UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES- SANTO DOMINGO

FACULTAD DE SISTEMAS MERCANTILES

MAESTRÍA EN INFORMÁTICA EMPRESARIAL

PROYECTO DE EXAMEN COMPLEXIVO PREVIO A LA OBTENCIÓN DEL

GRADO ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL

TEMA: PLAN DE CONTINGENCIA INFORMÁTICA Y LA PÉRDIDA DE LA

INFORMACIÓN EN LA CORPORACIÓN NACIONAL DE

ELECTRICIDAD “CNEL” REGIONAL SANTO DOMINGO.

AUTOR: Ing. SIMBAÑA DIAZ JUAN CARLOS

ASESOR: Msc. FERNÁNDEZ VILLACRES GUSTAVO EDUARDO

AMABATO–ECUADOR

2016

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación

realizado por el señor Juan Carlos Simbaña Díaz , estudiante de la Maestría en

informática Empresarial , Facultad de Sistemas , con el tema “PLAN DE

CONTINGENCIA INFORMATICA Y LA PERDIDA DE LA INFORMACION

EN LA CORPORACION NACIONAL DE ELECTRICIDAD “CNEL”

REGIONAL SANTO DODMINGO ”, ha sido prolijamente revisado, y cumple con

todos los requisitos establecidos en la normativa pertinente de la Universidad Regional

Autónoma de los Andes -UNIANDES-, por lo que apruebo su presentación.

Ambato, Mayo de 2016

_______________________________

Msc. Eduardo Fernández Villacrés

ASESOR

DECLARACIÓN DE AUTENTICIDAD

Yo, Juan Carlos Simbaña Díaz, estudiante de la Maestría en informática Empresarial,

Facultad de Sistemas, declaro que todos los resultados obtenidos en el presente trabajo

de investigación, previo a la obtención del GRADO ACADÉMICO MAGISTER EN

INFORMATICA EMPRESARIAL, son absolutamente originales, auténticos y

personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.

Ambato, Mayo del 2016

_______________________________

Ing. Juan Carlos Simbaña Díaz

CI. 171810135-3

AUTOR

DERECHOS DE AUTOR

Yo, Juan Carlos Simbaña Díaz, declaro que conozco y acepto la disposición constante

en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los

Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES,

está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos

científicos o técnicos, proyectos profesionales y consultaría que se realicen en la

Universidad o por cuenta de ella;

Ambato, Mayo del 2016

_______________________________

Ing. Juan Carlos Simbaña Díaz

CI. 171810135-3

AUTOR

A DIOS Y A LA VIRGEN DE CISNE

Por mantenerme con salud y al mismo tiempo haberme permitido llegar hasta este punto

de mi vida profesional, para lograr mis objetivos, y por su bendito amor y bondad que

me han brindado siempre

A MIS PADRES MARY Y JYMMY

Por motivarme en todo momento, sus consejos y valores que me han permitido ser una

persona de bien sobre todo por su perseverancia, que me han mostrado el camino para

salir adelante y sobre todo por su inmenso amor

A MI ESPOSA LIGIA ELENA

Por estar siempre a mi lado en el camino de la vida, por su inmenso amor que me ha

sabido demostrar, por su paciencia y constancia en cada una de las etapas de mi vida

estudiantil

A MI HIJA LESLY ALEJANDRA

Por ser el motor en mi vida, y ser el motivo de seguir superándome día a día para que el

reflejo de mi vida estudiantil sea un impulso para que ella se prepare como una futura

profesional del ecuador

Juan Carlos Simbaña Díaz

DEDICATORIA

A:

Dios y a la Virgen del Cisne, por la vida que me han dado por iluminarme con sabiduría

en cada momento de mi vida estudiantil, y por ser el soporte y compañía durante todo

este tiempo

Mis padres por creer en mí, estar conmigo en todo momento y por sus sabios consejos

que me han permitido llegar a este punto de mi vida sobre todo por su inmenso amor

demostrado a lo largo de toda mi vida gracias

A mi esposa por estar siempre hay constantemente, por no dejarme desmayar en mi vida

estudiantil, por su paciencia he inmenso amor que ella le pone a todo lo que hace y lo

que tiene que ver en mi vida te amo mi vida

A mi hija por ser el impulso de seguir preparándome, para que con mi ejemplo ella

pueda en un futuro no muy lejano no decaer en sus estudios y lograr cada uno de los

objetivos que ella se proponga en la vida

AGRADECIMIENTO

DEDICATORIA

AGRADECIMIENTO

ÍNDICE GENERAL

Índice de Ilustraciones

Índice de Tablas

Resumen Ejecutivo

Executive summary

Introducción ...................................................................................................................... 1

Tema ............................................................................................................................. 1

Antecedentes investigativos ......................................................................................... 1

Problema que se va a Investigar ................................................................................... 2

Línea de investigación .................................................................................................. 2

Justificación de la actualidad, necesidad e importancia del tema ..................................... 3

Objetivos ........................................................................................................................... 3

Objetivo general ........................................................................................................... 3

Objetivos específicos .................................................................................................... 3

1. MARCO TEÓRICO ................................................................................................. 4

1.1. Plan de Contingencia ......................................................................................... 4

1.2. Pérdida de la información .................................................................................. 6

1.2.1. La seguridad de los datos depende del usuario ........................................... 6

1.2.2. Dispositivos móviles y aplicaciones que completan la amenaza de pérdida de

datos ............................................................................................................................ 6

1.3. Seguridad Informática ........................................................................................ 7

1.4. La seguridad como profesión ............................................................................. 8

1.5. La seguridad en las empresas ............................................................................. 9

ÍNDICE GENERAL

1.6. Amenazas y vulnerabilidades .......................................................................... 10

1.7. Implementaciones de Controles ....................................................................... 11

1.8. Las políticas y otros documentos ..................................................................... 12

1.9. Tipos de Amenazas .......................................................................................... 13

1.9.1. ¿Cuáles son los elementos que componen el sistema? ............................. 14

1.9.2. ¿Cuáles son los peligros que afectan al sistema? ..................................... 15

1.9.3. ¿Cuáles son las medidas que deberían adoptarse para conocer, prevenir,

impedir, reducir o controlar los riesgos potenciales? ............................................. 15

1.10. Tipos de seguridad ....................................................................................... 15

1.10.1. Activa .................................................................................................... 15

1.10.2. Pasiva .................................................................................................... 15

1.11. Propiedades de un sistema de información seguro....................................... 15

1.11.1. Fortuito .................................................................................................. 16

1.11.2. Fraudulento ........................................................................................... 16

1.11.3. Integridad .............................................................................................. 16

1.11.4. Confidencialidad ................................................................................... 16

1.11.5. Disponibilidad ....................................................................................... 16

1.12. Mecanismo de seguridad .............................................................................. 16

1.12.1. Preventivos ............................................................................................ 16

1.12.2. Detectores ............................................................................................. 17

1.12.3. Correctores ............................................................................................ 17

1.13. Seguridad lógica ........................................................................................... 17

1.13.1. Control de acceso .................................................................................. 17

1.13.2. Cifrado de datos .................................................................................... 17

1.13.3. Antivirus ............................................................................................... 17

1.13.4. Cortafuegos (firewall) ........................................................................... 18

1.13.5. Firma digital .......................................................................................... 18

1.13.6. Certificados digitales ............................................................................ 18

1.13.7. Usar un SSID (Service Set Identifier) ................................................... 18

1.13.8. Protección de la red mediante claves encriptadas WEP (Wired

Equivalent Privacy) o WPA (Wifi Protected Access ............................................. 18

1.13.9. Filtraciones de direcciones MAC (Media Access Control) .................. 18

1.14. Seguridad física ............................................................................................ 19

1.14.1. Respaldo de datos ................................................................................. 19

1.14.2. Dispositivos físicos ...................................................................................... 19

1.15. Enfoque global de la seguridad .................................................................... 20

1.15.1. Ubicación física. ................................................................................... 20

1.15.2. Hardware y los componentes de red que se encuentra en el interior del

entorno físico. ......................................................................................................... 20

1.15.3. Sistema operativo y todo el software .................................................... 20

1.15.4. La conexión a internet ........................................................................... 20

1.15.5. La información ...................................................................................... 20

1.16. Seguridad en la informática de empresa: riesgos, amenazas, prevención y

soluciones ................................................................................................................... 21

1.17. Revisar la infraestructura actual ................................................................... 22

1.18. Conclusiones parciales del capitulo ............................................................. 23

2. METODOLOGÍA ................................................................................................... 24

2.1. Población y muestra............................................................................................. 24

2.1. Tabulación de resultados.................................................................................. 24

2.2. Conclusiones parciales del capitulo ................................................................. 30

3. PROPUESTA ......................................................................................................... 31

3.1. Planificación ........................................................................................................ 31

3.1. Descripción de la propuesta ............................................................................. 32

3.1.1. Diseño del plan de contingencias ............................................................. 32

3.1.2. Plan de reducción de riesgos .................................................................... 32

3.2. Análisis de riesgos ........................................................................................... 32

3.2.1. Clases de riesgo. ....................................................................................... 33

3.3. Identificación de amenazas .............................................................................. 34

Equipos de trabajos para el plan de contingencias ..................................................... 37

3.4. Relaciones de coordinación ............................................................................. 38

3.4.1. Relaciones de coordinación internas: ....................................................... 38

3.4.2. Relaciones de coordinación externas:....................................................... 38

3.5. Identificación de los riesgos y soluciones ........................................................ 39

3.5.1. Clase de riesgo: Incendio o Fuego ............................................................ 39

3.5.2. Clase de riesgo: Robo Común de Equipos y Archivos ............................. 40

3.5.3. Clase de riesgo: Vandalismo .................................................................... 41

3.5.4. Clase de riesgo: falla en los equipos ......................................................... 42

3.5.5. Clase de riesgo: equivocaciones ............................................................... 44

3.5.6. Clase de riesgo: acción de virus informático ............................................ 45

3.5.7. Clase de riesgo: accesos no autorizados ................................................... 46

3.5.8. Clase de riesgo: robo de datos o pérdida de la información ..................... 47

3.5.9. Clase de riesgo: manipulación y sabotaje ................................................. 49

3.5.10. Clase de riesgo: fenómenos naturales ................................................... 50

3.6. Documentación del proceso pruebas y monitoreo del plan ............................. 52

3.6.1. Pruebas y validaciones del plan de contingencias .................................... 52

3.7. Métodos para realizar las pruebas .................................................................... 52

3.7.1. Pruebas específicas ................................................................................... 53

3.7.2. Pruebas de escritorio ................................................................................. 53

3.7.3. Pruebas en tiempo real .............................................................................. 53

3.8. Preparación de la Pre-prueba ............................................................................... 54

3.9. Comprobación del plan y monitoreo................................................................ 54

3.10. Implementación de plan de contingencias ................................................... 66

3.10.1. Análisis en las fallas en la seguridad (riesgos) ......................................... 66

3.11. Plan de recuperación del desastre y respaldo de la información .................. 66

3.11.1. Establecimientos del plan de acción ......................................................... 67

3.11.2. Sistemas de información .............................................................................. 67

3.12. Lista de servicios .......................................................................................... 68

3.13. Obtención y almacenamiento de copias de seguridad (backups) ................. 68

3.13.1. Modalidad externa ................................................................................ 69

3.13.2. Modalidad interna ................................................................................. 69

3.13.3. Políticas (normas y procedimientos) ..................................................... 69

3.14. Plan de emergencias ..................................................................................... 70

3.15. Formación de equipos .................................................................................. 71

3.15.1. Entrenamiento ....................................................................................... 71

3.15.2. Actividades después del desastre .......................................................... 71

3.15.3. Evaluación de daños ............................................................................. 72

3.15.4. Priorizar actividades del plan de acción................................................ 72

3.15.5. Ejecución de actividades ....................................................................... 72

3.16. Evaluación de resultados .............................................................................. 73

3.17. Costos de la implementación del plan .......................................................... 73

3.18. Justificación de costos .................................................................................. 76

CONCLUSIONES .......................................................................................................... 79

RECOMENDACIONES ................................................................................................ 80

Bibliografía ................................................................................................................. lxxxi

Ilustración 1. ¿Qué pone en peligro a la información? ..................................................... 7

Ilustración 2Procesos de lo que genera la vulnerabilidad............................................... 11

Ilustración 3 Mecanismo de seguridad ........................................................................... 19

Ilustración 4 Enfoque global de la seguridad ................................................................. 20

Ilustración 5. Pregunta N°1 ............................................................................................ 25





Ilustración 10. Pregunta N°7 .......................................................................................... 28



Ilustración 13. Pregunta N°10 ........................................................................................ 29

Ilustración 14. Diseño y aplicación del plan de contingencia ........................................ 31

Ilustración 15. Organigrama departamento de sistemas CNEL Santo Domingo ........... 35

Ilustración 16. Diagrama de ejecución de las pruebas.................................................... 55

Índice de Ilustraciones

Tabla 1 Población. .......................................................................................................... 24

Tabla 2. Pregunta N°1 .................................................................................................... 25

Tabla 3. Pregunta N°2 .................................................................................................... 25

Tabla 4. Pregunta N°3 .................................................................................................... 26

Tabla 5. Pregunta N°3 .................................................................................................... 26

Tabla 6. Pregunta N°4 .................................................................................................... 26

Tabla 7. Pregunta N°5 .................................................................................................... 27

Tabla 8. Pregunta N°6 .................................................................................................... 27

Tabla 9. Pregunta N°7 .................................................................................................... 28

Tabla 10. Pregunta N°8 .................................................................................................. 28

Tabla 11. Pregunta N°9 .................................................................................................. 29

Tabla 12. Pregunta N°10 ................................................................................................ 29

Tabla 13 Niveles de Valoración de las Amenazas ......................................................... 34

Tabla 14 Acción a Tomar ............................................................................................... 34

Tabla 15 Funciones del personal de sistemas CNEL Regional Santo Domingo ............ 37

Tabla 16 Equipos de trabajos para el plan de contingencias .......................................... 38

Tabla 17 Matriz de valorización de los riesgos .............................................................. 52

Tabla 18 Listas de chequeo para los riegos existentes en el plan informático .............. 65

Tabla 19. Costos de la implementación del plan ............................................................ 76

Tabla 20. Costos de la implementación del plan Local alternativo ................................ 76

Tabla 21. Justificación de costos .................................................................................... 78

Índice de Tablas

Los sistemas informáticos se han constituido en una de las herramientas fundamentales,

para el desarrollo de la actividades de las empresas, y el manejo de la información que

se genera diariamente, por esta razón, que desde ya tiempo atrás se está implementando

en las instituciones del sector privado o público, planes de contingencia informática y

de respaldo de la información en caso de que ocurriese cualquier siniestro ya sea de

forma natural o antrópico, los mismo que nos ayudaran a disminuir la perdidas que se

generan durante un acontecimiento que se suscite inesperadamente.

Es necesario crear un plan de seguridad de la información, pero no solo elaborarlo, sino

que nos indique como sobrellevar a múltiples escenarios, también de preparar a la

empresa y al personal en los manejos de las posibles amenazas inesperadas que podrían

ocurrir en el futuro.

Este plan de seguridad informática está dirigido a la empresa eléctrica CNEL Santo

Domingo, la misma que desea resguardar su información que sabemos que es vital para

el funcionamiento la misma

Con la elaboración de este plan informático buscamos que la empresa eléctrica CNEL

Santo Domingo aplique los siguientes parámetros

Crear un plan de contingencias y respaldo de la información en caso de que ocurriese

algún evento da carácter antrópico o natural

Respaldar la información vital para el funcionamiento de la empresa

Crear conciencia al personal de la empresa, que la información que se genera

diariamente en la misma es demasiado valiosa para el funcionamiento diario de las

actividades que se realizan

Verificar los estados de los equipos y sistemas en caso de que ocurriese un siniestro

natural o antrópico.

El presente plan informático tiene como propósito respaldar teóricamente, lo que podría

ocurrir en caso de un desastre natural o antrópico y como proteger la información de la

empresa para poder ser utilizarla conforme esta se vaya recuperando de cualquier

siniestro que ocurriera.

Resumen Ejecutivo

Computer systems have become one of the fundamental tools for the development of

activities in enterprices and the management of the information generated daily. For that

reason since a long time ago, it is being implemented in the private or public

institutions, informatic contingency plans and support of information in case of any

incident occurs either naturally or anthropic, which will help us to reduce losses

generated during an event that may arise unexpectedly.

It's necessary to create a security plan of the information, and not just produce it, but

that tells us how to cope with multiple scenaries, besides to prepare the company and

staff in the handling of possible unexpected threats that might occur in the future.

This computer security plan is aimed at the utility CNEL Santo Domingo, which want

to protect its information that we know is vital for the operation itself.

With the development of this informatic plan we want the electric company CNEL

Santo Domingo apply the following parameters.

Create a contingency and supporting plan of the information if an event of anthropic or

natural character occurs.

Support the vital information for the operation of the company.

Create awareness to the company staff; the information generated daily in the

company is so valuable for the daily running of the activities carried out.

Check the states of the equipment and systems if a natural or anthropic event occurs.

This current informatic plan has as o goal supporting theoretically, which could occur

in the event of a natural or human disaster and how to protect the information of the

company in order to be used as it keeps recovering from any accident that occur.

Executive summary

1

Tema

Plan de Contingencia Informática y la pérdida de la Información en la Corporación

Nacional de Electricidad “CNEL.” Regional Santo Domingo

Antecedentes investigativos

Se ha realizado una investigación preliminar en varias Universidades del país, la misma

que está relacionada con aspectos de seguridad de la información, donde pudimos

encontrar los siguientes trabajos investigativos:

En el Repositorio Digital de la Escuela Politécnica Nacional, se ha encontrado el trabajo

desarrollado en el año 2006, por Freddy Enrique Jiménez Noboa con su tema:

“Implementación de un Plan de Seguridad Integral para el proyecto Regional de

Conectividad del ECORAE”, donde se puede concluir que la clave para desarrollar

con éxito un plan de seguridad en redes de información es conocer y recordar cada una

de las políticas, estándares y procedimientos de seguridad, ya que el tesoro más valioso

de una institución es su información. (Noboa, 2006)

En el repositorio digital de la Universidad Técnica de Ambato se ha encontrado

“Políticas de seguridad informática y la vulnerabilidad de los entornos Web de la

empresa Turbotech durante el año 2010”, la misma que tiene como objetivo general

reflexionar sobre las políticas de seguridad que las empresas privadas como públicas

deben efectuar para precautelar su información confidencial de ataques externos ya que

en estos momentos la seguridad informática es un tema de dominio obligado por

cualquier usuario de Internet, esto con el afán de no permitir que su información sea

comprometida, cabe recalcar que últimamente en el Ecuador se han incrementado los

hechos delictivos a nivel electrónico. (Aldás, 2011)

Es por esto que en base a lo antes mencionado se ratifica que hoy en día las empresas

deben elevar significativamente sus niveles de seguridad informática como medida de

prevención de posibles ataques cibernéticos que puedan tener debido a la vulnerabilidad

existente dentro de las empresas.

Introducción

2

Problema que se va a Investigar

En la Corporación Nacional De Electricidad “CNEL” Regional Santo Domingo, a nivel

informático la empresa cuenta con el área de computo la cual gestiona todos los

procesos, administrativos y operativos de la misma. Esto quiere decir que la empresa

cuenta con las normas, reglamentos y políticas para la utilización de los equipos

informáticos.

En base a las visitas realizadas se han podido observar las siguientes dificultades en la

empresa:

El respaldo de la información no es un proceso organizado ni planificado, se lo hace

esporádicamente, esto quiere decir que los usuarios tienen libre albedrío para dichos

respaldos, lo que genera pérdidas de información.

En el Departamento de sistemas los respaldos son periódicos pero dichos respaldos

son almacenados en un servidor que se halla en el mismo departamento, esto quiere

decir que si por alguna razón se tiene una catástrofe como inundación o terremoto

muy probablemente se perderán dichos datos.

También mucha información se pierde por efecto de virus, lamentablemente se

tienen solamente versiones demostrativas de antivirus en la Institución, es decir no se

ha comprado licencias para instalar los antivirus y poder así controlar de mejor

manera la perdida de información.

A pesar que en la entidad existen muchos planes estratégicos, se puede señalar que

no se tiene un plan de contingencias informáticas a medida y diseñado de acuerdo a

los requerimientos internos.

Línea de investigación

La presente investigación se enmarca en una línea de investigación de:

Tecnologías de información y comunicaciones

3

La Corporación Nacional De Electricidad “CNEL” Regional Santo Domingo, Obtendrá

una respuesta estructurada, con el fin de mantener siempre las operaciones y funciones,

para la empresa cuando algún desastre afecte la infraestructura de las tecnologías de la

información, instaladas, este documento le ayudará a determinar las acciones

preventivas, reduciendo en un gran porcentaje la vulnerabilidad de la corporación en

caso de desastre, y así conjuntamente para dimensionar acciones rápidas ante cualquier

falla.

Objetivo general

Diseñar un plan de contingencias informáticas para que en base a su aplicación se

disminuyan los niveles de riesgo en cuanto a pérdida de la información en la

Corporación Nacional de Electricidad “CNEL” regional Santo Domingo.

Objetivos específicos

Fundamentar científicamente los riesgos en el almacenamiento de la información, así

como la seguridad informática en general.

Diagnosticar los niveles de prevención sobre perdidas de información que existe en

la empresa.

Diseñar el plan de contingencias en aspectos relacionados a software y hardware.

Justificación de la actualidad, necesidad e importancia del tema

Objetivos

4

CAPITULO I

1.1. Plan de Contingencia

Si se busca una definición de plan de contingencias se tendría que remontar a finales del

siglo XX en donde la tendencia al anglicismo, en el mundo de la tecnología de la

información, con el término Business Comtinuity se había extendido de una manera

generalizada frente a los anteriores utilizados, Disaster Recovery y Contingency

Planning después.

Como se mencionó anteriormente en la década de los setentas del siglo pasado Norman

L. Harris, Edward S Devlin y Judith Robey, Ellos conjuntamente tratando de encontrar

un método de planificación y gestión que evitara la continua atención de problemas de

forma aleatoria, que en términos coloquiales lo llamamos “Apagar Fuegos” dieron el

nacimiento de una actividad, que en un principio se llamó Disaster Recovery Planning

que es español significa recuperación ante desastres, y que posteriormente en la misma

actividad se llamó Contingency Planning, que en español significa planificación ante

contingencias, que es un término más universal, pues una contingencia según el

diccionario de la RAE. En su segunda acepción significa “De algo o cosa que puede

suceder como no puede suceder”, y en su tercera acepción “Riesgo” de esta forma no

limitamos las causas a “desastres” lo que parece indicar que otros incidentes menos

espectaculares no son tenidos en cuenta. (Martínez, 2004)

En el plan de contingencias se está dirigiendo a las actividades de operaciones

informáticas que en el mayor de los casos se encuentran centralizados en el

departamento de sistemas de la Empresa Cnel. Regional Santo Domingo.

Con el pasar del tiempo y la automatización de los procesos en las empresas, la

información se ha convertido en un elemento importante, llegándose a comparar con la

columna vertebral de cada uno de las operaciones que se realizan a diario en cada una

de las dependencias de la misma empresa, es por eso que el diseño de un plan de

contingencias que proteja la información, no estaría de más, en caso de que ocurriese un

desastre natural o antrópico

1. MARCO TEÓRICO

5

El diseño de un plan de contingencias, debe ser actualizado con forme va pasando el

tiempo y de acuerdo a los casos que se susciten en la misma, es una buena medida, que

refleja la situación de la empresa, en cuanto a percances que ocurra a lo largo de la vida

de la empresa, por tanto, cualquier evaluación se la deber realizar con el fin de mejorar

cada una de la deficiencia que presente en la ejecución del plan estas avaluaciones se las

deber realizar periódicamente, con el fin de evaluar el plan de contingencias, e irlo

mejorando conforme ocurran cada uno de los riesgos a los que se expone la información

en Cnel. Regional Santo Domingo se ha creado una lista de chequeo las mismas que se

encuentra documentadas dentro del plan de contingencias para la verificación y mejora

del plan.

A continuación, mostraremos unos conceptos para un mejor entendimiento del tema a

tratar:

Contingencia. - se refiere a algo que es probable que ocurra, sin tener la certeza de

que ocurra, por lo tanto, la contingencia es lo posible o aquello, que puede o no

concretarse.

Corporación. - derivado del latín “Corpus” haciendo referencia al cuerpo, y es un

conjunto de personas y elementos esencialmente legales y sistemáticos los cuales

posen sentido de administración, para fundar una institución.

Seguridad. - el termino seguridad posee muchos usos según como la vallamos a

emplear o como se valla a emplear, proviene del latín securitas, que está enfocado a

las características de seguro, es decir que posee propiedades de algo que no registra,

peligros, daños, ni riesgos, en fin, se afirma que la seguridad es una certeza.

Información. - en informática la definición de información, sería un conjunto de

datos organizados, y procesados, que constituyen, mensajes instrucciones,

operaciones de cualquier tipo de actividad, y que tenga relación con un computador.

La seguridad de información abarca multiplex factores, es por ello que compañías

expertas en el área han decidido compartir temas de acerca de cómo proteger

información importante para una empresa o cualquier otra entidad, entre ellas tenemos a

la siguiente compañía:

6

1.2. Pérdida de la información

1.2.1. La seguridad de los datos depende del usuario

(Cyberoam, 2009)

Las grandes organizaciones, por lo general trabajan con varias directrices refiriéndonos

a la seguridad de la información, Cabe recalcar que la perdida de información por medio

de los usuarios puede darse por dos razones, la primera se puede producir

involuntariamente, debido a que no todas las personas tienen los conocimientos

necesarios para tener la seguridad adecuada con la información que se maneja dentro de

la empresa, es por ellos que las distintas organizaciones han notado que es necesario

educar lo mejor posible a los trabajadores (usuarios), con la finalidad de proteger de

mejor manera su información.

La segunda se puede llevar a cabo por los usuarios que ingresan con malas intenciones a

las empresas, organizaciones o cualquier otra fuente de trabajo, ya que es de

conocimiento general, que en ocasiones la competencia busca como infiltrarse dentro de

la empresa para analizar sus procedimientos y conocer sus fuertes y debilidades, así

sabrían el momento exacto para atacar provocando daños severos a la otra empresa.

El trabajar diariamente con distintos tipos móviles de almacenamiento, como: memorias

USB, CD/DVD, MP3, cámaras digitales, y aplicaciones como mensajería instantánea

entre otros, nos convierte en vulnerables para los diferentes tipos de ataque que se nos

puedan presentar, dando facilidades para que pueda existir alguna fuga de datos.

La compañía (Cyberoam, 2009) nos dice lo siguiente: “Según la Data Lost Database

(base de datos de datos perdidos) de Open Security en 2008, el 34% de los archivos en

los que se informaba de una pérdida se debía al uso de estos dispositivos y medios”.

1.2.2. Dispositivos móviles y aplicaciones que completan la amenaza de pérdida de

datos

7

1.2.3. ¿Qué pone en peligro a la información?

En el presente proceso investigativo se recolecto información de varios autores, los

cuales nos portaran conceptos importantes para el desarrollo del proyecto, entre los

cuales tenemos los siguientes.

1.3. Seguridad Informática

El autor (Portantier, 2001) nos dice lo siguiente:

Con el pasar de los años el ser humano, depende cada vez más de la tecnología, para su

diario vivir, y como no aplicarla en las empresas y el desarrollo de los negocios, pero

esto ha conllevado a una dependencia de la misma, por lo cual no todos son ventajas, si

se retrocedería unos 25 años atrás, la perdida de conectividad con el internet o el mal

funcionamiento de un sistema era algo muy molesto. Es por ello que hoy en día la

pérdida de conectividad significa que una empresa quede prácticamente inoperante.

Con el expuesto por el autor se puede determinar la importancia que tiene la tecnología

en la actualidad, debido a que la utilizamos en nuestro diario vivir en los diferentes

ámbitos que nos desenvolvemos ya sea profesional, estudiantil, en el hogar, entre otros.

Las organizaciones confían en la tecnología, para hacer negocios establecer

comunicaciones y transferir fondos, por estas razones, han empezado a aparecer,

personas no tan bien intencionadas que ven en la tecnología, como una excelente

herramienta para cometer acciones no adecuadas, con el fin de obtener beneficios, a

Ilustración 1. ¿Qué pone en peligro a la información?

Fuente: Cyberoam Protección de Datos de punto final

8

costa de los demás debido a esto, los daños por robo o pérdida de la información crece a

la par de nuestra dependencia de la tecnología.

En el caso de las empresas debemos sumar los intereses que pueden llegar a tener la

competencia información o datos confidenciales como planes de marketing, balances

financieros, datos de clientes, entre otros.

En otro caso de las empresas, también puede darse la perdida de la información, por

otros factores como el robo, la delincuencia, ataque de virus informáticos, incendios,

inundaciones, sabotajes, por no respaldar la información en lugares externos a la

empresa o corporación, no tener un control de usuarios, o por tener una mala instalación

eléctrica etc. cada uno de estos factores afectan a los intereses tanto económicos como

los de sus clientes, en cuanto a atención y progreso de las empresas.

Por esto es que se ha vuelto necesario establecer mejores prácticas, con la utilización de

herramientas, destinadas a proteger a la información de las corporaciones y las personas,

cada uno de estos esfuerzos se los conoce como SEGURIDAD INFORMACIÓN, y que

con el pasar de los años ha venido creciendo por no decir evolucionando, hasta

convertirse en tema de estudio, el mismo que ha dado nacimiento o crecimiento de

profesionales dedicados netamente a la protección de la información.

1.4. La seguridad como profesión

(Portantier, 2001) Nos dice que:

Ser un profesional de la seguridad informática es una tarea particular, debido a que nos

llevará a tener una relación con todas las áreas de una empresa, es necesario tener

conocimiento del funcionamiento de la organización para la cual estamos trabajando,

sus procesos, sus metas, sus objetivos, todo esto nos enmarca para tener una visión

global de la problemática acerca de la perdida de la información que se genera en la

empresa y buscar la forma más adecuada de proteger dicha información.

La seguridad como profesión nos permite estudiar una gran cantidad de material

teniendo en mente varios estándares y metodologías lo que puede llevarnos a pensar

solamente en lo que debería hacerse y olvidarnos de lo que se pueda hacerse. Lo que

debería hacerse es lo que dice la norma ISO/IEC 27001 que textualmente dice “La

9

información es un activo valioso que puede impulsar o destruir su empresa. Si se

gestiona de forma adecuada, le permite trabajar con confianza. La gestión de la

Seguridad de la Información le ofrece la libertad para crecer, innovar y ampliar su

base de clientes sabiendo que toda su información confidencial seguirá siéndolo.”

(Portantier, 2001)

A través de esta norma, entra nuestro capacidad en la que deberíamos proteger la

información de una corporación, y los recursos con la que cuenta la entidad para

implementar medidas de seguridad sin entrar en quiebra por tener dichas inversiones, y

teniendo en cuenta que entre los objetivos de las empresas es, de captar más clientes,

ganar más dinero, y por ende brindar un mejor servicio a través de tener costos más

bajos, pero no existe una organización en la que ponga como objetivo principal o

prioritario el que sea la de tener “las mejores medidas de seguridad informática.”

Como toda persona que labora en una institución nuestra prioridad es, que esta alcance

sus objetivos, en nuestro caso lo aremos creando un plan de seguridad informática

contra la perdida de la información según los riesgos a la que esta esté expuesta, para

evitar pérdidas de datos robos de información, fraudes o catástrofes antrópicas o

naturales, teniendo en cuenta que seremos profesionales que aportemos un verdadero

valor a la organización.

1.5. La seguridad en las empresas

En la actualidad las empresas confían en los sistemas de información, siempre con el fin

de verse más productivas y competitivas ahorrar costos y poder realizar negocios en

todas partes del mundo, cada uno de los procesos de una empresa se han trasformado en

parte de una aplicación informática.

Es por ello que (Portantier, 2001) dice:

La información que hace unos años atrás se almacenaba en un papel el cual podías

guardar, leerse, copiarse y destruirse, pero todo este proceso se lo realizaba a mano,

pero ahora se encuentra en forma de archivos digitales los mismo que se almacenas en

discos duros, DVD, USB, o materiales ópticos y entre otros.

10

Dentro de una organización se rigüe un presupuesto, para la protección y seguridad de

la información, algunas empresas asignan mucho capital en seguridad física, pero

descuidad la seguridad de la información.

1.6. Amenazas y vulnerabilidades

Dentro de lo que es la gestión de seguridad de la información es muy frecuente la

utilización de algunos términos que a veces se los intercambian de forma incorrecta he

ahí donde se crea las diferentes confusiones. Por lo tanto, vamos analizar algunos de

ellos, haciendo referencia, como ejemplo de que alguna estación de trabajo de la

empresa eléctrica CNEL Santo Domingo la misma que no cuenta con software de

antivirus instalado en su sistema

Vulnerabilidad. - Debilidad en algún software, hardware que puede permitir a un

atacante realizar o concretar acciones no permitidas tiene como raíz la ausencia o

debilidad en uno o más controles, en este caso es la ausencia de antivirus en las

terminales de trabajo de la empresa eléctrica CNEL Santo Domingo seria nuestra

Vulnerabilidad (Portantier, 2001)

Amenaza. - Todo peligro potencial sobre la información es considerado como una

amenaza, o algo que aproveche una vulnerabilidad existente y la utilice para provoca

daños, estos pueden ser de tipo no intencional como (errores humanos o provocados

por la naturaleza), o de forma intencional (como los hackers o mal personal de la

empresa), que se dedique a la implantación de virus que es nuestro ejemplo.

(Portantier, 2001)

Exposición. - Hablamos del impacto negativo que sufriría la empresa en caso de que,

se nos llegara a explotar nuestras vulnerabilidades. Cuando hablamos de exposición

hablamos de los daños probables el cual se puede trasformar en real, con nuestro

ejemplo estamos expuestos a que los computadores de los usuarios se infecten de

virus y esto pueda provocar la pérdida de la información o mal funcionamiento del

computador. (Portantier, 2001)

Riesgo. - Como resultado final de todas y cada una de las vulnerabilidades,

amenazas, exposiciones es el riesgo, ya que nos encontramos expuestos a todas y

cada una de ellas, en el caso de los virus el riesgo de contagio es medible de la

siguiente manera, bajo, mediano y alto, es decir, de no tener instalado antivirus en los

11

computadores aumentamos las probabilidades perdida de la información por causa de

los virus por ende el grado de exposición sería más alto. (Portantier, 2001)

Contramedida. - Se la utiliza para mitigar cada una de estas amenazas, en el caso de

los virus podríamos atenuar la infección de virus a los computadores, mediante la

instalación de antivirus con licencia para su correcto funcionamiento. (Portantier,

2001)

1.6.1. Cuadro de procesos de lo que genera la vulnerabilidad

1.7. Implementaciones de Controles


Después de haber identificados cada uno de los riesgos, debemos ver qué hacemos con

ellos, en caso contrario cada uno de los esfuerzos realizados por mitigar las amenazas y

riesgos en una empresa serian en vano.

Ya en este punto conociendo los riesgos, de la empresa debemos analizar con cada uno

de ellos y encontrar el costo beneficio, con el fin de determinar cuál sería el mejor modo

para actuar en contra de cualquier amenaza. Por tal razón podemos optar por 4

posibilidades que los las siguientes:

Mitigar. - Sería la aplicación de medidas para reducir la probabilidad de infección de

virus a los equipos informáticos, mediante la instalación de antivirus con licencia.

Ilustración 2Procesos de lo que genera la vulnerabilidad

Fuente: Seguridad informática de Fabián Portantier

12

Transferencia.- En el caso de la trasferencia, se lo realiza de la siguiente manera,

trasfiriendo los activos de la empresa a una empresa de seguros, es decir estaríamos

asegurando los bienes de la empresa como corresponde normalmente, en el caso de

los computadores será la parte física (hardware), y la parte lógica, (información), las

mismas que en caso de robo o un desastre natural podríamos recuperar gran parte de

lo perdió atreves de los seguros y subir la información de forma casi inmediata.

Evadir. - Al tratar de evadir un riesgo, estamos hablando de buscar la fuente que lo

produce para poder eliminarla directamente antes de que este cause algún daño o

desperfecto, como por ejemplo el caso de la mensajería instantánea y las redes

sociales, pudiendo bloquearlas para que no utilicen este tipo de medios para

descargar información infectada con virus, él envió o robo de datos atreves de ellas.

Aceptar. - La aceptación en estos casos sería uno de los últimos recursos a los cuales

acudir, al aceptar los riesgos necesarios por la utilización de algunas herramientas

informáticas, que se hacen indispensable para el desarrollo de las actividades

normales de la empresa.

1.8. Las políticas y otros documentos


En cada una de las empresas existen jerarquías y responsabilidades, que van de acuerdo

a su nivel en la institución, cabe decir que la seguridad de una organización va más allá

de la configuración de antivirus y de aplicaciones para evitar la pérdida de la

información. Sin que exista la documentación necesaria que sustente cada uno de los

procesos de seguridad.

Políticas. - Son cada uno de los documentos que habilitan su aplicación, para

cumplir las tareas de seguridad y llegar a conseguir cada uno de los objetivos

planteados. Cada reglamento debe estar especificado, teniendo en cuenta de que los

mismos de pueden estar sometidos a los cambios necesarios conforme se vallan

dando cada una de las amenazas o riesgos en la empresa

Estándares. - Estos documentos son los encargados de mostrar cómo se van

alcanzando cada uno de los objetivos planteados en los aspectos de seguridad de la

empresa, los mismo que nos mostraría como detectar los problemas y tomar los

respectivos correctivos

13

Procedimientos. - Cada uno de ellos se derivan de los estándares y los documentos a

los cuales se remiten, se los realiza de forma muy detalla para su correcta

comprensión, los procedimientos están sometidos a cambios de acuerdo al avance

tecnológico a los que se someten hoy en día las empresas y la informática.

Responsabilidades. - Todos los involucrados en la empresa tienen que ver con la

seguridad informática y a su vez se complementa con cada una de las

responsabilidades que tiene el personal dentro de la empresa.

Capacitación del personal. - Las empresas de hoy en día, necesitan capacitar a su

personal técnico en informática, para estar actualizado a las nuevas tendencias, no

siempre se tiene en cuenta que la seguridad informática es un tema que abarca a toda

la empresa y más a las que trabajan en ella, es por eso que tiene que estar en una

constante actualización de técnicas y métodos de seguridad, para poder ponerlos en

práctica cuando la empresa lo necesite.

Según (Tarazona, 2012)

La seguridad de la información es más que un problema de seguridad de datos en los

computadores; ya que debe estar básicamente orientada a proteger la propiedad

intelectual y la información importante de las organizaciones y de las personas.

1.9. Tipos de Amenazas

A los diferentes tipos de amenazas las podemos dividir en cuatro categorías:

1. Factores humanos (accidentales, errores)

2. Falla en los sistemas de procesamiento de información

3. Desastres naturales

4. Actos maliciosos o malintencionados

1. En el caso de una amenaza interna, esta se genera dentro de la organización y es

llevada a cabo generalmente por algún empleado con ciertos conocimientos y que

por la naturaleza de su trabajo tiene acceso a manipular los sistemas de información

de la organización, así como los sistemas de seguridad de la misma. Estos se ven

inducidos a realizar su ataque o amenaza principalmente por algún tipo de beneficio

14

económico o por simple venganza o enojo en contra de la organización. (Lorza,

2010)

2. Los sistemas de procesamiento de información, están formados por hardware

informático y software que aloja una aplicación orientada a intercambios habituales

necesarios para realizar operaciones comerciales entre otras. (Turnero, 2014)

3. La determinación del riesgo abarca la evaluación del peligro, los estudios de

vulnerabilidad y los análisis del riesgo. La evaluación del peligro determina la

ubicación probable y la gravedad de los fenómenos naturales que implican peligro, y

la probabilidad de ocurrencia dentro de un lapso de tiempo determinado en un área

determinada, el término desastre natural hace referencia a las enormes pérdidas

materiales y vidas humanas, ocasionadas por eventos o fenómenos naturales como

los terremotos, inundaciones, Tsunamis, deslizamientos de tierra, etc. (Banco

Interamericano de Desarrollo, 2013)

4. En estos últimos años el avance acelerado de la tecnología y los sistemas de

telecomunicación han provocado que los sistemas de información y la información

misma de las empresas u organizaciones, sean cada vez más vulnerables y estén más

expuestos a ser utilizados de manera no adecuada por personas impulsadas por retos,

dinero y hasta venganza en contra de la empresa (Tarazona, 2012)

(López, 2010), define a la seguridad informática como una disciplina, la cual es la

encargada de diseñar las normas, procedimientos, métodos y técnicas las mismas que

están destinadas a lograr un sistema de información seguro y confiable. Para ellos nos

indica el concepto de la palabra seguro “estar libre y exento de todo peligro, daño o

riesgo”.

Todo sistema de información, aun con todas las medidas de seguridad no está excepto

de algún peligro, para esto es necesario conocer lo siguiente:

1.9.1. ¿Cuáles son los elementos que componen el sistema?

La información la obtenemos realizando una entrevista con directivos de la institución o

empresa, para los cuales estamos trabajando.

15

1.9.2. ¿Cuáles son los peligros que afectan al sistema?

Los adquirimos de los resultados de la entrevista antes aplicada a los directivos de la

institución o empresa, y por el estudio directo del sistema, lo cual lo realizamos

mediante pruebas y muestreo.

1.9.3. ¿Cuáles son las medidas que deberían adoptarse para conocer, prevenir,

impedir, reducir o controlar los riesgos potenciales?

Se trata de determinar cuáles serán los servicios y mecanismos de seguridad que

reducirían al máximo posible.

Una vez realizado el estudio de riesgos e implementación de medidas es necesario hacer

un seguimiento y actualizaciones de las medidas aptadas, para lograr un mejor

desenvolvimiento del sistema.

1.10. Tipos de seguridad

1.10.1. Activa

Abarca todo el conjunto de las defensas y medidas, las cuales están destinadas a evitar o

reducir los riesgos que amenazan al sistema. (López, 2010)

1.10.2. Pasiva

Está conformado por las medidas que se establecen para, una vez producido el

acontecimiento de seguridad, minimizar su repercusión y facilitar la recuperación del

sistema. (López, 2010)

1.11. Propiedades de un sistema de información seguro.

Los daños ocasionados por falta de seguridad suelen generar pérdidas económicas o de

credibilidad y prestigio para la empresa. Los cuales pueden tener su origen en lo

siguiente.

16

1.11.1. Fortuito

Son los errores cometidos accidentalmente por los usuarios, cortes de flujo electrónico,

fallos del sistema o catástrofes naturales. (López, 2010)

1.11.2. Fraudulento

Daños provocados por software malicioso, intrusos, mala intención de algún miembro

de la empresa, robo o accidentes intencionados. (López, 2010)

1.11.3. Integridad

Garantiza la legitimidad y precisión de la información sin importar el momento en que

está solicita una garantía de los datos que no han sido alterados ni destruidos de modo

no autorizado. (López, 2010)

1.11.4. Confidencialidad

Es el hecho de que los datos o informaciones estén únicamente al alcance del

conocimiento de las personas, entidades o mecanismos autorizados en los momentos

autorizados y de una manera autorizada. (OCDE, 1961)

1.11.5. Disponibilidad

La información debe estar libre para los usuarios autorizados cuando lo necesiten.

1.12. Mecanismo de seguridad

Se los puede clasificar de la siguiente manera:

1.12.1. Preventivos

Su función principal es evitar que se produzcan ataques al sistema. (López, 2010)

17

1.12.2. Detectores

Estos intervienen cuando es producido el ataque y antes que cause perjuicio al sistema.

(López, 2010)

1.12.3. Correctores

Actúan después que se presente el ataque y que se registren los daños ocasionados al

sistema, por ende, tiene la función de corregir las consecuencias de los daños. (López,

2010)

1.13. Seguridad lógica

(López, 2010) Nos dice que:

Los mecanismos y herramientas de seguridad lógica tienen la función de proteger

digitalmente la información de la empresa.

1.13.1. Control de acceso

Lo realizamos mediante usuario y contraseña del personal.

1.13.2. Cifrado de datos

Los datos se ocultan mediante una clave la cual, conocen el emisor y receptor. La

misma que se crea mediante un algoritmo de encriptación, una vez que llega el mensaje

procede el descifrado del texto aumentando su nivel de confidencialidad. (López, 2010)

1.13.3. Antivirus

Este impide la entrada del virus y otros softwares maliciosos, y si llegara a infectar tiene

la capacidad de eliminarlos o corregir los daños ocasionados en el sistema. (López,

2010)

18

1.13.4. Cortafuegos (firewall)

Se trata de uno o más instrumentos de software, hardware o combinados, los mismos de

restringen el acceso al sistema para proteger la información del sistema. (López, 2010)

1.13.5. Firma digital

Los utilizamos para la transmisión de mensajes telemáticos y en la gestión de

documentos electrónicos. (López, 2010)

1.13.6. Certificados digitales

Son documentos digitales mediante los cuales la empresa o entidad garantiza la persona

o entidad es quien dice ser, la misma que es avalada por la verificación de clave pública.

(López, 2010)

1.13.7. Usar un SSID (Service Set Identifier)

Es el proceso de asignar un nombre a la red, la misma que no llame la atención de

terceros, por lo que es recomendable cambiarla cada cierto tiempo. (López, 2010)

1.13.8. Protección de la red mediante claves encriptadas WEP (Wired Equivalent

Privacy) o WPA (Wifi Protected Access)

La clave WEP es más vulnerable que la WPA, de igual manera es preferible cambiarla

cierto periodo. Por otro lado, la WPA es de encriptación dinámica y más segura que la

anterior debido a que es más difícil descifrar la clave, es aconsejable cambiar la

contraseña del acceso al internet. (López, 2010)

1.13.9. Filtraciones de direcciones MAC (Media Access Control)

Es un dispositivo, el cual permite el acceso al sistema mediante el hardware, por el cual

se permiten determinadas direcciones, se sabe que cada tarjeta de red tiene una

dirección MAC única en el mundo. (López, 2010)

19

1.14. Seguridad física

El autor (López, 2010) nos dice que la seguridad física:

Son mecanismos físicos que tienen la tarea de proteger al sistema de información de

peligros físicos y lógicos.

1.14.1. Respaldo de datos

Es el acto de guardar copias de seguridad de la información del sistema en un lugar

seguro y que a la vez disponible. (López, 2010)

Son los dispositivos de protección como: pararrayos, detectores de humo y extintores,

contrafuegos por hardware, alarmas contra intrusos, etc. En cuanto al personal es

necesario tener un control restringido para lo cual es importante de tener una persona

encargada de vigilar la entrada y salida del personal de trabajo a la vez es muy

importante contar con cámara de seguridad para un mejor control y seguridad. (López,

2010)

1.14.2. Dispositivos físicos

Ilustración 3 Mecanismo de seguridad

Fuente: Seguridad Informática de Purificación Aguilera López

20

1.15. Enfoque global de la seguridad

El autor (López, 2010) nos dice que:

La información es el núcleo de todo sistema de información.

De ahí nace la importancia de protegerlos ante las amenazas que puedan aparecer, así

garantizar su disponibilidad y confidencialidad, para ello es importante tomar en cuenta

los niveles que tiene en su exterior y así poder asignar mecanismos y servicios de

seguridad.

Se pueden definir varios niveles:

1.15.1. Ubicación física.

Se refiere a todas las instalaciones como: edificio, planta, etc.

1.15.2. Hardware y los componentes de red que se encuentra en el interior del

entorno físico.

Son lo que contienen, soportan y distribuyen la información.

1.15.3. Sistema operativo y todo el software

Son los encargados de gestionar la información.

1.15.4. La conexión a internet

Es la vía de contacto entre el sistema de información y su exterior.

1.15.5. La información

Es un conjunto organizado de datos procesados, los cuales no hay descuidarnos de su

seguridad para evitar alguna amenaza sobre ella.

Ilustración 4 Enfoque global de la seguridad

Fuente: Seguridad Informática de Purificación Aguilera López

21

1.16. Seguridad en la informática de empresa: riesgos, amenazas, prevención y

soluciones

Los enemigos buscan robar información de la empresa para dar el golpe perfecto, es por

ello que la empresa tiene que reforzar su seguridad tanto en la información como en

documento físico. Los piratas cada día perfeccionan sus ataques, debido que analizan

muy bien cada una de sus estrategias.

(Royer, 2004), nos indica unas de las tantas formas de como los enemigos realizan sus

maniobras para obtener información confidencial de la empresa:

Los enemigos buscan la manera de cómo obtener información de la empresa, entre

ella su organización jerárquica, sus técnicas y estrategias de seguridad

Buscan los puntos débiles de sus fortalezas, y analizan bien el momento adecuado

para ejercer su ataque.

Burlan sus sistemas, haciendo pasar por usuarios legítimos y así pasar desapercibidos

antes todos.

Buscan hacer amistad con el personal de la empresa e ir ganándose la confianza que

les permitirán infiltrarse en la misma y así se convertirán en espías de la información.

Generan falsa información a los sistemas informáticos, con la finalidad de ponerlos

fuera de servicio.

Es importante buscar métodos los cuales nos permiten contrarrestar el impacto del

ataque por parte de los enemigos, para ellos se mostrará unos tips a tomar en cuenta en

el momento de planificar el contraataque.

Es primordial no divulgar nada de la información que pueda comprometer a la

empresa, es decir no comentar con nadie los métodos que utiliza para guardar la

información.

Fomentar la discreción en el personal que elabora en la empresa, para evitar que

haiga una fuga de información a terceros.

Instalar líneas de defensa, los cuales no presenten ningún punto débil en ningún

momento.

Definir varias líneas de defensa para que, en el caso de detectar presencia del pirata,

este tenga que pasar varias capas de seguridad así dar tiempo para que el encargado

del sistema pueda tomar la mejor decisión para evitar la filtración de información.

22

Prevenir a los colaboradores de la empresa a que no crean en todo lo que se les

presente, es decir llamadas telefónicas, e-mails, y en caso de tener una sospecha

sobre el origen de los correos avisar rápidamente al área encargada de la seguridad

de la empresa.

1.17. Revisar la infraestructura actual

Según (Royer, 2004), la revisión de la infraestructura radica en lo siguiente:

La primera fase del proceso consiste en efectuar una auditoría completa del sistema de

información instalado, incluso si piensa conocer ya su infraestructura, nunca está de más

revisarla por completo y formalizarla por escrito.

Es necesario ir detallando por escrito cada uno de los elementos con los que contamos,

entre ellos pueden estar el hardware, software y otros implementos que esté a nuestro

cargo, todo aquello con la intensión de estar preparados ante cualquier adversidad que

se nos pueda presentar en el trabajo.

Es importante no confiarnos en la tecnología, porque no sabemos que lo hacen o lo que

hicieron otras personas, al momento de operar los equipos informáticos. Es por ello que

se debe de revisar minuciosamente los siguientes elementos:

Los servidores desplegados en la empresa

Sistemas operativos, con sus versiones

Aplicaciones instaladas, que estén funcionando normalmente o no

Los distintos tipos de configuración, debido que en ocasiones se configuran de

manera diferente a una misma aplicación donde sabe reflejar un impacto

desfavorable para la seguridad.

También es importante realizar las siguientes acciones para contrarrestar el peligro:

Definir la topología de la red local

Recopilar información sobre todos los interruptores, conmutadores, y hubs simples

Conocer las clases IP asignadas a cada parte de la red

Saber la lista de protocolos utilizados con mayor frecuencia (IP, TCP, NetBIOS, etc.)

Tener en cuenta la lista de los equipos de usuarios donde están detalladas las

direcciones MAC e IP

23

Recopilar todos los puntos de interconexión posibles de la red con el exterior de la

empresa.

Sin duda al realizar las acciones antes mencionas dentro de la empresa, nos facilitara la

tarea de proteger la información confidencial de la misma, sabiendo que nunca debemos

confiarnos, llegando a pensar que tenemos todo bajo control ya que basta un descuido

mínimo para perder valiosa información que está bajo nuestra responsabilidad.

1.18. Conclusiones parciales del capitulo

Un plan de contingencias es un instrumento que toda empresa debería tener, como

una herramienta, para desarrollar sus habilidades de recuperación ante algún evento

fortuito que llegase a ocurrir, para sobrevivir y mantener cada una de las operaciones

que se vieran interrumpidas parcial o totalmente sus funciones diarias

Que, entre los principales objetivos de un plan de contingencias, es una correcta

identificación de los riesgos evaluación de los mismos, y una acertada asignación de

prioridades, al momento de la aplicación del mismo, en el proceso de recuperación

en cada uno de las operaciones que se vean afectados en las empresas.

Es necesario el diseño de un plan de contingencias para de la corporación Nacional

de Electricidad “CNEL” regional Santo Domingo. el mismo que permita no evitar los

daños sino minimizar los mismo y permita una pronta recuperación de los procesos

que se realizan para que esta, no pare en sus funciones diarias

24

CAPITULO II

La investigación que se realizó para este examen complexivo, se lo llevó a cabo en el

mismo lugar donde se presenten la problemática es decir en la corporación Nacional de

Electricidad “CNEL” regional Santo Domingo, la técnica aplicada fue: la encuesta

realizada a los usuarios de los sistemas instalados en la “CNEL” regional Santo

Domingo, personal, y al jefe del área de Sistemas, el instrumento asociado a estas

técnicas fue: el cuestionario.

2.1. Población y muestra

La población está constituida por todos los involucrados en la problemática.

Como la población es inferior a 100, esta se convierte en la muestra.

Tabla 1 Población.

Fuente: Personal CNEL Regional Santo Domingo

2.1. Tabulación de resultados.

Se ha realizado la encuesta a los usuarios de los sistemas instalados en la “CNEL”

regional Santo Domingo, personal, y al jefe del área de Sistemas, los resultados

obtenidos son los siguientes:

2. METODOLOGÍA

Función Número

Empleados de la CNEL (Usuario del Sistema) 70

Jefe del área de sistemas 1

Total 71

25

Pregunta N°1 ¿Usted realiza respaldos de información de manera continua y

organizada?

PREGUNTA FRECUENCIA PORCENTAJE

Frecuentemente 35 49,30%

Rara vez 20 28,17%

Nunca 16 22,54%

Total 71 100,00%

Tabla 2. Pregunta N°1

Fuente: Autor de la investigación

Análisis e interpretación.

Se puede apreciar que un elevado porcentaje no realiza respaldos de información de

manera frecuente.

Pregunta No 2. ¿La Institución tiene algún medio de respaldo de información que la

almacene fuera de ella para poder ser recuperada por si existe una catástrofe interna

(inundación, incendio, terremoto)?


Si 19 26,76%

No 52 73,24%

Total 71 100,00%




Un elevado porcentaje concuerda en que no tiene un respaldo de información externo a

la empresa para su recuperación en caso de que ocurra algún desperfecto o accidente.

Frecuentemente

49%Rara vez28%

Nunca23%

Frecuentemente Rara vez Nunca

Ilustración 5. Pregunta N°1


Si27%

No73%

Si No



26

Si59%

No41%

Si No

Pregunta No 3 ¿Se ha tenido pérdidas de información debido a virus?


Frecuentemente 42 59,15%

Rara vez 14 19,72%

Nunca 15 21,13%

Total 71 100,00% Tabla 5. Pregunta N°3



Se puede apreciar que un elevado porcentaje afirma que con frecuencia los virus

informáticos atacan los sistemas y que por ende existe una pérdida de información.

Pregunta No 4. ¿Cree usted que, al perderse información, la empresa pierde dinero en

su recuperación o su nueva generación de información ya que tiene que pagar horas

extras?


Si 42 59,15%

No 29 40,85%




Se puede apreciar que un elevado porcentaje afirma que al perder información la

empresa pierde dinero porque al tratar de volverla a generar consume más recursos

humanos y por ende consume más dinero.

Frecuentemente

59%

Rara vez20%

Nunca 21%

Frecuentemente Rara vez Nunca





27

Pregunta No 5. ¿Considera importante que la Institución disponga de respaldos de

información, sincronizados automáticamente a cada usuario?


Si 61 85,92%

No 10 14,08%




Se puede apreciar que un elevado porcentaje considera que los respaldos de información

personalizada con cada uno de los usuarios son importantes porque que alimenta de

información al sistema, esos respaldos a su vez son una opción para la pronta

recuperación de la empresa en caso de enfrentar algún percance o catástrofe en cuanto

información se refiere.

Pregunta No 6 ¿Cree usted que la Institución debería tener respaldos de información

automático para ser almacenados en la

nube?


Si 59 83,10%

No 12 16,90%




Se puede apreciar que un elevado porcentaje, cree que la información que se genera en

los sistemas de la empresa debería ser respaldada en la nube o el internet para disponer

de ella, en cualquier momento o lugar en caso de que ocurriese una catástrofe o perdida

de la información, dicho proceso ayudaría la pronta recuperación de la empresa.

Si86%

No14%

Si No



Si83%

No17%

Si No



28

Pregunta No 7 ¿Usted como empleado de la CNEL Santo domingo Cree que se deberá

implementar más dispositivos contra incendios como extintores en cada una de las

dependencias donde exista más riesgo de que la información se pierda por motivo de un

incendio o flagelo?


Si 56 78,87%

No 15 21,13%




Se puede apreciar que un elevado porcentaje, cree que implementado más dispositivos

contra incendios, es apropiado para salvaguardar y poder contener los incendios en caso

de que estos ocurrieran.

Pregunta No 8 ¿Cree usted que CNEL Santo Domingo deberá invertir en dispositivos

de seguridad (cámaras, alarmas, botones de pánico, etc.) para proteger las instalaciones

y equipos informáticos de la empresa, en caso de robo o hurto y así evitar perdida de

información por parte de la delincuencia?


SI 47 66,20%

NO 24 33,80%




Un elevado porcentaje, cree que es necesario invertir en dispositivos de vigilancia para

poder tener un control más apropiado de las instalaciones.

Si79%

No21%

Si No

SI66%

NO34%

SI NO





29

Pregunta No 9 ¿Usted como usuario del sistema informático de la CNEL Santo

Domingo cree que la empresa debería invertir en software y hardware informático en

cuanto antivirus se refiere por perdida de la información que ocasionan los virus en el

sistema?


Si 63 88,73%

No 8 11,27%



Análisis de interpretación.

La mayoría de las personas encuestadas, cree que es necesario invertir en dispositivos

en sistemas tanto en software como hardware para poder contener los ataques de los

virus informáticos.

Pregunta No 10 ¿Usted como empleado de la CNEL Santo Domingo cree que en la

empresa existe personal inescrupuloso que, por motivos de sanciones o represalias a los

jefes, se dediquen a realizar sabotajes a los equipos informáticos y por ende esto afecta a

la información de la empresa generando así perdidas a la misma?


Si 41 57,75%

No 30 42,25%



Análisis de interpretación.

La mayoría de las personas encuestadas, dicen que si existe personal en la empresa que

se dedica a realizar sabotajes en los equipos informáticos por represalias a la empresa o

personal que está a su mando.

Si89%

No11%

Si No



Si58%

No42%

Si No



30

2.2. Conclusiones parciales del capitulo

Se puede apreciar en la encuesta realizada que la mayoría de los usuarios, cree que

los sistemas de la corporación Nacional de Electricidad “CNEL” regional Santo

Domingo. tiene un mínimo de seguridad física como lógica y que la información está

en un peligro constante, ya que esta se encuentra expuesta hurto, plagio o ataques de

virus informáticos

Es necesario contar con un servicio de respaldo de la información a través del

internet, ya que, por este medio, el departamento de sistemas la podría disponer,

desde cualquier computador, para la pronta recuperación de los sistemas de

corporación Nacional de Electricidad “CNEL” regional Santo Domingo.

Es importante también, la utilización de equipos de seguridad y vigilancia para la

custodia de los diferentes dispositivos informáticos que, permiten el normal

desarrollo de las actividades de la corporación Nacional de Electricidad “CNEL”

regional Santo Domingo.

Mediante la encuesta, realizada al personal de la corporación Nacional de

Electricidad “CNEL” regional Santo Domingo. Pudimos apreciar que es necesario, el

mejoramiento de los dispositivos y métodos contra incendios y catástrofes naturales

o antrópicas para la institución.

31

CAPITULO III

Consiste en el diseño de un plan de contingencias, para lo cual necesitaremos recabar

toda la información necesaria que se genera tanto en los sitios de control, de los

sistemas informáticos, como del personal, de la corporación, para que de esta manera se

pueda generar las directrices de nuestro plan de contingencias en base también a los

planes que existen en la empresa para su actualización, esperando obtener el mejor de

los resultados con nuestro diseño del plan de contingencias en caso de que ocurra algún

desastre con el equipo informático existente.

3.1. Planificación

Al Diseñar un plan de contingencias donde se tengan estrategias concretas orientadas a

resolver problemáticas como la perdida de información en cada uno de los usuarios y en

el Departamento de Sistemas.

Con el diseño de un plan de contingencias se pretende minimizar los siguientes puntos.

• Ajustar los riesgos de los desastres que afecten a las tecnologías de la información y

que perjudiquen a la empresa.

• Minimizar cada uno de los riesgos que se puedan producir en la empresa en cuanto se

refiere a las tecnologías de la información.

• Indicar los recursos necesarios para ejecutar el plan de contingencias en caso de

usarlo, en la corporación.

3. PROPUESTA

Ilustración 14. Diseño y aplicación del plan de contingencia


32

3.1. Descripción de la propuesta

3.1.1. Diseño del plan de contingencias

Se procederá a realizar los pasos necesarios para minimizar o anular la ocurrencia de

eventos que posibiliten los daños y en último término, en caso de ocurrencia de estos, se

procede a fijar un plan de emergencias, para su recomposición o minimización de las

perdidas.

3.1.2. Plan de reducción de riesgos

Implica la realización de un análisis de todas las posibles causas a los cuales pueden

estar expuestos nuestros equipos que se encuentran conectados a la RED de la CNEL

SANTO DOMINGO, así como la información contenida en cada medio de

almacenamiento. Se realizará un análisis de riesgo y el Plan de contingencias tanto para

reducir la posibilidad de ocurrencia como para reconstruir el Sistema de Información

y/o Sistema de Red de Computadoras en caso de desastres.

3.2. Análisis de riesgos

Se realiza un análisis de todos los elementos de riesgos a los cuales está expuesto el

conjunto de equipos informáticos y la información procesada, y que deben ser

protegidos, entre ellos tenemos a los siguientes:

a. Personal

b. Hardware

c. Software y utilitarios

d. Datos e información

e. Documentación

f. Suministros de energía eléctrica

g. Suministros de telecomunicaciones

En cada uno de los riesgos mencionados, existen posibles daños como lo son:

33

a) Imposibilidad de acceso a los recursos debido a problemas físicos en las

instalaciones, naturales o humanas.

b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambios

involuntarios o intencionales, tales como cambios de claves de acceso, eliminación o

borrado físico/lógico de información clave, proceso de información no deseado.

c) Divulgación de información a instancias fuera de la institución y que afecte su

patrimonio estratégico, sea mediante robo o infidencia.

A continuación, conoceremos las posibles fuentes de daños, las cuales no permitirían el

correcto funcionamiento de la empresa.

Acceso no autorizado

Ruptura de las claves de acceso al sistema computacionales

Desastres Naturales

Fallas de Personal Clave: por los siguientes inconvenientes: enfermedad, accidentes,

renuncias, abandono de sus puestos de trabajo entre otros.

Fallas de Hardware: falla en los Servidores (Hw), falla en el hardware de Red

(Switches, cableado de la Red, Router, FireWall).

3.2.1. Clases de riesgo.

Es el factor de probabilidad por clase de riesgo en función a la ubicación geográfica de

la institución y a su entorno institucional; por ejemplo, si la institución:

Se ubica en zona sísmica el factor de probabilidad de desastre por terremotos será

alta.

Se ubica en una zona marginal con alto índice de delincuencia, las probabilidades de

robo, asalto o vandalismo será de un riesgo considerablemente alto.

Se ubica en zona industrial las probabilidades de “Fallas en los equipos” será alto por

la magnitud de variaciones en tensiones eléctricas que se generan en la zona.

Cambia constantemente de personal, las probabilidades de equivocaciones y sabotaje

será alto.

34

3.3. Identificación de amenazas

Estos valores son estimados y corresponden a la apreciación de antecedentes históricos

registrados en la CNEL SANTO DOMINGO durante los últimos años. Corresponde al

presente Plan de Contingencia minimizar estos índices con medidas preventivas y

correctivas sobre cada caso de Riesgo.

En lo que respecta a Fenómenos naturales, nuestra región ha registrado en estos últimos

tiempos movimientos telúricos de poca intensidad; sin embargo, las lluvias fuertes

producen mayores estragos, originando filtraciones de agua en los edificios de techos,

produciendo cortes de luz, cortos circuitos (que podrían desencadenar en incendios).

NIVELES DE VALORACION DE LAS AMENAZAS

VALOR CATEGORIA DESCRIPCION color

8 MUY SEVERO DAÑO MUY GRAVE EN LA EMPRESA

7 GRAVE DAÑO GRAVE EN LA EMPRESA

6 MODERADO DAÑO IMPORTANTE EN LA EMPRESA

5 BAJO DAÑO MENOR EN LA EMPRESA

4 PROBABLE DAÑO QUE DEPENDE DE ALGO PARA QUE SUCEDA

3 PERIODICO DAÑO COMUN EN LA EMPRESA

2 CONTINUO DAÑO FRECUENTE EN LA EMPRESA

1 ALEATORIO DAÑO DE QUE SUCEDA O NO SUCEDA

Tabla 13 Niveles de Valoración de las Amenazas


ACCION A TOMAR

NIVEL ACCION COLOR

2 CORRECTIVO

1 PREVENTIVO

Tabla 14 Acción a Tomar


35

Personal que labora en el área de sistemas de CNEL Regional Santo Domingo

Funciones del personal de sistemas CNEL Regional Santo Domingo

NOMBRE CARGO

Ing. Mauricio Carrera Jefe de Sistemas

Ing. Hugo Mogollón Especialista en AS/400

Ing. Geovanny Luzuriaga Analista Programador desarrollo web

Ing. Juan Carlos Zambrano Analista Programador desarrollo web

S.E Janeth Fierro Secretaria 2

Ing. Camilo Benavidez Analista Programador técnico en hardware

Ing. Samuel Marín Analista Programador (ADM REDES)

Sr. Mario Sierra Operador Digitador

UNIDAD FUNCION RESPONSABLE

Telecomunicaciones

Monitorear levantar los

servicios de red

Ing. Samuel Marín

Soporte y Reparación

de Servicios

Mantenimiento y reparación

de (hardware). Equipo

informático

Ing. Camilo Benavidez

Ilustración 15. Organigrama departamento de sistemas CNEL Santo Domingo

Fuente: CNEL Santo Domingo

36

Informáticos

Operación y Soporte

de Servicios

Informáticos

Permitir y monitorear el

buen funcionamiento de los

servidores

Ing. Samuel Marín

Desarrollo y

Mantenimiento de

Sistemas de Información

Crear e implementar las

necesidades de los Usuarios

en los sistemas de

Información.

Esto incluye asignar los

permisos de acceso al

personal de desarrollo, al

ambiente operacional.

Ing. Samuel Marín


de Servicios

Informáticos

Verificar y garantizar el

correcto funcionamiento de

los sistemas implementados.

Asegurar que la

documentación de operación

y procedimientos de usuario

sean cambiados según sea

necesario para seguir siendo

apropiados

Ing. Juan Carlos

Zambrano

Desarrollo y

Mantenimiento de

Sistemas de

Información

Realiza las copias de

seguridad o Backup de la

información de la empresa.

Ing. Juan Carlos

Zambrano


de Servicios

Informáticos

Permitir y Verificar los

permisos de acceso de los

usuarios a las diferentes

redes, servicios y sistemas de

Información.

Ing. Geovanny

Luzuriaga

Desarrollo y

Mantenimiento de

Sistemas de

Información

Garante de la documentación

del sistema (impresa o

archivos digitales).

Ing. Hugo Mogollón

Departamento de

Servicios Generales

Verificar que se realice el

mantenimiento de las redes

eléctricas y equipos de

suministro eléctrico (placas

de pared, supresoras de

picos, estabilizadoras de

voltaje, ups, extensiones

Eléctricas).

Ing. Mauricio Carrera

37

Desarrollo y

Mantenimiento de

Sistemas de

Información

Encargado del software de la

organización, incluyendo la

biblioteca y códigos fuentes

ejecutables de los sistemas

informáticos.

Ing. Mauricio Carrera

Tabla 15 Funciones del personal de sistemas CNEL Regional Santo Domingo

Fuente: CNEL Santo Domingo

Equipos de trabajos para el plan de contingencias

UNIDADES EQUIPOS FUNCION

DENTRO DEL

PLAN

RELACION DE

COORDINACIÓN

Soporte y Reparación

de Servicios

Informáticos

EQUIPO

ALFA

Ing. Camilo

Benavidez

S.E Janeth

Fierro

Coordinación en la

logística y

reparación de los

servicios

informáticos

Bomberos

Cruz roja

Hospitales

Proveedor de Servicios de

Internet y

enlace de datos.

Proveedor de

Seguros


de Servicios

Informáticos

EQUIPO

OMEGA

Ing. Samuel

Marín

Ing.

Geovanny

Luzuriaga

Ing. Juan

Carlos

Zambrano

Coordinación para

el levantamiento de

todos los servicios

informáticos

Policía nacional

Cruz roja

Hospitales

Proveedor donde se

dispondrá como

sitio alterno de

Operaciones

Desarrollo y

Mantenimiento de

Sistemas de

Información

EQUIPO

GAMMA

Ing. Juan

Carlos

Zambrano

Ing. Hugo

Mogollón

Ing. Mauricio

Carrera

Coordinación con

los medios para el

levantamiento de

toda la información

de los sistemas

Proveedor de Almacenamient

o de Respaldos


Internet y

enlace de datos

38

Telecomunicaciones EQUIPO

BETA

Ing. Samuel

Marín

S.E Janeth

Fierro

Coordinación de la

levantamiento de

todos los servicios

de la red


Internet y

enlace de datos

Departamento de

Servicios Generales

EQUIPO

DELTA

Ing. Mauricio

Carrera

Coordinación de la

levantamiento de

todos los equipos

físicos y software

para la empresa

Proveedor de

hardware.

Proveedoras de Software

Comercial.

Proveedor de Seguros

Tabla 16 Equipos de trabajos para el plan de contingencias


3.4. Relaciones de coordinación

Son las que nos permiten establecer toda relación con ciertas entidades ya sean

pertenecientes a la empresa o sean entidades externas, cuyo fin es el de que en caso de

que se presentara algún imprevisto fortuito en la empresa que atente contra la seguridad

de la información o algún evento de carácter catastrófico, que pueda dañar nuestra

infraestructura informática, y nuestras operaciones queden fuera de servicio, estas

entidades nos puedan ayudar, a salir de la crisis y podamos iniciar las operaciones lo

más pronto posible

3.4.1. Relaciones de coordinación internas:

• Soporte y Reparación de Servicios Informáticos

• Operación y Soporte de Servicios Informáticos

• Desarrollo y Mantenimiento de Sistemas de Información

• Telecomunicaciones

3.4.2. Relaciones de coordinación externas:

• Policía Nacional

• Bomberos.

39

• Cruz Roja.

• Hospitales

• Proveedor de Servicios de Internet y enlace de datos.

• Proveedor de Seguros

• Proveedor donde se dispondrá como sitio alterno de Operaciones

• Proveedor de Almacenamiento de Respaldos.

• Proveedor de hardware.

• Proveedoras de Software Comercial.

3.5. Identificación de los riesgos y soluciones

3.5.1. Clase de riesgo: Incendio o Fuego

Grado de Negatividad: Muy Severo.

Frecuencia de Evento: Aleatorio.

Grado de Impacto: Grave.

Grado de Certidumbre: Probable.

Situación actual: Acción correctiva.

Problema

Los Servidores del Área de Sistemas CNEL SANTO DOMINGO cuentan con un

extintor cargado, ubicado dentro del Área de Servidores. En muchos Centros de

cómputo de la CNEL SANTO DOMINGO, no cuenta con un número adecuado de

extintores.

No se ejecuta un programa de capacitación sobre el uso de elementos de seguridad y

primeros auxilios, lo que no es eficaz para enfrentar un incendio y sus efectos. Una

probabilidad máxima de contingencia de este tipo en el Área de Sistemas, puede

alcanzar a destruir un 50% de las oficinas antes de lograr controlarlo, también podemos

suponer que en el área de Servidores tendría un impacto mínimo, por las medidas de

seguridad y ambiente que lo protege. Esta información permite resaltar el tema sobre el

lugar donde almacenar los backups. El incendio, a través de su acción calorífica, es más

que suficiente para destruir los dispositivos de almacenamiento, tal como CD’s, DV’s,

40

cartuchos, Discos duros, las mismas que residen en una caja fuerte (medio de seguridad

que nos protege frente a robo o terremoto, pero no del calor).

Identificación de la solución

Estos dispositivos de almacenamiento muestran una tolerancia de temperatura de 5°C a

45°C, y una humedad relativa de 20% a 80%. Para la mejor protección de los

dispositivos de almacenamiento, se colocarán estratégicamente en lugares distantes, con

una segunda copia de seguridad custodiada en un lugar externo de la CNEL SANTO

DOMINGO.

Uno de los dispositivos más usados para contrarrestar la contingencia de incendio, son

los extinguidores. Su uso conlleva a colocarlos cerca de las posibles áreas de riesgo que

se debe proteger.

Responsables: Equipo Alfa y Delta

3.5.2. Clase de riesgo: Robo Común de Equipos y Archivos

Grado de Negatividad: Grave.


Grado de Impacto: Moderado.

Grado de Certidumbre: Aleatorio.

Situación actual Acción preventiva

Problema

La salida de un equipo informático es registrada por el personal de la Oficina y por el

personal de seguridad en turno. No se verifica si el Personal de Seguridad cumple con la

inspección de los usuarios, sobre su obligación de cerrar puertas y ventanas al finalizar

su jornada. Al respecto Personal de Seguridad emite recomendaciones sobre medidas de

Alerta y seguridad.

41

No se han reportado casos en la cual haya existido manipulación y reubicación de

equipos sin el debido conocimiento y autorización debida entre el Jefe del Área

funcional y Jefe de Área de Sistemas. Esto demuestra que los equipos se encuentran

protegidos de personas no autorizadas y no identificables.


Para ello es necesario analizar las siguientes situaciones a considerar:

¿En qué tipo de vecindario se encuentra la Institución?

¿Las computadoras se ven desde la calle?

¿Hay personal de seguridad en la Institución, ubicados en zonas estratégicas?

¿Cuánto valor tiene actualmente las bases de datos?

¿Cuánta pérdida podría causar en caso de que se hicieran públicas?

Asegurarse que el personal es de confianza, competente y conoce los procedimientos

de seguridad.

Trabajo no supervisado, especialmente durante el turno de noche, malas técnicas de

contratación, evaluación y de despido de personal.

Contar a la mano los números telefónicos de los principales medios de rescate como

(Ecu-911, Policía Nacional, Seguridad Privada de la Empresa)

Responsables: Equipo Omega y Delta

3.5.3. Clase de riesgo: Vandalismo

Grado de Negatividad: Moderado.




Situación actual Acción correctiva.

Problema

La CNEL SANTO DOMINGO está en una zona donde el índice de vandalismo es bajo,

pero en el caso que se presente este inconveniente y el intento de vandalismo sea mayor,

42

este representaría un gran riesgo dentro del centro de cómputo, ya que se podría perder

toda la información almacenada y por ende las actividades dentro de la empresa se

verían afectadas en gran parte.


A continuación, se menciona una serie de medidas preventivas:

Establecer vigilancia mediante cámaras de seguridad en el sitio, para registrar la

entrada y salida del personal.

Instalar identificadores mediante tarjetas de acceso.

Determinar lugares especiales fuera del centro de datos, para almacenar los medios

magnéticos de respaldo y copia de la documentación de la empresa.

Aplicar los medios Necesario para la recuperación inmediata de la base de datos de

la empresa en el local alterno.


3.5.4. Clase de riesgo: falla en los equipos






Problema

La Red de energía en los Servidores, en el Área de Sistemas cuenta con una instalación

Eléctrica Estabilizada, no existe un adecuado tendido eléctrico dentro de algunas

oficinas de la CNEL SANTO DOMINGO Cada área funcional se une a la Red a través

Gabinetes, la falta de energía en éstos, origina la ausencia de uso de los servicios de red,

los Sistemas Informáticos, teléfonos IP, mantenimiento remoto, su adecuado apagado y

encendido, dependen los servicios de red eléctrica en el Área.

43


La falla en el hardware de los equipos informáticos, requiere un rápido mantenimiento o

reemplazo, existe mantenimiento de los equipos de cómputo, para lo que es importante

contar con proveedores, en caso de requerir reemplazo de piezas, y de ser posible contar

con repuestos.

Dado el caso crítico de que los discos duros presentan fallas, tales que no pueden ser

reparadas, se debe tomar las acciones siguientes:

Ubicar el disco malogrado.

Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono

a jefes de área.

Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.

Bajar el sistema y apagar el equipo.

Retirar el disco duro malo y reponerlo con otro del mismo tipo, y formatearlo para

su correcta utilización.

Restaurar el último backup, seguidamente restaurar las modificaciones efectuadas

desde esa fecha a la actualidad.

Verificación el buen estado de los sistemas.

Habilitar las entradas al sistema para los usuarios.

Error de Memoria RAM y Tarjeta(s) Controladora(s) de Disco, En el caso de las

memorias RAM, se dan los siguientes síntomas:

El servidor no responde correctamente, por lentitud de proceso o no rendir ante el

ingreso masivo de usuarios.

Ante procesos mayores se congela el proceso.

Arroja errores con mapas de direcciones hexadecimales.

Es recomendable que el servidor cuente con ECC (error correct checking), por lo

tanto, si hubiese un error de paridad, el servidor se autocorregirá.

Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo fijado

por la Empresa, a menos que la dificultad apremie, cambiarlo inmediatamente.

44

Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben tomar las

acciones siguientes:

Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono

a jefes de área.

El servidor debe estar apagado, dando un correcto apagado del sistema.

Retirar la conexión del servidor con el concentrador, ello evitará que al encender el

sistema, los usuarios ingresen.

Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el

concentrador, habilitar entradas para estaciones en las cuales se realizarán las

pruebas.

Probar los sistemas que están en red en diferentes estaciones.

Finalmente, luego de los resultados, habilitar las entradas al sistema para los usuarios


3.5.5. Clase de riesgo: equivocaciones

Grado de Negatividad: Moderado.

Frecuencia de Evento: Periódico.

Grado de Impacto: Moderado.



Problema

Cuando el usuario es practicante y tiene conocimientos de informática, tiene el impulso

de navegar por los sistemas. En lo posible se debe cortar estos accesos, limitando su

accionar en función a su labor de rutina, ya que no se sabe hasta qué punto el reemplazo

tiene conocimientos sobre computación y si está capacitado para manejar debidamente

el software.

45

El Área de Sistemas no recibe comunicación del personal de reemplazo, por vacaciones,

por lo tanto, supone que es la Oficina usuaria la que capacita al reemplazante. Se debe

informar al AREA DE SISTEMAS del reemplazo para su registro y accesos a la Red y

los Sistemas, por el tiempo que dure el reemplazo. Al término del periodo de reemplazo

se restituye los valores originales a ambos usuarios.


Se debe considerar las siguientes medidas preventivas:

¿Cuánto saben los empleados de computadoras o redes?

Durante el tiempo de vacaciones de los empleados, ¿qué tipo de personal los

sustituye y qué tanto saben del manejo de computadoras?

Difusión de Manuales de Usuario y operación del correcto uso del software y el

hardware a todo el personal que labora de manera directa con los equipos

informáticos.

Responsables: Equipo Gamma y Delta

3.5.6. Clase de riesgo: acción de virus informático

Grado de Negatividad: Muy Severo.

Frecuencia de Evento: Continuo.




Problema

Se cuenta con un Software Antivirus corporativo. Pero no hay un contrato anual para su

actualización. Se debe evitar que las licencias no expiren, se requiere la renovación de

contrato anualmente este se cumpla.

46


Dado el caso crítico de que se presente virus en las computadoras se procederá a lo

siguiente:

Para servidor:

Se contará con antivirus para el sistema; que nos permite aislar el virus para su futura

investigación.

El antivirus muestra el nombre del archivo infectado y quién lo usó.

Si los archivos infectados son aislados y aún persiste el mensaje de que existe el

virus en el sistema, lo más probable es que una de las estaciones es la que causó la

infección, debiendo retirarla del ingreso al sistema y proceder a su revisión.

Para computadoras fuera de red:

Utilizar los discos de instalación que contenga sistema operativo igual o mayor en

versión al instalado en el computador infectado.

Insertar el disco de instalación antivirus, luego instalar el sistema operativo, de tal

forma que revise todos los archivos y no sólo los ejecutables. De encontrar virus, dar

la opción de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendará

borrar el archivo, tomar nota de los archivos que se borren. Si éstos son varios

pertenecientes al mismo programa, reinstalar al término del escaneado. Finalizado el

escaneado, reconstruir el Master Boot del disco duro.


3.5.7. Clase de riesgo: accesos no autorizados






47

Problema

Se controla el acceso al Sistema de Red mediante la definición de “Cuenta” o “Login”

con su respectiva clave para verificar si esta acción se cumple. A cada usuario de Red se

le asigna los “Atributos de confianza” para el manejo de archivos y acceso a los

sistemas.


Cuando el personal cesa en sus funciones y/o es asignado a otra área, se le redefinen los

accesos y autorizaciones, quedando sin efecto la primera. Esto se cumple de modo

extemporáneo, siendo lo indicado actualizar los accesos al momento de producirse el

cese o cambio.

Todos los usuarios sin excepción tienen un “login” o un nombre de cuenta de usuario y

una clave de acceso a la red con un mínimo de cinco (5) dígitos. No se permiten claves

en blanco. Además, están registrados en un grupo de trabajo a través del cual se otorga

los permisos debidamente asignados por el responsable de área.

Cada usuario es responsable de salir de su acceso cuando finalice su trabajo o utilizar un

bloqueador de pantalla. Ello se aplica tanto a su autenticación como usuario de Red

como usuario de Sistemas en la CNEL SANTO DOMINGO, si lo tuviere.


3.5.8. Clase de riesgo: robo de datos o pérdida de la información






48

Problema

Las Oficinas tienen quemadoras de CD/DVD, puertos USB, pero no se lleva un control

sobre la información que ingresa y/o sale del ordenador. El servicio de Internet es

potencialmente una ventana abierta para el robo de información electrónica, existen

políticas que regulan el uso y acceso del Servicio de Internet. Los documentos impresos

(informes, reportes, contratos, etc.) normalmente están expuestos al robo por que no se

acostumbra guardarlos como debe ser.


El acceso a los terminales se controla, mediante claves de acceso, de esta manera se

impide el robo de información electrónica. A través de las políticas se seguridad se

impide el ingreso a los Servidores.

El Robo de datos se puede llevarse a cabo bajo tres modalidades:

a) La primera modalidad consiste en sacar “copia no autorizada” a nuestros archivos

electrónicos aun medio magnético y retirarla fuera de la institución.

b) La segunda modalidad y tal vez la más sensible, es la sustracción de reportes

impresos y/o informes confidenciales.

c) La tercera modalidad es mediante acceso telefónico no autorizado, se remite vía

Internet a direcciones de Correo que no corresponden a la Gestión Empresarial.

A las cuales se las previene a través de las siguientes acciones:

Control de acceso al Área de Sistemas: El acceso al área de Informática estará

restringido:

Sólo ingresan al área el personal que trabaja en el área.

El ingreso de personas extrañas solo podrá ser bajo una autorización.

Limitación del uso de programas para usuario o terminales.

Límite de tentativas para la verificación del usuario, tiempo de validez de las

contraseñas, o uso de contraseñas, cuando un terminal no sea usado pasado un

tiempo predeterminado (5 - 10 minutos).

49


3.5.9. Clase de riesgo: manipulación y sabotaje

Grado de Negatividad: Grave

Frecuencia de Evento: Aleatorio

Grado de Impacto: Grave

Grado de Certidumbre: Probable

Situación actual Acción correctiva

Problema

Existe el problema de la inestabilidad laboral, la misma que podría obligar a personas

frustradas, o desilusionadas a causar daños físicos y lógicos en el sistema de

información de la institución. Esto se puede traducir desde el registro de operaciones

incorrectas por parte de los usuarios finales, hasta la operación de borrar registros en el

sistema y conductas de sabotaje.


No se comunica el movimiento de personal al Área de Sistemas, para restringir accesos

del personal que es reubicado y/o cesado de la CNEL SANTO DOMINGO. Es

conveniente la comunicación anticipada del personal que será reubicado y/o cesado con

el objeto de retirar los derechos de operación de escritura para otorgarle los derechos de

consulta antes de desactivar la cuenta.

La protección contra el sabotaje requiere:

Una selección rigurosa del personal.

Buena administración de los recursos humanos

Buenos controles administrativos

Buena seguridad física en los ambientes donde están los principales componentes del

equipo.

50

Asignar a una persona la responsabilidad de la protección de los equipos en cada

área.

Responsables: Equipo Beta y Delta

3.5.10. Clase de riesgo: fenómenos naturales

Grado de Negatividad: Grave

Frecuencia de Evento: Aleatorio

Grado de Impacto: Grave

Grado de Certidumbre: Probable

Situación actual Acción Preventiva

Problema

Terremoto e inundación. Para evitar problemas con inundaciones o terremotos es

necesario ubicar los servidores a un promedio de 50 cm de altura. En lo posible, los

tomacorrientes deben ser instalados a un nivel razonable de altura.


Cuando el daño del edificio ha sido mayor, se necesita evaluar el traslado a un nuevo

local Alterno, hasta considerar la posibilidad del traslado.

Cuando el daño ha sido menor se procede:

Tramitar la garantía de los equipos dañados o comprar los equipos indispensables

para la continuidad de las operaciones. Responsable encargado de Soporte y

Mantenimiento

Recoger los respaldos de datos, programas, manuales y claves. Responsable

encargado de Redes.

Instalar el sistema operativo. Responsable encargado de Soporte y Mantenimiento

Restaurar la información de las bases de datos y programas. Responsable encargado

de Desarrollo.

51

Revisar y probar la integridad de los datos. Responsable encargado de Desarrollo.


MATRIZ DE VALORIZACION DE LOS RIESGOS

CLASE DE RIESGO

EQUIPOS DE TRABAJO

RESPONSABLES GRADO DE

NEGATIVIDAD FRECUENCIA DE EVENTO

GRADO DE IMPACTO

GRADO DE CERTIDUMBRE

SITUACION ACTUAL

Incendio o

Fuego

Equipo Alfa Y

Equipo

Delta

Muy Severo

(8) Aleatorio (1) Grave (7) Periódico (4)

Acción

correctiva.

Robo

común de

Equipos y

Archivos

Equipo Omega

Y

Equipo

Delta

Grave (7) Aleatorio (1)

Moderado

(6) Aleatorio (1)

Acción

Preventiva.

Vandalism

o

Equipo Omega

Y

Equipo

Delta

Moderado

(6) Aleatorio (1) Grave (7) Probable (4)

Acción

correctiva.

Falla en los

equipos

Equipo Omega

Y

Equipo

Delta

Grave (7) Aleatorio (1) Grave (7) Probable (4)

Acción

correctiva.

Equivocaci

ones

Equipo

Gamma

Y

Equipo

Delta

Moderado

(6) Periódico (3)

Moderado

(6) Probable (4)

Acción

correctiva.

Acción de

virus

informático

Equipo

Alfa

Y

Equipo

Delta

Muy Severo

(8) Continuo (2) Grave (7) Probable (4)

Acción

correctiva.

Accesos no

autorizados

Equipo Omega

Y

Equipo

Delta


Acción

correctiva.

Robo de Equipo Grave (7) Aleatorio (1) Grave (7) Probable (4) Acción

52

datos o

perdida de

la

informació

n

Alfa

Y

Equipo

Delta

correctiva.

Manipulaci

ón y

sabotaje

Equipo Beta

Y

Equipo

Delta


Acción

correctiva.

Fenómenos

naturales

Equipo Alfa

Y

Equipo

Delta


Acción

Preventiva.

Tabla 17 Matriz de valorización de los riesgos


3.6. Documentación del proceso pruebas y monitoreo del plan

3.6.1. Pruebas y validaciones del plan de contingencias

Cuando ya se haya implementado el plan, conjuntamente con las recomendaciones del

caso, el siguiente paso es planificar regularmente las pruebas del plan, las mismas que

se realizaran como mínimo una vez por año, las cuales nos permitirán mejorar el plan en

caso de que existiré algún error en el mismo.

El plan de contingencias debe estar sujeto, avaluaciones ordinarias las mimas que deben

estar documentadas siguiendo un formato establecido.

La finalidad de la prueba es de mejorar el plan de contingencia a medida que se vallan

presentando cada uno de los riegos, para ello con cada una de las pruebas se

documentará la información creándose así un registro, el mismo que nos servirá

realizando los cambios o mejoras al plan informático.

3.7. Métodos para realizar las pruebas

53

3.7.1. Pruebas específicas

Esta prueba trata de probar al personal en una actividad específica, utilizando los

procesos definidos en el plan, de esta manera el personal tendrá, tareas específicas y

desarrollará la habilidad para cumplirla.

3.7.2. Pruebas de escritorio

Trata del desarrollo de pruebas a través de un conjunto de preguntas típicas las mismas

que se caracterizan por tener:

Un formato prestablecido

Va dirigido a los equipos de trabajo

Permite probar las habilidades de diligénciales de los líderes de equipos

Los ejercicios son realizados de una forma hipotética, las preguntas que se generan

serán resueltas por cada uno de los equipos responsables de los riesgos que se

encuentren a cargo

3.7.3. Pruebas en tiempo real

Las pruebas en tiempo real se las realiza a cualquier clase de riesgo por un periodo de

tiempo determinado las mismas que pueden ser de la siguiente manera:

Se lo utiliza para comprobar ciertas partes importantes del plan en tiempo real

Nos permite verificar las habilidades de coordinación entre los equipos de trabajo y

las relaciones de coordinación interna y externas los mismos que se encuentran

asignados para afrontar cada uno de los riesgos a suscitarse

Esta prueba se las debe ejecutar en el momento en que se están realizando las

actividades normales en la empresa sin que estas afecten el funcionamiento de la

misma

.

Estas pruebas como se menciona anteriormente no deben afectar a las actividades de la

empresa, ni comprometer ninguno de los servicios que la misma ofrece, esta debe estar

dirigida o a cargo de cada uno de los jefes de grupos de trabajo y enlazadas con cada

una de las relaciones de coordinación, dependiendo el riesgo que se desea comprobar

54

Trata de una serie de pasos que hay que seguir antes de realizar las pruebas del plan de

contingencias

Repasar cada uno de los riesgos citados en el plan

Confirmar que existan responsables para cada uno de los riesgos

Confirmar que el plan se encuentre aprobado por la autoridad máxima de la Empresa

Preparar a todo el personal involucrado en el plan

Establecer fechas y horas para la ejecución del plan

Documentar cada uno de los ensayos que se le realicen al plan informático

Designar días específicos para la prueba sin que estas afecten al normal desarrollo de

las actividades de la empresa

Al iniciar las pruebas se orientará en preparar a los equipos que ejecutaran con éxito

el plan de contingencias

Enfocar los problemas en los servicios que dependen de sistemas específicos o

dependen de compañías externas donde se asume que haya problemas

Definir lo lugares en los que se realizara las reuniones de los equipos de plan de

contingencias

Entregar a cada uno de los departamentos de la empresa una copia del plan de

contingencias para el personal se encuentre al tanto en caso de que se presentara

alguna emergencia.

3.9. Comprobación del plan y monitoreo

La comprobación del plan y monitoreo debe ser un ensayo en el cual encierre cada uno

de los riesgos que se citan en el plan informático, que involucre a cada una de las

relaciones coordinación tanto interna como externa y que integre cada uno de los puntos

críticos, de cada uno de los riesgos.

El éxito del plan de contingencias reside en tanto que nos acerquemos más a las

medidas a tomar de la prueba, con cada una de los resultados que deseamos obtener

3.8. Preparación de la Pre-prueba

55

Para la ejecución de las pruebas del plan, se ha creado un diagrama a seguir, para hacer

la comprobación y monitoreo del mismo se lo realiza a través de unas lista de chequeo

las mismas que se encuentran acorde a cada uno de los riesgos que hemos estimado en

el plan informático.

Ilustración 16. Diagrama de ejecución de las pruebas


Inicio

Nombrar personal que ejecutara el plan

Plan aprobado Preparar Las Pruebas Del Plan

Prestar atención a los resultados de las pruebas

Analizar los resultados

Si el plan

está bien

Verificar las pruebas

Verificar las pruebas con los grupos

responsables

Otros niveles de pruebas

Reanalizar

el plan Enviar copia a los grupos

responsables

Existen más

pruebas

El plan de

pruebas es

correcto

Continuar

probando otros

riesgos

Iniciar los

siguientes

niveles

No

Si

Si

No

No

Si

No

Si

Si

No

Iniciar el mantenimiento del plan

56

Para la comprobación del plan informático se realizará una prueba de escritorio a través

de:

Listas de chequeo para los riegos existentes en el plan informático

Riesgo Incendio o fuego

Responsables Equipo Alfa y Equipo Delta

Grado de negatividad Muy Severo

Frecuencia del Evento Aleatoria

Grado de impacto Grave

Grado de Certidumbre Periódico

Situación Actual Acción correctiva

ITEM A EVALUAR S1 NO OBSERVACIONES

Se Verifica que los sistemas contra

incendio esté funcionando Correctamente

El personal de la empresa conoce sobre el

manejo de los extintores. Que se

encuentran instalados en la empresa.

Se realiza las llamadas a tiempo a los

números de Emergencia (RELACIONES

DE COORDINACIÓN EXTERNA)

Se activan los sistemas de alarma a tiempo

para la correcta evacuación de personal

dentro de las instalaciones del Empresa

durante un incendio

Se respeten las rutas de evacuación

Se utilizan linternas de emergencia con

baterías

(Si el tiempo lo permite) se aseguran que

se tengan los respaldos de información

externos

Si (el tiempo lo permite) se apagan los

servidores y la caja principal de corriente

Se comunica a tiempo al grupo

responsable para que active de inmediato

el plan de contingencias contra incendios

Se realizan a tiempo la coordinación

pertinente con las entidades internas o

externas ante un incendio

57

Riesgo Robo común de equipos y archivos

Responsables Equipo Omega y Equipo Delta

Grado de negatividad Grave


Grado de impacto Moderado

Grado de Certidumbre Aleatoria

Situación Actual Acción Preventiva


Se encuentran bien identificado el

personal que tiene acceso a los equipos

informáticos en la empresa

Existe algún procedimiento o normas para

la utilización de los pen drive o

dispositivos de almacenamiento externos

Se tiene in inventario de los dispositivos

de almacenamiento externos dentro los

equipos informáticos de la empresa

Se puede determinar quién ha utilizado un

dispositivo de almacenamiento externo y

quien es el responsable del mismo

Se cuenta con alguna bodega para el

almacenamiento de dispositivos de soporte

de información

Existen normas para la destrucción de

medios de almacenamiento en la empresa

En caso de un robo físico se tiene las

coordinaciones pertinentes con las

autoridades policiales de inmediato

En caso de descubrir algún infractor de

hurto de información o equipos

informativos físicos se toma alguna

médica contra de ellos



el plan de contingencias contra el robo

común de equipos y archivos informáticos



externas en caso de presentarse

manifestaciones de robo común de

equipos y archivos informáticos

58

Riesgo Vandalismo


Grado de negatividad Moderado




Situación Actual Acción Correctiva


La empresa se encuentra en una zona

donde comúnmente hay manifestaciones

de delincuencia común

La empresa ha sido víctima de ataques por

parte del personal de usuarios que acuden

a cancelar sus planillas diariamente

Se encuentra el personal capacitado para

enfrentar una situación de vandalismo

común

La empresa cuenta con el número

necesario de personal de seguridad en caso

de que ocurriera algún caso de vandalismo

en contra de la empresa

El personal de seguridad se encuentra bien

equipado tanto en armas como en

seguridad para ellos en caso de

vandalismo

El personal de la empresa tiene

conocimiento sobre normas de seguridad

en caso de vandalismo

Existe un sistema de seguridad para

monitorear la empresa en caso de que

suceda alguna manifestación de

vandalismo por parte de los usuarios de la

misma

La empresa cuenta con personal de

seguridad las 24 horas del día



el plan de contingencias contra el

vandalismo



externas ante un caso de vandalismo

59

Riesgo Fallas en los equipos informáticos








Se lleva un control de los equipos

informáticos que cuentan con una garantía,

para que cuando esta termine, se integren a

algún programa de mantenimiento dentro

de la planificación del área de sistemas de

la empresa

La empresa cuenta con servicio de

mantenimiento para todos los equipos

informáticos

Se realizan con frecuencia el

mantenimiento a los equipos Informáticos

Se cuenta con procedimientos definidos

para la adquisición de nuevos equipos

Se tienen criterios de evaluación para

determinar los diferentes proveedores al

momento de realizar la adquisición de

repuestos informáticos

En caso de que un equipo o terminal

llegara a fallar esta puede ser remplazado

de inmediato por otro equipo informático

o se tiene que esperar determinado tiempo

para su remplazo

En caso de sufrir algún desperfecto sea

memoria disco duro ext. Existe alguna

bodega de repuesto la misma que nos

permita el remplazo inmediato del

dispositivo.



el plan de contingencias contra la falla de

los equipos informativos



externas ante un caso de fallas en los

equipos informáticos

60

Riesgo Equivocaciones

Responsables Equipo Gamma y Equipo Delta

Grado de negatividad Moderado

Frecuencia del Evento Periódico

Grado de impacto Moderado




El personal que remplaza al personal que

se encuentra de vacaciones está

debidamente capacitado Para cumplir con

la función de la persona que va remplazar

El jefe de sistemas tiene conocimiento

coordinado con el jefe de personal de la

empresa en el momento que existe un

remplazo de algún usuario para poderlo

capacitar en el área que se vaya a

desempeñar

La actualización de los usuarios es

inmediata en caso de remplazo de algún

usuario

Se generan backups diariamente en caso

de que algún usuario elimine algún

archivo del sistema de forma herrada

En caso de que un usuario cometa varios

errores fallidos de ingreso al sistema este

se puede autenticarse varias veces

Existe personal capacitados en la empresa

para que pueda desempeñar varias

funciones en el sistema a ala ves

El personal que realiza algún falla en el

sistema ya sea de forma intencionada

tendrá alguna sanción por parte de la

misma



el plan de contingencias contra de las

equivocaciones



externas ante un caso de equivocaciones

en el sistema

61

Riesgo Acción de virus informáticos


Grado de negatividad Muy severo

Frecuencia del Evento Continuo





Ha notado los cambios de longitud de los

diferentes programas que utiliza en el

computador

Ha notado que la carga del sistema de

Windows es más lenta que cuando el

equipo estaba nuevo

El computador del usurario muestra

mensajes de error inusuales

Ha notado Actividad extraña en la pantalla

del computador

Ha notado por parte del departamento di

sistemas que actualicen periódicamente las

licencias de los antivirus de la empresa

Ha notado que el computador se reinicia

constantemente sin necesidad de que el

usuario realice esa acción

Al conectar un USB portable en el

computador le ha sucedido que la

información se desaparece pero el

dispositivo sigue lleno



el plan de contingencias contra la acción

de virus informático



externas ante un caso de la acción de virus

informáticos

62

Riesgo Accesos no autorizados



Frecuencia del Evento Aleatorio





Está la red segura sin peligro de conexión

no autorizada

Se limitan las capacidades de los usuarios

para que la información sensible sobre el

sistema no esté disponible en la red

Se cambian las contraseñas de las cuentas

de usuario de la red con regularidad

Se permite la ejecución de la consola del

sistema (o línea de comandos) sólo a

usuarios autorizados

Se cifran los datos confidenciales que se

transfieren a través de la red

Mantiene registros suficientes de toda la

actividad de red relacionada con su

sistema

Monitoriza la actividad de red en busca de

tráfico excesivo o inusual que llega a su

sistema



el plan de contingencias contra la acción

de accesos no autorizados



externas ante un caso de la acción de

accesos no autorizados

63

Riesgo Robo de datos o pérdida de la información








El acceso a los computadores de la

empresa es controlado a través de

contraseñas

Se realizan periódicamente copias de

seguridad de la información que se genera

diariamente en la empresa

Se controla la utilización de dispositivos

de almacenamiento portable a cada uno de

los empleados de la empresa

El acceso al internet se encuentra

restringido para las diferentes terminales

instaladas en la empresa

Se tiene instalados antivirus que se

actualizan con regularidad

La empresa cuenta con normas propias de

respaldo de la información

La empresa tiene un estricto control del

personal que está autorizado a manipular

los dispositivos de almacenamiento de la

información.



el plan de contingencias contra el robo de

datos y pérdida de la información



externas ante un caso del robo de datos y

pérdida de la información

64

Riesgo Manipulación y Sabotaje

Responsables Equipo Beta y Equipo Delta







La empresa cuenta con una buena

documentación de redes y los recursos

utilizados

La empresa utiliza medidas de restricción

a los usuarios como es la de administrador

de los dispositivos de red y sistemas

Las contraseñas tanto del administrador y

usuarios son cambiadas, en cuanto estas

personas dejan de laborar para la empresa

Se monitorea constantemente el tráfico de

la redes para saber si hay actividades

inesperadas por parte de los usuarios

El personal informático realiza un

mantenimiento periódico de las

contraseñas de la empresa

Se encuentran activados los firewall de los

computadores de la empresa con el fin de

proteger la información de los piratas

informáticos en la red

Se revisa rigurosamente a los candidatos

que durante el proceso de contratación

como empleados de la empresa



el plan de contingencias contra la

manipulación y el sabotaje



externas ante un caso de La manipulación

y el sabotaje

65

Riesgo Fenómenos naturales






Situación Actual Acción Preventiva


Las vías de evacuación del personal se

encuentran correctamente señalizadas

La empresa ha capacitado a personal en

cuanto a dar los primeros auxilios en caso

de una emergencia

Existe iluminación permanente en las vías

de evacuación de la empresa

Se respalda la información diariamente en

lugares fuera de la empresa en caso de que

ocurra un terremoto o inundación

Conocen los trabajadores de la empresa

los procedimientos que hay que utilizar el

momento de ocurrir un incendio

Existe en la empresa una zona de

seguridad asignada en caso de un sismo,

incendio o cualquier otra emergencia

El personal de sistemas conoce los

procedimientos de respaldo de la

información en caso de un que ocurriese

un sismo o un incendio



el plan de contingencias contra los

fenómenos Naturales



externas ante un caso los fenómenos

naturales

Tabla 18 Listas de chequeo para los riegos existentes en el plan informático


66

3.10. Implementación de plan de contingencias

3.10.1. Análisis en las fallas en la seguridad (riesgos)

En este se abarca el estudio del hardware, software, la ubicación física de la estación y

su utilización, con el objetivo de identificar los posibles resquicios en la seguridad que

pudieran suponer un peligro.

Las fallas en la seguridad de la información y por consiguiente de los equipos

informáticos, es una cuestión que llega a afectar, incluso, a la vida privada de la

persona, de ahí que resulte obvio el interés creciente sobre este aspecto.

Protecciones actuales

Se realizan las siguientes acciones:

Al robo común se cierran las puertas de entrada y ventanas

Al vandalismo, se cierra la puerta de entrada.

A la falla de los equipos, se realiza el mantenimiento de forma regular.

Al daño por virus, todo el software que llega se analiza en un sistema utilizando

software antivirus.

A las equivocaciones, los empleados tienen buena formación. Cuando se requiere

personal temporal se intenta conseguir a empleados debidamente preparados.

A terremotos, no es posible proteger la instalación frente a estos fenómenos.

Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras

disponen de llave de bloqueo del teclado.

Al robo de datos, se cierra la puerta principal y gavetas de escritorios. Varias

computadoras disponen de llave de bloqueo del teclado.

3.11. Plan de recuperación del desastre y respaldo de la información

El costo de la Recuperación en caso de desastres severos, como los de un terremoto que

destruya completamente el interior de edificios e instalaciones, estará directamente

relacionado con el valor de los equipos de cómputo e información que no fueron

67

informados oportunamente y actualizados en la relación de equipos informáticos

asegurados que obra en poder de la compañía de seguros.

3.11.1. Establecimientos del plan de acción

En esta fase de planeamiento se establece los procedimientos relativos a:

Sistemas e Información.

Equipos de Cómputo.

Obtención y almacenamiento de los Respaldos de Información (BACKUPS).

Políticas (Normas y Procedimientos de Backups).

La Institución deberá tener una relación de los Sistemas de Información con los que

cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas los

sistemas y servicios críticos para la CNEL SANTO DOMINGO, son los siguientes:

Sistema Integrado de Administración Financiera (SIAF): Sistema de información

asociado a la ejecución del presupuesto anual, de registro único de las operaciones de

gastos e ingresos públicos. Lo opera la Oficina Central de Ejecución Presupuestaria.

Sistema Integrado de Gestión Académica: Sistema de información que permite el

registro y control de los Procesos académicos, permite al alumno realizar consultas

académicas consulta vía WEB. Lo operan las Oficinas Académicas, y los órganos

académicos-control.

Sistema de Tramite Documentario: Sistema de información que permite el registro

y seguimiento de los documentos. Lo operan todas las áreas funcionales.

Sistema de Gestión Administrativa – Ingresos: Sistema de información que

permite el registro y control de los ingresos. Lo operan todas las áreas funcionales

Administrativas.

3.11.2. Sistemas de información

68

Sistema de Abastecimientos: Sistema de información que permite el registro y

control de las Órdenes de Trabajo, almacén. Lo opera la Oficina de Abastecimiento.

Sistema de Control de Asistencia del personal: Lo opera la Oficina Central de

Recursos Humanos.

3.12. Lista de servicios

Sistema de comunicaciones

Servicio de correo corporativo

Servicios Web: Publicación de páginas Web, noticias de la CNEL SANTO

DOMINGO, Inscripción comedor universitario, Inscripción de cursos.

Internet, Intranet.

Servicios Proxy

VPN: servicios de acceso privado a la red de la Institución desde cualquier lugar.

Servicio de Monitoreo de la red: monitorea los equipos de comunicación distribuidos

en la red la CNEL SANTO DOMINGO.

Servicios de telefonía Principal: teléfonos IP

Servicios de enseñanza de manera virtual.

Servicio de Antivirus

3.13. Obtención y almacenamiento de copias de seguridad (backups)

Se debe contar con procedimientos para la obtención de las copias de seguridad de todos

los elementos de software necesarios para asegurar la correcta ejecución de los sistemas

en la institución. Las copias de seguridad son las siguientes:

Backup del Sistema Operativo: o de todas las versiones de sistema operativo

instalados en la Red.

Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de

los aplicativos institucionales).

69

Backup del software aplicativo: backups de los programas fuente y los programas

ejecutables.

Backups de los datos: (Base de datos, password y todo archivo necesario para la

correcta ejecución del software aplicativos de la institución).

Backups del Hardware: se puede implementar bajo dos modalidades:

3.13.1. Modalidad externa

Mediante el convenio con otra institución que tenga equipos similares o mejores y que

brinden la capacidad y seguridad de procesar nuestra información y ser puestos a

nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva

al siniestro producido.

3.13.2. Modalidad interna

Si se dispone de más de un local, en ambos se debe tener señalado los equipos, que por

sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.

Es importante mencionar que en ambos casos se debe probar y asegurar que los

procesos de restauración de información posibiliten el funcionamiento adecuado de los

sistemas.

3.13.3. Políticas (normas y procedimientos)

Se debe establecer procedimientos, normas y determinación de responsabilidades en la

obtención de los “Backups” o Copias de Seguridad. Se debe considerar:

Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se

realizan de manera diferente:

Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción

de curso y registro de Actas se realiza backup diario, para los demás periodos se

realiza el backup semanal.

Sistema de Ingresos: backup diario

70

Sistema Integrado de Administración Financiera (SIAF): backup semanal

Sistema de Tramite Documentario: backup diario.

Sistema de Abastecimientos: backup semanal

Sistema de Control de Asistencia del personal: backup semanal.

Sistema de Banco de Preguntas: backup periodo examen.

Respaldo de información de movimiento entre los periodos que no se sacan backups:

días no laborales, feriados, etc. en estos días es posible programar un backup

automático.

Almacenamiento de los backup en condiciones ambientales optimas, dependiendo

del medio magnético empleando.

3.14. Plan de emergencias

La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se

debe tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o

madrugada. Este plan debe incluir la participación y actividades a realizar por todas y

cada una de las personas que se pueden encontrar presentes en el área donde ocurre el

siniestro. Solo se debe realizar acciones de resguardo de equipos en los casos en que no

se pone en riesgo la vida de personas.

Normalmente durante la acción del siniestro es difícil que las personas puedan afrontar

esta situación, debido a que no están preparadas o no cuentan con los elementos de

seguridad, por lo que las actividades para esta etapa del proyecto de prevención de

desastres deben estar dedicados a buscar ayuda inmediatamente para evitar que las

acciones del siniestro causen más daños o destrucciones. Se debe tener en toda Oficina

los números de teléfono y direcciones de organismos e instituciones de ayuda. Todo el

personal debe conocer lo siguiente:

Localización de vías de Escape o Salida: Las vías de escape o salida para solicitar

apoyo o enviar mensajes de alerta.

71

Plan de Evaluación Personal: el personal ha recibido periódicamente instrucciones

para evacuación ante sismos, a través de simulacros, esto se realiza acorde a los

programas de seguridad organizadas por Secretaria de riesgos.

Ubicación y señalización de los elementos contra el siniestro: tales como los

extintores, las zonas de seguridad que se encuentran señalizadas (ubicadas

normalmente en las columnas), donde el símbolo se muestra en color blanco con

fondo verde.

Secuencia de llamadas o cadena de llamada en caso de siniestro: tener a la mano

elementos de iluminación, lista de teléfonos de instituciones como: Compañía de

Bomberos, Hospitales, Centros de Salud, Ambulancias, Seguridad. Ecu-911

3.15. Formación de equipos

Se debe establecer los equipos de trabajo, con funciones claramente definidas que

deberán realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en

un inicio o estar en un área cercana, etc.), se debe formar 02 equipos de personas que

actúen directamente durante el siniestro, un equipo para combatir el siniestro y el otro

para salvamento de los equipos informáticos, de acuerdo a los lineamientos o

clasificación de prioridades.

3.15.1. Entrenamiento

Se debe establecer un programa de prácticas periódicas con la participación de todo el

personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se

hayan asignado en los planes de evacuación del personal o equipos, para minimizar

costos se pueden realizar recarga de extintores, charlas de los proveedores, etc.

3.15.2. Actividades después del desastre

Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son

las siguientes:

72

Evaluación de Daños.

Priorización de Actividades del Plan de Acción.

Ejecución de Actividades.

Evaluación de Resultados.

Retroalimentación del Plan de Acción.

3.15.3. Evaluación de daños

El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están

afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en

cuanto tiempo.

En el caso de la CNEL SANTO DOMINGO se debe atender los procesos de

contabilidad, tesorería, administrativo-académicos, documentarios; que son las

actividades que no podrían dejar de funcionar, por la importancia estratégica.

3.15.4. Priorizar actividades del plan de acción

La evaluación de los daños reales nos dará una lista de las actividades que debemos

realizar, preponderando las actividades estratégicas y urgentes de nuestra institución.

3.15.5. Ejecución de actividades

La ejecución de actividades implica la creación de equipos de trabajo para realizar

actividades previamente planificadas en el Plan de Acción. Cada uno de estos equipos

deberá contar con un coordinador que deberá reportar el avance de los trabajos de

recuperación.

Los trabajos de recuperación tendrán dos etapas:

La primera la restauración del servicio usando los recursos de la institución o local

de respaldo.

La segunda etapa es volver a contar con los recursos en las cantidades y lugares

propios del Sistema de Información, debiendo ser esta última etapa lo

73

suficientemente rápida y eficiente para no perjudicar la operatividad de la institución

y el buen servicio de nuestro sistema e Imagen Institucional.

3.16. Evaluación de resultados

Una vez concluidas las labores de recuperación de los sistemas que fueron afectado por

el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que

eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o

entorpecieron) las actividades del plan de acción, como se comportaron los equipos de

trabajo, etc.

3.17. Costos de la implementación del plan

En caso de darse cualquiera de los riesgos mencionados en nuestro plan, la empresa

podrá tolerar máximo un día, sin que la información perdida sea recuperada y la

empresa empiece asumir perdidas por la falta de la misma, pero una vez recuperada la

información, esto también implica costos, ya que el tiempo de los empleados que tienen

que cumplir horas extras, para la actualización del sistema.

En el costo de la pérdida de la información también se le deberá agregar las horas

laborables del personal que depende íntegramente para el desarrollo de sus actividades

diarias de la empresa, este personal permanece inactivo pero finalmente se pagan las

horas de labores, esto sucede más en la parte administrativa de la empresa, donde la

mayoría de los procesos son de departamento en departamento, a continuación

detallaremos los valores totales de un año de implementación tanto en equipos como en

trabajo a estos costos también se sumaran valores de mantenimiento de seguridad,

dentro del centro de datos.

DETALLE CANTIDAD PRECIO

UNITARIO

COSTO

Sueldos de las personas que intervienen en

la implementación del plan

2 1300 $ 2600 $

Extintores de incendio de 10 libras y

colocación en puntos estratégicos dentro del

edificio y cerca del centro de datos

5 50 $ 250 $

Alarma De Incendio Bosch Equipos Con

Garantía

1 445 $ 445$

74

Archivadores anti fuego o blindados para el

almacenamiento de registros tanto de forma

digital y los respaldos del centro de datos

3 600 $ 1800 $

Un Cyberoam firewall de redundancia

principal

Especificaciones De Hardware

10/100/1000 puertos GbE 6

Los puertos internos / DMZ / WAN

configurables Sí

Puertos de la consola (RJ45 / DB9) 1

Puertos USB 2

Segmentos de derivación de hardware 1*

Rendimiento de sistema**

UTM Rendimiento (Mbps)

130

Rendimiento del cortafuego (UDP) (Mbps)

1000

Rendimiento del cortafuego (TCP) (Mbps)

750

Nuevas sesiones / segundo

8.000

Sesiones simultáneas

220.000

168-bit 3DES / AES rendimiento (Mbps)

60/90

Anti-Virus Rendimiento (Mbps)

150

IPS Rendimiento (Mbps)

200

1 1249 $ 1249 $

Switch Cisco Smb Adm Capa 3 De 48

Puertos Gigabit Srw2048-k9 para tenerlo

como equipo alterno

Especificaciones

Switch Administrable Capa 3 vía Web, CLI

y SNMP

Dispone de 48 Puertos Gigabit Ethernet

10/100/1000Mbps + 4 Puertos Gigabit

10/100/1000Mbps o 2 slots para Puertos

Gigabit de fibra basado en SFP

Puede trabajar de forma plug and play sin

necesidad de configurar

Memoria 128 MB de SDRAM y 16 MB de

Flash

2 1719 $ 3438 $

75

Estándar IEEE 802.3, 802.3u, 802.3ab,

802.3x, 802.1p

Puertos MDIX automáticos, dúplex medio o

completo

Capacidad de conmutación 104 Gbps

Capacidad de envío 77.38 Mpps

Tabla de Direcciones MAC 8k

Actualización de MAC Automática Auto-

Aprendizaje

Permite creación de VLANs para segmentar

la red

Agregación de enlaces troncales

Soporte del protocolo Rapid Spanning Tree

(RSTP)

Soporta hasta 4096 VLAN simultáneas

Hasta 512 rutas estáticas y 128 interfaces IP

Arquitectura Store-and-Forward

Panel de diagnistico frontal

Suministro de Energía Externa 100-

240VAC

Stock de repuestos informáticos los más

frecuentes a daños seria (discos duros,

monitores, memorias internas, flash

memoria, ups)

3000 $ 3000 $

Capacitación en seguridad contra incendios 4 70 $ 280 $

Alarma De Incendio Convencional De 4

Hilos Monitoreada

1 245 $ 245 $

Wdt01 Sensor Transmisor De Inundación

Modbus Rtu Rs485

1 181 $ 181 $

Cobertores para protección de los equipos

Bolsas de plástico para proteger documentos

40 20 $ 800 $

Generador De Luz , Grupo Electrógeno

Diésel Lombardini Instalación de Energía

alterna(motor) en caso de fallar la red

eléctrica principal

1 2300 $ 2300$

Sistemas de alarmas de seguridad para el

edificio en caso de roturas de puerta y

ventanas

1 1500 $ 1500 $

Lector Biométrico Marca One Huella

Dactilar para el acceso al centro de datos

1 110 $ 110 $

Servidores y dispositivos de respaldo 2 250 $ 500 $

76

Tabla 19. Costos de la implementación del plan

Local alternativo se encuentra compuesto por los siguientes elementos.

DETALLE CANTIDAD PRECIO COSTO

Servidores Core i7 2 959 $ 1918 $

Firewall 1 1249 $ 1249 $

Switches 2 1719 $ 3438 $

Arriendo local 12 800 $ 9600 $

Racks cerrados 1 250 $ 250 $

Varios 1 2000 $ 2000 $

Total 18455 $

Tabla 20. Costos de la implementación del plan Local alternativo

3.18. Justificación de costos

A simple vista la perdida de la base de datos de una empresa causaría una pérdida

económica mayor a la suma total de los costos de implementación y de los

mantenimientos de los diferentes sistemas informáticos críticos, en el peor de los casos

aremos referencia la pérdida total del centro de datos , en la implementación del plan de

contingencias los errores y perdida de la información son en casos esporádicos, en la

siguiente tabla mostraremos los costos anules de estos problemas en función de su

frecuencia.

tendrán que ser ubicados en armario o racks

cerrados y con llaves

Habilitar una ruta alternativa para la red

LAN de la empresa

1 3000 $ 3000$

Capacitación al personal tanto en planes de

emergencia como los de actualización de

conocimientos de seguridad

4 100 $ 400$

Local alternativo en caso de flagelo 1 18455 18455

TOTAL 41543 $

77

PROBLEMA COSTO DESCRIPCION FRECUENCIA

ANUAL

COSTO

ANUAL

Daños en los

servidores

500 $ 2 servidores críticos 1 500 $

Perdidas de los datos

2840 $

Por día 8 horas de

trabajo de 71

personas estimamos

a 5 dólares la hora

1

2840 $

Firewall dañado 1249 $ Firewall ubicado en

el centro de datos

1 1249 $

Switches y backbone

averiados

1719 $ 2 Switches de 48

puertos total en todo

el edificio

1 1719 $

Rack del centro de

datos

250 $

1 250$

Rack áreas de trabajo 250 $ uno en cada piso de

trabajo 1400 cada

uno

1 250 $

Cableado del centro

de datos

200 $ Cada piso es

cableado hasta el

centro de datos por

8 pisos a 25 cada

punto de red

1

200 $

Cableado en las áreas

de trabajo y oficinas

8750 $ 350 puntos 25 cada

punto de red

1 8750 $

Licencia (Windows 7) 25 $ Anual por 350 pc

que existen en la

empresa

350 8750 $

Licencia (office ) 9 $ Anual por 350 pc

que existen en la

empresa

350 3150 $

Licencia (keypresky ) 9 $ Anual por 350 pc

que existen en la

empresa

350 3150 $

Perdidas de códigos

fuentes de los

sistemas de

información

10000 $ 1

10000 $

Perdidas de los

respaldos de los datos

11000 $ Un día de trabajo es

de 11000 dólares

por un día

11000$

78

1

Pérdidas de ingresos

por no disponer del

sistema de

recaudación

18500 $ Por un día de para

en el sistema de

recaudación le

empresa dejaría de

percibir en

promedio 18500

1 18500 $

TOTAL 70308 $

Tabla 21. Justificación de costos

Después de obtener los resultados de los costos de implementación y mantenimientos de

plan de contingencias se aplica el análisis costo beneficio respectivamente en relación a

los valores estimados

Costo / beneficio = 70308 / = 41543 = 1.69

Al realizar el análisis costo beneficio aplicamos la relación beneficio / costo, de los

datos precedentes tenemos como beneficio el valor de 70.308,00 usd., que es lo que se

ahorraría la empresa por la ejecución del plan, y el costo está dado por el costo de la

implementación del plan informático que es el valor de 41.543,00 usd., aplicando la

relación beneficio / costo, tenemos como resultado 1.69 usd. Que significa que, por cada

dólar de costo, obtenemos 1.69 usd., de beneficio, de tal manera se demuestra que el

beneficio obtenido es mayor al costo incurrido, siendo por tal razón beneficioso para la

empresa, la aplicación del plan informático.

79

El diseño de un plan de contingencias para la recuperación en los procesos críticos de

la corporación Nacional de Electricidad “CNEL” regional Santo Domingo en cuanto

a incidentes que puedan afectar la seguridad de la información, debe ser una guía de

implementación, del “Qué hay que hacer” y no del “Cómo debemos hacerlo”.

La elaboración de un plan de contingencias no es el de evitar los riesgos en su

totalidad, sino el de tratar de minimizar el impacto de cada uno de las incidencias que

podrían producirse en la empresa.

Un plan de contingencias establece las respuestas conforme los incidentes van

ocurriendo y el mejoramiento del mismo plan atreves de la ejecución de este, que se

deben hacer en situaciones de emergencias, pero para que estos sean más efectivos,

se debe realizar simulacros para familiarizarse con cada uno de los riesgos que

rodean a nuestra empresa.

Es primordial que el tema de seguridad este incluido dentro de las políticas y normas

de la empresa, para aplicar las estrategias y controles, de lo contrario en el tema de

seguridad ya queda a criterio del personal que este en ese momento laborando en la

empresa.

En cuanto a la a la seguridad de la información, nunca está de más tenerla protegida

ante a cualquier eventualidad que le pudiese ocurrir como es el “Plagio, Hurto,

Infecciones de virus informáticos” o daños físicos a los dispositivos que la contienen

como los computadores o los servidores de cada uno de los sistemas de la

corporación Nacional de Electricidad “CNEL” regional Santo Domingo es decir que

invertir en seguridad de la información, a la larga no es un gasto, al contrario es un

beneficio que se lo nota a largo plazo.

CONCLUSIONES

80

Es importante resaltar como recomendación, que la gerencia de la empresa eléctrica,

presten atención que los siniestros naturales como (terremotos, incendios,

inundaciones y tormentas eléctricas, etc.), realmente pueden ocurrir

inesperadamente, y tomen con seriedad y responsabilidad el plan que se ha diseñado,

Para que el diseño de este plan tenga éxito, se deberá de tratar de incluir a todas las

áreas de la corporación Nacional de Electricidad “CNEL” regional Santo Domingo,

en la aplicación de lo que se debería hacer en caso de que ocurra cualquier siniestro

antrópico o natural

El éxito del diseño del plan, dependerá estrictamente de cómo se realicen cada una de

los simulacros, de cada uno de los eventos que puedan suscitarse a lo largo de lo que

se ha diseñado en el plan

Es necesario realizar anualmente un análisis de los riegos que puedan ocurrir en la

empresa

Para el respaldo de la información, la empresa eléctrica deberá de crear una políticas,

las mismas que estén enfocadas en poder respaldar la información en la nube o

atreves del internet, contratando algún servicio de respaldo de la información en

forma sincronizada automáticamente y diaria cuando esta tenga algún cambio , en

el mismo que nos permita tenerla a disposición en cualquier momento y desde

cualquier computadora para poder ser utilizada por personal de sistemas

inmediatamente, ya que los respaldos físicos en disco duros se pueden estropear y

generar gran pérdida a la empresa económicamente.

RECOMENDACIONES

Aldás, C. &. (2011). Políticas de seguridad informática y la vulnerabilidad de los

entornos Web de la empresa Turbotech durante el año 2010.

Banco Interamericano de Desarrollo. (2013). Gestión de riesgo de desastres naturales .

Obtenido de http://www.bvsde.paho.org/bvsacd/cd47/riesgo.pdf

Cyberoam. (2009). ¿Quién es responsable de la Pérdida de Datos en su Empresa?

Obtenido de

http://www.ireo.com/fileadmin/img/Fabricantes_y_productos/cyberoam/epdp/L

RWPQuien_es_responsable_de_la_perdida_de_datos.pdf

López, P. A. (2010). Seguridad informática. Editex.

Lorza, J. R. (Julio de 2010). Seguridad de la información: Factores humanos y

organizativos. Obtenido de

http://www.revistadintel.es/Revista/Numeros/Numero10/Normas/lorza.pdf

Martínez, J. G. (2004). Plan de Contingencia: La continuidad del negocio en las

organizaciones. Madrid: Diaz de Santos.

Noboa, F. E. (2006). Implementacion de un plan de seguridad integral para el proyecto

regional de conectivdad del ECORAE.

OCDE. (30 de Septiembre de 1961). Organización para la Cooperación y el Desarrollo

Económicos. Obtenido de

https://books.google.com.ec/books?id=Mgvm3AYIT64C&printsec=frontcover&

hl=es#v=onepage&q&f=false

Portantier, F. (2001). Seguridad Informática. Obtenido de http://www.segu-

info.com.ar/tesis/

Royer, J.-M. (2004). Seguridad en la informática de empresa: riesgos, amenazas,

prevención y soluciones. En J.-M. Royer, Seguridad en la informática de

empresa: riesgos, amenazas, prevención y soluciones (págs. 31-32-33).

Ediciones ENI.

Bibliografía

Tarazona, C. (2012). Amenazas informáticas y seguridad de la información. Obtenido

de file:///D:/MUSIK/regueton%20nuevo/Dialnet-

AmenazasInformaticasYSeguridadDeLaInformacion-3311853.pdf

Turnero, I. (2014). Sistemas de información transaccionales.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...