para que tome las
acciones preventivas correspondientes.
F. Eventos que activan la Contingencia
Reporte de inasistencia del personal de Soporte Técnico. El proceso de contingencia se

activa durante las DOS (02) HORAS iniciales del día.
G. Procesos Relacionados antes del evento.
Se podría dar por:

Conocimiento del jefe de TIC’S por parte del reporte de inasistencia del Sistema de Control
de Asistencia.
Conocimiento del jefe de TIC’S por comunicación telefónica por parte del personal de
Soporte Técnico ausente o algún familiar.
H. Personal que autoriza la contingencia.
I. Descripción de las actividades después de activar la contingencia
 Confirmado la inasistencia del personal de soporte Técnico, el Jefe de Informática

asignará la responsabilidad al Asistente del área de soporte técnico capacitado para
reemplazar en las funciones que el personal titular de soporte técnico poseía.
 El jefe de TIC’S solicitará al Gerente de la Empresa, el reemplazo del personal.
J. Duración
Máximo OCHO (08) horas. El fin del presente evento es la presencia del
reemplazo que asume la responsabilidad; hasta que se confirme la presencia del
personal de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
F. Personal encargado
El personal encargado del Plan de Recuperación es el jefe de TIC’S, cuyo rol

principal es asegurar el normal funcionamiento del Servicio Informático.
G. Descripción
Regularización en los servicios pendiente durante la ausencia.

Revisión de los servicios atendidos si fuera el caso.
presente evento.
H. Mecanismos de comprobación
El jefe de TIC’S presentará un informe a la Gerencia Coordinado del Plan explicando

que parte del Servicio Informático ha sido afectado y cual son las acciones tomadas.
I. Desactivación del plan de contingencia
El jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora del Plan.
J. Proceso de actualización
En base al informe presentado por el jefe de TIC’S y las causas identificadas en el Servicio
informático se determinará las acciones a tomar.
Evento: Ausencia del personal FPC-13
ejecutivo para la toma de Versión: 1.0
decisiones ante situaciones de
riesgo informático
Entidad Entidad
Ausencias del personal de Gerencia y/ Áreas Administrativas (enfermedad, renuncias, ceses), en
toma decisiones claves que garantice el normal funcionamiento de las actividades.
Este evento incluye los siguientes elementos mínimos identificados por la Empresa, que por su
naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se
muestran a continuación:
Recursos humanos
Personal
B. Objetivo
Asegurar la continuidad de las operaciones en las diferentes Áreas de la Empresa evitando el

quiebre en la cadena de mandos, a través de reemplazos de personal ejecutivos.
C. Criticidad
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, y las áreas Administrativas de la
Empresa.
El Gerente y/o jefe de TIC’S es quién debe disponer se cumpla lo descrito en

las Condiciones de Previsión de Riesgo del presente Plan.
circunstancias personales que se presente a la Gerencia o Áreas Administrativas, por lo que
se considera lo siguiente:
Como primera prevención, la Gerencia asegurará en capacitar a un empleado con más de 5
años de experiencia en la Empresa que cumpla el perfil, conocimiento y capacidad para
reemplazar ante el evento.
Incluir como parte de las funciones del personal en comunicar anticipadamente la inasistencia
a su centro de labores, siempre y cuando se trate de ocasiones premeditadas.
Reporte de inasistencia del Gerente y de área administrativas. El proceso de
contingencia se activa durante las DOS HORAS iniciales del día.
Se podría dar por:

Falta de decisión del Gerente o jefe área administrativa para aplicar soluciones
ante algún inconveniente en las actividades u operaciones de su competencia, donde
se detecte la ausencia.
Reporte de Control de Asistencia referente a inasistencias.
El encargado de autorizar el proceso de contingencia es Gerente administrativo de la

Empresa.
Confirmado la inasistencia del Gerente, se coordinará el reemplazo con el Jefe de Área de la

empresa.
Confirmado la inasistencia del jefe de área, se realizará el reemplazo
correspondiente.
E. Duración
Máximo tres horas. El fin del presente evento es la presencia del reemplazo, o el empleado
más antiguo que esté capacitado para que asuma la responsabilidad; hasta que se confirme
la presencia del Gerente o Jefe de área en caso de renuncia u otras por fuerza mayor..
El personal encargado del Plan de Recuperación es el Gerente y/o jefe de

área, cuyo rol principal es asegurar el normal funcionamiento de las operaciones
de la Empresa
B. Descripción
Regularización en las coordinaciones pendiente durante la ausencia.

presente evento.
El Gerente y/o jefe de área presentará un informe a la Coordinación Ejecutora

del Plan explicando que parte del Servicio u operaciones ha sido afectado y cual
son las acciones tomadas.
El Gerente y/o Jefe de Área desactivará el Plan de Contingencia una vez que se haya tomado
las acciones descritas en la Descripción del presente Plan de Recuperación, mediante una
comunicación electrónica a la Coordinación Ejecutora
En base al informe presentado por el Gerente y/o Jefe de Área y las causas
identificadas en la operatividad, se determinará las acciones a tomar.
Subfactor: Contingencias relacionadas a Seguridad Física
A continuación, se muestra los puntos a desarrollarse para el presente subfactor:
Objetivo
Definir acciones de prevención a fin de eliminar o mitigar riesgos de seguridad física

tanto de las instalaciones como de todos los elementos que operan en su interior (equipos,
documentación, mobiliario, etc.) por motivos de incidentes causados de manera
intencional, eventual o natural y que puedan afectar las operaciones normales del servicio.
Alcance
Serán tomados en cuenta lo siguientes elementos:
 Ubicación y disposición física

 Elementos de seguridad de los ambientes de trabajo
 Control de accesos de personal interno y externo al servicio
Actos terroristas o de vandalismo que pudieran afectar infraestructura, personal o
documentación.
A continuación, se presenta un resumen de la Matriz de Riesgos, considerando las

contingencias relacionadas a la Seguridad Física que se describirán en detalle más
adelante
Plan de Prueba
El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor
Seguridad Física, seguirá la metodología expuesta en el punto 4.5 del Plan de
Contingencia. El plan de pruebas se determinará luego del análisis de los procesos críticos
del servicio y de identificar los eventos que pudieran presentarse. La aprobación del plan
de pruebas será efectuada por la Alta Gerencia de la Empresa, previamente a su ejecución.
Descripción del Planes
Estos eventos de contingencia son menores Impactos.

Tabla 24 Plan de Seguridad Física
Sub Factor. Plan de seguridad física
Infraestructura
17 Sustracción de equipos y C 0.02 2 0.04

software diversos
18 Sabotaje NC 0.01 2 0.02
19 Vandalismo NC 0.01 3 0.03
Estrategias
La estrategia aplicada para el presente Plan de Contingencia es contar con: Plan de

Prevención, Plan de Ejecución, Plan de Recuperación y Plan de Pruebas, desarrollados en
el presente Plan de Contingencia.
 Se propone una organización para la gestión del Plan de Contingencia, el

mismo que está desarrollado en el presente Plan “Planificación”.
 Tener desarrollado y documentado los principales eventos susceptibles
planteados en el presente Plan de Contingencia “Desarrollo de las
Actividades”
Programa
En el presente Plan de Contingencia se ha desarrollado un conjunto de, eventos o

programas que permitan añadir valor a los subfactores que ha priorizado la Empresa. Un
resumen de los ítems desarrollados son los siguientes:
Tabla 25 Sub factores priorizados por la empresa
Sub factor: Siniestros

Código Alcance Descripción del evento de
contingencia
FPC-01 Infraestructura Incendio
FPC-02 Infraestructura Sismo
FPC-03 Infraestructura Inundación por desperfecto en los

FPC-04 Servicios Públicos Jefe de TIC’S, Asistente de
TIC’S
Fuente: Empresa Consulting Group (2018). Santo Domingo: Tabla donde mostraremos sub factor:
Siniestro de la Empresa. Elaborado: Albán W
Sub factor: Sistemas de información

contingencia
FPC-08 Software Infección por equipos de virus
FPC-09 Software Perdida de los sistemas centrales
FPC-11 Software Falla del sistema operativo

Fuente: Consulting Group (2018). Santo Domingo: Tabla donde mostraremos sub
factor: Sistemas de Información de la Empresa. Elaborado: Albán W.
Sub factor: Recursos humanos

contingencia
FPC-15 Recursos Humanos Ausencia imprevista de personal

del departamento de TIC’s
FPC-16 Recursos Humanos Ausencia del personal ejecutivo

para la toma de decisiones ante
situaciones de riesgo humano
Fuente: Consulting Group (2018). Santo Domingo: Tabla donde mostraremos sub
factor: Recursos Humano de la Empresa. Elaborado Albán W.
Responsables
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas” del presente
Plan; se ha considerado a los responsables de la ejecución de los diferentes eventos
susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A
02: “Formato Registro Plan de Contingencia” tanto para el Plan de Prevención, Plan de
Ejecución, Plan de Recuperación y Plan de Pruebas.
Recursos
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas ” del
presente Plan; se ha considerado los recursos a emplear durante la ejecución
de los diferentes eventos susceptibles de contingencia. Para esto se ha
desarrollado utilizando el formato Anexo A 02: “Formato Registro Plan de

Contingencia” tanto para el Plan de Prevención, Plan de Ejecución, Plan de
Recuperación y Plan de Pruebas.
Periodos y Plazos
Se ha considerado los plazos a emplear durante la ejecución de los diferentes eventos

susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A
02: “Formato Registro Plan de Contingencia” tanto para el Plan de Prevención, Plan de
Ejecución, Plan de Recuperación y Plan de Pruebas.
Criterios Empleados
Disminuir el impacto de los eventos de riesgo que se puedan presentar y que atenten
contra la normal operatividad de la Empresa, llegándose a detallar los procedimientos a
seguir durante la prevención, ejecución, recuperación y pruebas a desarrollarse.
Glosario
Plan de Contingencia: El Plan de Contingencia informático es un documento que reúne

conjunto de procedimiento alternativos para facilitar el normal funcionamiento de las
Tecnologías de Información y de Comunicaciones – TIC’S de la Empresa, cuando alguno
de sus servicios se ha afectado negativamente por causa de algún incidente interno o
externo de la Empresa. Acciones a ser consideradas:
Antes, como un plan de respaldo o de prevención para mitigar los incidentes. El nivel
adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas
para evitar el fallo o, en su caso, aminorar las consecuencias que dé él se puedan derivar.
Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las
personas hagan uso particular o profesional de entornos físicos.
Durante, como un plan de emergencia y/o ejecución en el momento de presentarse el

incidente. Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier
desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el
normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría
ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que
un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se
deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios
quedan definidos en el Plan de Recuperación de Desastres que, junto con el Centro
Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las
necesidades del negocio y las operaciones de recuperación del mismo.
Después, como un plan de recuperación una vez superado el incidente para regresar el
estado previo a la contingencia.
Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas,
gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una
vez detectado y corregido el fallo. De la gama de seguros existentes, se pueden indicar
los siguientes:
Centros de proceso y equipamiento: se contrata la cobertura sobre el daño
físico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en él.
Reconstrucción de medios de software: cubre el daño producido sobre medio

software tanto los que son de propiedad del tomador de seguro como aquellos que
constituyen su responsabilidad.
Gastos extra: cubre los gastos extra que derivan de la continuidad de las
operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente
para compensar los costos de ejecución del plan de contingencia.
Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las
caídas de los medios informáticos o por la suspensión de las operaciones.
Documentos y registros valiosos: Se contrata para obtener una compensación en

el valor metálico real por la pérdida o daño físico sobre documentos y registros
valiosos no amparados por el seguro de reconstrucción de medio software.
Errores y omisiones: proporciona protección legal ante la responsabilidad en que

pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione
una pérdida financiera a un cliente.
Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o

fraudulentos cometidos por empleados.
Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios

transportados.
Contratos con proveedores y de mantenimiento: proveedores o fabricantes
que aseguren la existencia de repuestos y consumibles, así como garantías de
fabricación.
Plan de Prevención: Es el conjunto de acciones, decisiones y comprobaciones orientadas

a prevenir la presencia de un evento con el propósito de disminuir y mitigar la
probabilidad de ocurrencia del mismo en los factores identificados en el presente plan.
El plan de prevención es la parte principal del Plan de Contingencia porque permite

aminorar y atenuar la probabilidad de ocurrencia de un estado de contingencia.
Plan de Ejecución: Es el conjunto detallado de acciones a realizar en el momento que se

presenta el incidente de contingencia y que activa un mecanismo alterno que permitirá
reemplazar a la actividad normal cuando este no se encuentra disponible. Las acciones
descritas dentro del plan de ejecución deben ser completamente claras y definidas de
forma tal que sean de conocimiento y entendimiento inequívoco del personal involucrado
en atender la contingencia.
Plan de Recuperación: Es el conjunto de acciones que tienen por objetivo restablecer

oportunamente la capacidad de las operaciones, procesos y recursos del servicio que
fueron afectados por un evento de contingencia. Todo Plan de Contingencia informático
debe tener un carácter recursivo que permita retroalimentar y mejorar continuamente los
planes en cada una de las etapas descritas, logrando así tener un documento dinámico.
Plan de Pruebas: El Plan de Pruebas, será presentado a la Gerencia de la Empresa para

su aprobación previa a su implementación. El resultado de las pruebas efectuadas será
presentado igualmente para su conformidad. Las pruebas relacionadas a este plan, se
ejecutaría semestralmente, con el fin de evaluar la preparación de la organización ante la
ocurrencia de un siniestro y realizar los ajustes necesarios. Definición de eventos
controlables y no controlables: Como parte de la identificación de los riesgos, estos deben
categorizarse en función a las acciones de prevención que pueden estar en manos de la
Empresa, o cuya ocurrencia no puede predecirse con antelación. Así tenemos que los
eventos pueden ser:
Eventos Controlables, si al identificarlos podemos tomar acciones que eviten su

ocurrencia o minimicen el impacto en el servicio brindado.
Eventos No Controlables, cuando su ocurrencia es impredecible y únicamente podemos
tomar acciones que permitan minimizar el impacto en el servicio. Esta identificación se
hará en la matriz de riesgo explicada a continuación
Anexo 7 Formato de ocurrencia de evento
FORMATO DE OCURRENCIA DE EVENTOS
CÓDIGO DEL EVENTO: _______________ FECHA; ___________________
DESCRIPCION DE LA OCURRENCIA
ANOTACIONES AL PLAN DE PREVENCIÓN:
ANOTACIONES AL PLAN DE EJECUCIÓN:
ANOTACIONES AL PLAN DE RECUPERACIÓN:
OBSERVACIONES: _
Contingencia Autorizada por:

Contingencia Desactivada por:
Anexo 8 Formato de registro del plan de contingencia
Evento: FPC-XXXXX
Versión: 1.0
Entidad Entidad
En este punto se describe el evento producido
B. Objetivo
En esta sección se describirá el objetivo y funciones principales de un proceso, ejecutándose a

condiciones “normales”, es decir, sin que se presente un evento que genere la contingencia.
C. Criticidad
Señala cuan crítico es un proceso, así como el nivel de impacto del mismo dentro del servicio
como se clasifica a continuación: Crítico: El proceso o actividad es altamente crítico, no puede
detenerse nunca y no deber ser interrumpido. Importante: El proceso o actividad puede ser
suspendido por un breve lapso de tiempo no mayor a las 2 horas. Menos Importante: El proceso
o actividad puede ser suspendido por un lapso de tiempo no mayor a 24 horas.
D. Entorno
En esta sección se describirá la ubicación y los ambientes, equipos informáticos, equipos diversos
(automáticos, mecánicos o manuales) donde se ejecuta el proceso en forma normal, así como las
condiciones básicas para su operación.
Aquí se especificará el (los) nombre(s) y cargo(s) del personal del servicio, encargado de ejecutar
el proceso en forma normal, así como sus roles dentro del mismo.
En esta sección se debe describir detalladamente las acciones que se ejecutan durante el proceso
normal y los puntos de control implementados, a efectos de prevenir que se presente el evento
que genere la activación de un estado de contingencia.
Aquí se describen los eventos que deciden la activación de la contingencia. Asimismo, se

especifica el lapso de tiempo en el cual se empieza a ejecutar el proceso de contingencia.
Aquí se establecerán en forma secuencial todos los procesos o actividades que se tengan que
ejecutar con anterioridad al ingreso al proceso de contingencia.
Se especificará los cargos del personal que autorizará el inicio del proceso de contingencia.
Se especificará los cargos del personal que iniciará el proceso de contingencia.
Se especificará el nivel de coordinación con funcionarios o responsables de
la empresa.
.
Se describirá en forma detallada y secuencial los pasos a realizar para poner en marcha el
proceso de contingencia.
E. Duración
Aquí se especificará, de ser posible, el lapso de tiempo por el cual estará activada la
contingencia, así como el evento que determine el término del mismo
Aquí se especificará el (los) nombre(s) y cargo(s) del personal del servicio,

encargado del proceso de Recuperación (volver al proceso normal), así
como sus roles dentro del mismo
B. Descripción
Se describirá en forma detallada y secuencial los pasos a ejecutar para

retornar al proceso normal, debiendo indicar lo necesario para asegurar la
recuperación efectiva del mismo.
Deberá tenerse en cuenta aquellas actividades que permiten actualizar los
procesos con la nueva información generada en la contingencia, en caso
sea necesario.
En esta sección se describirán todas aquellas actividades a realizar y que

permitan asegurar que el proceso recuperado opere en condiciones
normales y sin volver a presentar la falla que origino la ocurrencia del
evento. Mientras esta etapa se realiza, aún sigue activado el Plan de
Contingencia
Se especificará en forma secuencial y lógica cual es el procedimiento a

seguir para desactivar el proceso de contingencia.
Se especificará en forma detallada y secuencial las actividades a ejecutar

para actualizar el proceso normal recientemente recuperado..
Anexo 9 Control y Verificación de Pruebas de Contingencia
CÓDIGO Nº:
Control y Certificación de Pruebas de Contingencia
Proceso en Prueba: (Nombre del proceso a probar/certificar)
Área responsable: (Área responsable del proceso a probar/certificar)
Fecha: / / Hora Inicio: Hora Fin: (de prueba)

Información del Proceso .
Metodología y Alcance:
(Que se va a hacer en la prueba y hasta donde va a abarcar la

misma)
Condiciones
de (Nombre del servidor/ pc/ maquina en proceso de prueba o certificación)
Ejecución
: Equipo:
Aplicación/Software: Versión:
Fecha de Backup: / /
De la Prueba/ Certificación .
Resultado
de la Prueba: Satisfactorio / Satisfactorio con Observaciones / Deficiente
Observaciones:(En el caso de haber observaciones o que la prueba haya sido

deficiente se iniciaran los motivos de dichas deficiencias, así como de las pruebas en
todos los casos)
Actualización del Plan de Contingencia .

Anexo 10 Copias de respaldo
La ejecución de los respaldos será responsabilidad del área de Soporte Técnico de la

Unidad de Informática, estará basada en una rutina de copias de seguridad tipo Normal
o Básico y la frecuencia y contenido de estas copias de respaldo se hará tal como se
indica en el cuadro siguiente:
RUTINA DE RESPALDO (BACKUP)
Frecuencia Día de Periodo de Cantidad de

Contenido Destino
de Backups entrega retención copias
Diario
Semanal
Anual
Las características de los respaldos de información se mencionan a continuación:
 Los respaldos se realizarán en medios magnéticos removibles (HDD,

CDs, etc.), y serán etiquetados inmediatamente después de acabada la
operación de backup.
 La terminología que se utilice para identificación de las Herramientas de
respaldo estará basada principalmente en la fecha de realización del
mismo.
 Las herramientas de respaldo serán almacenadas en las instalaciones de
la Empresa.
Anexo 7 Aprobación del Proyecto de Investigación
Anexo 8 Solicitud de aprobación para la realización del Proyecto de Investigación
Anexo 9 Respuesta de carta de aceptación del Proyecto de Investigación
Anexo 10 Certificado de Cumplimiento de Plan Informático emitido por la empresa

Plan de seguridad ISO 27001

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de seguridad ISO 27001

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

FACULTAD DE SISTEMAS MERCANTILES

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO

TEMA: PLAN INFORMÁTICO 2018-2022 BASADO EN LA NORMA ISO/IEC

AUTOR: ALBAN REYNA WILSON ALEJANDRO

TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS.

SANTO DOMINGO – ECUADOR

WILSON ALEJANDRO ALBAN REYNA

De igual manera a la Universidad Regional Autónoma de los Andes “UNIANDES”, que

WILSON ALEJANDRO ALBAN REYNA

Antes del desarrollo del plan informático se efectúa un análisis de la seguridad

En cuanto al marco metodológico que recoge los resultados de la investigación de campo

Finalmente, el desarrollo de la propuesta mediante la realización de políticas de

In methodological framework terms methodological framework includes the results of

Finally, development Proposal through the realization of security policies, procedures

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Actualidad e Importancia .................................................................................................. 1

MACRO-OBJETIVO DEL PLAN NACIONAL DE TELECOMUNICACIONES Y

IMPORTANCIA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL

OBJETIVO DEL MACRO-OBJETIVO EN EL PLAN NACIONALDE

POLÍTICA DEL MACRO-OBJETIVO EN EL PLAN NACIONAL DE

Descripción de la actualidad ............................................................................................. 2

Importancia del tema a desarrollar.................................................................................... 3

Problema de investigación ................................................................................................ 3

Árbol de Causa-Efecto ...................................................................................................... 5

Objetivo General ............................................................................................................... 5

Objetivos Específicos ....................................................................................................... 5

1 FUNDAMENTACIÓN TEÓRICA ....................................................................... 7

1.1 Antecedentes de la Investigación .......................................................................... 7

1.2 Actualidad del objeto de estudio de la investigación ............................................ 8

Concepto de seguridad ...................................................................................................... 8

Importancia de la seguridad informática .......................................................................... 9

Seguridad de la información ........................................................................................... 11

Seguridad Pasiva ............................................................................................................. 13

Seguridad Física y Lógica............................................................................................... 13

Políticas de Seguridad. .................................................................................................... 14

Importancia de las Políticas de Seguridad ...................................................................... 15

Aspectos físicos y lógicos de las políticas de seguridad. ................................................ 15

Normas generales de las políticas de seguridad.............................................................. 16

Plan de Contingencia ...................................................................................................... 16

Objetivo de la norma ISO 27001:2013 ........................................................................... 18

Beneficio de la norma ISO 27001:2013 ......................................................................... 19

Estructura del estándar ISO 27001: 2013 ....................................................................... 19

Dominios de la ISO 27001:2013 .................................................................................... 19

Plan Informático. ............................................................................................................ 20

1.3 Actualidad de la temática en el contexto nacional e internacional ........................... 21

2 Diseño Metodológico y Diagnostico ................................................................... 23

2.1 Paradigma y tipo de investigación ...................................................................... 23

2.1.1 Paradigma Asumido ......................................................................................... 23

2.1.2 Modalidad y tipo de investigación .................................................................... 23

2.2 Procedimiento para la búsqueda y procesamiento de los datos .......................... 23

2.2.1 Población y Muestra Población ........................................................................ 23

2.2.2 Plan de Recolección de la información ............................................................ 24

2.3 Planes de procesamiento y análisis de la información ........................................ 25

2.4 Resultados del diagnóstico de la situación actual ............................................... 26

2.4.1 Análisis e interpretación de resultados ............................................................. 27

2.3.2 Resumen de las principales insuficiencias detectadas con la aplicación de los

CAPÍTULO III ................................................................................................................ 36

3 PROPUESTA DE SOLUCIÓN AL PROBLEMA .............................................. 36

3.1 ESTRUCTURA DE LA PROPUESTA .............................................................. 36

3.1.1 Nombre de la propuesta .................................................................................... 36

3.1.2 Objetivos ........................................................................................................... 36