UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES- SANTO DOMINGO
FACULTAD DE SISTEMAS MERCANTILES
MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE EXAMEN COMPLEXIVO PREVIO A LA OBTENCIÓN DEL
GRADO ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA: PLAN DE CONTINGENCIA INFORMÁTICA Y LA PÉRDIDA DE LA
INFORMACIÓN EN LA CORPORACIÓN NACIONAL DE
ELECTRICIDAD “CNEL” REGIONAL SANTO DOMINGO.
AUTOR: Ing. SIMBAÑA DIAZ JUAN CARLOS
ASESOR: Msc. FERNÁNDEZ VILLACRES GUSTAVO EDUARDO
AMABATO–ECUADOR
2016
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación
realizado por el señor Juan Carlos Simbaña Díaz , estudiante de la Maestría en
informática Empresarial , Facultad de Sistemas , con el tema “PLAN DE
CONTINGENCIA INFORMATICA Y LA PERDIDA DE LA INFORMACION
EN LA CORPORACION NACIONAL DE ELECTRICIDAD “CNEL”
REGIONAL SANTO DODMINGO ”, ha sido prolijamente revisado, y cumple con
todos los requisitos establecidos en la normativa pertinente de la Universidad Regional
Autónoma de los Andes -UNIANDES-, por lo que apruebo su presentación.
Ambato, Mayo de 2016
_______________________________
Msc. Eduardo Fernández Villacrés
ASESOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Juan Carlos Simbaña Díaz, estudiante de la Maestría en informática Empresarial,
Facultad de Sistemas, declaro que todos los resultados obtenidos en el presente trabajo
de investigación, previo a la obtención del GRADO ACADÉMICO MAGISTER EN
INFORMATICA EMPRESARIAL, son absolutamente originales, auténticos y
personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.
Ambato, Mayo del 2016
_______________________________
Ing. Juan Carlos Simbaña Díaz
CI. 171810135-3
AUTOR
DERECHOS DE AUTOR
Yo, Juan Carlos Simbaña Díaz, declaro que conozco y acepto la disposición constante
en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los
Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES,
está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos
científicos o técnicos, proyectos profesionales y consultaría que se realicen en la
Universidad o por cuenta de ella;
Ambato, Mayo del 2016
_______________________________
Ing. Juan Carlos Simbaña Díaz
CI. 171810135-3
AUTOR
A DIOS Y A LA VIRGEN DE CISNE
Por mantenerme con salud y al mismo tiempo haberme permitido llegar hasta este punto
de mi vida profesional, para lograr mis objetivos, y por su bendito amor y bondad que
me han brindado siempre
A MIS PADRES MARY Y JYMMY
Por motivarme en todo momento, sus consejos y valores que me han permitido ser una
persona de bien sobre todo por su perseverancia, que me han mostrado el camino para
salir adelante y sobre todo por su inmenso amor
A MI ESPOSA LIGIA ELENA
Por estar siempre a mi lado en el camino de la vida, por su inmenso amor que me ha
sabido demostrar, por su paciencia y constancia en cada una de las etapas de mi vida
estudiantil
A MI HIJA LESLY ALEJANDRA
Por ser el motor en mi vida, y ser el motivo de seguir superándome día a día para que el
reflejo de mi vida estudiantil sea un impulso para que ella se prepare como una futura
profesional del ecuador
Juan Carlos Simbaña Díaz
DEDICATORIA
A:
Dios y a la Virgen del Cisne, por la vida que me han dado por iluminarme con sabiduría
en cada momento de mi vida estudiantil, y por ser el soporte y compañía durante todo
este tiempo
Mis padres por creer en mí, estar conmigo en todo momento y por sus sabios consejos
que me han permitido llegar a este punto de mi vida sobre todo por su inmenso amor
demostrado a lo largo de toda mi vida gracias
A mi esposa por estar siempre hay constantemente, por no dejarme desmayar en mi vida
estudiantil, por su paciencia he inmenso amor que ella le pone a todo lo que hace y lo
que tiene que ver en mi vida te amo mi vida
A mi hija por ser el impulso de seguir preparándome, para que con mi ejemplo ella
pueda en un futuro no muy lejano no decaer en sus estudios y lograr cada uno de los
objetivos que ella se proponga en la vida
AGRADECIMIENTO
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
Índice de Ilustraciones
Índice de Tablas
Resumen Ejecutivo
Executive summary
Introducción ...................................................................................................................... 1
Tema ............................................................................................................................. 1
Antecedentes investigativos ......................................................................................... 1
Problema que se va a Investigar ................................................................................... 2
Línea de investigación .................................................................................................. 2
Justificación de la actualidad, necesidad e importancia del tema ..................................... 3
Objetivos ........................................................................................................................... 3
Objetivo general ........................................................................................................... 3
Objetivos específicos .................................................................................................... 3
1. MARCO TEÓRICO ................................................................................................. 4
1.1. Plan de Contingencia ......................................................................................... 4
1.2. Pérdida de la información .................................................................................. 6
1.2.1. La seguridad de los datos depende del usuario ........................................... 6
1.2.2. Dispositivos móviles y aplicaciones que completan la amenaza de pérdida de
datos ............................................................................................................................ 6
1.3. Seguridad Informática ........................................................................................ 7
1.4. La seguridad como profesión ............................................................................. 8
1.5. La seguridad en las empresas ............................................................................. 9
ÍNDICE GENERAL
1.6. Amenazas y vulnerabilidades .......................................................................... 10
1.7. Implementaciones de Controles ....................................................................... 11
1.8. Las políticas y otros documentos ..................................................................... 12
1.9. Tipos de Amenazas .......................................................................................... 13
1.9.1. ¿Cuáles son los elementos que componen el sistema? ............................. 14
1.9.2. ¿Cuáles son los peligros que afectan al sistema? ..................................... 15
1.9.3. ¿Cuáles son las medidas que deberían adoptarse para conocer, prevenir,
impedir, reducir o controlar los riesgos potenciales? ............................................. 15
1.10. Tipos de seguridad ....................................................................................... 15
1.10.1. Activa .................................................................................................... 15
1.10.2. Pasiva .................................................................................................... 15
1.11. Propiedades de un sistema de información seguro....................................... 15
1.11.1. Fortuito .................................................................................................. 16
1.11.2. Fraudulento ........................................................................................... 16
1.11.3. Integridad .............................................................................................. 16
1.11.4. Confidencialidad ................................................................................... 16
1.11.5. Disponibilidad ....................................................................................... 16
1.12. Mecanismo de seguridad .............................................................................. 16
1.12.1. Preventivos ............................................................................................ 16
1.12.2. Detectores ............................................................................................. 17
1.12.3. Correctores ............................................................................................ 17
1.13. Seguridad lógica ........................................................................................... 17
1.13.1. Control de acceso .................................................................................. 17
1.13.2. Cifrado de datos .................................................................................... 17
1.13.3. Antivirus ............................................................................................... 17
1.13.4. Cortafuegos (firewall) ........................................................................... 18
1.13.5. Firma digital .......................................................................................... 18
1.13.6. Certificados digitales ............................................................................ 18
1.13.7. Usar un SSID (Service Set Identifier) ................................................... 18
1.13.8. Protección de la red mediante claves encriptadas WEP (Wired
Equivalent Privacy) o WPA (Wifi Protected Access ............................................. 18
1.13.9. Filtraciones de direcciones MAC (Media Access Control) .................. 18
1.14. Seguridad física ............................................................................................ 19
1.14.1. Respaldo de datos ................................................................................. 19
1.14.2. Dispositivos físicos ...................................................................................... 19
1.15. Enfoque global de la seguridad .................................................................... 20
1.15.1. Ubicación física. ................................................................................... 20
1.15.2. Hardware y los componentes de red que se encuentra en el interior del
entorno físico. ......................................................................................................... 20
1.15.3. Sistema operativo y todo el software .................................................... 20
1.15.4. La conexión a internet ........................................................................... 20
1.15.5. La información ...................................................................................... 20
1.16. Seguridad en la informática de empresa: riesgos, amenazas, prevención y
soluciones ................................................................................................................... 21
1.17. Revisar la infraestructura actual ................................................................... 22
1.18. Conclusiones parciales del capitulo ............................................................. 23
2. METODOLOGÍA ................................................................................................... 24
2.1. Población y muestra............................................................................................. 24
2.1. Tabulación de resultados.................................................................................. 24
2.2. Conclusiones parciales del capitulo ................................................................. 30
3. PROPUESTA ......................................................................................................... 31
3.1. Planificación ........................................................................................................ 31
3.1. Descripción de la propuesta ............................................................................. 32
3.1.1. Diseño del plan de contingencias ............................................................. 32
3.1.2. Plan de reducción de riesgos .................................................................... 32
3.2. Análisis de riesgos ........................................................................................... 32
3.2.1. Clases de riesgo. ....................................................................................... 33
3.3. Identificación de amenazas .............................................................................. 34
Equipos de trabajos para el plan de contingencias ..................................................... 37
3.4. Relaciones de coordinación ............................................................................. 38
3.4.1. Relaciones de coordinación internas: ....................................................... 38
3.4.2. Relaciones de coordinación externas:....................................................... 38
3.5. Identificación de los riesgos y soluciones ........................................................ 39
3.5.1. Clase de riesgo: Incendio o Fuego ............................................................ 39
3.5.2. Clase de riesgo: Robo Común de Equipos y Archivos ............................. 40
3.5.3. Clase de riesgo: Vandalismo .................................................................... 41
3.5.4. Clase de riesgo: falla en los equipos ......................................................... 42
3.5.5. Clase de riesgo: equivocaciones ............................................................... 44
3.5.6. Clase de riesgo: acción de virus informático ............................................ 45
3.5.7. Clase de riesgo: accesos no autorizados ................................................... 46
3.5.8. Clase de riesgo: robo de datos o pérdida de la información ..................... 47
3.5.9. Clase de riesgo: manipulación y sabotaje ................................................. 49
3.5.10. Clase de riesgo: fenómenos naturales ................................................... 50
3.6. Documentación del proceso pruebas y monitoreo del plan ............................. 52
3.6.1. Pruebas y validaciones del plan de contingencias .................................... 52
3.7. Métodos para realizar las pruebas .................................................................... 52
3.7.1. Pruebas específicas ................................................................................... 53
3.7.2. Pruebas de escritorio ................................................................................. 53
3.7.3. Pruebas en tiempo real .............................................................................. 53
3.8. Preparación de la Pre-prueba ............................................................................... 54
3.9. Comprobación del plan y monitoreo................................................................ 54
3.10. Implementación de plan de contingencias ................................................... 66
3.10.1. Análisis en las fallas en la seguridad (riesgos) ......................................... 66
3.11. Plan de recuperación del desastre y respaldo de la información .................. 66
3.11.1. Establecimientos del plan de acción ......................................................... 67
3.11.2. Sistemas de información .............................................................................. 67
3.12. Lista de servicios .......................................................................................... 68
3.13. Obtención y almacenamiento de copias de seguridad (backups) ................. 68
3.13.1. Modalidad externa ................................................................................ 69
3.13.2. Modalidad interna ................................................................................. 69
3.13.3. Políticas (normas y procedimientos) ..................................................... 69
3.14. Plan de emergencias ..................................................................................... 70
3.15. Formación de equipos .................................................................................. 71
3.15.1. Entrenamiento ....................................................................................... 71
3.15.2. Actividades después del desastre .......................................................... 71
3.15.3. Evaluación de daños ............................................................................. 72
3.15.4. Priorizar actividades del plan de acción................................................ 72
3.15.5. Ejecución de actividades ....................................................................... 72
3.16. Evaluación de resultados .............................................................................. 73
3.17. Costos de la implementación del plan .......................................................... 73
3.18. Justificación de costos .................................................................................. 76
CONCLUSIONES .......................................................................................................... 79
RECOMENDACIONES ................................................................................................ 80
Bibliografía ................................................................................................................. lxxxi
Ilustración 1. ¿Qué pone en peligro a la información? ..................................................... 7
Ilustración 2Procesos de lo que genera la vulnerabilidad............................................... 11
Ilustración 3 Mecanismo de seguridad ........................................................................... 19
Ilustración 4 Enfoque global de la seguridad ................................................................. 20
Ilustración 5. Pregunta N°1 ............................................................................................ 25
Ilustración 6. Pregunta N°2 ............................................................................................ 25
Ilustración 7. Pregunta N°4 ............................................................................................ 26
Ilustración 8. Pregunta N°5 ............................................................................................ 27
Ilustración 9. Pregunta N°6 ............................................................................................ 27
Ilustración 10. Pregunta N°7 .......................................................................................... 28
Ilustración 11. Pregunta N°8 .......................................................................................... 28
Ilustración 12. Pregunta N°9 .......................................................................................... 29
Ilustración 13. Pregunta N°10 ........................................................................................ 29
Ilustración 14. Diseño y aplicación del plan de contingencia ........................................ 31
Ilustración 15. Organigrama departamento de sistemas CNEL Santo Domingo ........... 35
Ilustración 16. Diagrama de ejecución de las pruebas.................................................... 55
Índice de Ilustraciones
Tabla 1 Población. .......................................................................................................... 24
Tabla 2. Pregunta N°1 .................................................................................................... 25
Tabla 3. Pregunta N°2 .................................................................................................... 25
Tabla 4. Pregunta N°3 .................................................................................................... 26
Tabla 5. Pregunta N°3 .................................................................................................... 26
Tabla 6. Pregunta N°4 .................................................................................................... 26
Tabla 7. Pregunta N°5 .................................................................................................... 27
Tabla 8. Pregunta N°6 .................................................................................................... 27
Tabla 9. Pregunta N°7 .................................................................................................... 28
Tabla 10. Pregunta N°8 .................................................................................................. 28
Tabla 11. Pregunta N°9 .................................................................................................. 29
Tabla 12. Pregunta N°10 ................................................................................................ 29
Tabla 13 Niveles de Valoración de las Amenazas ......................................................... 34
Tabla 14 Acción a Tomar ............................................................................................... 34
Tabla 15 Funciones del personal de sistemas CNEL Regional Santo Domingo ............ 37
Tabla 16 Equipos de trabajos para el plan de contingencias .......................................... 38
Tabla 17 Matriz de valorización de los riesgos .............................................................. 52
Tabla 18 Listas de chequeo para los riegos existentes en el plan informático .............. 65
Tabla 19. Costos de la implementación del plan ............................................................ 76
Tabla 20. Costos de la implementación del plan Local alternativo ................................ 76
Tabla 21. Justificación de costos .................................................................................... 78
Índice de Tablas
Los sistemas informáticos se han constituido en una de las herramientas fundamentales,
para el desarrollo de la actividades de las empresas, y el manejo de la información que
se genera diariamente, por esta razón, que desde ya tiempo atrás se está implementando
en las instituciones del sector privado o público, planes de contingencia informática y
de respaldo de la información en caso de que ocurriese cualquier siniestro ya sea de
forma natural o antrópico, los mismo que nos ayudaran a disminuir la perdidas que se
generan durante un acontecimiento que se suscite inesperadamente.
Es necesario crear un plan de seguridad de la información, pero no solo elaborarlo, sino
que nos indique como sobrellevar a múltiples escenarios, también de preparar a la
empresa y al personal en los manejos de las posibles amenazas inesperadas que podrían
ocurrir en el futuro.
Este plan de seguridad informática está dirigido a la empresa eléctrica CNEL Santo
Domingo, la misma que desea resguardar su información que sabemos que es vital para
el funcionamiento la misma
Con la elaboración de este plan informático buscamos que la empresa eléctrica CNEL
Santo Domingo aplique los siguientes parámetros
Crear un plan de contingencias y respaldo de la información en caso de que ocurriese
algún evento da carácter antrópico o natural
Respaldar la información vital para el funcionamiento de la empresa
Crear conciencia al personal de la empresa, que la información que se genera
diariamente en la misma es demasiado valiosa para el funcionamiento diario de las
actividades que se realizan
Verificar los estados de los equipos y sistemas en caso de que ocurriese un siniestro
natural o antrópico.
El presente plan informático tiene como propósito respaldar teóricamente, lo que podría
ocurrir en caso de un desastre natural o antrópico y como proteger la información de la
empresa para poder ser utilizarla conforme esta se vaya recuperando de cualquier
siniestro que ocurriera.
Resumen Ejecutivo
Computer systems have become one of the fundamental tools for the development of
activities in enterprices and the management of the information generated daily. For that
reason since a long time ago, it is being implemented in the private or public
institutions, informatic contingency plans and support of information in case of any
incident occurs either naturally or anthropic, which will help us to reduce losses
generated during an event that may arise unexpectedly.
It's necessary to create a security plan of the information, and not just produce it, but
that tells us how to cope with multiple scenaries, besides to prepare the company and
staff in the handling of possible unexpected threats that might occur in the future.
This computer security plan is aimed at the utility CNEL Santo Domingo, which want
to protect its information that we know is vital for the operation itself.
With the development of this informatic plan we want the electric company CNEL
Santo Domingo apply the following parameters.
Create a contingency and supporting plan of the information if an event of anthropic or
natural character occurs.
Support the vital information for the operation of the company.
Create awareness to the company staff; the information generated daily in the
company is so valuable for the daily running of the activities carried out.
Check the states of the equipment and systems if a natural or anthropic event occurs.
This current informatic plan has as o goal supporting theoretically, which could occur
in the event of a natural or human disaster and how to protect the information of the
company in order to be used as it keeps recovering from any accident that occur.
Executive summary
1
Tema
Plan de Contingencia Informática y la pérdida de la Información en la Corporación
Nacional de Electricidad “CNEL.” Regional Santo Domingo
Antecedentes investigativos
Se ha realizado una investigación preliminar en varias Universidades del país, la misma
que está relacionada con aspectos de seguridad de la información, donde pudimos
encontrar los siguientes trabajos investigativos:
En el Repositorio Digital de la Escuela Politécnica Nacional, se ha encontrado el trabajo
desarrollado en el año 2006, por Freddy Enrique Jiménez Noboa con su tema:
“Implementación de un Plan de Seguridad Integral para el proyecto Regional de
Conectividad del ECORAE”, donde se puede concluir que la clave para desarrollar
con éxito un plan de seguridad en redes de información es conocer y recordar cada una
de las políticas, estándares y procedimientos de seguridad, ya que el tesoro más valioso
de una institución es su información. (Noboa, 2006)
En el repositorio digital de la Universidad Técnica de Ambato se ha encontrado
“Políticas de seguridad informática y la vulnerabilidad de los entornos Web de la
empresa Turbotech durante el año 2010”, la misma que tiene como objetivo general
reflexionar sobre las políticas de seguridad que las empresas privadas como públicas
deben efectuar para precautelar su información confidencial de ataques externos ya que
en estos momentos la seguridad informática es un tema de dominio obligado por
cualquier usuario de Internet, esto con el afán de no permitir que su información sea
comprometida, cabe recalcar que últimamente en el Ecuador se han incrementado los
hechos delictivos a nivel electrónico. (Aldás, 2011)
Es por esto que en base a lo antes mencionado se ratifica que hoy en día las empresas
deben elevar significativamente sus niveles de seguridad informática como medida de
prevención de posibles ataques cibernéticos que puedan tener debido a la vulnerabilidad
existente dentro de las empresas.
Introducción
2
Problema que se va a Investigar
En la Corporación Nacional De Electricidad “CNEL” Regional Santo Domingo, a nivel
informático la empresa cuenta con el área de computo la cual gestiona todos los
procesos, administrativos y operativos de la misma. Esto quiere decir que la empresa
cuenta con las normas, reglamentos y políticas para la utilización de los equipos
informáticos.
En base a las visitas realizadas se han podido observar las siguientes dificultades en la
empresa:
El respaldo de la información no es un proceso organizado ni planificado, se lo hace
esporádicamente, esto quiere decir que los usuarios tienen libre albedrío para dichos
respaldos, lo que genera pérdidas de información.
En el Departamento de sistemas los respaldos son periódicos pero dichos respaldos
son almacenados en un servidor que se halla en el mismo departamento, esto quiere
decir que si por alguna razón se tiene una catástrofe como inundación o terremoto
muy probablemente se perderán dichos datos.
También mucha información se pierde por efecto de virus, lamentablemente se
tienen solamente versiones demostrativas de antivirus en la Institución, es decir no se
ha comprado licencias para instalar los antivirus y poder así controlar de mejor
manera la perdida de información.
A pesar que en la entidad existen muchos planes estratégicos, se puede señalar que
no se tiene un plan de contingencias informáticas a medida y diseñado de acuerdo a
los requerimientos internos.
Línea de investigación
La presente investigación se enmarca en una línea de investigación de:
Tecnologías de información y comunicaciones
3
La Corporación Nacional De Electricidad “CNEL” Regional Santo Domingo, Obtendrá
una respuesta estructurada, con el fin de mantener siempre las operaciones y funciones,
para la empresa cuando algún desastre afecte la infraestructura de las tecnologías de la
información, instaladas, este documento le ayudará a determinar las acciones
preventivas, reduciendo en un gran porcentaje la vulnerabilidad de la corporación en
caso de desastre, y así conjuntamente para dimensionar acciones rápidas ante cualquier
falla.
Objetivo general
Diseñar un plan de contingencias informáticas para que en base a su aplicación se
disminuyan los niveles de riesgo en cuanto a pérdida de la información en la
Corporación Nacional de Electricidad “CNEL” regional Santo Domingo.
Objetivos específicos
Fundamentar científicamente los riesgos en el almacenamiento de la información, así
como la seguridad informática en general.
Diagnosticar los niveles de prevención sobre perdidas de información que existe en
la empresa.
Diseñar el plan de contingencias en aspectos relacionados a software y hardware.
Justificación de la actualidad, necesidad e importancia del tema
Objetivos
4
CAPITULO I
1.1. Plan de Contingencia
Si se busca una definición de plan de contingencias se tendría que remontar a finales del
siglo XX en donde la tendencia al anglicismo, en el mundo de la tecnología de la
información, con el término Business Comtinuity se había extendido de una manera
generalizada frente a los anteriores utilizados, Disaster Recovery y Contingency
Planning después.
Como se mencionó anteriormente en la década de los setentas del siglo pasado Norman
L. Harris, Edward S Devlin y Judith Robey, Ellos conjuntamente tratando de encontrar
un método de planificación y gestión que evitara la continua atención de problemas de
forma aleatoria, que en términos coloquiales lo llamamos “Apagar Fuegos” dieron el
nacimiento de una actividad, que en un principio se llamó Disaster Recovery Planning
que es español significa recuperación ante desastres, y que posteriormente en la misma
actividad se llamó Contingency Planning, que en español significa planificación ante
contingencias, que es un término más universal, pues una contingencia según el
diccionario de la RAE. En su segunda acepción significa “De algo o cosa que puede
suceder como no puede suceder”, y en su tercera acepción “Riesgo” de esta forma no
limitamos las causas a “desastres” lo que parece indicar que otros incidentes menos
espectaculares no son tenidos en cuenta. (Martínez, 2004)
En el plan de contingencias se está dirigiendo a las actividades de operaciones
informáticas que en el mayor de los casos se encuentran centralizados en el
departamento de sistemas de la Empresa Cnel. Regional Santo Domingo.
Con el pasar del tiempo y la automatización de los procesos en las empresas, la
información se ha convertido en un elemento importante, llegándose a comparar con la
columna vertebral de cada uno de las operaciones que se realizan a diario en cada una
de las dependencias de la misma empresa, es por eso que el diseño de un plan de
contingencias que proteja la información, no estaría de más, en caso de que ocurriese un
desastre natural o antrópico
1. MARCO TEÓRICO
5
El diseño de un plan de contingencias, debe ser actualizado con forme va pasando el
tiempo y de acuerdo a los casos que se susciten en la misma, es una buena medida, que
refleja la situación de la empresa, en cuanto a percances que ocurra a lo largo de la vida
de la empresa, por tanto, cualquier evaluación se la deber realizar con el fin de mejorar
cada una de la deficiencia que presente en la ejecución del plan estas avaluaciones se las
deber realizar periódicamente, con el fin de evaluar el plan de contingencias, e irlo
mejorando conforme ocurran cada uno de los riesgos a los que se expone la información
en Cnel. Regional Santo Domingo se ha creado una lista de chequeo las mismas que se
encuentra documentadas dentro del plan de contingencias para la verificación y mejora
del plan.
A continuación, mostraremos unos conceptos para un mejor entendimiento del tema a
tratar:
Contingencia. - se refiere a algo que es probable que ocurra, sin tener la certeza de
que ocurra, por lo tanto, la contingencia es lo posible o aquello, que puede o no
concretarse.
Corporación. - derivado del latín “Corpus” haciendo referencia al cuerpo, y es un
conjunto de personas y elementos esencialmente legales y sistemáticos los cuales
posen sentido de administración, para fundar una institución.
Seguridad. - el termino seguridad posee muchos usos según como la vallamos a
emplear o como se valla a emplear, proviene del latín securitas, que está enfocado a
las características de seguro, es decir que posee propiedades de algo que no registra,
peligros, daños, ni riesgos, en fin, se afirma que la seguridad es una certeza.
Información. - en informática la definición de información, sería un conjunto de
datos organizados, y procesados, que constituyen, mensajes instrucciones,
operaciones de cualquier tipo de actividad, y que tenga relación con un computador.
La seguridad de información abarca multiplex factores, es por ello que compañías
expertas en el área han decidido compartir temas de acerca de cómo proteger
información importante para una empresa o cualquier otra entidad, entre ellas tenemos a
la siguiente compañía:
6
1.2. Pérdida de la información
1.2.1. La seguridad de los datos depende del usuario
(Cyberoam, 2009)
Las grandes organizaciones, por lo general trabajan con varias directrices refiriéndonos
a la seguridad de la información, Cabe recalcar que la perdida de información por medio
de los usuarios puede darse por dos razones, la primera se puede producir
involuntariamente, debido a que no todas las personas tienen los conocimientos
necesarios para tener la seguridad adecuada con la información que se maneja dentro de
la empresa, es por ellos que las distintas organizaciones han notado que es necesario
educar lo mejor posible a los trabajadores (usuarios), con la finalidad de proteger de
mejor manera su información.
La segunda se puede llevar a cabo por los usuarios que ingresan con malas intenciones a
las empresas, organizaciones o cualquier otra fuente de trabajo, ya que es de
conocimiento general, que en ocasiones la competencia busca como infiltrarse dentro de
la empresa para analizar sus procedimientos y conocer sus fuertes y debilidades, así
sabrían el momento exacto para atacar provocando daños severos a la otra empresa.
El trabajar diariamente con distintos tipos móviles de almacenamiento, como: memorias
USB, CD/DVD, MP3, cámaras digitales, y aplicaciones como mensajería instantánea
entre otros, nos convierte en vulnerables para los diferentes tipos de ataque que se nos
puedan presentar, dando facilidades para que pueda existir alguna fuga de datos.
La compañía (Cyberoam, 2009) nos dice lo siguiente: “Según la Data Lost Database
(base de datos de datos perdidos) de Open Security en 2008, el 34% de los archivos en
los que se informaba de una pérdida se debía al uso de estos dispositivos y medios”.
1.2.2. Dispositivos móviles y aplicaciones que completan la amenaza de pérdida de
datos
7
1.2.3. ¿Qué pone en peligro a la información?
En el presente proceso investigativo se recolecto información de varios autores, los
cuales nos portaran conceptos importantes para el desarrollo del proyecto, entre los
cuales tenemos los siguientes.
1.3. Seguridad Informática
El autor (Portantier, 2001) nos dice lo siguiente:
Con el pasar de los años el ser humano, depende cada vez más de la tecnología, para su
diario vivir, y como no aplicarla en las empresas y el desarrollo de los negocios, pero
esto ha conllevado a una dependencia de la misma, por lo cual no todos son ventajas, si
se retrocedería unos 25 años atrás, la perdida de conectividad con el internet o el mal
funcionamiento de un sistema era algo muy molesto. Es por ello que hoy en día la
pérdida de conectividad significa que una empresa quede prácticamente inoperante.
Con el expuesto por el autor se puede determinar la importancia que tiene la tecnología
en la actualidad, debido a que la utilizamos en nuestro diario vivir en los diferentes
ámbitos que nos desenvolvemos ya sea profesional, estudiantil, en el hogar, entre otros.
Las organizaciones confían en la tecnología, para hacer negocios establecer
comunicaciones y transferir fondos, por estas razones, han empezado a aparecer,
personas no tan bien intencionadas que ven en la tecnología, como una excelente
herramienta para cometer acciones no adecuadas, con el fin de obtener beneficios, a
Ilustración 1. ¿Qué pone en peligro a la información?
Fuente: Cyberoam Protección de Datos de punto final
8
costa de los demás debido a esto, los daños por robo o pérdida de la información crece a
la par de nuestra dependencia de la tecnología.
En el caso de las empresas debemos sumar los intereses que pueden llegar a tener la
competencia información o datos confidenciales como planes de marketing, balances
financieros, datos de clientes, entre otros.
En otro caso de las empresas, también puede darse la perdida de la información, por
otros factores como el robo, la delincuencia, ataque de virus informáticos, incendios,
inundaciones, sabotajes, por no respaldar la información en lugares externos a la
empresa o corporación, no tener un control de usuarios, o por tener una mala instalación
eléctrica etc. cada uno de estos factores afectan a los intereses tanto económicos como
los de sus clientes, en cuanto a atención y progreso de las empresas.
Por esto es que se ha vuelto necesario establecer mejores prácticas, con la utilización de
herramientas, destinadas a proteger a la información de las corporaciones y las personas,
cada uno de estos esfuerzos se los conoce como SEGURIDAD INFORMACIÓN, y que
con el pasar de los años ha venido creciendo por no decir evolucionando, hasta
convertirse en tema de estudio, el mismo que ha dado nacimiento o crecimiento de
profesionales dedicados netamente a la protección de la información.
1.4. La seguridad como profesión
(Portantier, 2001) Nos dice que:
Ser un profesional de la seguridad informática es una tarea particular, debido a que nos
llevará a tener una relación con todas las áreas de una empresa, es necesario tener
conocimiento del funcionamiento de la organización para la cual estamos trabajando,
sus procesos, sus metas, sus objetivos, todo esto nos enmarca para tener una visión
global de la problemática acerca de la perdida de la información que se genera en la
empresa y buscar la forma más adecuada de proteger dicha información.
La seguridad como profesión nos permite estudiar una gran cantidad de material
teniendo en mente varios estándares y metodologías lo que puede llevarnos a pensar
solamente en lo que debería hacerse y olvidarnos de lo que se pueda hacerse. Lo que
debería hacerse es lo que dice la norma ISO/IEC 27001 que textualmente dice “La
9
información es un activo valioso que puede impulsar o destruir su empresa. Si se
gestiona de forma adecuada, le permite trabajar con confianza. La gestión de la
Seguridad de la Información le ofrece la libertad para crecer, innovar y ampliar su
base de clientes sabiendo que toda su información confidencial seguirá siéndolo.”
(Portantier, 2001)
A través de esta norma, entra nuestro capacidad en la que deberíamos proteger la
información de una corporación, y los recursos con la que cuenta la entidad para
implementar medidas de seguridad sin entrar en quiebra por tener dichas inversiones, y
teniendo en cuenta que entre los objetivos de las empresas es, de captar más clientes,
ganar más dinero, y por ende brindar un mejor servicio a través de tener costos más
bajos, pero no existe una organización en la que ponga como objetivo principal o
prioritario el que sea la de tener “las mejores medidas de seguridad informática.”
Como toda persona que labora en una institución nuestra prioridad es, que esta alcance
sus objetivos, en nuestro caso lo aremos creando un plan de seguridad informática
contra la perdida de la información según los riesgos a la que esta esté expuesta, para
evitar pérdidas de datos robos de información, fraudes o catástrofes antrópicas o
naturales, teniendo en cuenta que seremos profesionales que aportemos un verdadero
valor a la organización.
1.5. La seguridad en las empresas
En la actualidad las empresas confían en los sistemas de información, siempre con el fin
de verse más productivas y competitivas ahorrar costos y poder realizar negocios en
todas partes del mundo, cada uno de los procesos de una empresa se han trasformado en
parte de una aplicación informática.
Es por ello que (Portantier, 2001) dice:
La información que hace unos años atrás se almacenaba en un papel el cual podías
guardar, leerse, copiarse y destruirse, pero todo este proceso se lo realizaba a mano,
pero ahora se encuentra en forma de archivos digitales los mismo que se almacenas en
discos duros, DVD, USB, o materiales ópticos y entre otros.
10
Dentro de una organización se rigüe un presupuesto, para la protección y seguridad de
la información, algunas empresas asignan mucho capital en seguridad física, pero
descuidad la seguridad de la información.
1.6. Amenazas y vulnerabilidades
Dentro de lo que es la gestión de seguridad de la información es muy frecuente la
utilización de algunos términos que a veces se los intercambian de forma incorrecta he
ahí donde se crea las diferentes confusiones. Por lo tanto, vamos analizar algunos de
ellos, haciendo referencia, como ejemplo de que alguna estación de trabajo de la
empresa eléctrica CNEL Santo Domingo la misma que no cuenta con software de
antivirus instalado en su sistema
Vulnerabilidad. - Debilidad en algún software, hardware que puede permitir a un
atacante realizar o concretar acciones no permitidas tiene como raíz la ausencia o
debilidad en uno o más controles, en este caso es la ausencia de antivirus en las
terminales de trabajo de la empresa eléctrica CNEL Santo Domingo seria nuestra
Vulnerabilidad (Portantier, 2001)
Amenaza. - Todo peligro potencial sobre la información es considerado como una
amenaza, o algo que aproveche una vulnerabilidad existente y la utilice para provoca
daños, estos pueden ser de tipo no intencional como (errores humanos o provocados
por la naturaleza), o de forma intencional (como los hackers o mal personal de la
empresa), que se dedique a la implantación de virus que es nuestro ejemplo.
(Portantier, 2001)
Exposición. - Hablamos del impacto negativo que sufriría la empresa en caso de que,
se nos llegara a explotar nuestras vulnerabilidades. Cuando hablamos de exposición
hablamos de los daños probables el cual se puede trasformar en real, con nuestro
ejemplo estamos expuestos a que los computadores de los usuarios se infecten de
virus y esto pueda provocar la pérdida de la información o mal funcionamiento del
computador. (Portantier, 2001)
Riesgo. - Como resultado final de todas y cada una de las vulnerabilidades,
amenazas, exposiciones es el riesgo, ya que nos encontramos expuestos a todas y
cada una de ellas, en el caso de los virus el riesgo de contagio es medible de la
siguiente manera, bajo, mediano y alto, es decir, de no tener instalado antivirus en los
11
computadores aumentamos las probabilidades perdida de la información por causa de
los virus por ende el grado de exposición sería más alto. (Portantier, 2001)
Contramedida. - Se la utiliza para mitigar cada una de estas amenazas, en el caso de
los virus podríamos atenuar la infección de virus a los computadores, mediante la
instalación de antivirus con licencia para su correcto funcionamiento. (Portantier,
2001)
1.6.1. Cuadro de procesos de lo que genera la vulnerabilidad
1.7. Implementaciones de Controles
El autor (Portantier, 2001) nos dice lo siguiente:
Después de haber identificados cada uno de los riesgos, debemos ver qué hacemos con
ellos, en caso contrario cada uno de los esfuerzos realizados por mitigar las amenazas y
riesgos en una empresa serian en vano.
Ya en este punto conociendo los riesgos, de la empresa debemos analizar con cada uno
de ellos y encontrar el costo beneficio, con el fin de determinar cuál sería el mejor modo
para actuar en contra de cualquier amenaza. Por tal razón podemos optar por 4
posibilidades que los las siguientes:
Mitigar. - Sería la aplicación de medidas para reducir la probabilidad de infección de
virus a los equipos informáticos, mediante la instalación de antivirus con licencia.
Ilustración 2Procesos de lo que genera la vulnerabilidad
Fuente: Seguridad informática de Fabián Portantier
12
Transferencia.- En el caso de la trasferencia, se lo realiza de la siguiente manera,
trasfiriendo los activos de la empresa a una empresa de seguros, es decir estaríamos
asegurando los bienes de la empresa como corresponde normalmente, en el caso de
los computadores será la parte física (hardware), y la parte lógica, (información), las
mismas que en caso de robo o un desastre natural podríamos recuperar gran parte de
lo perdió atreves de los seguros y subir la información de forma casi inmediata.
Evadir. - Al tratar de evadir un riesgo, estamos hablando de buscar la fuente que lo
produce para poder eliminarla directamente antes de que este cause algún daño o
desperfecto, como por ejemplo el caso de la mensajería instantánea y las redes
sociales, pudiendo bloquearlas para que no utilicen este tipo de medios para
descargar información infectada con virus, él envió o robo de datos atreves de ellas.
Aceptar. - La aceptación en estos casos sería uno de los últimos recursos a los cuales
acudir, al aceptar los riesgos necesarios por la utilización de algunas herramientas
informáticas, que se hacen indispensable para el desarrollo de las actividades
normales de la empresa.
1.8. Las políticas y otros documentos
El autor (Portantier, 2001) nos dice lo siguiente:
En cada una de las empresas existen jerarquías y responsabilidades, que van de acuerdo
a su nivel en la institución, cabe decir que la seguridad de una organización va más allá
de la configuración de antivirus y de aplicaciones para evitar la pérdida de la
información. Sin que exista la documentación necesaria que sustente cada uno de los
procesos de seguridad.
Políticas. - Son cada uno de los documentos que habilitan su aplicación, para
cumplir las tareas de seguridad y llegar a conseguir cada uno de los objetivos
planteados. Cada reglamento debe estar especificado, teniendo en cuenta de que los
mismos de pueden estar sometidos a los cambios necesarios conforme se vallan
dando cada una de las amenazas o riesgos en la empresa
Estándares. - Estos documentos son los encargados de mostrar cómo se van
alcanzando cada uno de los objetivos planteados en los aspectos de seguridad de la
empresa, los mismo que nos mostraría como detectar los problemas y tomar los
respectivos correctivos
13
Procedimientos. - Cada uno de ellos se derivan de los estándares y los documentos a
los cuales se remiten, se los realiza de forma muy detalla para su correcta
comprensión, los procedimientos están sometidos a cambios de acuerdo al avance
tecnológico a los que se someten hoy en día las empresas y la informática.
Responsabilidades. - Todos los involucrados en la empresa tienen que ver con la
seguridad informática y a su vez se complementa con cada una de las
responsabilidades que tiene el personal dentro de la empresa.
Capacitación del personal. - Las empresas de hoy en día, necesitan capacitar a su
personal técnico en informática, para estar actualizado a las nuevas tendencias, no
siempre se tiene en cuenta que la seguridad informática es un tema que abarca a toda
la empresa y más a las que trabajan en ella, es por eso que tiene que estar en una
constante actualización de técnicas y métodos de seguridad, para poder ponerlos en
práctica cuando la empresa lo necesite.
Según (Tarazona, 2012)
La seguridad de la información es más que un problema de seguridad de datos en los
computadores; ya que debe estar básicamente orientada a proteger la propiedad
intelectual y la información importante de las organizaciones y de las personas.
1.9. Tipos de Amenazas
A los diferentes tipos de amenazas las podemos dividir en cuatro categorías:
1. Factores humanos (accidentales, errores)
2. Falla en los sistemas de procesamiento de información
3. Desastres naturales
4. Actos maliciosos o malintencionados
1. En el caso de una amenaza interna, esta se genera dentro de la organización y es
llevada a cabo generalmente por algún empleado con ciertos conocimientos y que
por la naturaleza de su trabajo tiene acceso a manipular los sistemas de información
de la organización, así como los sistemas de seguridad de la misma. Estos se ven
inducidos a realizar su ataque o amenaza principalmente por algún tipo de beneficio
14
económico o por simple venganza o enojo en contra de la organización. (Lorza,
2010)
2. Los sistemas de procesamiento de información, están formados por hardware
informático y software que aloja una aplicación orientada a intercambios habituales
necesarios para realizar operaciones comerciales entre otras. (Turnero, 2014)
3. La determinación del riesgo abarca la evaluación del peligro, los estudios de
vulnerabilidad y los análisis del riesgo. La evaluación del peligro determina la
ubicación probable y la gravedad de los fenómenos naturales que implican peligro, y
la probabilidad de ocurrencia dentro de un lapso de tiempo determinado en un área
determinada, el término desastre natural hace referencia a las enormes pérdidas
materiales y vidas humanas, ocasionadas por eventos o fenómenos naturales como
los terremotos, inundaciones, Tsunamis, deslizamientos de tierra, etc. (Banco
Interamericano de Desarrollo, 2013)
4. En estos últimos años el avance acelerado de la tecnología y los sistemas de
telecomunicación han provocado que los sistemas de información y la información
misma de las empresas u organizaciones, sean cada vez más vulnerables y estén más
expuestos a ser utilizados de manera no adecuada por personas impulsadas por retos,
dinero y hasta venganza en contra de la empresa (Tarazona, 2012)
(López, 2010), define a la seguridad informática como una disciplina, la cual es la
encargada de diseñar las normas, procedimientos, métodos y técnicas las mismas que
están destinadas a lograr un sistema de información seguro y confiable. Para ellos nos
indica el concepto de la palabra seguro “estar libre y exento de todo peligro, daño o
riesgo”.
Todo sistema de información, aun con todas las medidas de seguridad no está excepto
de algún peligro, para esto es necesario conocer lo siguiente:
1.9.1. ¿Cuáles son los elementos que componen el sistema?
La información la obtenemos realizando una entrevista con directivos de la institución o
empresa, para los cuales estamos trabajando.
15
1.9.2. ¿Cuáles son los peligros que afectan al sistema?
Los adquirimos de los resultados de la entrevista antes aplicada a los directivos de la
institución o empresa, y por el estudio directo del sistema, lo cual lo realizamos
mediante pruebas y muestreo.
1.9.3. ¿Cuáles son las medidas que deberían adoptarse para conocer, prevenir,
impedir, reducir o controlar los riesgos potenciales?
Se trata de determinar cuáles serán los servicios y mecanismos de seguridad que
reducirían al máximo posible.
Una vez realizado el estudio de riesgos e implementación de medidas es necesario hacer
un seguimiento y actualizaciones de las medidas aptadas, para lograr un mejor
desenvolvimiento del sistema.
1.10. Tipos de seguridad
1.10.1. Activa
Abarca todo el conjunto de las defensas y medidas, las cuales están destinadas a evitar o
reducir los riesgos que amenazan al sistema. (López, 2010)
1.10.2. Pasiva
Está conformado por las medidas que se establecen para, una vez producido el
acontecimiento de seguridad, minimizar su repercusión y facilitar la recuperación del
sistema. (López, 2010)
1.11. Propiedades de un sistema de información seguro.
Los daños ocasionados por falta de seguridad suelen generar pérdidas económicas o de
credibilidad y prestigio para la empresa. Los cuales pueden tener su origen en lo
siguiente.
16
1.11.1. Fortuito
Son los errores cometidos accidentalmente por los usuarios, cortes de flujo electrónico,
fallos del sistema o catástrofes naturales. (López, 2010)
1.11.2. Fraudulento
Daños provocados por software malicioso, intrusos, mala intención de algún miembro
de la empresa, robo o accidentes intencionados. (López, 2010)
1.11.3. Integridad
Garantiza la legitimidad y precisión de la información sin importar el momento en que
está solicita una garantía de los datos que no han sido alterados ni destruidos de modo
no autorizado. (López, 2010)
1.11.4. Confidencialidad
Es el hecho de que los datos o informaciones estén únicamente al alcance del
conocimiento de las personas, entidades o mecanismos autorizados en los momentos
autorizados y de una manera autorizada. (OCDE, 1961)
1.11.5. Disponibilidad
La información debe estar libre para los usuarios autorizados cuando lo necesiten.
1.12. Mecanismo de seguridad
Se los puede clasificar de la siguiente manera:
1.12.1. Preventivos
Su función principal es evitar que se produzcan ataques al sistema. (López, 2010)
17
1.12.2. Detectores
Estos intervienen cuando es producido el ataque y antes que cause perjuicio al sistema.
(López, 2010)
1.12.3. Correctores
Actúan después que se presente el ataque y que se registren los daños ocasionados al
sistema, por ende, tiene la función de corregir las consecuencias de los daños. (López,
2010)
1.13. Seguridad lógica
(López, 2010) Nos dice que:
Los mecanismos y herramientas de seguridad lógica tienen la función de proteger
digitalmente la información de la empresa.
1.13.1. Control de acceso
Lo realizamos mediante usuario y contraseña del personal.
1.13.2. Cifrado de datos
Los datos se ocultan mediante una clave la cual, conocen el emisor y receptor. La
misma que se crea mediante un algoritmo de encriptación, una vez que llega el mensaje
procede el descifrado del texto aumentando su nivel de confidencialidad. (López, 2010)
1.13.3. Antivirus
Este impide la entrada del virus y otros softwares maliciosos, y si llegara a infectar tiene
la capacidad de eliminarlos o corregir los daños ocasionados en el sistema. (López,
2010)
18
1.13.4. Cortafuegos (firewall)
Se trata de uno o más instrumentos de software, hardware o combinados, los mismos de
restringen el acceso al sistema para proteger la información del sistema. (López, 2010)
1.13.5. Firma digital
Los utilizamos para la transmisión de mensajes telemáticos y en la gestión de
documentos electrónicos. (López, 2010)
1.13.6. Certificados digitales
Son documentos digitales mediante los cuales la empresa o entidad garantiza la persona
o entidad es quien dice ser, la misma que es avalada por la verificación de clave pública.
(López, 2010)
1.13.7. Usar un SSID (Service Set Identifier)
Es el proceso de asignar un nombre a la red, la misma que no llame la atención de
terceros, por lo que es recomendable cambiarla cada cierto tiempo. (López, 2010)
1.13.8. Protección de la red mediante claves encriptadas WEP (Wired Equivalent
Privacy) o WPA (Wifi Protected Access)
La clave WEP es más vulnerable que la WPA, de igual manera es preferible cambiarla
cierto periodo. Por otro lado, la WPA es de encriptación dinámica y más segura que la
anterior debido a que es más difícil descifrar la clave, es aconsejable cambiar la
contraseña del acceso al internet. (López, 2010)
1.13.9. Filtraciones de direcciones MAC (Media Access Control)
Es un dispositivo, el cual permite el acceso al sistema mediante el hardware, por el cual
se permiten determinadas direcciones, se sabe que cada tarjeta de red tiene una
dirección MAC única en el mundo. (López, 2010)
19
1.14. Seguridad física
El autor (López, 2010) nos dice que la seguridad física:
Son mecanismos físicos que tienen la tarea de proteger al sistema de información de
peligros físicos y lógicos.
1.14.1. Respaldo de datos
Es el acto de guardar copias de seguridad de la información del sistema en un lugar
seguro y que a la vez disponible. (López, 2010)
Son los dispositivos de protección como: pararrayos, detectores de humo y extintores,
contrafuegos por hardware, alarmas contra intrusos, etc. En cuanto al personal es
necesario tener un control restringido para lo cual es importante de tener una persona
encargada de vigilar la entrada y salida del personal de trabajo a la vez es muy
importante contar con cámara de seguridad para un mejor control y seguridad. (López,
2010)
1.14.2. Dispositivos físicos
Ilustración 3 Mecanismo de seguridad
Fuente: Seguridad Informática de Purificación Aguilera López
20
1.15. Enfoque global de la seguridad
El autor (López, 2010) nos dice que:
La información es el núcleo de todo sistema de información.
De ahí nace la importancia de protegerlos ante las amenazas que puedan aparecer, así
garantizar su disponibilidad y confidencialidad, para ello es importante tomar en cuenta
los niveles que tiene en su exterior y así poder asignar mecanismos y servicios de
seguridad.
Se pueden definir varios niveles:
1.15.1. Ubicación física.
Se refiere a todas las instalaciones como: edificio, planta, etc.
1.15.2. Hardware y los componentes de red que se encuentra en el interior del
entorno físico.
Son lo que contienen, soportan y distribuyen la información.
1.15.3. Sistema operativo y todo el software
Son los encargados de gestionar la información.
1.15.4. La conexión a internet
Es la vía de contacto entre el sistema de información y su exterior.
1.15.5. La información
Es un conjunto organizado de datos procesados, los cuales no hay descuidarnos de su
seguridad para evitar alguna amenaza sobre ella.
Ilustración 4 Enfoque global de la seguridad
Fuente: Seguridad Informática de Purificación Aguilera López
21
1.16. Seguridad en la informática de empresa: riesgos, amenazas, prevención y
soluciones
Los enemigos buscan robar información de la empresa para dar el golpe perfecto, es por
ello que la empresa tiene que reforzar su seguridad tanto en la información como en
documento físico. Los piratas cada día perfeccionan sus ataques, debido que analizan
muy bien cada una de sus estrategias.
(Royer, 2004), nos indica unas de las tantas formas de como los enemigos realizan sus
maniobras para obtener información confidencial de la empresa:
Los enemigos buscan la manera de cómo obtener información de la empresa, entre
ella su organización jerárquica, sus técnicas y estrategias de seguridad
Buscan los puntos débiles de sus fortalezas, y analizan bien el momento adecuado
para ejercer su ataque.
Burlan sus sistemas, haciendo pasar por usuarios legítimos y así pasar desapercibidos
antes todos.
Buscan hacer amistad con el personal de la empresa e ir ganándose la confianza que
les permitirán infiltrarse en la misma y así se convertirán en espías de la información.
Generan falsa información a los sistemas informáticos, con la finalidad de ponerlos
fuera de servicio.
Es importante buscar métodos los cuales nos permiten contrarrestar el impacto del
ataque por parte de los enemigos, para ellos se mostrará unos tips a tomar en cuenta en
el momento de planificar el contraataque.
Es primordial no divulgar nada de la información que pueda comprometer a la
empresa, es decir no comentar con nadie los métodos que utiliza para guardar la
información.
Fomentar la discreción en el personal que elabora en la empresa, para evitar que
haiga una fuga de información a terceros.
Instalar líneas de defensa, los cuales no presenten ningún punto débil en ningún
momento.
Definir varias líneas de defensa para que, en el caso de detectar presencia del pirata,
este tenga que pasar varias capas de seguridad así dar tiempo para que el encargado
del sistema pueda tomar la mejor decisión para evitar la filtración de información.
22
Prevenir a los colaboradores de la empresa a que no crean en todo lo que se les
presente, es decir llamadas telefónicas, e-mails, y en caso de tener una sospecha
sobre el origen de los correos avisar rápidamente al área encargada de la seguridad
de la empresa.
1.17. Revisar la infraestructura actual
Según (Royer, 2004), la revisión de la infraestructura radica en lo siguiente:
La primera fase del proceso consiste en efectuar una auditoría completa del sistema de
información instalado, incluso si piensa conocer ya su infraestructura, nunca está de más
revisarla por completo y formalizarla por escrito.
Es necesario ir detallando por escrito cada uno de los elementos con los que contamos,
entre ellos pueden estar el hardware, software y otros implementos que esté a nuestro
cargo, todo aquello con la intensión de estar preparados ante cualquier adversidad que
se nos pueda presentar en el trabajo.
Es importante no confiarnos en la tecnología, porque no sabemos que lo hacen o lo que
hicieron otras personas, al momento de operar los equipos informáticos. Es por ello que
se debe de revisar minuciosamente los siguientes elementos:
Los servidores desplegados en la empresa
Sistemas operativos, con sus versiones
Aplicaciones instaladas, que estén funcionando normalmente o no
Los distintos tipos de configuración, debido que en ocasiones se configuran de
manera diferente a una misma aplicación donde sabe reflejar un impacto
desfavorable para la seguridad.
También es importante realizar las siguientes acciones para contrarrestar el peligro:
Definir la topología de la red local
Recopilar información sobre todos los interruptores, conmutadores, y hubs simples
Conocer las clases IP asignadas a cada parte de la red
Saber la lista de protocolos utilizados con mayor frecuencia (IP, TCP, NetBIOS, etc.)
Tener en cuenta la lista de los equipos de usuarios donde están detalladas las
direcciones MAC e IP
23
Recopilar todos los puntos de interconexión posibles de la red con el exterior de la
empresa.
Sin duda al realizar las acciones antes mencionas dentro de la empresa, nos facilitara la
tarea de proteger la información confidencial de la misma, sabiendo que nunca debemos
confiarnos, llegando a pensar que tenemos todo bajo control ya que basta un descuido
mínimo para perder valiosa información que está bajo nuestra responsabilidad.
1.18. Conclusiones parciales del capitulo
Un plan de contingencias es un instrumento que toda empresa debería tener, como
una herramienta, para desarrollar sus habilidades de recuperación ante algún evento
fortuito que llegase a ocurrir, para sobrevivir y mantener cada una de las operaciones
que se vieran interrumpidas parcial o totalmente sus funciones diarias
Que, entre los principales objetivos de un plan de contingencias, es una correcta
identificación de los riesgos evaluación de los mismos, y una acertada asignación de
prioridades, al momento de la aplicación del mismo, en el proceso de recuperación
en cada uno de las operaciones que se vean afectados en las empresas.
Es necesario el diseño de un plan de contingencias para de la corporación Nacional
de Electricidad “CNEL” regional Santo Domingo. el mismo que permita no evitar los
daños sino minimizar los mismo y permita una pronta recuperación de los procesos
que se realizan para que esta, no pare en sus funciones diarias
24
CAPITULO II
La investigación que se realizó para este examen complexivo, se lo llevó a cabo en el
mismo lugar donde se presenten la problemática es decir en la corporación Nacional de
Electricidad “CNEL” regional Santo Domingo, la técnica aplicada fue: la encuesta
realizada a los usuarios de los sistemas instalados en la “CNEL” regional Santo
Domingo, personal, y al jefe del área de Sistemas, el instrumento asociado a estas
técnicas fue: el cuestionario.
2.1. Población y muestra
La población está constituida por todos los involucrados en la problemática.
Como la población es inferior a 100, esta se convierte en la muestra.
Tabla 1 Población.
Fuente: Personal CNEL Regional Santo Domingo
2.1. Tabulación de resultados.
Se ha realizado la encuesta a los usuarios de los sistemas instalados en la “CNEL”
regional Santo Domingo, personal, y al jefe del área de Sistemas, los resultados
obtenidos son los siguientes:
2. METODOLOGÍA
Función Número
Empleados de la CNEL (Usuario del Sistema) 70
Jefe del área de sistemas 1
Total 71
25
Pregunta N°1 ¿Usted realiza respaldos de información de manera continua y
organizada?
PREGUNTA FRECUENCIA PORCENTAJE
Frecuentemente 35 49,30%
Rara vez 20 28,17%
Nunca 16 22,54%
Total 71 100,00%
Tabla 2. Pregunta N°1
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje no realiza respaldos de información de
manera frecuente.
Pregunta No 2. ¿La Institución tiene algún medio de respaldo de información que la
almacene fuera de ella para poder ser recuperada por si existe una catástrofe interna
(inundación, incendio, terremoto)?
PREGUNTA FRECUENCIA PORCENTAJE
Si 19 26,76%
No 52 73,24%
Total 71 100,00%
Tabla 3. Pregunta N°2
Fuente: Autor de la investigación
Análisis e interpretación.
Un elevado porcentaje concuerda en que no tiene un respaldo de información externo a
la empresa para su recuperación en caso de que ocurra algún desperfecto o accidente.
Frecuentemente
49%Rara vez28%
Nunca23%
Frecuentemente Rara vez Nunca
Ilustración 5. Pregunta N°1
Fuente: Autor de la investigación
Si27%
No73%
Si No
Ilustración 6. Pregunta N°2
Fuente: Autor de la investigación
26
Si59%
No41%
Si No
Pregunta No 3 ¿Se ha tenido pérdidas de información debido a virus?
PREGUNTA FRECUENCIA PORCENTAJE
Frecuentemente 42 59,15%
Rara vez 14 19,72%
Nunca 15 21,13%
Total 71 100,00% Tabla 5. Pregunta N°3
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje afirma que con frecuencia los virus
informáticos atacan los sistemas y que por ende existe una pérdida de información.
Pregunta No 4. ¿Cree usted que, al perderse información, la empresa pierde dinero en
su recuperación o su nueva generación de información ya que tiene que pagar horas
extras?
PREGUNTA FRECUENCIA PORCENTAJE
Si 42 59,15%
No 29 40,85%
Total 71 100,00% Tabla 6. Pregunta N°4
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje afirma que al perder información la
empresa pierde dinero porque al tratar de volverla a generar consume más recursos
humanos y por ende consume más dinero.
Frecuentemente
59%
Rara vez20%
Nunca 21%
Frecuentemente Rara vez Nunca
Tabla 4. Pregunta N°3
Fuente: Autor de la investigación
Ilustración 7. Pregunta N°4
Fuente: Autor de la investigación
27
Pregunta No 5. ¿Considera importante que la Institución disponga de respaldos de
información, sincronizados automáticamente a cada usuario?
PREGUNTA FRECUENCIA PORCENTAJE
Si 61 85,92%
No 10 14,08%
Total 71 100,00% Tabla 7. Pregunta N°5
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje considera que los respaldos de información
personalizada con cada uno de los usuarios son importantes porque que alimenta de
información al sistema, esos respaldos a su vez son una opción para la pronta
recuperación de la empresa en caso de enfrentar algún percance o catástrofe en cuanto
información se refiere.
Pregunta No 6 ¿Cree usted que la Institución debería tener respaldos de información
automático para ser almacenados en la
nube?
PREGUNTA FRECUENCIA PORCENTAJE
Si 59 83,10%
No 12 16,90%
Total 71 100,00% Tabla 8. Pregunta N°6
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje, cree que la información que se genera en
los sistemas de la empresa debería ser respaldada en la nube o el internet para disponer
de ella, en cualquier momento o lugar en caso de que ocurriese una catástrofe o perdida
de la información, dicho proceso ayudaría la pronta recuperación de la empresa.
Si86%
No14%
Si No
Ilustración 8. Pregunta N°5
Fuente: Autor de la investigación
Si83%
No17%
Si No
Ilustración 9. Pregunta N°6
Fuente: Autor de la investigación
28
Pregunta No 7 ¿Usted como empleado de la CNEL Santo domingo Cree que se deberá
implementar más dispositivos contra incendios como extintores en cada una de las
dependencias donde exista más riesgo de que la información se pierda por motivo de un
incendio o flagelo?
PREGUNTA FRECUENCIA PORCENTAJE
Si 56 78,87%
No 15 21,13%
Total 71 100,00% Tabla 9. Pregunta N°7
Fuente: Autor de la investigación
Análisis e interpretación.
Se puede apreciar que un elevado porcentaje, cree que implementado más dispositivos
contra incendios, es apropiado para salvaguardar y poder contener los incendios en caso
de que estos ocurrieran.
Pregunta No 8 ¿Cree usted que CNEL Santo Domingo deberá invertir en dispositivos
de seguridad (cámaras, alarmas, botones de pánico, etc.) para proteger las instalaciones
y equipos informáticos de la empresa, en caso de robo o hurto y así evitar perdida de
información por parte de la delincuencia?
PREGUNTA FRECUENCIA PORCENTAJE
SI 47 66,20%
NO 24 33,80%
Total 71 100,00% Tabla 10. Pregunta N°8
Fuente: Autor de la investigación
Análisis e interpretación.
Un elevado porcentaje, cree que es necesario invertir en dispositivos de vigilancia para
poder tener un control más apropiado de las instalaciones.
Si79%
No21%
Si No
SI66%
NO34%
SI NO
Ilustración 10. Pregunta N°7
Fuente: Autor de la investigación
Ilustración 11. Pregunta N°8
Fuente: Autor de la investigación
29
Pregunta No 9 ¿Usted como usuario del sistema informático de la CNEL Santo
Domingo cree que la empresa debería invertir en software y hardware informático en
cuanto antivirus se refiere por perdida de la información que ocasionan los virus en el
sistema?
PREGUNTA FRECUENCIA PORCENTAJE
Si 63 88,73%
No 8 11,27%
Total 71 100,00% Tabla 11. Pregunta N°9
Fuente: Autor de la investigación
Análisis de interpretación.
La mayoría de las personas encuestadas, cree que es necesario invertir en dispositivos
en sistemas tanto en software como hardware para poder contener los ataques de los
virus informáticos.
Pregunta No 10 ¿Usted como empleado de la CNEL Santo Domingo cree que en la
empresa existe personal inescrupuloso que, por motivos de sanciones o represalias a los
jefes, se dediquen a realizar sabotajes a los equipos informáticos y por ende esto afecta a
la información de la empresa generando así perdidas a la misma?
PREGUNTA FRECUENCIA PORCENTAJE
Si 41 57,75%
No 30 42,25%
Total 71 100,00% Tabla 12. Pregunta N°10
Fuente: Autor de la investigación
Análisis de interpretación.
La mayoría de las personas encuestadas, dicen que si existe personal en la empresa que
se dedica a realizar sabotajes en los equipos informáticos por represalias a la empresa o
personal que está a su mando.
Si89%
No11%
Si No
Ilustración 12. Pregunta N°9
Fuente: Autor de la investigación
Si58%
No42%
Si No
Ilustración 13. Pregunta N°10
Fuente: Autor de la investigación
30
2.2. Conclusiones parciales del capitulo
Se puede apreciar en la encuesta realizada que la mayoría de los usuarios, cree que
los sistemas de la corporación Nacional de Electricidad “CNEL” regional Santo
Domingo. tiene un mínimo de seguridad física como lógica y que la información está
en un peligro constante, ya que esta se encuentra expuesta hurto, plagio o ataques de
virus informáticos
Es necesario contar con un servicio de respaldo de la información a través del
internet, ya que, por este medio, el departamento de sistemas la podría disponer,
desde cualquier computador, para la pronta recuperación de los sistemas de
corporación Nacional de Electricidad “CNEL” regional Santo Domingo.
Es importante también, la utilización de equipos de seguridad y vigilancia para la
custodia de los diferentes dispositivos informáticos que, permiten el normal
desarrollo de las actividades de la corporación Nacional de Electricidad “CNEL”
regional Santo Domingo.
Mediante la encuesta, realizada al personal de la corporación Nacional de
Electricidad “CNEL” regional Santo Domingo. Pudimos apreciar que es necesario, el
mejoramiento de los dispositivos y métodos contra incendios y catástrofes naturales
o antrópicas para la institución.
31
CAPITULO III
Consiste en el diseño de un plan de contingencias, para lo cual necesitaremos recabar
toda la información necesaria que se genera tanto en los sitios de control, de los
sistemas informáticos, como del personal, de la corporación, para que de esta manera se
pueda generar las directrices de nuestro plan de contingencias en base también a los
planes que existen en la empresa para su actualización, esperando obtener el mejor de
los resultados con nuestro diseño del plan de contingencias en caso de que ocurra algún
desastre con el equipo informático existente.
3.1. Planificación
Al Diseñar un plan de contingencias donde se tengan estrategias concretas orientadas a
resolver problemáticas como la perdida de información en cada uno de los usuarios y en
el Departamento de Sistemas.
Con el diseño de un plan de contingencias se pretende minimizar los siguientes puntos.
• Ajustar los riesgos de los desastres que afecten a las tecnologías de la información y
que perjudiquen a la empresa.
• Minimizar cada uno de los riesgos que se puedan producir en la empresa en cuanto se
refiere a las tecnologías de la información.
• Indicar los recursos necesarios para ejecutar el plan de contingencias en caso de
usarlo, en la corporación.
3. PROPUESTA
Ilustración 14. Diseño y aplicación del plan de contingencia
Fuente: Autor de la investigación
32
3.1. Descripción de la propuesta
3.1.1. Diseño del plan de contingencias
Se procederá a realizar los pasos necesarios para minimizar o anular la ocurrencia de
eventos que posibiliten los daños y en último término, en caso de ocurrencia de estos, se
procede a fijar un plan de emergencias, para su recomposición o minimización de las
perdidas.
3.1.2. Plan de reducción de riesgos
Implica la realización de un análisis de todas las posibles causas a los cuales pueden
estar expuestos nuestros equipos que se encuentran conectados a la RED de la CNEL
SANTO DOMINGO, así como la información contenida en cada medio de
almacenamiento. Se realizará un análisis de riesgo y el Plan de contingencias tanto para
reducir la posibilidad de ocurrencia como para reconstruir el Sistema de Información
y/o Sistema de Red de Computadoras en caso de desastres.
3.2. Análisis de riesgos
Se realiza un análisis de todos los elementos de riesgos a los cuales está expuesto el
conjunto de equipos informáticos y la información procesada, y que deben ser
protegidos, entre ellos tenemos a los siguientes:
a. Personal
b. Hardware
c. Software y utilitarios
d. Datos e información
e. Documentación
f. Suministros de energía eléctrica
g. Suministros de telecomunicaciones
En cada uno de los riesgos mencionados, existen posibles daños como lo son:
33
a) Imposibilidad de acceso a los recursos debido a problemas físicos en las
instalaciones, naturales o humanas.
b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambios
involuntarios o intencionales, tales como cambios de claves de acceso, eliminación o
borrado físico/lógico de información clave, proceso de información no deseado.
c) Divulgación de información a instancias fuera de la institución y que afecte su
patrimonio estratégico, sea mediante robo o infidencia.
A continuación, conoceremos las posibles fuentes de daños, las cuales no permitirían el
correcto funcionamiento de la empresa.
Acceso no autorizado
Ruptura de las claves de acceso al sistema computacionales
Desastres Naturales
Fallas de Personal Clave: por los siguientes inconvenientes: enfermedad, accidentes,
renuncias, abandono de sus puestos de trabajo entre otros.
Fallas de Hardware: falla en los Servidores (Hw), falla en el hardware de Red
(Switches, cableado de la Red, Router, FireWall).
3.2.1. Clases de riesgo.
Es el factor de probabilidad por clase de riesgo en función a la ubicación geográfica de
la institución y a su entorno institucional; por ejemplo, si la institución:
Se ubica en zona sísmica el factor de probabilidad de desastre por terremotos será
alta.
Se ubica en una zona marginal con alto índice de delincuencia, las probabilidades de
robo, asalto o vandalismo será de un riesgo considerablemente alto.
Se ubica en zona industrial las probabilidades de “Fallas en los equipos” será alto por
la magnitud de variaciones en tensiones eléctricas que se generan en la zona.
Cambia constantemente de personal, las probabilidades de equivocaciones y sabotaje
será alto.
34
3.3. Identificación de amenazas
Estos valores son estimados y corresponden a la apreciación de antecedentes históricos
registrados en la CNEL SANTO DOMINGO durante los últimos años. Corresponde al
presente Plan de Contingencia minimizar estos índices con medidas preventivas y
correctivas sobre cada caso de Riesgo.
En lo que respecta a Fenómenos naturales, nuestra región ha registrado en estos últimos
tiempos movimientos telúricos de poca intensidad; sin embargo, las lluvias fuertes
producen mayores estragos, originando filtraciones de agua en los edificios de techos,
produciendo cortes de luz, cortos circuitos (que podrían desencadenar en incendios).
NIVELES DE VALORACION DE LAS AMENAZAS
VALOR CATEGORIA DESCRIPCION color
8 MUY SEVERO DAÑO MUY GRAVE EN LA EMPRESA
7 GRAVE DAÑO GRAVE EN LA EMPRESA
6 MODERADO DAÑO IMPORTANTE EN LA EMPRESA
5 BAJO DAÑO MENOR EN LA EMPRESA
4 PROBABLE DAÑO QUE DEPENDE DE ALGO PARA QUE SUCEDA
3 PERIODICO DAÑO COMUN EN LA EMPRESA
2 CONTINUO DAÑO FRECUENTE EN LA EMPRESA
1 ALEATORIO DAÑO DE QUE SUCEDA O NO SUCEDA
Tabla 13 Niveles de Valoración de las Amenazas
Fuente: Autor de la investigación
ACCION A TOMAR
NIVEL ACCION COLOR
2 CORRECTIVO
1 PREVENTIVO
Tabla 14 Acción a Tomar
Fuente: Autor de la investigación
35
Personal que labora en el área de sistemas de CNEL Regional Santo Domingo
Funciones del personal de sistemas CNEL Regional Santo Domingo
NOMBRE CARGO
Ing. Mauricio Carrera Jefe de Sistemas
Ing. Hugo Mogollón Especialista en AS/400
Ing. Geovanny Luzuriaga Analista Programador desarrollo web
Ing. Juan Carlos Zambrano Analista Programador desarrollo web
S.E Janeth Fierro Secretaria 2
Ing. Camilo Benavidez Analista Programador técnico en hardware
Ing. Samuel Marín Analista Programador (ADM REDES)
Sr. Mario Sierra Operador Digitador
UNIDAD FUNCION RESPONSABLE
Telecomunicaciones
Monitorear levantar los
servicios de red
Ing. Samuel Marín
Soporte y Reparación
de Servicios
Mantenimiento y reparación
de (hardware). Equipo
informático
Ing. Camilo Benavidez
Ilustración 15. Organigrama departamento de sistemas CNEL Santo Domingo
Fuente: CNEL Santo Domingo
36
Informáticos
Operación y Soporte
de Servicios
Informáticos
Permitir y monitorear el
buen funcionamiento de los
servidores
Ing. Samuel Marín
Desarrollo y
Mantenimiento de
Sistemas de Información
Crear e implementar las
necesidades de los Usuarios
en los sistemas de
Información.
Esto incluye asignar los
permisos de acceso al
personal de desarrollo, al
ambiente operacional.
Ing. Samuel Marín
Operación y Soporte
de Servicios
Informáticos
Verificar y garantizar el
correcto funcionamiento de
los sistemas implementados.
Asegurar que la
documentación de operación
y procedimientos de usuario
sean cambiados según sea
necesario para seguir siendo
apropiados
Ing. Juan Carlos
Zambrano
Desarrollo y
Mantenimiento de
Sistemas de
Información
Realiza las copias de
seguridad o Backup de la
información de la empresa.
Ing. Juan Carlos
Zambrano
Operación y Soporte
de Servicios
Informáticos
Permitir y Verificar los
permisos de acceso de los
usuarios a las diferentes
redes, servicios y sistemas de
Información.
Ing. Geovanny
Luzuriaga
Desarrollo y
Mantenimiento de
Sistemas de
Información
Garante de la documentación
del sistema (impresa o
archivos digitales).
Ing. Hugo Mogollón
Departamento de
Servicios Generales
Verificar que se realice el
mantenimiento de las redes
eléctricas y equipos de
suministro eléctrico (placas
de pared, supresoras de
picos, estabilizadoras de
voltaje, ups, extensiones
Eléctricas).
Ing. Mauricio Carrera
37
Desarrollo y
Mantenimiento de
Sistemas de
Información
Encargado del software de la
organización, incluyendo la
biblioteca y códigos fuentes
ejecutables de los sistemas
informáticos.
Ing. Mauricio Carrera
Tabla 15 Funciones del personal de sistemas CNEL Regional Santo Domingo
Fuente: CNEL Santo Domingo
Equipos de trabajos para el plan de contingencias
UNIDADES EQUIPOS FUNCION
DENTRO DEL
PLAN
RELACION DE
COORDINACIÓN
Soporte y Reparación
de Servicios
Informáticos
EQUIPO
ALFA
Ing. Camilo
Benavidez
S.E Janeth
Fierro
Coordinación en la
logística y
reparación de los
servicios
informáticos
Bomberos
Cruz roja
Hospitales
Proveedor de Servicios de
Internet y
enlace de datos.
Proveedor de
Seguros
Operación y Soporte
de Servicios
Informáticos
EQUIPO
OMEGA
Ing. Samuel
Marín
Ing.
Geovanny
Luzuriaga
Ing. Juan
Carlos
Zambrano
Coordinación para
el levantamiento de
todos los servicios
informáticos
Policía nacional
Cruz roja
Hospitales
Proveedor donde se
dispondrá como
sitio alterno de
Operaciones
Desarrollo y
Mantenimiento de
Sistemas de
Información
EQUIPO
GAMMA
Ing. Juan
Carlos
Zambrano
Ing. Hugo
Mogollón
Ing. Mauricio
Carrera
Coordinación con
los medios para el
levantamiento de
toda la información
de los sistemas
Proveedor de Almacenamient
o de Respaldos
Proveedor de Servicios de
Internet y
enlace de datos
38
Telecomunicaciones EQUIPO
BETA
Ing. Samuel
Marín
S.E Janeth
Fierro
Coordinación de la
levantamiento de
todos los servicios
de la red
Proveedor de Servicios de
Internet y
enlace de datos
Departamento de
Servicios Generales
EQUIPO
DELTA
Ing. Mauricio
Carrera
Coordinación de la
levantamiento de
todos los equipos
físicos y software
para la empresa
Proveedor de
hardware.
Proveedoras de Software
Comercial.
Proveedor de Seguros
Tabla 16 Equipos de trabajos para el plan de contingencias
Fuente: Autor de la investigación
3.4. Relaciones de coordinación
Son las que nos permiten establecer toda relación con ciertas entidades ya sean
pertenecientes a la empresa o sean entidades externas, cuyo fin es el de que en caso de
que se presentara algún imprevisto fortuito en la empresa que atente contra la seguridad
de la información o algún evento de carácter catastrófico, que pueda dañar nuestra
infraestructura informática, y nuestras operaciones queden fuera de servicio, estas
entidades nos puedan ayudar, a salir de la crisis y podamos iniciar las operaciones lo
más pronto posible
3.4.1. Relaciones de coordinación internas:
• Soporte y Reparación de Servicios Informáticos
• Operación y Soporte de Servicios Informáticos
• Desarrollo y Mantenimiento de Sistemas de Información
• Telecomunicaciones
3.4.2. Relaciones de coordinación externas:
• Policía Nacional
• Bomberos.
39
• Cruz Roja.
• Hospitales
• Proveedor de Servicios de Internet y enlace de datos.
• Proveedor de Seguros
• Proveedor donde se dispondrá como sitio alterno de Operaciones
• Proveedor de Almacenamiento de Respaldos.
• Proveedor de hardware.
• Proveedoras de Software Comercial.
3.5. Identificación de los riesgos y soluciones
3.5.1. Clase de riesgo: Incendio o Fuego
Grado de Negatividad: Muy Severo.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual: Acción correctiva.
Problema
Los Servidores del Área de Sistemas CNEL SANTO DOMINGO cuentan con un
extintor cargado, ubicado dentro del Área de Servidores. En muchos Centros de
cómputo de la CNEL SANTO DOMINGO, no cuenta con un número adecuado de
extintores.
No se ejecuta un programa de capacitación sobre el uso de elementos de seguridad y
primeros auxilios, lo que no es eficaz para enfrentar un incendio y sus efectos. Una
probabilidad máxima de contingencia de este tipo en el Área de Sistemas, puede
alcanzar a destruir un 50% de las oficinas antes de lograr controlarlo, también podemos
suponer que en el área de Servidores tendría un impacto mínimo, por las medidas de
seguridad y ambiente que lo protege. Esta información permite resaltar el tema sobre el
lugar donde almacenar los backups. El incendio, a través de su acción calorífica, es más
que suficiente para destruir los dispositivos de almacenamiento, tal como CD’s, DV’s,
40
cartuchos, Discos duros, las mismas que residen en una caja fuerte (medio de seguridad
que nos protege frente a robo o terremoto, pero no del calor).
Identificación de la solución
Estos dispositivos de almacenamiento muestran una tolerancia de temperatura de 5°C a
45°C, y una humedad relativa de 20% a 80%. Para la mejor protección de los
dispositivos de almacenamiento, se colocarán estratégicamente en lugares distantes, con
una segunda copia de seguridad custodiada en un lugar externo de la CNEL SANTO
DOMINGO.
Uno de los dispositivos más usados para contrarrestar la contingencia de incendio, son
los extinguidores. Su uso conlleva a colocarlos cerca de las posibles áreas de riesgo que
se debe proteger.
Responsables: Equipo Alfa y Delta
3.5.2. Clase de riesgo: Robo Común de Equipos y Archivos
Grado de Negatividad: Grave.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Moderado.
Grado de Certidumbre: Aleatorio.
Situación actual Acción preventiva
Problema
La salida de un equipo informático es registrada por el personal de la Oficina y por el
personal de seguridad en turno. No se verifica si el Personal de Seguridad cumple con la
inspección de los usuarios, sobre su obligación de cerrar puertas y ventanas al finalizar
su jornada. Al respecto Personal de Seguridad emite recomendaciones sobre medidas de
Alerta y seguridad.
41
No se han reportado casos en la cual haya existido manipulación y reubicación de
equipos sin el debido conocimiento y autorización debida entre el Jefe del Área
funcional y Jefe de Área de Sistemas. Esto demuestra que los equipos se encuentran
protegidos de personas no autorizadas y no identificables.
Identificación de la solución
Para ello es necesario analizar las siguientes situaciones a considerar:
¿En qué tipo de vecindario se encuentra la Institución?
¿Las computadoras se ven desde la calle?
¿Hay personal de seguridad en la Institución, ubicados en zonas estratégicas?
¿Cuánto valor tiene actualmente las bases de datos?
¿Cuánta pérdida podría causar en caso de que se hicieran públicas?
Asegurarse que el personal es de confianza, competente y conoce los procedimientos
de seguridad.
Trabajo no supervisado, especialmente durante el turno de noche, malas técnicas de
contratación, evaluación y de despido de personal.
Contar a la mano los números telefónicos de los principales medios de rescate como
(Ecu-911, Policía Nacional, Seguridad Privada de la Empresa)
Responsables: Equipo Omega y Delta
3.5.3. Clase de riesgo: Vandalismo
Grado de Negatividad: Moderado.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
Problema
La CNEL SANTO DOMINGO está en una zona donde el índice de vandalismo es bajo,
pero en el caso que se presente este inconveniente y el intento de vandalismo sea mayor,
42
este representaría un gran riesgo dentro del centro de cómputo, ya que se podría perder
toda la información almacenada y por ende las actividades dentro de la empresa se
verían afectadas en gran parte.
Identificación de la solución
A continuación, se menciona una serie de medidas preventivas:
Establecer vigilancia mediante cámaras de seguridad en el sitio, para registrar la
entrada y salida del personal.
Instalar identificadores mediante tarjetas de acceso.
Determinar lugares especiales fuera del centro de datos, para almacenar los medios
magnéticos de respaldo y copia de la documentación de la empresa.
Aplicar los medios Necesario para la recuperación inmediata de la base de datos de
la empresa en el local alterno.
Responsables: Equipo Omega y Delta
3.5.4. Clase de riesgo: falla en los equipos
Grado de Negatividad: Grave.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
Problema
La Red de energía en los Servidores, en el Área de Sistemas cuenta con una instalación
Eléctrica Estabilizada, no existe un adecuado tendido eléctrico dentro de algunas
oficinas de la CNEL SANTO DOMINGO Cada área funcional se une a la Red a través
Gabinetes, la falta de energía en éstos, origina la ausencia de uso de los servicios de red,
los Sistemas Informáticos, teléfonos IP, mantenimiento remoto, su adecuado apagado y
encendido, dependen los servicios de red eléctrica en el Área.
43
Identificación de la solución
La falla en el hardware de los equipos informáticos, requiere un rápido mantenimiento o
reemplazo, existe mantenimiento de los equipos de cómputo, para lo que es importante
contar con proveedores, en caso de requerir reemplazo de piezas, y de ser posible contar
con repuestos.
Dado el caso crítico de que los discos duros presentan fallas, tales que no pueden ser
reparadas, se debe tomar las acciones siguientes:
Ubicar el disco malogrado.
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono
a jefes de área.
Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
Bajar el sistema y apagar el equipo.
Retirar el disco duro malo y reponerlo con otro del mismo tipo, y formatearlo para
su correcta utilización.
Restaurar el último backup, seguidamente restaurar las modificaciones efectuadas
desde esa fecha a la actualidad.
Verificación el buen estado de los sistemas.
Habilitar las entradas al sistema para los usuarios.
Error de Memoria RAM y Tarjeta(s) Controladora(s) de Disco, En el caso de las
memorias RAM, se dan los siguientes síntomas:
El servidor no responde correctamente, por lentitud de proceso o no rendir ante el
ingreso masivo de usuarios.
Ante procesos mayores se congela el proceso.
Arroja errores con mapas de direcciones hexadecimales.
Es recomendable que el servidor cuente con ECC (error correct checking), por lo
tanto, si hubiese un error de paridad, el servidor se autocorregirá.
Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo fijado
por la Empresa, a menos que la dificultad apremie, cambiarlo inmediatamente.
44
Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben tomar las
acciones siguientes:
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono
a jefes de área.
El servidor debe estar apagado, dando un correcto apagado del sistema.
Retirar la conexión del servidor con el concentrador, ello evitará que al encender el
sistema, los usuarios ingresen.
Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el
concentrador, habilitar entradas para estaciones en las cuales se realizarán las
pruebas.
Probar los sistemas que están en red en diferentes estaciones.
Finalmente, luego de los resultados, habilitar las entradas al sistema para los usuarios
Responsables: Equipo Omega y Delta
3.5.5. Clase de riesgo: equivocaciones
Grado de Negatividad: Moderado.
Frecuencia de Evento: Periódico.
Grado de Impacto: Moderado.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
Problema
Cuando el usuario es practicante y tiene conocimientos de informática, tiene el impulso
de navegar por los sistemas. En lo posible se debe cortar estos accesos, limitando su
accionar en función a su labor de rutina, ya que no se sabe hasta qué punto el reemplazo
tiene conocimientos sobre computación y si está capacitado para manejar debidamente
el software.
45
El Área de Sistemas no recibe comunicación del personal de reemplazo, por vacaciones,
por lo tanto, supone que es la Oficina usuaria la que capacita al reemplazante. Se debe
informar al AREA DE SISTEMAS del reemplazo para su registro y accesos a la Red y
los Sistemas, por el tiempo que dure el reemplazo. Al término del periodo de reemplazo
se restituye los valores originales a ambos usuarios.
Identificación de la solución
Se debe considerar las siguientes medidas preventivas:
¿Cuánto saben los empleados de computadoras o redes?
Durante el tiempo de vacaciones de los empleados, ¿qué tipo de personal los
sustituye y qué tanto saben del manejo de computadoras?
Difusión de Manuales de Usuario y operación del correcto uso del software y el
hardware a todo el personal que labora de manera directa con los equipos
informáticos.
Responsables: Equipo Gamma y Delta
3.5.6. Clase de riesgo: acción de virus informático
Grado de Negatividad: Muy Severo.
Frecuencia de Evento: Continuo.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
Problema
Se cuenta con un Software Antivirus corporativo. Pero no hay un contrato anual para su
actualización. Se debe evitar que las licencias no expiren, se requiere la renovación de
contrato anualmente este se cumpla.
46
Identificación de la solución
Dado el caso crítico de que se presente virus en las computadoras se procederá a lo
siguiente:
Para servidor:
Se contará con antivirus para el sistema; que nos permite aislar el virus para su futura
investigación.
El antivirus muestra el nombre del archivo infectado y quién lo usó.
Si los archivos infectados son aislados y aún persiste el mensaje de que existe el
virus en el sistema, lo más probable es que una de las estaciones es la que causó la
infección, debiendo retirarla del ingreso al sistema y proceder a su revisión.
Para computadoras fuera de red:
Utilizar los discos de instalación que contenga sistema operativo igual o mayor en
versión al instalado en el computador infectado.
Insertar el disco de instalación antivirus, luego instalar el sistema operativo, de tal
forma que revise todos los archivos y no sólo los ejecutables. De encontrar virus, dar
la opción de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendará
borrar el archivo, tomar nota de los archivos que se borren. Si éstos son varios
pertenecientes al mismo programa, reinstalar al término del escaneado. Finalizado el
escaneado, reconstruir el Master Boot del disco duro.
Responsables: Equipo Alfa y Delta
3.5.7. Clase de riesgo: accesos no autorizados
Grado de Negatividad: Grave.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
47
Problema
Se controla el acceso al Sistema de Red mediante la definición de “Cuenta” o “Login”
con su respectiva clave para verificar si esta acción se cumple. A cada usuario de Red se
le asigna los “Atributos de confianza” para el manejo de archivos y acceso a los
sistemas.
Identificación de la solución
Cuando el personal cesa en sus funciones y/o es asignado a otra área, se le redefinen los
accesos y autorizaciones, quedando sin efecto la primera. Esto se cumple de modo
extemporáneo, siendo lo indicado actualizar los accesos al momento de producirse el
cese o cambio.
Todos los usuarios sin excepción tienen un “login” o un nombre de cuenta de usuario y
una clave de acceso a la red con un mínimo de cinco (5) dígitos. No se permiten claves
en blanco. Además, están registrados en un grupo de trabajo a través del cual se otorga
los permisos debidamente asignados por el responsable de área.
Cada usuario es responsable de salir de su acceso cuando finalice su trabajo o utilizar un
bloqueador de pantalla. Ello se aplica tanto a su autenticación como usuario de Red
como usuario de Sistemas en la CNEL SANTO DOMINGO, si lo tuviere.
Responsables: Equipo Omega y Delta
3.5.8. Clase de riesgo: robo de datos o pérdida de la información
Grado de Negatividad: Grave.
Frecuencia de Evento: Aleatorio.
Grado de Impacto: Grave.
Grado de Certidumbre: Probable.
Situación actual Acción correctiva.
48
Problema
Las Oficinas tienen quemadoras de CD/DVD, puertos USB, pero no se lleva un control
sobre la información que ingresa y/o sale del ordenador. El servicio de Internet es
potencialmente una ventana abierta para el robo de información electrónica, existen
políticas que regulan el uso y acceso del Servicio de Internet. Los documentos impresos
(informes, reportes, contratos, etc.) normalmente están expuestos al robo por que no se
acostumbra guardarlos como debe ser.
Identificación de la solución
El acceso a los terminales se controla, mediante claves de acceso, de esta manera se
impide el robo de información electrónica. A través de las políticas se seguridad se
impide el ingreso a los Servidores.
El Robo de datos se puede llevarse a cabo bajo tres modalidades:
a) La primera modalidad consiste en sacar “copia no autorizada” a nuestros archivos
electrónicos aun medio magnético y retirarla fuera de la institución.
b) La segunda modalidad y tal vez la más sensible, es la sustracción de reportes
impresos y/o informes confidenciales.
c) La tercera modalidad es mediante acceso telefónico no autorizado, se remite vía
Internet a direcciones de Correo que no corresponden a la Gestión Empresarial.
A las cuales se las previene a través de las siguientes acciones:
Control de acceso al Área de Sistemas: El acceso al área de Informática estará
restringido:
Sólo ingresan al área el personal que trabaja en el área.
El ingreso de personas extrañas solo podrá ser bajo una autorización.
Limitación del uso de programas para usuario o terminales.
Límite de tentativas para la verificación del usuario, tiempo de validez de las
contraseñas, o uso de contraseñas, cuando un terminal no sea usado pasado un
tiempo predeterminado (5 - 10 minutos).
49
Responsables: Equipo Alfa y Delta
3.5.9. Clase de riesgo: manipulación y sabotaje
Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Grado de Certidumbre: Probable
Situación actual Acción correctiva
Problema
Existe el problema de la inestabilidad laboral, la misma que podría obligar a personas
frustradas, o desilusionadas a causar daños físicos y lógicos en el sistema de
información de la institución. Esto se puede traducir desde el registro de operaciones
incorrectas por parte de los usuarios finales, hasta la operación de borrar registros en el
sistema y conductas de sabotaje.
Identificación de la solución
No se comunica el movimiento de personal al Área de Sistemas, para restringir accesos
del personal que es reubicado y/o cesado de la CNEL SANTO DOMINGO. Es
conveniente la comunicación anticipada del personal que será reubicado y/o cesado con
el objeto de retirar los derechos de operación de escritura para otorgarle los derechos de
consulta antes de desactivar la cuenta.
La protección contra el sabotaje requiere:
Una selección rigurosa del personal.
Buena administración de los recursos humanos
Buenos controles administrativos
Buena seguridad física en los ambientes donde están los principales componentes del
equipo.
50
Asignar a una persona la responsabilidad de la protección de los equipos en cada
área.
Responsables: Equipo Beta y Delta
3.5.10. Clase de riesgo: fenómenos naturales
Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Grado de Certidumbre: Probable
Situación actual Acción Preventiva
Problema
Terremoto e inundación. Para evitar problemas con inundaciones o terremotos es
necesario ubicar los servidores a un promedio de 50 cm de altura. En lo posible, los
tomacorrientes deben ser instalados a un nivel razonable de altura.
Identificación de la solución
Cuando el daño del edificio ha sido mayor, se necesita evaluar el traslado a un nuevo
local Alterno, hasta considerar la posibilidad del traslado.
Cuando el daño ha sido menor se procede:
Tramitar la garantía de los equipos dañados o comprar los equipos indispensables
para la continuidad de las operaciones. Responsable encargado de Soporte y
Mantenimiento
Recoger los respaldos de datos, programas, manuales y claves. Responsable
encargado de Redes.
Instalar el sistema operativo. Responsable encargado de Soporte y Mantenimiento
Restaurar la información de las bases de datos y programas. Responsable encargado
de Desarrollo.
51
Revisar y probar la integridad de los datos. Responsable encargado de Desarrollo.
Responsables: Equipo Alfa y Delta
MATRIZ DE VALORIZACION DE LOS RIESGOS
CLASE DE RIESGO
EQUIPOS DE TRABAJO
RESPONSABLES GRADO DE
NEGATIVIDAD FRECUENCIA DE EVENTO
GRADO DE IMPACTO
GRADO DE CERTIDUMBRE
SITUACION ACTUAL
Incendio o
Fuego
Equipo Alfa Y
Equipo
Delta
Muy Severo
(8) Aleatorio (1) Grave (7) Periódico (4)
Acción
correctiva.
Robo
común de
Equipos y
Archivos
Equipo Omega
Y
Equipo
Delta
Grave (7) Aleatorio (1)
Moderado
(6) Aleatorio (1)
Acción
Preventiva.
Vandalism
o
Equipo Omega
Y
Equipo
Delta
Moderado
(6) Aleatorio (1) Grave (7) Probable (4)
Acción
correctiva.
Falla en los
equipos
Equipo Omega
Y
Equipo
Delta
Grave (7) Aleatorio (1) Grave (7) Probable (4)
Acción
correctiva.
Equivocaci
ones
Equipo
Gamma
Y
Equipo
Delta
Moderado
(6) Periódico (3)
Moderado
(6) Probable (4)
Acción
correctiva.
Acción de
virus
informático
Equipo
Alfa
Y
Equipo
Delta
Muy Severo
(8) Continuo (2) Grave (7) Probable (4)
Acción
correctiva.
Accesos no
autorizados
Equipo Omega
Y
Equipo
Delta
Grave (7) Aleatorio (1) Grave (7) Probable (4)
Acción
correctiva.
Robo de Equipo Grave (7) Aleatorio (1) Grave (7) Probable (4) Acción
52
datos o
perdida de
la
informació
n
Alfa
Y
Equipo
Delta
correctiva.
Manipulaci
ón y
sabotaje
Equipo Beta
Y
Equipo
Delta
Grave (7) Aleatorio (1) Grave (7) Probable (4)
Acción
correctiva.
Fenómenos
naturales
Equipo Alfa
Y
Equipo
Delta
Grave (7) Aleatorio (1) Grave (7) Probable (4)
Acción
Preventiva.
Tabla 17 Matriz de valorización de los riesgos
Fuente: Autor de la investigación
3.6. Documentación del proceso pruebas y monitoreo del plan
3.6.1. Pruebas y validaciones del plan de contingencias
Cuando ya se haya implementado el plan, conjuntamente con las recomendaciones del
caso, el siguiente paso es planificar regularmente las pruebas del plan, las mismas que
se realizaran como mínimo una vez por año, las cuales nos permitirán mejorar el plan en
caso de que existiré algún error en el mismo.
El plan de contingencias debe estar sujeto, avaluaciones ordinarias las mimas que deben
estar documentadas siguiendo un formato establecido.
La finalidad de la prueba es de mejorar el plan de contingencia a medida que se vallan
presentando cada uno de los riegos, para ello con cada una de las pruebas se
documentará la información creándose así un registro, el mismo que nos servirá
realizando los cambios o mejoras al plan informático.
3.7. Métodos para realizar las pruebas
53
3.7.1. Pruebas específicas
Esta prueba trata de probar al personal en una actividad específica, utilizando los
procesos definidos en el plan, de esta manera el personal tendrá, tareas específicas y
desarrollará la habilidad para cumplirla.
3.7.2. Pruebas de escritorio
Trata del desarrollo de pruebas a través de un conjunto de preguntas típicas las mismas
que se caracterizan por tener:
Un formato prestablecido
Va dirigido a los equipos de trabajo
Permite probar las habilidades de diligénciales de los líderes de equipos
Los ejercicios son realizados de una forma hipotética, las preguntas que se generan
serán resueltas por cada uno de los equipos responsables de los riesgos que se
encuentren a cargo
3.7.3. Pruebas en tiempo real
Las pruebas en tiempo real se las realiza a cualquier clase de riesgo por un periodo de
tiempo determinado las mismas que pueden ser de la siguiente manera:
Se lo utiliza para comprobar ciertas partes importantes del plan en tiempo real
Nos permite verificar las habilidades de coordinación entre los equipos de trabajo y
las relaciones de coordinación interna y externas los mismos que se encuentran
asignados para afrontar cada uno de los riesgos a suscitarse
Esta prueba se las debe ejecutar en el momento en que se están realizando las
actividades normales en la empresa sin que estas afecten el funcionamiento de la
misma
.
Estas pruebas como se menciona anteriormente no deben afectar a las actividades de la
empresa, ni comprometer ninguno de los servicios que la misma ofrece, esta debe estar
dirigida o a cargo de cada uno de los jefes de grupos de trabajo y enlazadas con cada
una de las relaciones de coordinación, dependiendo el riesgo que se desea comprobar
54
Trata de una serie de pasos que hay que seguir antes de realizar las pruebas del plan de
contingencias
Repasar cada uno de los riesgos citados en el plan
Confirmar que existan responsables para cada uno de los riesgos
Confirmar que el plan se encuentre aprobado por la autoridad máxima de la Empresa
Preparar a todo el personal involucrado en el plan
Establecer fechas y horas para la ejecución del plan
Documentar cada uno de los ensayos que se le realicen al plan informático
Designar días específicos para la prueba sin que estas afecten al normal desarrollo de
las actividades de la empresa
Al iniciar las pruebas se orientará en preparar a los equipos que ejecutaran con éxito
el plan de contingencias
Enfocar los problemas en los servicios que dependen de sistemas específicos o
dependen de compañías externas donde se asume que haya problemas
Definir lo lugares en los que se realizara las reuniones de los equipos de plan de
contingencias
Entregar a cada uno de los departamentos de la empresa una copia del plan de
contingencias para el personal se encuentre al tanto en caso de que se presentara
alguna emergencia.
3.9. Comprobación del plan y monitoreo
La comprobación del plan y monitoreo debe ser un ensayo en el cual encierre cada uno
de los riesgos que se citan en el plan informático, que involucre a cada una de las
relaciones coordinación tanto interna como externa y que integre cada uno de los puntos
críticos, de cada uno de los riesgos.
El éxito del plan de contingencias reside en tanto que nos acerquemos más a las
medidas a tomar de la prueba, con cada una de los resultados que deseamos obtener
3.8. Preparación de la Pre-prueba
55
Para la ejecución de las pruebas del plan, se ha creado un diagrama a seguir, para hacer
la comprobación y monitoreo del mismo se lo realiza a través de unas lista de chequeo
las mismas que se encuentran acorde a cada uno de los riesgos que hemos estimado en
el plan informático.
Ilustración 16. Diagrama de ejecución de las pruebas
Fuente: Autor de la investigación
Inicio
Nombrar personal que ejecutara el plan
Plan aprobado Preparar Las Pruebas Del Plan
Prestar atención a los resultados de las pruebas
Analizar los resultados
Si el plan
está bien
Verificar las pruebas
Verificar las pruebas con los grupos
responsables
Otros niveles de pruebas
Reanalizar
el plan Enviar copia a los grupos
responsables
Existen más
pruebas
El plan de
pruebas es
correcto
Continuar
probando otros
riesgos
Iniciar los
siguientes
niveles
No
Si
Si
No
No
Si
No
Si
Si
No
Iniciar el mantenimiento del plan
56
Para la comprobación del plan informático se realizará una prueba de escritorio a través
de:
Listas de chequeo para los riegos existentes en el plan informático
Riesgo Incendio o fuego
Responsables Equipo Alfa y Equipo Delta
Grado de negatividad Muy Severo
Frecuencia del Evento Aleatoria
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Se Verifica que los sistemas contra
incendio esté funcionando Correctamente
El personal de la empresa conoce sobre el
manejo de los extintores. Que se
encuentran instalados en la empresa.
Se realiza las llamadas a tiempo a los
números de Emergencia (RELACIONES
DE COORDINACIÓN EXTERNA)
Se activan los sistemas de alarma a tiempo
para la correcta evacuación de personal
dentro de las instalaciones del Empresa
durante un incendio
Se respeten las rutas de evacuación
Se utilizan linternas de emergencia con
baterías
(Si el tiempo lo permite) se aseguran que
se tengan los respaldos de información
externos
Si (el tiempo lo permite) se apagan los
servidores y la caja principal de corriente
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra incendios
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un incendio
57
Riesgo Robo común de equipos y archivos
Responsables Equipo Omega y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatoria
Grado de impacto Moderado
Grado de Certidumbre Aleatoria
Situación Actual Acción Preventiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Se encuentran bien identificado el
personal que tiene acceso a los equipos
informáticos en la empresa
Existe algún procedimiento o normas para
la utilización de los pen drive o
dispositivos de almacenamiento externos
Se tiene in inventario de los dispositivos
de almacenamiento externos dentro los
equipos informáticos de la empresa
Se puede determinar quién ha utilizado un
dispositivo de almacenamiento externo y
quien es el responsable del mismo
Se cuenta con alguna bodega para el
almacenamiento de dispositivos de soporte
de información
Existen normas para la destrucción de
medios de almacenamiento en la empresa
En caso de un robo físico se tiene las
coordinaciones pertinentes con las
autoridades policiales de inmediato
En caso de descubrir algún infractor de
hurto de información o equipos
informativos físicos se toma alguna
médica contra de ellos
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra el robo
común de equipos y archivos informáticos
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas en caso de presentarse
manifestaciones de robo común de
equipos y archivos informáticos
58
Riesgo Vandalismo
Responsables Equipo Omega y Equipo Delta
Grado de negatividad Moderado
Frecuencia del Evento Aleatoria
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
La empresa se encuentra en una zona
donde comúnmente hay manifestaciones
de delincuencia común
La empresa ha sido víctima de ataques por
parte del personal de usuarios que acuden
a cancelar sus planillas diariamente
Se encuentra el personal capacitado para
enfrentar una situación de vandalismo
común
La empresa cuenta con el número
necesario de personal de seguridad en caso
de que ocurriera algún caso de vandalismo
en contra de la empresa
El personal de seguridad se encuentra bien
equipado tanto en armas como en
seguridad para ellos en caso de
vandalismo
El personal de la empresa tiene
conocimiento sobre normas de seguridad
en caso de vandalismo
Existe un sistema de seguridad para
monitorear la empresa en caso de que
suceda alguna manifestación de
vandalismo por parte de los usuarios de la
misma
La empresa cuenta con personal de
seguridad las 24 horas del día
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra el
vandalismo
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de vandalismo
59
Riesgo Fallas en los equipos informáticos
Responsables Equipo Omega y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatoria
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Se lleva un control de los equipos
informáticos que cuentan con una garantía,
para que cuando esta termine, se integren a
algún programa de mantenimiento dentro
de la planificación del área de sistemas de
la empresa
La empresa cuenta con servicio de
mantenimiento para todos los equipos
informáticos
Se realizan con frecuencia el
mantenimiento a los equipos Informáticos
Se cuenta con procedimientos definidos
para la adquisición de nuevos equipos
Se tienen criterios de evaluación para
determinar los diferentes proveedores al
momento de realizar la adquisición de
repuestos informáticos
En caso de que un equipo o terminal
llegara a fallar esta puede ser remplazado
de inmediato por otro equipo informático
o se tiene que esperar determinado tiempo
para su remplazo
En caso de sufrir algún desperfecto sea
memoria disco duro ext. Existe alguna
bodega de repuesto la misma que nos
permita el remplazo inmediato del
dispositivo.
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra la falla de
los equipos informativos
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de fallas en los
equipos informáticos
60
Riesgo Equivocaciones
Responsables Equipo Gamma y Equipo Delta
Grado de negatividad Moderado
Frecuencia del Evento Periódico
Grado de impacto Moderado
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
El personal que remplaza al personal que
se encuentra de vacaciones está
debidamente capacitado Para cumplir con
la función de la persona que va remplazar
El jefe de sistemas tiene conocimiento
coordinado con el jefe de personal de la
empresa en el momento que existe un
remplazo de algún usuario para poderlo
capacitar en el área que se vaya a
desempeñar
La actualización de los usuarios es
inmediata en caso de remplazo de algún
usuario
Se generan backups diariamente en caso
de que algún usuario elimine algún
archivo del sistema de forma herrada
En caso de que un usuario cometa varios
errores fallidos de ingreso al sistema este
se puede autenticarse varias veces
Existe personal capacitados en la empresa
para que pueda desempeñar varias
funciones en el sistema a ala ves
El personal que realiza algún falla en el
sistema ya sea de forma intencionada
tendrá alguna sanción por parte de la
misma
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra de las
equivocaciones
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de equivocaciones
en el sistema
61
Riesgo Acción de virus informáticos
Responsables Equipo Alfa y Equipo Delta
Grado de negatividad Muy severo
Frecuencia del Evento Continuo
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Ha notado los cambios de longitud de los
diferentes programas que utiliza en el
computador
Ha notado que la carga del sistema de
Windows es más lenta que cuando el
equipo estaba nuevo
El computador del usurario muestra
mensajes de error inusuales
Ha notado Actividad extraña en la pantalla
del computador
Ha notado por parte del departamento di
sistemas que actualicen periódicamente las
licencias de los antivirus de la empresa
Ha notado que el computador se reinicia
constantemente sin necesidad de que el
usuario realice esa acción
Al conectar un USB portable en el
computador le ha sucedido que la
información se desaparece pero el
dispositivo sigue lleno
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra la acción
de virus informático
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de la acción de virus
informáticos
62
Riesgo Accesos no autorizados
Responsables Equipo Omega y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatorio
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Está la red segura sin peligro de conexión
no autorizada
Se limitan las capacidades de los usuarios
para que la información sensible sobre el
sistema no esté disponible en la red
Se cambian las contraseñas de las cuentas
de usuario de la red con regularidad
Se permite la ejecución de la consola del
sistema (o línea de comandos) sólo a
usuarios autorizados
Se cifran los datos confidenciales que se
transfieren a través de la red
Mantiene registros suficientes de toda la
actividad de red relacionada con su
sistema
Monitoriza la actividad de red en busca de
tráfico excesivo o inusual que llega a su
sistema
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra la acción
de accesos no autorizados
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de la acción de
accesos no autorizados
63
Riesgo Robo de datos o pérdida de la información
Responsables Equipo Alfa y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatorio
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
El acceso a los computadores de la
empresa es controlado a través de
contraseñas
Se realizan periódicamente copias de
seguridad de la información que se genera
diariamente en la empresa
Se controla la utilización de dispositivos
de almacenamiento portable a cada uno de
los empleados de la empresa
El acceso al internet se encuentra
restringido para las diferentes terminales
instaladas en la empresa
Se tiene instalados antivirus que se
actualizan con regularidad
La empresa cuenta con normas propias de
respaldo de la información
La empresa tiene un estricto control del
personal que está autorizado a manipular
los dispositivos de almacenamiento de la
información.
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra el robo de
datos y pérdida de la información
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso del robo de datos y
pérdida de la información
64
Riesgo Manipulación y Sabotaje
Responsables Equipo Beta y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatorio
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Correctiva
ITEM A EVALUAR S1 NO OBSERVACIONES
La empresa cuenta con una buena
documentación de redes y los recursos
utilizados
La empresa utiliza medidas de restricción
a los usuarios como es la de administrador
de los dispositivos de red y sistemas
Las contraseñas tanto del administrador y
usuarios son cambiadas, en cuanto estas
personas dejan de laborar para la empresa
Se monitorea constantemente el tráfico de
la redes para saber si hay actividades
inesperadas por parte de los usuarios
El personal informático realiza un
mantenimiento periódico de las
contraseñas de la empresa
Se encuentran activados los firewall de los
computadores de la empresa con el fin de
proteger la información de los piratas
informáticos en la red
Se revisa rigurosamente a los candidatos
que durante el proceso de contratación
como empleados de la empresa
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra la
manipulación y el sabotaje
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso de La manipulación
y el sabotaje
65
Riesgo Fenómenos naturales
Responsables Equipo Alfa y Equipo Delta
Grado de negatividad Grave
Frecuencia del Evento Aleatorio
Grado de impacto Grave
Grado de Certidumbre Periódico
Situación Actual Acción Preventiva
ITEM A EVALUAR S1 NO OBSERVACIONES
Las vías de evacuación del personal se
encuentran correctamente señalizadas
La empresa ha capacitado a personal en
cuanto a dar los primeros auxilios en caso
de una emergencia
Existe iluminación permanente en las vías
de evacuación de la empresa
Se respalda la información diariamente en
lugares fuera de la empresa en caso de que
ocurra un terremoto o inundación
Conocen los trabajadores de la empresa
los procedimientos que hay que utilizar el
momento de ocurrir un incendio
Existe en la empresa una zona de
seguridad asignada en caso de un sismo,
incendio o cualquier otra emergencia
El personal de sistemas conoce los
procedimientos de respaldo de la
información en caso de un que ocurriese
un sismo o un incendio
Se comunica a tiempo al grupo
responsable para que active de inmediato
el plan de contingencias contra los
fenómenos Naturales
Se realizan a tiempo la coordinación
pertinente con las entidades internas o
externas ante un caso los fenómenos
naturales
Tabla 18 Listas de chequeo para los riegos existentes en el plan informático
Fuente: Autor de la investigación
66
3.10. Implementación de plan de contingencias
3.10.1. Análisis en las fallas en la seguridad (riesgos)
En este se abarca el estudio del hardware, software, la ubicación física de la estación y
su utilización, con el objetivo de identificar los posibles resquicios en la seguridad que
pudieran suponer un peligro.
Las fallas en la seguridad de la información y por consiguiente de los equipos
informáticos, es una cuestión que llega a afectar, incluso, a la vida privada de la
persona, de ahí que resulte obvio el interés creciente sobre este aspecto.
Protecciones actuales
Se realizan las siguientes acciones:
Al robo común se cierran las puertas de entrada y ventanas
Al vandalismo, se cierra la puerta de entrada.
A la falla de los equipos, se realiza el mantenimiento de forma regular.
Al daño por virus, todo el software que llega se analiza en un sistema utilizando
software antivirus.
A las equivocaciones, los empleados tienen buena formación. Cuando se requiere
personal temporal se intenta conseguir a empleados debidamente preparados.
A terremotos, no es posible proteger la instalación frente a estos fenómenos.
Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras
disponen de llave de bloqueo del teclado.
Al robo de datos, se cierra la puerta principal y gavetas de escritorios. Varias
computadoras disponen de llave de bloqueo del teclado.
3.11. Plan de recuperación del desastre y respaldo de la información
El costo de la Recuperación en caso de desastres severos, como los de un terremoto que
destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
67
informados oportunamente y actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de seguros.
3.11.1. Establecimientos del plan de acción
En esta fase de planeamiento se establece los procedimientos relativos a:
Sistemas e Información.
Equipos de Cómputo.
Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
Políticas (Normas y Procedimientos de Backups).
La Institución deberá tener una relación de los Sistemas de Información con los que
cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas los
sistemas y servicios críticos para la CNEL SANTO DOMINGO, son los siguientes:
Sistema Integrado de Administración Financiera (SIAF): Sistema de información
asociado a la ejecución del presupuesto anual, de registro único de las operaciones de
gastos e ingresos públicos. Lo opera la Oficina Central de Ejecución Presupuestaria.
Sistema Integrado de Gestión Académica: Sistema de información que permite el
registro y control de los Procesos académicos, permite al alumno realizar consultas
académicas consulta vía WEB. Lo operan las Oficinas Académicas, y los órganos
académicos-control.
Sistema de Tramite Documentario: Sistema de información que permite el registro
y seguimiento de los documentos. Lo operan todas las áreas funcionales.
Sistema de Gestión Administrativa – Ingresos: Sistema de información que
permite el registro y control de los ingresos. Lo operan todas las áreas funcionales
Administrativas.
3.11.2. Sistemas de información
68
Sistema de Abastecimientos: Sistema de información que permite el registro y
control de las Órdenes de Trabajo, almacén. Lo opera la Oficina de Abastecimiento.
Sistema de Control de Asistencia del personal: Lo opera la Oficina Central de
Recursos Humanos.
3.12. Lista de servicios
Sistema de comunicaciones
Servicio de correo corporativo
Servicios Web: Publicación de páginas Web, noticias de la CNEL SANTO
DOMINGO, Inscripción comedor universitario, Inscripción de cursos.
Internet, Intranet.
Servicios Proxy
VPN: servicios de acceso privado a la red de la Institución desde cualquier lugar.
Servicio de Monitoreo de la red: monitorea los equipos de comunicación distribuidos
en la red la CNEL SANTO DOMINGO.
Servicios de telefonía Principal: teléfonos IP
Servicios de enseñanza de manera virtual.
Servicio de Antivirus
3.13. Obtención y almacenamiento de copias de seguridad (backups)
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos
los elementos de software necesarios para asegurar la correcta ejecución de los sistemas
en la institución. Las copias de seguridad son las siguientes:
Backup del Sistema Operativo: o de todas las versiones de sistema operativo
instalados en la Red.
Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de
los aplicativos institucionales).
69
Backup del software aplicativo: backups de los programas fuente y los programas
ejecutables.
Backups de los datos: (Base de datos, password y todo archivo necesario para la
correcta ejecución del software aplicativos de la institución).
Backups del Hardware: se puede implementar bajo dos modalidades:
3.13.1. Modalidad externa
Mediante el convenio con otra institución que tenga equipos similares o mejores y que
brinden la capacidad y seguridad de procesar nuestra información y ser puestos a
nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva
al siniestro producido.
3.13.2. Modalidad interna
Si se dispone de más de un local, en ambos se debe tener señalado los equipos, que por
sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.
Es importante mencionar que en ambos casos se debe probar y asegurar que los
procesos de restauración de información posibiliten el funcionamiento adecuado de los
sistemas.
3.13.3. Políticas (normas y procedimientos)
Se debe establecer procedimientos, normas y determinación de responsabilidades en la
obtención de los “Backups” o Copias de Seguridad. Se debe considerar:
Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se
realizan de manera diferente:
Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción
de curso y registro de Actas se realiza backup diario, para los demás periodos se
realiza el backup semanal.
Sistema de Ingresos: backup diario
70
Sistema Integrado de Administración Financiera (SIAF): backup semanal
Sistema de Tramite Documentario: backup diario.
Sistema de Abastecimientos: backup semanal
Sistema de Control de Asistencia del personal: backup semanal.
Sistema de Banco de Preguntas: backup periodo examen.
Respaldo de información de movimiento entre los periodos que no se sacan backups:
días no laborales, feriados, etc. en estos días es posible programar un backup
automático.
Almacenamiento de los backup en condiciones ambientales optimas, dependiendo
del medio magnético empleando.
3.14. Plan de emergencias
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se
debe tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o
madrugada. Este plan debe incluir la participación y actividades a realizar por todas y
cada una de las personas que se pueden encontrar presentes en el área donde ocurre el
siniestro. Solo se debe realizar acciones de resguardo de equipos en los casos en que no
se pone en riesgo la vida de personas.
Normalmente durante la acción del siniestro es difícil que las personas puedan afrontar
esta situación, debido a que no están preparadas o no cuentan con los elementos de
seguridad, por lo que las actividades para esta etapa del proyecto de prevención de
desastres deben estar dedicados a buscar ayuda inmediatamente para evitar que las
acciones del siniestro causen más daños o destrucciones. Se debe tener en toda Oficina
los números de teléfono y direcciones de organismos e instituciones de ayuda. Todo el
personal debe conocer lo siguiente:
Localización de vías de Escape o Salida: Las vías de escape o salida para solicitar
apoyo o enviar mensajes de alerta.
71
Plan de Evaluación Personal: el personal ha recibido periódicamente instrucciones
para evacuación ante sismos, a través de simulacros, esto se realiza acorde a los
programas de seguridad organizadas por Secretaria de riesgos.
Ubicación y señalización de los elementos contra el siniestro: tales como los
extintores, las zonas de seguridad que se encuentran señalizadas (ubicadas
normalmente en las columnas), donde el símbolo se muestra en color blanco con
fondo verde.
Secuencia de llamadas o cadena de llamada en caso de siniestro: tener a la mano
elementos de iluminación, lista de teléfonos de instituciones como: Compañía de
Bomberos, Hospitales, Centros de Salud, Ambulancias, Seguridad. Ecu-911
3.15. Formación de equipos
Se debe establecer los equipos de trabajo, con funciones claramente definidas que
deberán realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en
un inicio o estar en un área cercana, etc.), se debe formar 02 equipos de personas que
actúen directamente durante el siniestro, un equipo para combatir el siniestro y el otro
para salvamento de los equipos informáticos, de acuerdo a los lineamientos o
clasificación de prioridades.
3.15.1. Entrenamiento
Se debe establecer un programa de prácticas periódicas con la participación de todo el
personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se
hayan asignado en los planes de evacuación del personal o equipos, para minimizar
costos se pueden realizar recarga de extintores, charlas de los proveedores, etc.
3.15.2. Actividades después del desastre
Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son
las siguientes:
72
Evaluación de Daños.
Priorización de Actividades del Plan de Acción.
Ejecución de Actividades.
Evaluación de Resultados.
Retroalimentación del Plan de Acción.
3.15.3. Evaluación de daños
El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están
afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en
cuanto tiempo.
En el caso de la CNEL SANTO DOMINGO se debe atender los procesos de
contabilidad, tesorería, administrativo-académicos, documentarios; que son las
actividades que no podrían dejar de funcionar, por la importancia estratégica.
3.15.4. Priorizar actividades del plan de acción
La evaluación de los daños reales nos dará una lista de las actividades que debemos
realizar, preponderando las actividades estratégicas y urgentes de nuestra institución.
3.15.5. Ejecución de actividades
La ejecución de actividades implica la creación de equipos de trabajo para realizar
actividades previamente planificadas en el Plan de Acción. Cada uno de estos equipos
deberá contar con un coordinador que deberá reportar el avance de los trabajos de
recuperación.
Los trabajos de recuperación tendrán dos etapas:
La primera la restauración del servicio usando los recursos de la institución o local
de respaldo.
La segunda etapa es volver a contar con los recursos en las cantidades y lugares
propios del Sistema de Información, debiendo ser esta última etapa lo
73
suficientemente rápida y eficiente para no perjudicar la operatividad de la institución
y el buen servicio de nuestro sistema e Imagen Institucional.
3.16. Evaluación de resultados
Una vez concluidas las labores de recuperación de los sistemas que fueron afectado por
el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que
eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades del plan de acción, como se comportaron los equipos de
trabajo, etc.
3.17. Costos de la implementación del plan
En caso de darse cualquiera de los riesgos mencionados en nuestro plan, la empresa
podrá tolerar máximo un día, sin que la información perdida sea recuperada y la
empresa empiece asumir perdidas por la falta de la misma, pero una vez recuperada la
información, esto también implica costos, ya que el tiempo de los empleados que tienen
que cumplir horas extras, para la actualización del sistema.
En el costo de la pérdida de la información también se le deberá agregar las horas
laborables del personal que depende íntegramente para el desarrollo de sus actividades
diarias de la empresa, este personal permanece inactivo pero finalmente se pagan las
horas de labores, esto sucede más en la parte administrativa de la empresa, donde la
mayoría de los procesos son de departamento en departamento, a continuación
detallaremos los valores totales de un año de implementación tanto en equipos como en
trabajo a estos costos también se sumaran valores de mantenimiento de seguridad,
dentro del centro de datos.
DETALLE CANTIDAD PRECIO
UNITARIO
COSTO
Sueldos de las personas que intervienen en
la implementación del plan
2 1300 $ 2600 $
Extintores de incendio de 10 libras y
colocación en puntos estratégicos dentro del
edificio y cerca del centro de datos
5 50 $ 250 $
Alarma De Incendio Bosch Equipos Con
Garantía
1 445 $ 445$
74
Archivadores anti fuego o blindados para el
almacenamiento de registros tanto de forma
digital y los respaldos del centro de datos
3 600 $ 1800 $
Un Cyberoam firewall de redundancia
principal
Especificaciones De Hardware
10/100/1000 puertos GbE 6
Los puertos internos / DMZ / WAN
configurables Sí
Puertos de la consola (RJ45 / DB9) 1
Puertos USB 2
Segmentos de derivación de hardware 1*
Rendimiento de sistema**
UTM Rendimiento (Mbps)
130
Rendimiento del cortafuego (UDP) (Mbps)
1000
Rendimiento del cortafuego (TCP) (Mbps)
750
Nuevas sesiones / segundo
8.000
Sesiones simultáneas
220.000
168-bit 3DES / AES rendimiento (Mbps)
60/90
Anti-Virus Rendimiento (Mbps)
150
IPS Rendimiento (Mbps)
200
1 1249 $ 1249 $
Switch Cisco Smb Adm Capa 3 De 48
Puertos Gigabit Srw2048-k9 para tenerlo
como equipo alterno
Especificaciones
Switch Administrable Capa 3 vía Web, CLI
y SNMP
Dispone de 48 Puertos Gigabit Ethernet
10/100/1000Mbps + 4 Puertos Gigabit
10/100/1000Mbps o 2 slots para Puertos
Gigabit de fibra basado en SFP
Puede trabajar de forma plug and play sin
necesidad de configurar
Memoria 128 MB de SDRAM y 16 MB de
Flash
2 1719 $ 3438 $
75
Estándar IEEE 802.3, 802.3u, 802.3ab,
802.3x, 802.1p
Puertos MDIX automáticos, dúplex medio o
completo
Capacidad de conmutación 104 Gbps
Capacidad de envío 77.38 Mpps
Tabla de Direcciones MAC 8k
Actualización de MAC Automática Auto-
Aprendizaje
Permite creación de VLANs para segmentar
la red
Agregación de enlaces troncales
Soporte del protocolo Rapid Spanning Tree
(RSTP)
Soporta hasta 4096 VLAN simultáneas
Hasta 512 rutas estáticas y 128 interfaces IP
Arquitectura Store-and-Forward
Panel de diagnistico frontal
Suministro de Energía Externa 100-
240VAC
Stock de repuestos informáticos los más
frecuentes a daños seria (discos duros,
monitores, memorias internas, flash
memoria, ups)
3000 $ 3000 $
Capacitación en seguridad contra incendios 4 70 $ 280 $
Alarma De Incendio Convencional De 4
Hilos Monitoreada
1 245 $ 245 $
Wdt01 Sensor Transmisor De Inundación
Modbus Rtu Rs485
1 181 $ 181 $
Cobertores para protección de los equipos
Bolsas de plástico para proteger documentos
40 20 $ 800 $
Generador De Luz , Grupo Electrógeno
Diésel Lombardini Instalación de Energía
alterna(motor) en caso de fallar la red
eléctrica principal
1 2300 $ 2300$
Sistemas de alarmas de seguridad para el
edificio en caso de roturas de puerta y
ventanas
1 1500 $ 1500 $
Lector Biométrico Marca One Huella
Dactilar para el acceso al centro de datos
1 110 $ 110 $
Servidores y dispositivos de respaldo 2 250 $ 500 $
76
Tabla 19. Costos de la implementación del plan
Local alternativo se encuentra compuesto por los siguientes elementos.
DETALLE CANTIDAD PRECIO COSTO
Servidores Core i7 2 959 $ 1918 $
Firewall 1 1249 $ 1249 $
Switches 2 1719 $ 3438 $
Arriendo local 12 800 $ 9600 $
Racks cerrados 1 250 $ 250 $
Varios 1 2000 $ 2000 $
Total 18455 $
Tabla 20. Costos de la implementación del plan Local alternativo
3.18. Justificación de costos
A simple vista la perdida de la base de datos de una empresa causaría una pérdida
económica mayor a la suma total de los costos de implementación y de los
mantenimientos de los diferentes sistemas informáticos críticos, en el peor de los casos
aremos referencia la pérdida total del centro de datos , en la implementación del plan de
contingencias los errores y perdida de la información son en casos esporádicos, en la
siguiente tabla mostraremos los costos anules de estos problemas en función de su
frecuencia.
tendrán que ser ubicados en armario o racks
cerrados y con llaves
Habilitar una ruta alternativa para la red
LAN de la empresa
1 3000 $ 3000$
Capacitación al personal tanto en planes de
emergencia como los de actualización de
conocimientos de seguridad
4 100 $ 400$
Local alternativo en caso de flagelo 1 18455 18455
TOTAL 41543 $
77
PROBLEMA COSTO DESCRIPCION FRECUENCIA
ANUAL
COSTO
ANUAL
Daños en los
servidores
500 $ 2 servidores críticos 1 500 $
Perdidas de los datos
2840 $
Por día 8 horas de
trabajo de 71
personas estimamos
a 5 dólares la hora
1
2840 $
Firewall dañado 1249 $ Firewall ubicado en
el centro de datos
1 1249 $
Switches y backbone
averiados
1719 $ 2 Switches de 48
puertos total en todo
el edificio
1 1719 $
Rack del centro de
datos
250 $
1 250$
Rack áreas de trabajo 250 $ uno en cada piso de
trabajo 1400 cada
uno
1 250 $
Cableado del centro
de datos
200 $ Cada piso es
cableado hasta el
centro de datos por
8 pisos a 25 cada
punto de red
1
200 $
Cableado en las áreas
de trabajo y oficinas
8750 $ 350 puntos 25 cada
punto de red
1 8750 $
Licencia (Windows 7) 25 $ Anual por 350 pc
que existen en la
empresa
350 8750 $
Licencia (office ) 9 $ Anual por 350 pc
que existen en la
empresa
350 3150 $
Licencia (keypresky ) 9 $ Anual por 350 pc
que existen en la
empresa
350 3150 $
Perdidas de códigos
fuentes de los
sistemas de
información
10000 $ 1
10000 $
Perdidas de los
respaldos de los datos
11000 $ Un día de trabajo es
de 11000 dólares
por un día
11000$
78
1
Pérdidas de ingresos
por no disponer del
sistema de
recaudación
18500 $ Por un día de para
en el sistema de
recaudación le
empresa dejaría de
percibir en
promedio 18500
1 18500 $
TOTAL 70308 $
Tabla 21. Justificación de costos
Después de obtener los resultados de los costos de implementación y mantenimientos de
plan de contingencias se aplica el análisis costo beneficio respectivamente en relación a
los valores estimados
Costo / beneficio = 70308 / = 41543 = 1.69
Al realizar el análisis costo beneficio aplicamos la relación beneficio / costo, de los
datos precedentes tenemos como beneficio el valor de 70.308,00 usd., que es lo que se
ahorraría la empresa por la ejecución del plan, y el costo está dado por el costo de la
implementación del plan informático que es el valor de 41.543,00 usd., aplicando la
relación beneficio / costo, tenemos como resultado 1.69 usd. Que significa que, por cada
dólar de costo, obtenemos 1.69 usd., de beneficio, de tal manera se demuestra que el
beneficio obtenido es mayor al costo incurrido, siendo por tal razón beneficioso para la
empresa, la aplicación del plan informático.
79
El diseño de un plan de contingencias para la recuperación en los procesos críticos de
la corporación Nacional de Electricidad “CNEL” regional Santo Domingo en cuanto
a incidentes que puedan afectar la seguridad de la información, debe ser una guía de
implementación, del “Qué hay que hacer” y no del “Cómo debemos hacerlo”.
La elaboración de un plan de contingencias no es el de evitar los riesgos en su
totalidad, sino el de tratar de minimizar el impacto de cada uno de las incidencias que
podrían producirse en la empresa.
Un plan de contingencias establece las respuestas conforme los incidentes van
ocurriendo y el mejoramiento del mismo plan atreves de la ejecución de este, que se
deben hacer en situaciones de emergencias, pero para que estos sean más efectivos,
se debe realizar simulacros para familiarizarse con cada uno de los riesgos que
rodean a nuestra empresa.
Es primordial que el tema de seguridad este incluido dentro de las políticas y normas
de la empresa, para aplicar las estrategias y controles, de lo contrario en el tema de
seguridad ya queda a criterio del personal que este en ese momento laborando en la
empresa.
En cuanto a la a la seguridad de la información, nunca está de más tenerla protegida
ante a cualquier eventualidad que le pudiese ocurrir como es el “Plagio, Hurto,
Infecciones de virus informáticos” o daños físicos a los dispositivos que la contienen
como los computadores o los servidores de cada uno de los sistemas de la
corporación Nacional de Electricidad “CNEL” regional Santo Domingo es decir que
invertir en seguridad de la información, a la larga no es un gasto, al contrario es un
beneficio que se lo nota a largo plazo.
CONCLUSIONES
80
Es importante resaltar como recomendación, que la gerencia de la empresa eléctrica,
presten atención que los siniestros naturales como (terremotos, incendios,
inundaciones y tormentas eléctricas, etc.), realmente pueden ocurrir
inesperadamente, y tomen con seriedad y responsabilidad el plan que se ha diseñado,
Para que el diseño de este plan tenga éxito, se deberá de tratar de incluir a todas las
áreas de la corporación Nacional de Electricidad “CNEL” regional Santo Domingo,
en la aplicación de lo que se debería hacer en caso de que ocurra cualquier siniestro
antrópico o natural
El éxito del diseño del plan, dependerá estrictamente de cómo se realicen cada una de
los simulacros, de cada uno de los eventos que puedan suscitarse a lo largo de lo que
se ha diseñado en el plan
Es necesario realizar anualmente un análisis de los riegos que puedan ocurrir en la
empresa
Para el respaldo de la información, la empresa eléctrica deberá de crear una políticas,
las mismas que estén enfocadas en poder respaldar la información en la nube o
atreves del internet, contratando algún servicio de respaldo de la información en
forma sincronizada automáticamente y diaria cuando esta tenga algún cambio , en
el mismo que nos permita tenerla a disposición en cualquier momento y desde
cualquier computadora para poder ser utilizada por personal de sistemas
inmediatamente, ya que los respaldos físicos en disco duros se pueden estropear y
generar gran pérdida a la empresa económicamente.
RECOMENDACIONES
Aldás, C. &. (2011). Políticas de seguridad informática y la vulnerabilidad de los
entornos Web de la empresa Turbotech durante el año 2010.
Banco Interamericano de Desarrollo. (2013). Gestión de riesgo de desastres naturales .
Obtenido de http://www.bvsde.paho.org/bvsacd/cd47/riesgo.pdf
Cyberoam. (2009). ¿Quién es responsable de la Pérdida de Datos en su Empresa?
Obtenido de
http://www.ireo.com/fileadmin/img/Fabricantes_y_productos/cyberoam/epdp/L
RWPQuien_es_responsable_de_la_perdida_de_datos.pdf
López, P. A. (2010). Seguridad informática. Editex.
Lorza, J. R. (Julio de 2010). Seguridad de la información: Factores humanos y
organizativos. Obtenido de
http://www.revistadintel.es/Revista/Numeros/Numero10/Normas/lorza.pdf
Martínez, J. G. (2004). Plan de Contingencia: La continuidad del negocio en las
organizaciones. Madrid: Diaz de Santos.
Noboa, F. E. (2006). Implementacion de un plan de seguridad integral para el proyecto
regional de conectivdad del ECORAE.
OCDE. (30 de Septiembre de 1961). Organización para la Cooperación y el Desarrollo
Económicos. Obtenido de
https://books.google.com.ec/books?id=Mgvm3AYIT64C&printsec=frontcover&
hl=es#v=onepage&q&f=false
Portantier, F. (2001). Seguridad Informática. Obtenido de http://www.segu-
info.com.ar/tesis/
Royer, J.-M. (2004). Seguridad en la informática de empresa: riesgos, amenazas,
prevención y soluciones. En J.-M. Royer, Seguridad en la informática de
empresa: riesgos, amenazas, prevención y soluciones (págs. 31-32-33).
Ediciones ENI.
Bibliografía
Tarazona, C. (2012). Amenazas informáticas y seguridad de la información. Obtenido
de file:///D:/MUSIK/regueton%20nuevo/Dialnet-
AmenazasInformaticasYSeguridadDeLaInformacion-3311853.pdf
Turnero, I. (2014). Sistemas de información transaccionales.