UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES...
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN SISTEMAS E INFORMÁTICA
TEMA:
PLAN INFORMÁTICO 2016 - 2020 BASADO EN LA NORMA ISO/IEC 27001:2013
PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, INFRAESTRUCTURA
TECNOLÓGICA Y PROCESOS INFORMÁTICOS EN LA COOPERATIVA DE
AHORRO Y CRÉDITO CÁMARA DE COMERCIO DE LA CIUDAD DE SANTO
DOMINGO.
AUTORA: CHAMBA MALEZA JENNIFER TERESA
ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, Mgs.
PORTADA
SANTO DOMINGO – ECUADOR
2017
DEDICATORIA
Le Dedico mi trabajo a Dios por ser mi luz y mi camino el que me ha dado fortaleza,
paciencia para continuar cuando a punto de caer eh estado; por ello, con toda la
humildad que mi corazón puede dar.
De igual forma, a mi Madre, a quien le debo mi vida y lo que hoy en día soy, le
agradezco el cariño y su compresión, quien ha sabido formarme con buenos
sentimientos, hábitos y valores, ayudándome a salir adelante buscando siempre el
mejor camino, a mis hermanos que atreves de sus sentimientos me trasmiten siempre
lo mejor y sus buenos deseos me han dado el apoyo y la fuerza para llegar a este
punto en mi carrera.
A los Ingenieros les agradezco por su tiempo, por su apoyo así como por la sabiduría
que me transmitieron en el desarrollo de mi formación, por haberme guiado en el
perfeccionamiento de este trabajo y llegar a la culminación del mismo.
JENNIFER TERESA CHAMBA MALEZA
RESUMEN
Este trabajo tiene por objetivo un plan de seguridad informática basándose en la
norma ISO 27001: 2013 en cual esta propuesto para una institución privada que es la
Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo.
Antes de realizar el plan se efectúa un análisis de la seguridad informática, ya que al
evaluar a la Cooperativa se encontró muchas deficiencias por no contar con políticas
de seguridad, manuelas de procedimientos, plan de contingencia y con una adecuada
infraestructura tecnológica que permitan combatir imprevistos naturales o provocados
por el hombre para el manejo de la información generada por el desarrollo laboral.
Este plan de seguridad informática, contiene la definición de las políticas de seguridad,
manual de procedimientos, plan de contingencia y su alineación con la visión y misión
de la Cooperativa de Ahorro y Crédito Cámara de Comercio tal como lo indica la
norma ISO 27001:2013.
El marco metodológico que recoge los resultados de la investigación de campo, en el,
se plasman las encuestas y sus resultados ratifican los síntomas de la problemática,
así como también orientan a la solución.
Finalmente el desarrollo de las políticas de seguridad, manual de seguridad, plan de
contingencia y diseño de mejora de la infraestructura tecnológica se lo realizo en base
a un análisis técnico desarrollado en la Cooperativa con la finalidad de mejorar la
integridad, confidencialidad y disponibilidad de los procesos e información de la
Cooperativa.
ABSTRACT
This work aims at a computer security plan based on ISO 27001: 2013 in which it is
proposed for a private institution that is the Savings and Credit Cooperative Chamber
of Commerce from Santo Domingo.
Before carrying out the plan, a computer security analysis is carried out, since in
assessing the Cooperative, many failings were found because of the lack of security
policies, procedures, contingency plan and adequate technological infrastructure to
combat contingencies Natural or man-made for the management of the information
generated by the work development.
This computer security plan contains the definition of the security policies, procedures
manual, contingency plan and its alignment with the vision and mission of the Savings
and Credit Cooperative Chamber of Commerce as indicated by the standard ISO
27001: 2013.
The methodological framework that collects the results of the field research, in which
the surveys are captured and their results ratify the symptoms of the problem, as well
as guide the solution.
Finally, the development of the security policies, safety manual, contingency plan and
design of improvement of the technological infrastructure was carried out based on a
technical analysis developed in the Cooperative with the purpose of improving the
integrity, confidentiality and availability of the Processes and information of the
Cooperative.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
RESUMEN
ABSTRACT
ÍNDICE GENERAL
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
ÍNDICE DE ANEXOS
INTRODUCCIÓN.......................................................................................................... 1
Antecedentes de la investigación.................................................................................. 1
Planteamiento del problema. ........................................................................................ 3
Formulación del Problema ............................................................................................ 6
Delimitación del problema............................................................................................. 6
Objeto de investigación y Campo de acción. ................................................................ 6
Identificación de la línea de investigación. ................................................................... 7
Objetivos....................................................................................................................... 7
Objetivo general............................................................................................................ 7
Objetivos específicos. ................................................................................................... 7
Idea a defender............................................................................................................. 8
Justificación del tema.................................................................................................... 8
Breve explicación de la metodología a emplear ............................................................ 9
Resumen de la estructura de la tesis .......................................................................... 10
Aporte teórico, Significación práctica y Novedad científica.......................................... 11
CAPÍTULO I................................................................................................................ 13
MARCO TEÓRICO ..................................................................................................... 13
Definición de Seguridad.............................................................................................. 13
Definición de Informática ............................................................................................ 13
Seguridad Informática................................................................................................. 14
Objetivos de la seguridad informática ......................................................................... 15
Importancia de la seguridad informática...................................................................... 15
Vulnerabilidad............................................................................................................. 16
Amenazas................................................................................................................... 16
Fuentes de amenazas ................................................................................................ 17
Riesgos....................................................................................................................... 17
Servicios de la seguridad de la informática ................................................................. 17
Consecuencia de la falta de la seguridad.................................................................... 18
Seguridad de la Información ....................................................................................... 19
Seguridad Activa......................................................................................................... 19
Seguridad Pasiva........................................................................................................ 19
Seguridad Física y Lógica........................................................................................... 20
Definición y evolución de un Data Center .................................................................. 20
Objetivos de un Data Center....................................................................................... 21
Políticas de Seguridad. ............................................................................................... 21
Objetivo de las Políticas de Seguridad........................................................................ 22
Beneficios de implantar Políticas de Seguridad Informática. ....................................... 22
Aspectos físicos de la política de seguridad................................................................ 23
Aspectos lógicos de la política de seguridad............................................................... 23
Debilidades de seguridad comúnmente explotadas .................................................... 24
Plan de respuesta a incidentes ................................................................................... 24
Detección y respuesta ante incidentes de seguridad. ................................................. 24
Organización de la Información de Seguridad............................................................. 25
Plan de Contingencia.................................................................................................. 25
Norma ISO 27001:2013 .............................................................................................. 26
Objetivo de la norma ISO 27001:2013 ........................................................................ 26
Beneficio de la norma ISO 27001:2013 ...................................................................... 27
Estructura del estándar ISO 27001: 2013 .................................................................. 27
Dominios de la ISO 27001:2013 ................................................................................. 28
Plan Informático.......................................................................................................... 29
Conclusiones parciales del capítulo ............................................................................ 31
CAPÍTULO II............................................................................................................... 32
MARCO METODOLÓGICO........................................................................................ 32
Caracterización del sector .......................................................................................... 32
Descripción del procedimiento Metodológico .............................................................. 34
Enfoque de la investigación ........................................................................................ 34
Modalidad de la investigación ..................................................................................... 34
Métodos, Técnicas e Instrumentos ............................................................................. 35
Métodos de investigación ........................................................................................... 35
Técnicas de Investigación........................................................................................... 35
Instrumentos de investigación..................................................................................... 36
Población y Muestra ................................................................................................... 36
Interpretación de Resultados de las encuestas aplicadas........................................... 38
Propuesta del Investigador ......................................................................................... 44
Conclusiones Parciales del capítulo............................................................................ 52
CAPÍTULO III.............................................................................................................. 53
TEMA ......................................................................................................................... 53
Caracterización de la propuesta ................................................................................. 53
Desarrollo de la propuesta.......................................................................................... 54
Alcance del Plan informático....................................................................................... 54
Análisis de la situación actual. .................................................................................... 55
Análisis de resultados................................................................................................. 56
Procesos y diseño de los procesos............................................................................. 56
Conclusiones parciales del capítulo ............................................................................ 70
CONCLUSIONES GENERALES ................................................................................ 71
RECOMENDACIONES............................................................................................... 72
BIBLIOGRAFÍA
ANEXOS
ÍNDICE DE TABLAS
Tabla 1 Población de la Cooperativa de Ahorro y Crédito Cámara de Comercio. ....... 37
Tabla 2 Interpretación de resultados de la encuesta realizada al personal de la
Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo. ............... 38
ÍNDICE DE FIGURAS
Figura 1 Modelo PDCA (Plan-Do- Check-Act) Fuente: Análisis (2016). Santo Domingo:
Figura que detalla el Modelo PDCA (Plan-Do-Check-Act) .......................................... 45
Figura 2 Controles de la Norma ISO/IEC 27001:2013 Fuente: Análisis (2016). Santo
Domingo: Figura que detalla de los Controles de la Norma ISO/IEC 27001:2013....... 46
Figura 3 Estructura del Desarrollo del Proyecto. Fuente: Análisis (2016). Santo
Domingo: Figura que detalla el La Estructura del desarrollo del Proyecto................... 50
Figura 4 Ciclo PDCA en ISO 27001:2013 ................................................................... 66
Figura 5 Cronograma de actividades .......................................................................... 69
ÍNDICE DE ANEXOS
Anexo 1 Perfil de proyecto de investigación
Anexo 2 Autorizacion para realizacion de Proyecto de Tesis en la Cooperativa de
Ahorro y Credito Camara de Comercio en Santo Domingo.
Anexo 3 Formato de Entrevista y Encuestas.
Anexo 4 Políticas de seguridad informática.
Anexo 5 Plan de contingencia informático.
Anexo 6 Manual de procedimientos para el departamento de TICS
Anexo 7 Propuesta de mejora en infraestructura tecnológica del Data Center en el
Departamento de TICS.
Anexo 8 Formato de inventario.
Anexo 9 Certificación de Cumplimiento de Plan Informático en la Cooperativa de
Ahorro y Crédito Cámara de Comercio.
1
INTRODUCCIÓN
Antecedentes de la investigación.
Se entiende por seguridad informática al conjunto de normas, procedimientos y
herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información. El acceso no autorizado a una red
informática o a los equipos que en ella se encuentran puede ocasionar en la gran
mayoría de los casos graves problemas.
Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un
hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las
copias de seguridad. Y aunque estemos al día, no siempre es posible recuperar la
totalidad de los datos. Con la constante evolución de las computadoras es
fundamental saber que recursos necesitar para obtener seguridad de la información.
Al realizar una investigación en el Repositorio Institucional Uniandes, se encontró
trabajos muy parecidos en las que se puede destacar:
Es una investigación preliminar de la tesis de grado del Magister Mejía Viteri, José
(2015). Plan de seguridad informática del departamento de tecnologías de la
información y comunicación de la Universidad Técnica de Babahoyo para mejorar la
gestión en la confidencialidad e integridad de la información y disponibilidad de los
servicios. Tesis de Maestría Universidad Regional Autónoma de los Andes UNIANDES
Babahoyo, Ecuador. Recuperado el 13 de Mayo de 2016, desde:
http://dspace.uniandes.edu.ec/handle/123456789/732 establece que:
Hoy en día la informática es la columna vertebral de las empresas públicas y privadas,
es tan crítico tener un departamento de Tecnologías de la Información y comunicación,
que provea servicios, tales como páginas web, esto lleva a que se deba asegurar la
disponibilidad y la seguridad de la misma, tanto así que el bien más cotizado por las
empresas es la información.
Es una investigación preliminar de la tesis de grado del Magister Santacruz
Fernández, Ángel (2013).Plan de seguridad informática y los riesgos operativos en el
Municipio Descentralizado de Quevedo, Provincia de los Ríos. Tesis de Maestría
2
Universidad Regional Autónoma de los Andes UNIANDES Los Ríos, Ecuador.
Recuperado el 13 de Mayo de 2016, desde:
http://dspace.uniandes.edu.ec/handle/123456789/3037 establece que:
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y
nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a
través de redes, ha abierto nuevos horizontes a las empresas para mejorar su
productividad y poder explorar más allá de las fronteras nacionales. En este sentido,
las políticas de seguridad informática surgen como una herramienta organizacional
para concienciar a los colaboradores.
Es una investigación preliminar de la tesis de grado del Viera Zambrano, Aída Piedad
(2015). Plan administrativo de red interna para mejorar la seguridad de la información
de la Escuela de perfeccionamiento de aerotécnicos de la Fuerza Aérea. Tesis de
Maestría Universidad Regional Autónoma de los Andes UNIANDES Ambato, Ecuador.
Recuperado el 13 de Mayo de 2016, desde:
http://dspace.uniandes.edu.ec/handle/123456789/620 establece que:
Las Instituciones Públicas, tradicionalmente han ejecutado sus tareas en base a lo
establecido en las normas específicas, leyes y reglamentos, normalmente en cuanto a
la vulnerabilidad de las redes y seguridades es recomendable utilizar planes de
seguridades y redes para las empresas. Se tiene que trabajar con políticas de
seguridades.
Es una investigación preliminar de la tesis de grado del Villarreal Lazcano, Carlos
Benjamín (2014). Tesis de Maestría Universidad Regional Autónoma de los Andes
UNIANDES Ibarra, Ecuador. Recuperado el 13 de Mayo de 2016, desde:
http://dspace.uniandes.edu.ec/handle/123456789/2329 establece que:
El presente proyecto describe el resultado obtenido del análisis de la infraestructura
como edificaciones de oficina, infraestructura de comunicaciones, infraestructura de
servicios y equipamiento informático presenta puntos de debilidad que serán
corregidos con la implementación de las normas y procesos que se ejecutan en un
plan de contingencia de Seguridad informática dirigido al resguardo de la información
(datos).
3
Es una investigación preliminar de la tesis de grado del Magister Guzmán Bárcenes,
Edith Maribel (2015).Seguridad informática por capas para la protección de la
información en la intranet de la cooperativa de ahorro y crédito Juan Pio Mora, del
cantón San Miguel, provincia de Bolívar, período 2013. Tesis de Maestría Universidad
Regional Autónoma de los Andes UNIANDES Ambato, Ecuador. Recuperado el 13 de
Mayo de 2016, desdehttp://dspace.uniandes.eduec/handle/123456789/1814 establece
que:
La seguridad es un tema que se ha puesto de moda en la actualidad, La cantidad de
amenazas que existen es realmente preocupante, por lo que es importante tratar de
estar preparados ante cualquier tipo de ataques. Por lo que es importante tener bien
definidas las seguridades con políticas que definan qué es lo que desea proteger y qué
espera de los usuarios del sistema. En las redes, la seguridad es más difícil, ya que el
canal mismo de comunicaciones está abierto a posibles ataques.
Luego de una investigación preliminar realizada en la biblioteca virtual de la
Universidad, entre los trabajos de tesis, se pudo apreciar que el tema propuesto es
único.
Planteamiento del problema.
El Directorio de la Cámara de Comercio de Santo Domingo, precedido por el Ing. Luis
Núñez Presidente de la Institución, quien decidió llevar adelante la creación de la
Cooperativa de Ahorro y Crédito el 10 de mayo del 2005 tiempo en el cual la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio obtuvo la personería
jurídica, mediante Acuerdo Ministerial 147-SD-SDC de la Subdirección de
Cooperativas del Ministerio de Bienestar Social, esto con el fin de fortalecer el apoyo al
comercio de Santo Domingo, tanto para pequeños, como a medianos y grandes
comerciantes.
La Cooperativa de Ahorro y Crédito de la Cámara de Comercio abre sus puertas al
público y empieza a operar el 20 de febrero del 2006, gracias al apoyo y empuje de los
23 socios fundadores. Durante el tiempo de operación la institución ha tenido una
buena aceptación, tomando en cuenta que mantiene una oficina moderna en las
4
instalaciones de la Cámara de Comercio de Santo Domingo (CCSD), además posee
directivos con mucha trayectoria y un personal administrativo que tiene vasta
experiencia en la actividad financiera. Actualmente la Cooperativa está a cargo como
Gerente la Ingeniera Lorena Haro y su ubicación es en la Av. Quito y Latacunga.
La utilización de la Informática en la institución, es vital para el manejo de la
información, pues en los actuales momentos sin el uso de las mismas no se puede
realizar ningún proceso o mantener una institución, sin embargo los procedimientos de
seguridad en muchas ocasiones no se toma en cuentas por no existir políticas de
seguridad. Se debe garantizar el flujo permanente de los datos, contar con
procedimientos alternos que permitan afrontar cualquier eventualidad y que todos los
usuarios de la red tengan la certeza que su trabajo no será afectado por fallas en la
comunicación de los datos o de otros eventos que al final puedan generar un clima de
inseguridad.
En la visita realizada en la Cooperativa de Ahorro y Crédito de la Cámara de Comercio
se han podido apreciar algunas dificultades activas, resultantes de un cierto nivel de
inseguridad informática, hay que señalar, que muchas de las operaciones de la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio, son apoyadas por la
tecnología informática, especialmente con las relacionadas a las redes.
En la Cooperativa de Ahorro y Crédito de la Cámara de Comercio se pudo encontrar
los siguientes problemas:
El data center, no cuenta con una apropiada instalación en cuanto a
requerimiento de seguridad física y lógica ocasionando un rendimiento bajo de
fiabilidad, provocando así perdida, alteración y robo de información interna y
provocar que los sistemas de información puedan caer o fallar.
No realizan capacitaciones previas al personal nuevo de la Cooperativa en
cuando al uso de la conectividad a Internet posibilitando así que se tengan
accesos externos, los cuales no han sido controlados adecuadamente,
produciéndose incluso perdidas de información por accesos indebidos, y por
daños debido a virus y más.
5
Los recursos tecnológicos informáticos de las distintas áreas de la Cooperativa
poseen una incorrecta ubicación, ya que en estos se colocan encima
documentos, carpetas, bosas plásticas, entre otros, además el personal no
tiene la debida precaución en el uso y resguardo de los recursos.
No existen reglas apropiadas a seguir para el cuidado de los equipos
informáticos, lo cual incita daños en los equipos.
La seguridad lógica es baja pues los programas informáticos no cuentan con
las licencias pertinentes como en el caso de los antivirus lo que provoca que
haya infecciones por virus en los equipos y en la red.
El data center, no cuenta con un sistema contra incendio o extintores en la
parte interna del mismo, provocando así riesgos, daños de los recursos
tecnológicos y sobre todo perdidos de la información de la Cooperativa.
La falta de equipos de seguridad (cámaras) dentro del data center, provoca
como resultado el acceso de personal no autorizado, realizando así daños
físicos o sustracción, modificación y eliminación de la información.
Las cámaras de seguridad se encuentran mal distribuidas en la Institución,
permitiendo así sustracciones de información dentro de la misma.
No se tiene una cultura de la seguridad local empezando por los funcionarios
de las áreas administrativas y operativas, ya que muchos equipos no tienen
sus claves de acceso, de igual forma los protectores de pantalla, lo cual
posibilita que si por alguna razón un usuario deja su computador, este puede
ser mal utilizado.
Al no contar con un correcto registro, para el inventario de mecanismos de
cómputo, induce a la perdida de materiales y equipos en la Cooperativa.
No existen manuales de procedimientos, cronogramas y formatos de los
procesos informáticos, produciendo así dificultad en el seguimiento de las
6
actividades en el departamento de tecnología y la delegación de cargos y
tareas correspondiente.
El departamento de Tecnologías de la Información y Comunicación no cuenta
con políticas de seguridad y plan de contingencia, provocando que los
funcionarios administrativos y operativos no valoren ni concienticen sobre la
importancia y sensibilidad de la información y sobre los métodos para asegurar
el bien uso de los recursos informáticos, manteniéndolo libres de peligros,
daños y riesgos.
Formulación del Problema
¿Cómo mejorar la Seguridad de la Información, Infraestructura Tecnológica y
Procesos Informáticos en la Cooperativa de Ahorro y Crédito Cámara de Comercio de
la Ciudad de Santo Domingo?
Delimitación del problema
El trabajo investigativo se llevó a cabo en Cooperativa de Ahorro y Crédito Cámara de
Comercio de la Ciudad de Santo Domingo, sus instalaciones están ubicados en la Av.
Quito y Latacunga. Se realizara un análisis preliminar para identificar los errores
existentes en la seguridad de la información, infraestructura tecnológica y procesos
informáticos en los cuales se desempeñan, esto servirá para recabar información
pertinente a las actividades diarias, valiéndose de esto para la elaboración de un Plan
informático 2016 - 2020 basado en la norma ISO/IEC 27001:2013 para mejorar la
Seguridad de la Información, Infraestructura Tecnológica y Procesos Informáticos en
la Cooperativa de Ahorro y Crédito Cámara de Comercio de la Ciudad de Santo
Domingo.
La presente investigación se realizara durante el periodo que comprende desde el
2016 hasta el 2020.
Objeto de investigación y Campo de acción.
Gestión de la seguridad informática.
7
Seguridad de la Información, Infraestructura Tecnológica y Procesos
Informáticos.
Identificación de la línea de investigación.
Tecnologías de información y Comunicación
Objetivos
Objetivo general
Desarrollo de un plan informático basado en la norma ISO/IEC 27001:2013 para
mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos en la cooperativa de ahorro y crédito cámara de comercio de la ciudad de
santo domingo.
Objetivos específicos.
a) Fundamentar científicamente las teorías referentes a las Normas y Estándares
ISO/IEC 27001:2013, políticas de seguridad, plan de contingencia, seguridad
de la información, seguridades física y lógica, reglamentos de la Cooperativa
para la elaboración del plan informático.
b) Realizar una investigación de campo para detectar las falencias de la
seguridad informática actual de la Cooperativa de Ahorro y Crédito Cámara de
Comercio de Santo Domingo de lo Tsáchilas.
c) Elaborar un plan informático en base a parámetros de la norma ISO/IEC
27001:2013 para mejorar la seguridad de la información en el Departamento de
Tecnologías de la Información y Comunicación de la Cooperativa de Ahorro y
Crédito Cámara de Comercio de Santo Domingo de lo Tsáchilas.
d) Presentación del proyecto mediante la vía de expertos para la validación del
plan informático.
8
Idea a defender
Con la implementación de un plan informático 2016 - 2020 basado en la norma
ISO/IEC 27001:2013 se mejorará la seguridad de la información, infraestructura
tecnológica y procesos informáticos en la Cooperativa de Ahorro y Crédito Cámara de
Comercio de Santo Domingo.
Variables de la Investigación.
Variable independiente: Plan informático 2016 - 2020 basado en la norma ISO/IEC
27001:2013.
Variable dependiente: Seguridad de la información, infraestructura tecnológica y
procesos informáticos.
Justificación del tema
Hoy en día las empresa tienen sus departamento automatizados los procesos y estos
generan grande cantidades de información para la toma de decisiones, por lo que los
gerentes de las empresa requieren asegurarla, y debe estar siempre disponible y sea
confiable, surgiendo la necesidad de elaborar un plan informático basado en las
normas ISO/IEC 27001:2013 que consiste en establecer un conjunto de políticas y
procedimientos que normalizan la gestión de la información proporciona una visión
más amplia de los problemas de seguridad relacionados con la información y recurso
humano encargado de gestionarla.
La información es un recurso de vital importancia en la Cooperativa, por esta razón
debe existir técnicas, procedimientos y actividades que la aseguren, además de la
seguridad física que se establece en los equipos que se almacena la información,
también es vital la seguridad lógica, que radica en la aplicación de barreras y
procedimientos que resguarden el acceso de los datos y solo permita acceder a la
información a personal autorizadas para su manipulación o gestión.
9
Esto permitirá tener una metodología de gestión de la información clara y segura,
además, es un estándar internacional que en su versión 2013 cuenta con nuevos
dominios y controles que buscan mitigar el impacto o la posibilidad de ocurrencia de
los diferentes riesgos a los cuales se encuentra expuesta la Cooperativa.
Alcanzara la Cooperativa con este proyecto será integridad, confidencialidad y
disponibilidad de la información, además de resguardarla ante las diferentes
vulnerabilidades de la información, además de resguardarla ante las diferentes
vulnerabilidades y acceso no autorizado de personas extremas a la Cooperativa.
Por lo expuesto anteriormente y gracias al apoyo del Departamento de Tecnologías
de la Información y Comunicación de la Cooperativa de Ahorro y Crédito Cámara de
Comercio se justifica el desarrollo del presente proyecto, el mismo que de ser aplicado
brindara un gran aporte a la comunidad.
Breve explicación de la metodología a emplear
La presente investigación se realiza bajo la aplicación de diferentes métodos con un
enfoque analítico de tipo cualitativo y cuantitativo que orientan todo el proceso de
estudio, derivado de procesos analíticos altamente definidos para la determinación de
la seguridad en los procesos informáticos. Se utiliza el enfoque cuantitativo para
analizar y medir el impacto que tendría una implementación de procesos y normas de
seguridad de información.
Se utiliza el enfoque cualitativo para la realización de la observación del
comportamiento de los usuarios frente al manejo de la información y de los equipos
informáticos como herramientas de gestión.
En lo que respecta a la investigaciones: bibliográfica, consiste en la recopilación de
información existente en libros, revistas e internet, este tipo de investigación permitió la
elaboración de antecedentes de la investigación referido especialmente seguridad en
los procesos informáticos, inseguridades, redes y más, el mismo que fundamenta
científicamente la propuesta de solución.
10
De campo, se utilizó para diagnosticar y ratificar la problemática expuesta inicialmente,
esta fue llevada a cabo en el sitio mismo donde se tuvieron las manifestaciones del
problema, es decir en la Cooperativa de Ahorro y Crédito Cámara de Comercio, las
técnicas para la recopilación de información fueron la encuesta y la entrevista, las
encuestas fueron realizadas tanto a empleados de los departamentos, mientras que la
entrevistas se las realizo al Director de la institución. Los instrumentos fueron el
cuestionario y la guía de entrevista.
Se aplicará el métodos: inductivo-deductivo, donde el método será aplicado para
centrarse en el problema general y de ahí seguirlo subdividiendo para que este sea
más fácil de estudiarlo y de esto partir para nuevamente generalizar los resultados,
desde la observación de los fenómenos o hechos de la realizada universal que lo
contiene.
Además se utilizara el método hipotético-deductivo, el cual planteando las posibles
hipótesis podremos sostener, sustentarlas o eliminarlas a través del método deductivo
a medida que avanza nuestra investigación.
Por ultimo utilizaremos el método analítico-sintético, el cual a través de este método se
descompondrá el objeto a estudiar para así poder realizar un análisis más profundo de
manera individual es decir se analizará cada una de las partes descompuestas del
objeto de estudio de las mismas que será analizado solo información integra y real.
Resumen de la estructura de la tesis
El documento se encuentra estructurado en 4 partes, en la primera parte la
introducción se analiza el problema, se indicara la línea de investigación, se justificara
la propuesta y se detallara los objeto de investigación.
La segunda parte está conformada por el capítulo I el cual trata la fundamentación
teórica donde explica os conceptos principales, las distintas posiciones teóricas sobre
el objetivo de investigación.
11
La tercera parte conforma el capítulo II donde se presenta la propuesta del autor
según los resultados alcanzados y aportados por la metodología de investigación.
Y la cuarta parte está compuesta por el análisis de todos los resultados alcanzados en
la investigación, y con la validación de los resultados alcanzados terminando con
conclusiones generales, recomendaciones y bibliografías.
Aporte teórico, Significación práctica y Novedad científica.
Aporte teórico
Al hablar del aporte teórico es hablar de nuevos conocimientos que permite a la
Cooperativa de Ahorro y Crédito Cámara de Comercio centralizar e integrar los
procesos, lograr impedir accesos indebidos, especialmente en el ámbito de las
seguridades de los procesos informáticos y su infraestructura, también se fundamenta
los pasos requeridos para fomentar una cultura de seguridad a niveles básicos, de tal
manera que la Cooperativa de Ahorro y Crédito Cámara de Comercio cuente con la
información segura y confiable.
Significación práctica
Al implementar el Plan informático basándose en una norma internacional otras
Instituciones públicas y privadas del país tendrán un insumo para la implementación
de sus propios planes tomando en cuenta su verificación y control en todas las etapas
para cumplir con un estándar de seguridad. A su vez este proyecto tiene por objetivo
mejorar la infraestructura tecnológica y seguridad en los procesos informáticos en la
Plan informático 2016-2020 basado en la norma ISO/IEC 27001:2013 para mejorar la
Seguridad de la Información, Infraestructura Tecnológica y Procesos Informáticos en
la Cooperativa de Ahorro y Crédito Cámara de Comercio de la Ciudad de Santo
Domingo., basándose en una norma internacional, con la finalidad de ofrecer un mejor
manejo de los mismos.
12
Novedad científica
La novedad científica de esta investigación se puede definir el desarrollo de un plan
informático bajo el análisis de la norma ISO/IEC 27001:2013 para mejorar la
infraestructura tecnológica y seguridad en los procesos informáticos en la Cooperativa
de Ahorro y Crédito Cámara de Comercio, por lo tanto este plan informático puede
convertirse en una guía para evaluar el control de TI en la institución, para determinar
su nivel de fortaleza y así mejorar la infraestructura y seguridad en los procesos
informáticos.
13
CAPÍTULO I
MARCO TEÓRICO
Definición de Seguridad
De acuerdo a (Sanchez Reinoso, 2003), “Seguridad es una necesidad básica de la
persona y de los grupos humanos y al mismo tiempo un derecho inalienable del
hombre y de la naciones. Seguridad proviene de latín Securitas, que a su vez se
deriva del adjetivo Securus, sin cura, sin temor; implica las nociones de garantía,
protección, tranquilidad, confianza, prevención, previsión, preservación, defensa,
control, paz y estabilidad de las personas y grupos sociales, frente a amenazas o
presiones que atenten contra su existencia, su integridad, sus viene, el respeto y
ejercicio de sus derechos, etc.”.
El autor (Fernandez Suarez, 1991) sustenta que Máynez entiende que el concepto o,
mejor, el valor seguridad es funcional idea que recoge Rolz Bannet y que es entendida
en el mismo sentido que este. La seguridad se halla siempre referida a lo asegurado, y
el valor de la misma o, mejor dicho, del aseguramiento deriva del que tenga lo que se
quiere asegurar.
La seguridad en todas sus ramas es un componente que no debe faltar porque da la
garantía de protección, tranquilidad, defensa, control, paz, estabilidad y confianza, si a
falta de la misma nos encontramos en un campo muy abierto de vulnerabilidades
teniendo una sociedad en riesgo.
Definición de Informática
“La informática es entendida por otros especialistas como una ciencia encargada del
estudio y desarrollo de máquinas para tratar y transmitir información, así como, de los
métodos para procesarla. Aunque también podríamos decir de ella que es un conjunto
de conocimientos, tanto teóricos como prácticos, sobre cómo se construye, como
funciona y como se utiliza los ordenadores electrónicos.” (Heredero, 2004, pág. 14)
14
La informática ocupa un papel preponderante en el uso de la TIC, por lo que debemos
estar actualizados con los nuevos conceptos y programas que aparezcan. Cada día la
tecnología evoluciona rápidamente y, dentro de esta, la informática con sus nuevos
programas, servicios, redes y términos de uso común como “internet, software,
hardware, e-mail, chat, etcétera”. (Chumpitaz Cmapos, Garcia Torres, Sakiyama
Freire, & Sanchez Vasquez, 2005)
La informática reúne a muchas de las técnicas que el hombre ha desarrollado con el
objetivo de potenciar sus capacidades de pensamiento, memoria y comunicación. Su
área de aplicación no tiene límites: la informática se utiliza en la gestión de negocios,
en el almacenamiento de información, en el control de procesos, en las
comunicaciones, en los transportes, en la medicina y en muchos otros sectores.
Seguridad Informática
“La seguridad informática es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de información
seguro y confiable. Un sistema de información, no obstante las medidas de seguridad
que se le apliquen, no deja de tener siempre un margen de riesgo.” (Aguilera López,
2009, pág. 9)
“La seguridad de la información es el conjunto de medidas preventivas y reactivas de
las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger
la información buscando mantener la confidencialidad, la disponibilidad e integridad de
la misma. Integridad, Confidencialidad, Disponibilidad: permitiendo que la información
esté disponible cuando los usuarios la necesiten.” (Escrivá Gascó, Romero Serrano,
Ramada, & Onrubia Pérez, 2013, pág. 24)
Se puede entender como seguridad Informática un estado de cualquier sistema de
Información que indica que ese sistema está libre de peligro, daño o riesgo. Para la
mayoría de los expertos el concepto de seguridad en la informática es utópico porque
no existe un sistema 100% seguro, por esa razón se debe mantener la integridad,
disponibilidad, privacidad, control y autenticidad de la información manejada por una
computadora.
15
Objetivos de la seguridad informática
“El objetivo de la seguridad informática es proteger los recursos informáticos valiosos
de la organización, tales como la información, el hardware o el software. A través de la
adopción de las medidas adecuadas, la seguridad informática ayuda a la organización
cumplir sus objetivos, protegiendo sus recursos financieros, sus sistemas, su
reputación, su situación legal, y otros bienes tanto tangibles como inmateriales.”
(García , Hurtado, & Alegre Ramos, 2011, pág. 10)
“Una organización debe entender la seguridad informática como un proceso y no como
un producto que se pueda “comprar” o “instalar”. Se trata, por lo tanto, de un ciclo
iterativo, en el que se incluyen actividades como la valoración de riesgos,
prevenciones, detección y respuesta ante incidentes de seguridad.” (Gómez Vieites,
2012, pág. 40)
Se puede decir que el principal objetivo de las empresas, es obtener beneficios y
ofrecer un servicio eficiente y de calidad a los usuarios. En las empresas, la seguridad
informática debería apoyar la consecución de beneficios. Para ello se deben proteger
los procesos informáticos para evitar las potenciales pérdidas que podrían ocasionar la
degradación de su funcionalidad el acceso a la información por parte de personas no
autorizadas.
Importancia de la seguridad informática.
“La seguridad informática ha adquirido una gran importancia en la actualidad, sobre
todo para las organizaciones como las empresas y los miembros de estos. Esta
situación se debe a que día, con día las amenazas informáticas, como lo son los
intrusos o programas maliciosos, representan un problema serio que merece tener una
atención especial.” (Lorenzo, 2014)
“La seguridad informática tiene como premisa principal conservación de la integridad
de la información y el equipo en sí, piensa en los virus como algo dañino que pueden
dañar tu sistema operativo y dejar tu ordenador colgado o muy lento sin dejarte
trabajar con él.” (Fedriani, 2016)
16
La importancia de la seguridad informática radica en el reto de tener la capacidad de
lograr todos los objetivos antes mencionados, para que así, la organización pueda
tener un desempeño óptimo basado en un buen estado de su infraestructura
informática, que en estos tiempos es vital para todos los tipos de asociaciones.
Después de conocer las amenazas y puntos débiles de las intenciones y actitudes de
las organizaciones, debemos tomar algunas medidas para la implementación de las
acciones de seguridad recomendadas o establecidas.
Vulnerabilidad
“En el campo de la seguridad informática se considera como vulnerabilidad a cualquier
debilidad de un activo que pueda repercutir de alguna forma sobre el correcto
funcionamiento del sistema informático. Estas debilidades, también conocidas como
“agujeros de seguridad”, pueden estar asociadas a fallos en la implementación de las
aplicaciones o en la configuración del sistema operativo.” (Escrivá Gascó, Romero
Serrano, Ramada, & Onrubia Pérez, 2013, pág. 29)
La palabra vulnerabilidad hace referencia a una debilidad en un proceso informático
permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control
de acceso y consistencia del sistema o de sus datos y aplicaciones, también se
considera vulnerabilidad a cualquier debilidad que se pueda presentar en la
infraestructura tecnológica que lleve al mal funcionamiento de esta.
Amenazas
“Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que
puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en
el caso de la Seguridad Informática, los Elementos de Información. Debido a que la
Seguridad Informática tiene como propósitos de garantizar la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones, las amenazas y
los consecuentes daños que puede causar un evento exitoso.” (Aguilera López, 2009,
pág. 13)
Existen amenazas que difícilmente se las encuentran o se eliminan y por eso es la
tarea de gestión de riesgo de preverlas, implementando medidas de seguridad para la
17
protección de los datos de la empresa evitando o minimizando los daños en caso de
que se realice una amenaza tanto física como lógica en la empresa.
Fuentes de amenazas
“Existen varias categorías de amenazas, para esta investigación se clasificaran por su
origen, de esta forma se dividirán en cinco tipos los cuales son: Factor Humano.-
curiosos, Intrusos remunerados, Personal enterado, Terroristas, Robo, Sabotaje,
Fraude, Ingeniería social. Hardware, Red de datos, Software, Desastres naturales.”
(Aguilera López, 2009, pág. 15)
Estas fuentes de amenazas son las principales e importantes que no debemos dejar
pasar por alto en una organización, ya que estas amenazas pueden causar un daño
perjudicial, estos factores al no tomarlos en cuenta pueden dañar el prestigio,
confianza e integridad de la información de la organización.
Riesgos
“Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su ligar
deben reducirse a niveles aceptables, la determinación de este nivel dependerá en
gran medida de los objetivos concretos de la organización, del calos de sus activos, de
su dimensión y presupuesto de seguridad. Lo más sorprendente es que esta reducción
del riesgo se puede conseguir con muy poco esfuerzo y una modesta inversión,
contrariamente a lo que tiende a pensarse.” (García , Hurtado, & Alegre Ramos, 2011,
pág. 45)
Los riesgos que en la actualidad existe son caudas por la falta de seguir un correcto
proceso informático, tanto físico como lógico, ya que un empresa está más propensas
a tener riesgos como fraude o robo de información por usuarios maliciosos que solo
quiere perjudicar el rendimiento de la empresa.
Servicios de la seguridad de la informática
“Para poder alcanzar los objetivos descritos en el apartado anterior, dentro del proceso
de gestión de la seguridad informática es necesario contemplar una serie de servicios
18
o funciones de seguridad de la información: Confidencialidad, Se refiere a la privacidad
de los elementos de información almacenados y procesados en un sistema
informático. Integridad.” (Gómez Vieites, 2012, pág. 42)
“La seguridad informática se centra en 4 principios básicos, los cuales son de gran
importancia para el plan de seguridad informática. Confidencialidad, tiene éxito cuando
un usuario externo no pude extraer información de una transmisión de información que
haya realizado dos o más interlocutores en un sistema de información. Integridad.”
(Escrivá Gascó, Romero Serrano, Ramada, & Onrubia Pérez, 2013, pág. 32)
La vulneración de la confidencialidad también afecta de forma diferente a equipos de
cómputo y redes informáticas en sus procesos cotidianos. También la integridad busca
mantener los datos sin modificaciones no autorizadas, así como también la
disponibilidad se da cuando los usuarios pueden acceder a la información en el
momento adecuado para los usuarios que la requieren dentro de la organización.
Consecuencia de la falta de la seguridad.
“La consecuencia resulta de vital importancia poner en conocimientos de los directivos
cuál es el coste e impacto de los incidentes de seguridad en términos económicos, y
no a través de confusos informes plagados de tecnicismos, defendiendo la idea de que
la inversión en seguridad informática seria comparable a la contratación de un seguro
contra robos, contra incendios o de responsabilidad civil frente a terceros. En estas
primeras etapas la seguridad en una organización perseguía.” (Gómez Vieites, 2012,
pág. 47)
Al no existir una seguridad correcta en la empresa puede producir fallos o errores a
largo o corto plazo a la organización, ya que estas no tiene con que sustentar cuando
exista un error en un proceso informático, por esa razones recomendable que toda
organización tenga su respectivas seguridades de información para prevenir muchos
riesgos y errores futuros.
19
Seguridad de la Información
“En la actualidad la tecnología de la información es sin lugar a dudas, lo que más
rápidamente ha evolucionado en el mundo, siendo base importante en las operaciones
administrativas y financieras de las empresas de hoy, cambiando los hábitos de las
personas, lanzándolas a realizar transacciones en Internet de todo tipo, en
forma automática, sin intermediarios y en cualquier lugar. Todo este nuevo mundo
digital necesita que existan mecanismos que controlen la legitimidad de la información
y que aseguren que la misma no ha sido cambiada o alterada”. (Vieites, Seguridad
informática Básico, 2011)
“Los riesgos fundamentales asociados con la incorrecta protección de la información
son los siguientes: revelación a personas no autorizadas, inexactitud de los datos,
inaccesibilidad de la información cuando se necesita.” (SÁNCHEZ GARRETA , 2003)
Con lo investigado anterior se puede definir que la Seguridad de la Información se
puede definir como conjunto de medidas técnicas, organizativas y legales que
permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de
su sistema de información.
Seguridad Activa
La seguridad activa tiene como objetivo proteger y evitar posibles daños en los
sistemas informáticos, por esa razón se debe tomar recursos necesarios para evitar
posibles problemas utilizando técnicas en el uso adecuado de contraseñas, que
podemos añadirles números, mayúsculas, encriptaciones datos, etc.
Seguridad Pasiva
La seguridad pasiva tiene como finalidad minimizar los efectos causados por un
accidente, un usuario o malware. Por tal motivos para prevenir algún inconveniente se
debe realizar un análisis del uso de hardware adecuado contra accidentes y averías,
también se puede utilizar copias de seguridad de los datos y del sistema operativo.
20
Seguridad Física y Lógica
“Llamaremos seguridad física a la que tiene que ver con la protección de los
elementos físicos de la empresa u organización, como el hardware y el lugar donde se
realizan las actividades edificio o habitaciones. Seguridad lógica es toda aquella
relacionada con la protección del software y de los sistemas operativos, que en
definitiva es la protección directa de los datos y de la información”. (Aguilera López,
2009, pág. 30)
“Desde el punto de vista de la naturaleza de la amenaza, podemos hablar de
seguridad a nivel físico o material o seguridad a nivel lógica o software. Física: Se
utiliza para proteger el sistema informático utilizando barreras física y mecanismos de
control, se emplea para proteger físicamente el sistema informático, las amenazas
físicas se pueden producir provocadas por el hombre, de forma accidental o voluntaria,
o bien por factores naturales. Lógica: se encarga de asegurar la parte software de un
sistema informático, que se compone de todo lo que no es físico, es decir, los
programas y los datos” (Alfonso García, 2011, pág. 8)
Se interpreta que la seguridad física de un sistema informático consiste en la
aplicación de barreras física y podrecimiento de control frente a amenazas físicas al
hardware, ya que este tipo de seguridad está enfocado a cubrir las amenazas
ocasionada tanto por el hombre como por la naturaleza del medio físico en que se
encuentre ubicado. La seguridad lógica de un sistema informático consiste en la
aplicación de barreras y procedimientos que protegen el acceso a los datos y la
información contenida en él.
Definición y evolución de un Data Center
Es un cuarto, espacio físico o ubicación donde se concentran todos los recursos
necesarios para el procesamiento de la información de una organización. Se le conoce
también como centro de cálculo en España, centro de cómputo en Iberoamérica, o
como de datos. En dicho espacio se encuentran los equipos de una red, además de
los servidores. (Gómez, 2011, pág. 69)
21
Como se lo conoce también un centro de datos es un espacio acondicionado
especialmente para contener a todos los equipos y sistemas de tecnologías de
información, como se conoce la información es de vital importancia y el data center es
el encargado de proporcionar seguridad, confiabilidad, disponibilidad y principalmente
eficiencia para los procesos informáticos que transcurran por una infraestructura de
red.
Objetivos de un Data Center
El objetivo principal de un Data Center es proteger los archivos de la empresa
brindando un servicio de calidad sin interrupciones que perjudiquen la operatoria
normal. Por esa razón, debe cumplir con las siguientes características: Escalable:
debe soportar un crecimiento sin interrupciones. Flexible, Confiable, Seguro,
Desarrollo velos: la ubicación seleccionada debe estar en una zona que permita que
todos los materiales y proveedores necesarios para el desarrollo lleguen a tiempo.
(Pacio, 2014, pág. TEMA 1)
El data center debe cumplir ciertos objetivos para que el funcionamiento y rendimiento
de una organización sea de manera correcta, proponiéndose así que para realizar la
propuesta de un diseño de un data center debemos verificar y analizar dichas
cuestiones como adecuación de sitio, niveles de disponibilidad, planes de crecimiento,
confiabilidad, presupuesto, viabilidad, reserva de infraestructura, ya que con esto
podremos evitar fallas y errores en el transcurso de la información que maneja una
organización.
Políticas de Seguridad.
Una política de seguridad constituye informar a los usuarios, trabajadores y personal
de dirección, de los requisitos obligatorios para proteger la información de la
organización, debe especificar también los mecanismos a través de los cuales estos
requisitos puedan ser conocidos. (DÍaz Orueta, Alzórriz Armendáriz, Sancristóbal Ruiz,
& Castro Gil, 2014, pág. Tema 6)
Podemos definir una política de seguridad como una declaración de intenciones de
alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las
22
bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas
y organizativas que se requieran. (Gómez Vieites, 2012, pág. 71)
La política de seguridad abarca los objetivos, conductas, normas y métodos de
actuación y distribución de responsabilidades y actuará como documento de requisitos
para la implementación de los mecanismos de seguridad, ya que estas se utilizaran
para que puede y como debe utilizarse y que información puede viajar a través de la
red.
Objetivo de las Políticas de Seguridad
El objetivo principal de la redacción de una política de seguridad en la de concienciar a
todo el personal de una organización, y en particular al involucrado directamente con
el sistema de información, en la necesidad de conocer que principios rigen la
seguridad de la entidad y cuáles son las normas para conseguir los objetivos de
seguridad planificados. (Aguilera López, 2009, pág. 21)
“Otro objetivo de la política de seguridad debe ser proporcionar una base para adquirir,
configurar y auditar todos los dispositivos y las rede. Por lo tanto emplear un conjunto
de herramientas de seguridad sin una política de seguridad implícita, no tendría mucho
sentido.” (DÍaz Orueta, Alzórriz Armendáriz, Sancristóbal Ruiz, & Castro Gil, 2014,
pág. Tema 3)
La organización debe cumplir correctamente con lo establecido en una política de
seguridad cumpliendo así todos los objetivos propuestos, ya que si se los cumple
correctamente sus procesos cotidianos funcionaran de manera correcta logrando así
un gran bienestar en la seguridad y protección de la información para la organización.
Beneficios de implantar Políticas de Seguridad Informática.
Los beneficios de un sistema de seguridad con políticas claramente concebidas bien
elaboradas son inmediatos, ya que se trabajará sobre una plataforma confiable, que se
refleja en los siguientes puntos: Aumento de la productividad, Aumento de la
motivación del personal, Compromiso con la misión de la compañía, Mejora de las
relaciones laborales. (PEÑA, 2014, pág. 192)
23
Los beneficios es el resultado logrado que se verifica en la culminación de alguna
actividad dentro de la organización, comprobando así si las políticas de seguridad que
se establecieron son correctas o de buen uso para la empresa.
Aspectos físicos de la política de seguridad.
“Cualquier política de seguridad debe tener en cuenta una serie de procedimientos
relacionados con la seguridad física, tanto en el aspecto de control de acceso físico a
equipos, como tener planes de contingencia y emergencia, de recuperación frente a
desastres”. (DÍaz Orueta, Alzórriz Armendáriz, Sancristóbal Ruiz, & Castro Gil, 2014,
pág. Tema 6)
Las empresas se preocupan más del aseguramiento lógico de la información dejando
a un lado la protección de la infraestructura física donde se encuentra alojados los
equipos, siendo más fácil para un atacante sacar una copia de archivos de los
servidores por la facilidad de acceso a lugar, también la seguridad contra los desastres
naturales, como incendios, terremotos, disturbios, etc.
Aspectos lógicos de la política de seguridad
Entre las normas y procedimientos relacionados con aspectos lógicos se puede
separar lo que se denomina normas básicas o fundamentales, como: Políticas de uso
aceptable, Políticas de acceso remoto, Políticas de protección de la información,
Políticas de seguridad perimetral, aunque esta implicara, también, procedimientos de
configuración de encaminadores y, posiblemente, de cortafuego y puntos finales de
redes privadas virtuales. (DÍaz Orueta, Alzórriz Armendáriz, Sancristóbal Ruiz, &
Castro Gil, 2014, pág. Tema 6)
Es importante que en la seguridad de información existan políticas de seguridad en
aspectos lógicos, ya que con estos ayudaría a evitar posibles malos usos en los
procesos informáticos que debe seguir una organización.
24
Debilidades de seguridad comúnmente explotadas
Conocer las diferentes fases que conforman un ataque informático brinda la ventaja de
poder pensar como los atacantes, al mismo tiempo se respetar su mentalidad y se
aprende a jamás subestimarla. Desde la perspectiva del profesional de seguridad, se
debe aprovechar esas habilidades para comprender y analizar la forma en que los
atacantes llevan a cabo un ataque. (Martinez Avila, 2016)
Las debilidades más propensas que puede existir en la empresa es tanto física como
lógica de una computadora, ya que estas almacenan mucha información privada de
una organización, al ser la información privada existen usuarios maliciosos que
quieren realizar fraude, robo, modificaciones de la información que no les pertenece
para perjudicar a la organización.
Plan de respuesta a incidentes
Es importante formular un plan de respuesta a incidentes, soportarlo a lo largo de la
organización y probarlo regularmente. Un buen plan de respuesta a incidentes puede
no solo minimizar los efectos de una violación sino también, reducir la publicidad
negativa. (Galindo López, Mena, Santizo Herrera, & Alonzo Mendoza, 2014, pág. 108)
Un plan de respuesta a incidentes es de gran ayuda en una organización establecerlo,
ya que este permitirá el correcto funcionamiento de la organización comprobando así
si los procesos informáticos, seguridades, las políticas que se utilizan en la empresa
son las correctas.
Detección y respuesta ante incidentes de seguridad.
El hecho de responder a los incidentes de seguridad tiene ventajas directas evidentes.
No obstante, también pueden existir ventajas financieras indirectas. Por ejemplo,
puede que su compañía de seguros le ofrezca descuentos si puede demostrar que su
organización es capaz de controlar los ataques rápidamente y de manera rentable.
(Microsoft, 2016)
25
La detección y respuesta ante incidentes dentro de una organización es tener dentro
de la misma un equipo encargado especialmente para resolver y gestionar incidentes
informáticos de alto impacto, esquipo que pueda gestionar crisis, coordinar acciones,
estar preparados para prevenir y detectar los ataques más comunes que pueden
existir dentro de la organización, así como para conocer profundamente las
debilidades de un sistema, infraestructuras y personas dentro de la organización.
Organización de la Información de Seguridad
Aquí se trabajara sobre el hecho de reunir y definir cuál va a ser el personal
responsable que se encargara de realizar el mantenimiento, revisión y evaluación
periódica. Además si las políticas que fueron elaboradas son las correctas, están
incompletas, o pueden mejorarse. Gestión de activos de información, Seguridad de los
recursos humanos, Seguridad física y ambiental. (Alan, 2009, pág. 15)
Se entiende que la empresa debe organizar al personal responsable que se encarga
de realizar mantenimiento, revisión y evaluación periódica de los procesos de la
seguridad informática, verificando así que si las políticas que se realizaron están
correctas, en que se puede mejorar, previniendo así un fallo o error, también para
verificar si está bien realizada para beneficiar a la empresa.
Plan de Contingencia
Determinadas amenazas a cualquiera de los activos del sistema de información
pueden poner en peligro la continuidad de un negocio. El plan de contingencias es un
instrumento de gestión que contiene las medidas que garanticen la continuidad del
negocio protegiendo el sistema de información de los peligros que lo amenazan.
(Aguilera López, 2009, pág. 23)
Una empresa, con plan de sucesión en curso o sin él, no puede depender de una
persona que, como todas, está expuesta a un accidente, a una enfermedad que le
imposibilite trabajar, a situaciones críticas que multiplican sus posibilidades a medida
que se entra en edades de mayor riesgo. (Desongles Corrales, Ponce Cifredo, Garzón
Villar, Sampalo De La Torre, & Rocha Freire, 2006, pág. 348)
26
Se pudo comprender que las organizaciones sufren riesgos de todo tipo y que por muy
buena que sea tampoco está segura de no sufrir algún incidente. Es así como nos
damos cuenta de que es muy importante contar con un plan que nos guie a cerca de
los procedimientos que debemos seguir en caso de tener inconvenientes.
Norma ISO 27001:2013
En esta nueva versión no solo se establecen cambios en el contenido sino también en
la estructura, lo que se reflejará en otros documentos que forman parte de la familia
ISO-27000 (la versión final del estándar se espera a finales de 2013).ISO/IEC
27001:2013 ha sido desarrollado con base en el anexo SL de ISO/IEC del
“Suplemento Consolidado de las Directivas ISO/IEC” (anteriormente publicado como
“Guía ISO:83”), en el cual se proporciona un formato y un conjunto de lineamientos a
seguir para el desarrollo documental de un sistema de gestión sin importar su enfoque
empresarial, alineando bajo una misma estructura todos los documentos relacionados
con los sistemas de gestión y evitando así problemas de integración con otros marcos
de referencia. (González Trejo, 2013)
Las normas ISO son fundamentales para el buen funcionamiento de una organización
ya que permitirá que la empresa pueda orientar, coordinar, simplificar los procesos
informáticos de manera correcta y sin un error alguno. De acuerdo con la definición
propuesta en esta norma, un SGSI es parte del sistema global de gestión, que sobre la
base de un enfoque basado en los riesgos, se ocupa de establecer, implementar,
operar, seguir, revisar, mantener y mejorar la seguridad de la información de una
organización.
Objetivo de la norma ISO 27001:2013
Asegurando que la política de seguridad de la información y los objetivos de seguridad
de la información son establecidos y compatibles con la dirección estratégica de la
organización; asegurando la integración de los requisitos del sistema de gestión de
seguridad de la información en los procesos dela organización; asegurando que los
recursos necesarios para el sistema de gestión de seguridad de la información estén
disponibles; comunicando la importancia de una efectiva gestión de seguridad de la
información y en conformidad con los requisitos del sistema de gestión de seguridad
27
de la información; asegurando que el sistema de gestión de seguridad de la
información logre su(s) resultado(s) previsto(s). (Frayssinet Delgado, 2013)
El objetivo de la norma ISO 27001:2013 es analizar y gestionar los riesgos basados en
los procesos. Resulta muy útil el análisis y la gestión de riesgos basados en los
procesos que evalúa u controla a la organización en relación a los diferentes riesgos a
los que se encuentre sometido el sistema de información de una organización.
Beneficio de la norma ISO 27001:2013
En el ámbito de la propia organización, ya que se establece un importante compromiso
con la seguridad de la información. Existen diferentes registros y medidas de control
que facilitan que la seguridad de la información se encuentre garantizada en la
empresa y que todos los esfuerzos realizados puedan demostrarse, En el
cumplimiento legal de las exigencias, se manifiesta la conformidad de la organización
en el cumplimiento de los requisitos legales que se le aplique la legislación de la región
en la que se encuentra ubicada la organización y la actividad que realice, En el
aspecto comercial, se genera credibilidad y confianza entre todos los clientes de la
organización. Se debe tener presente que nos encontramos en una sociedad en la que
falta confianza de los clientes afecta a nuestras ventas de la misma forma que la
calidad y la funcionalidad de los productos, por lo que se debe cuidar los dos aspectos.
(Excellence, 2015)
El beneficio es establecimiento de una metodología de gestión de la seguridad de la
información clara y bien estructurada, permitiendo así la reducción de los riegos de
pérdida, robo o corrupción de la información, los usuarios tienen acceso a la
información de manera segura, los riesgos deben ser controlados constantemente,
para evitar mal proceso en el almacenamiento de la información.
Estructura del estándar ISO 27001: 2013
“La estructura del estándar ISO/IEC 27001:2013 ha sido desarrollado con base en el
anexo SL de ISO/IEC del “Suplemento Consolidado de la Directivas ISO/IEC”
(anteriormente publicado como Guía ISO: 83), en el cual se proporciona un formato y
un conjunto de lineamientos bajo una misma estructura todos los documentos
28
relacionados con los sistemas de gestión y evitando así problemas de integración con
otros marcos de referencia.” (Lopez Lemos, 2015)
Se pude interpretar según la investigación anterior que la estructura del estándar
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y
publicado como estándar internacional, especifica los requisitos necesarios para
establecer, implantar y mejorar un sistema de gestión de la seguridad de la
información.
Dominios de la ISO 27001:2013
La norma ISO 27001 ofrece a las organizaciones una guía para su implementación,
ayudándolas a controlar y evaluar su exposición ante los posibles riesgos de la
información a través del empleo de controles para paliarlos, y así, conseguir un
sistema de información integrado, confidencial y disponible de los activos de la
información.
Los objetivos contemplados en la norma ISO 27001 de los dominios de la información
a valuar se muestran de forma resumida a continuación:
El dominio de la Política de Seguridad para facilitar a las organizaciones,
conforme a los requisitos legales e institucionales, la gestión de la seguridad en
la información.
El dominio de la Política de Seguridad para facilitar a las organizaciones,
conforme a los requisitos legales e institucionales, la gestión de la seguridad en
la información.
El dominio en la Organización de la Seguridad de la Información a través de un
marco relacionado que ayuda a la misma a implantar y controlar la seguridad
de la información en la entidad.
El dominio en la Gestión de Activos para la seguridad de los mismos en la
entidad.
29
El dominio de la Seguridad física para la salvaguarda de la información y las
instalaciones de la entidad a través por ejemplo de controles de llegada.
El dominio de la Gestión de las comunicaciones y operaciones mediante la
creación de una serie de procedimientos que garanticen la seguridad de la
información.
El dominio del Control de Llegada para asegurar los sistemas de información.
El dominio en la consecución, desarrollo y sostenimiento de los sistemas de
información.
El dominio en la Gestión de accidentes en la seguridad de la información
mediante la mejora constante y progresiva de la gestión de seguridad.
El dominio de la Gestión de la Continuidad del Negocio con la finalidad de
asegurar el encadenamiento operativo del negocio.
El dominio en el Cumplimiento de los requisitos legales aplicables.
“Estos controles tienen como objetivo salvaguardia de la información de una
organización impidiendo que esta se pierda, proporcionando la certeza a las mismas
de la continuidad de los servicios prestados en situaciones de riesgos.” (ISOTools,
2014)
La certificación del sistema de gestión de seguridad de la información contribuye a
mejorar la competitividad en el mercado, diferenciando a las empresas que lo han
conseguido y haciéndolos más fiables e incrementando su prestigio.
Plan Informático.
El plan informático debe definir claramente la estrategia tecnológica y lo recursos que
son necesarios para desarrollarla. Cuando hablamos de recursos, nos referimos a
todos: financieros, humanos, materiales, planta física, apoyo institucional, etcétera. La
30
clara definición de los recursos debe incluir las relaciones de dependencia entre ellos
con n sentido coherente. (Rodríguez & Martínez, 2006, pág. 26)
Como se pudo entender un plan informático es un proceso, expresado en un
documento escrito, el cual empieza con el desarrollo de objetivos, define estrategias y
políticas para alcanzar tales objetivos, desarrolla planes detallados para asegurar que
las estrategias se sigan con el fin de que tales objetivos se realicen de manera
correcta y así evitar un mal funcionamiento de una empresa.
31
Conclusiones parciales del capítulo
En la realización de este capítulo se ha descripto los principales temas considerados
para la propuesta de un Plan informático 2016-2020 basado en la norma ISO/IEC
27001:2013 para mejorar la Seguridad de la Información, Infraestructura Tecnológica y
Procesos Informáticos en la Cooperativa de Ahorro y Crédito Cámara de Comercio.
Se expresó un breve análisis de cada uno de los temas y se comprendió que para la
realización de un plan informático se debe conocer que es un plan de respuesta a
incidentes, plan de contingencia, las políticas de seguridad los objetivos que brinden
cada uno de estas políticas y planes son relacionados a la seguridad de la
información, así como también se analizó que seguridades se deben establecer para
la realización de una infraestructura tecnológica, por medio de esta investigación se
comprendió que el conocer cada una de las seguridades tanto físicas como lógicas
deben tener como objetivo beneficiar a la institución.
Una política de seguridad informática es una forma de comunicarse con los usuarios,
ya que las mismas establecen un canal formal de comportamiento del personal,
haciendo que los usuarios cumplan con lo establecido en las políticas beneficiándose
a la organización con el funcionamiento correcto y reduciendo errores.
El plan de seguridad informática, es de vital importancia para mejorar los procesos
informáticos y la seguridad en el almacenamiento de información por esa razón se
propone el diseño de un data center y la infraestructura correcta basado en una
norma, por esa razón se realizó investigación debida sobre las amenazas activa,
pasivas, ataques y vulnerabilidades que están expuestas las infraestructuras
informáticas hoy en día.
Además de realizar una investigación de la norma ISO 27001:2013 que atienden la
gestión en el ámbito de la tecnología de la información que ayudan a aliviar los gastos
de la TI y reducir riesgos de seguridad relacionados con la tecnología.
32
CAPÍTULO II
MARCO METODOLÓGICO
Caracterización del sector
El Directorio de la Cámara de Comercio de Santo Domingo, precedido por el Ing. Luis
Núñez Presidente de la Institución, quien decidió llevar adelante la creación de la
Cooperativa de Ahorro y Crédito el 10 de mayo del 2005 tiempo en el cual la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio obtuvo la personería
jurídica, mediante Acuerdo Ministerial 147-SD-SDC de la Subdirección de
Cooperativas del Ministerio de Bienestar Social, esto con el fin de fortalecer el apoyo al
comercio de Santo Domingo, tanto para pequeños, como a medianos y grandes
comerciantes.
La Cooperativa de Ahorro y Crédito de la Cámara de Comercio abre sus puertas al
público y empieza a operar el 20 de febrero del 2006, gracias al apoyo y empuje de los
23 socios fundadores. Durante el tiempo de operación la institución ha tenido una
buena aceptación, tomando en cuenta que mantiene una oficina moderna en las
instalaciones de la Cámara de Comercio de Santo Domingo (CCSD), además posee
directivos con mucha trayectoria y un personal administrativo que tiene vasta
experiencia en la actividad financiera. Actualmente está ubicada en la Av. Quito y
Latacunga.
A partir del mes de julio del 2009 decidieron afiliarse a la FECOAC con el fin de
acceder a los servicios que esta ofrece, por ello desde agosto el personal de la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio ha estado en continuos
cursos de capacitación para estructurar adecuadamente su plan estratégico. El lema
que mantiene la cooperativa es “PERMÍTANOS CRECER JUNTO A USTED”,
Objeto Social
La Cooperativa de Ahorro y Crédito Cámara de Comercio se encarga de brindar
servicios a los socios y clientes como:
33
Servir a las necesidades financieras de sus socios y de terceros mediante elejercicio de las actividades propias de las cooperativas de ahorro y crédito.
Aperturas de Cuenta
Ahorro Programados
Pólizas
Créditos de Vivienda
Crédito de Consumo
Microcréditos
Cuentas de niños con representantes legales
Pagos de servicios
o Impuesto discales (SRI)
o Revisión vehicular y matriculación (ANT)
o Pensiones Alimenticias (SUPA)
o Pago tarjetas de créditos
o Pago planillas (IESS)
o Pago planilla (CNT)
o Bono de desarrollo humano
o Giros (WESTERN UNION)
Entre otros, para cumplir con las disposiciones legales vigentes y poder brindar
bienestar y desarrollo a cada uno de los socios de la Cooperativa.
Misión
Contribuir con el crecimiento socioeconómico de nuestros socios, clientes y de la
comunidad Santodomingueña mediante la prestación de servicios financieros y no
financieros, ágiles, oportunos y de calidad, basándonos en la confianza, seguridad,
34
honestidad, responsabilidad y solvencia con un claro enfoque de rentabilidad y
responsabilidad social.
Visión
Nuestro compromiso es consolidar la solvencia institucional, para incrementar la
cobertura de servicios financieros mediante proceso ágiles, tecnología innovadora,
personal especializado y comprometido con el desarrollo de los socios y clientes de la
institución.
Descripción del procedimiento Metodológico
Enfoque de la investigación
La metodología que se emplea en el presente trabajo de investigación tiene dos
tendencias, la Modalidad Cualitativa, debido a que se encuentra basada a principios
teóricos y se recopilara información mediante cuestionarios y encuestas que se
realizaran a los funcionarios de la Cooperativa y la Modalidad Cuantitativa, porque se
verá reflejada en los resultados y gráficos estadísticos
Modalidad de la investigación
Investigación Bibliográfica. Consiste en la recopilación de información existente en
libros, revistas e internet, este tipo de investigación permitió la elaboración de
antecedentes de la investigación referido especialmente seguridad en los procesos
informáticos, inseguridades y más, el mismo que fundamenta científicamente la
propuesta de solución.
Investigación decampo, se utilizó para diagnosticar y ratificar la problemática
expuesta inicialmente, esta fue llevada a cabo en el sitio mismo donde se tuvieron las
manifestaciones del problema, es decir en la Cooperativa de Ahorro y Crédito Cámara
de Comercio, las técnicas para la recopilación de información fueron la encuesta y la
entrevista, las encuestas fueron realizadas tanto a empleados de los departamentos,
mientras que la entrevistas se las realizo al Director de la institución. Los instrumentos
fueron el cuestionario y la guía de entrevista.
35
Métodos, Técnicas e Instrumentos
Métodos de investigación
Método Inductivo-Deductivo
Este método comienza con lo particular a los general del problema y viceversa y es
aplicado en el presente trabajo con la finalidad de pasar del fundamente teórico a lo
práctico y así entender de mejor manera el funcionamiento de producción que se
realiza de acuerdo con los procesos de la problemática.
Método Hipotético-Deductivo
Se empleara este método para crear una posible solución en la investigación realizada
con alternativas lógicas para los diferentes problemas planteados.
Método Analítico – Sintético
Se utilizara este método para descomponer la información en partes, esta
descomposición será analizada individualmente, con el fin de tener una orientación
clara al momento de elaborar el plan informático para la Cooperativa de Ahorro y
crédito Cámara de Comercio de Santo Domingo de los Tsáchilas.
Técnicas de Investigación
Técnica de la Encuesta
Esta técnica se la utilizará como un estudio observacional con la finalidad de requerir
información a un grupo socialmente significativo de personas acerca del problema en
estudio para luego, mediante un análisis de tipo cualitativo, sacar las conclusiones que
se corresponda con los datos.
36
Técnica de la Entrevista
La técnica de la entrevista se utilizara con la finalidad de obtener información rea para
una indagación, la misma que se realizará tanto al jefe del área de tecnología personal
que trabaja en la Cooperativa de Ahorro y Crédito Cámara de Comercio.
Instrumentos de investigación
Cuestionario
Con la elaboración de un cuestionario se buscara recolectar información para entender
con mayor profundidad la problemática planteada.
Guía de entrevista
Instrumento que permitió recoger datos a través del diálogo directo. La guía para este
trabajo de investigación consiste en una guía semiestructurada porque consta de
asuntos o preguntas y el entrevistador tiene la libertad de incluir preguntas adicionales
para precisar conceptos u obtener mayor información sobre temas deseados.
Población y Muestra
Población
La población objeto de la presente investigación está compuestas por:
Gerente
Área legal
Asistente de Gerencia
Área financiera
Contador
Tesorero
Área Operativa
o Jefe de Sistemas
Asistente de Sistemas
37
o Jefe de Captaciones
Caja
Servicio al Cliente
o Jede de Crédito
Asesoría de Crédito
Gestor de Crédito
Servicio Generales
La realización de esta investigación se llevó a cabo en las instalaciones de la
Cooperativa de Ahorro y Crédito Cámara de Comercio, ubicada en el Cantón de Santo
Domingo.
La población de la Cooperativa de Ahorro y Crédito Cámara de Comercio a tomar en
cuenta para nuestra investigación es la siguiente:
Tabla 1 Población de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
FUNCIÓN POBLACIÓN
Directivos 5
Área Técnica 2
Funcionarios delos Departamentos 7
Total: 14
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de SantoDomingo (2016). Investigación de campo realizada por el autor. Santo Domingo:Tabla de la población de la Cooperativa. Elaborado por: Chamba, J.
No se considera a los clientes en la investigación de campo, ya que actualmente ellos
realizan sus transacciones por medio de los cajeros y funcionarios de la Cooperativa,
no estando directamente relacionado con la seguridad de la información de la
Cooperativa.
Al no ser mayor de 100 la población, la encuesta se realizó al total de los miembros
existentes de la Cooperativa.
38
Interpretación de Resultados de las encuestas aplicadas
Encuesta
Encuesta dirigida a Empleados y Directivos Administrativos de la Cooperativa de
Ahorro y Crédito Cámara de Comercio. Ver Anexo formato encuesta y entrevista.
Tabla 2 Interpretación de resultados de la encuesta realizada al personal de laCooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo.
Nº Preguntas Grafico Interpretación
1
¿Se han adaptado
medidas de seguridad
para el personal en el
uso del computador?
En los resultados obtenidos
claramente se puede observar
que todos los empleados no
tienen conocimientos de las
medidas de seguridad para el
personal en el uso del
computador.
2
¿Ha recibido
instrucciones sobre qué
medidas tomar en caso
de que alguien pretenda
accedes sin autorización
a su computador?
En los resultados obtenidos
claramente se puede observar
que todos los empleados no
han recibido instrucciones
sobre qué medidas tomar en
caso de que alguien pretenda
accedes sin autorización a su
ordenador.
0%
100%
SI
No
0%
100%
SI
No
39
3
¿Sabe qué hacer en
caso de que ocurra una
emergencia ocasionado
por un fenómeno
natural?
En los resultados obtenidos
claramente se puede observar
que 29% de los empleados
saben qué hacer en caso de
que ocurra una emergencia
ocasionada por un fenómeno
natural y el 71% no.
4
¿Tiene manuales que
contengan normas y
políticas de seguridad
para el personal?
En los resultados obtenidos
claramente se puede observar
que 100% de los empleados
afirman que no tiene manuales
que contengan normas y
políticas de seguridad para el
personal.
5¿Existen manuales y
políticas de mitigación
de riesgos?
En los resultados obtenidos
claramente se puede observar
que 100% de los empleados
afirman que no existen
manuales y políticas de
mitigación de riesgos.
29%
71%
Si
No
0%
100%
SI
NO
0%
100%
SI
NO
40
6
¿Existe documentación
que garantice la
protección e integridad
de los recursos
informáticos que están
asignados a usted?
En los resultados obtenidos
claramente se puede observar
que 100% de los empleados
afirman que no existe
documentación que garantice
la protección e integridad de
los recursos informáticos que
están asignados a usted.
7
¿Existen normas o
procesos que no
permitan hacer
Modificaciones en la
configuración del equipo
o intentarlo?
En los resultados obtenidos
claramente se puede observar
que 100% de los empleados
afirman que no existe
documentación que garantice
la protección e integridad de
los recursos informáticos que
están asignados a usted.
8
¿Se limpia con
frecuencia el polvo
acumulado en el piso y
los equipos?
En los resultados obtenidos
claramente se puede observar
que 43% de los empleados
afirman que si realizan
limpieza con frecuencia el
polvo acumulado en el piso y
los equipos y el 57% afirman
que no.
0%
100%
SI
NO
0%
100%
SI
NO
43%
57%
SI
NO
41
9¿Es usted notificado
cuando su equipo entra
en mantenimiento?
En los resultados obtenidos
claramente se puede observar
que 71% de los empleados
afirman que si se les notifica
cuando su equipo entra en
mantenimiento y el 29%
afirman que no.
10
¿Estás informado
acerca de las
prevenciones que hay
que tener para evitar el
acceso de un hacker u
otra amenaza a tu
ordenador?
En los resultados obtenidos
claramente se puede observar
que 14% de los empleados
afirman que si estás informado
acerca de las prevenciones
que hay que tener para evitar
el acceso de un hacker u otra
amenaza a tu ordenador y el
86% afirman que no.
11
¿Sabes lo que debes
hacer en caso de la
entrada de una
amenaza a tu equipo?
En los resultados obtenidos
claramente se puede observar
que 14% de los empleados
afirman que si saben lo que
deben hacer en caso de la
entrada de una amenaza en
su equipo y el 86% afirman
que no.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la
interpretación de resultados de la encuesta realizada al personal de la Cooperativa. Elaborado
por: Chamba, J.
71%
29%
SI
NO
14%
86%
SI
NO
14%
86%
SI
NO
42
Entrevista
Guía de entrevista dirigida a la persona encargada del departamento de sistemas de la
Cooperativa de Ahorro y Crédito Cámara de Comercio.
La persona que está al frente del departamento de sistemas de la Cooperativa de
Ahorro y Crédito Cámara de Comercio es el Ing. Marco Carrera al cual se le entrevisto,
con un serie de preguntas, que apoyaran al investigador a buscar la mejor solución
para la implementación de un plan informático para la seguridad de la información de
la Cooperativa. Ver Anexo formatos de encuesta y entrevista.
Pregunta #1. ¿Cuenta con un inventario de los equipos informáticos de la Cooperativa
de Ahorro y Crédito Cámara de Comercio?
Análisis: Con la respuesta a esta pregunta además de conocer la experiencia
que tiene el Ing. Marco Carrera al frente del departamento de sistemas,
también se puede determinar que la Cooperativa no cuenta con un inventario.
Respuesta: No
Pregunta #2. ¿Qué importancia le da la Cooperativa de Ahorro y Crédito Cámara de
Comercio a la seguridad informática?
Análisis: Conocer la importancia que la Cooperativa de Ahorro y Crédito
Cámara de Comercio da la seguridad informática en cuanto a la información.
Respuesta: Si damos importancia, se protege la información en medida de la
que se requiere: contraseñas, accesos limitados a espacios físicos.
Pregunta #3. ¿La Cooperativa de Ahorro y Crédito Cámara de Comercio cuenta con
políticas de seguridad en los procesos informáticos?
Análisis: Conocer si la Cooperativa cuenta con políticas de seguridad en los
procesos informáticos.
43
Respuesta: No
Pregunta #4. ¿Cuenta con una adecuada infraestructura para el funcionamiento de los
equipos informáticos (Red electrónica, seguridad, ventilación)?
Análisis: Conocer si la Cooperativa cuenta con una adecuada infraestructura
para el funcionamiento de los equipos informáticos (Red electrónica, seguridad,
ventilación).
Respuesta: Si, red para datos y voz centralizado toda al cuarto frio (Data
Center).
Pregunta #5. ¿Cuenta la institución con personal dedicada exclusivamente a la
seguridad informática y soporte técnico?
Análisis: Conocer si la Cooperativa cuenta con personal dedicada
exclusivamente a la seguridad informática y soporte técnico.
Respuesta: No
Pregunta #6. ¿Se realiza un mantenimiento informático periódico sobre los
ordenadores de la Cooperativa de Ahorro y Crédito Cámara de Comercio?
Análisis: Conocer si la Cooperativa realiza un mantenimiento informático
periódico sobre los ordenadores.
Respuesta: Si, preventivo cada 3 meses.
Pregunta #7. ¿La Cooperativa de Ahorro y Crédito Cámara de Comercio dispone de
un servidor central de datos?
Análisis: Conocer si la Cooperativa cuentan con un servidor central de datos
Respuesta: Si
Pregunta #8. ¿Dispone de algún tipo de seguridad en los ordenadores, para evitar
daños por apagones y sobretensiones?
44
Análisis: Conocer si la Cooperativa cuenta con algún tipo de seguridad en los
ordenadores, para evitar daños por apagones y sobretensiones.
Respuesta: Si, con respaldo de baterías para una autonomía de 4 a 6 horas
de los servidores y dos estaciones de usuarios.
Pregunta #9. ¿Dispone de alguna copia de seguridad (CD / DVD /.otro) de la
información de la Cooperativa de Ahorro y Crédito Cámara de Comercio?
Análisis: Conocer si la Cooperativa dispone de alguna copia de seguridad (CD
/ DVD /.otro) de la información.
Respuesta: Si, en medio magnético y almacenamiento en la nube.
Pregunta #10. ¿Se tiene definida una política para la realización de copias de
seguridad de los datos y restauración de los sistemas en caso de ataques
informáticos?
Análisis: Conocer si la Cooperativa tiene definida una política para la
realización de copias de seguridad de los datos y restauración de los sistemas
en caso de ataques informáticos.
Respuesta: No, porque nuestra base de datos por el momento no tiene salida
a la web.
Propuesta del Investigador
Una vez realizada la encuesta aplicada a todos los empleados de la institución y la
entrevista realizada a la persona encargada del departamento de sistemas, se ha visto
la necesidad de proponer el desarrollo de un Plan informático 2016-2020 basado en la
norma ISO/IEC 27001:2013 para mejorar la Seguridad de la Información,
Infraestructura Tecnológica y Procesos Informáticos en la Cooperativa de Ahorro y
Crédito Cámara de Comercio, para así fortalecer la confidencialidad, integridad y
disponibilidad de la información.
Para cumplir con esta propuesta se utilizara la norma ISO/IEC 27001:2013, el objetivo
es la mejora continua y se adopta el modelo de gestión de la seguridad Plan- Do-
45
Check - Act (Planificar, Hacer, Verificar y Actuar) para todos los procesos de la
Cooperativa de Ahorro y Crédito Cámara de Comercio. La utilización de este modelo
inspirará la confianza de mantener la confidencialidad, integridad y disponibilidad de la
información de todos los clientes y así mismo de la Cooperativa de Ahorro y Crédito
Cámara de Comercio.
MODELO PDCA (Plan - Do - Check - Act)
Figura 1 Modelo PDCA (Plan-Do- Check-Act) Fuente: Análisis (2016). Santo Domingo:
Figura que detalla el Modelo PDCA (Plan-Do-Check-Act)
Planificar (Plan): Establecer las políticas, objetivos, procesos y procedimientos
relativos a la gestión del riesgo y mejorar la seguridad de la información, para ofrecer
resultados de acuerdo con las políticas y objetivos generales de la Cooperativa de
Ahorro y Crédito Cámara de Comercio.
Hacer (Do): Implementar y gestionar de acuerdo a su política, controles, procesos y
procedimientos. En la medida de lo posible debería hacerse en un entorno de prueba
para poder verificar sus resultados antes de implantarlo en la Cooperativa de Ahorro y
Crédito Cámara de Comercio.
Verificar (Check): Medir y revisar las prestaciones de los procesos del SGSI.
Comprobar que las medidas adoptadas han surtido efecto, para ello se debe volver a
recopilar datos y monitorizar el comportamiento del sistema de gestión de información
que se utilice en la Cooperativa.
Planificar
Definición yestablecimientodel SGSI.
Hacer
Implantación yoperación delSGSI.
VerificarComprobación yrevisión delSGSI.
Actuar
Mantenimientoy mejora delSGSI.
46
Actuar (Act): Adoptar acciones correctivas y preventivas basadas en auditorías y
revisiones internas con el objetivo de mejorar el SGSI. Hace referencia a la actitud que
se debe tomar después de los tres primeros pasos y dependerá de lo que haya
ocurrido. En caso de haber ocurrido algún mal funcionamiento, se deberá repetir el
ciclo de nuevo. Si el funcionamiento ha sido correcto, se instalarán las modificaciones
en el sistema de manera definitiva.
Controles de la norma ISO/IEC 27001:2013
Figura 2 Controles de la Norma ISO/IEC 27001:2013 Fuente: Análisis (2016). SantoDomingo: Figura que detalla de los Controles de la Norma ISO/IEC 27001:2013
Política de seguridad: Documento en el cual se estipulan las políticas con respecto a
la seguridad de la información de la Cooperativa de Ahorro y Crédito Cámara de
Comercio.
Objetivo
Brindar apoyo y orientación a la Cooperativa con respecto a la seguridad de la
información, de acuerdo con los requisitos del Cooperativa y los reglamentos y
las leyes pertinentes.
Control
Aprobar un documento de política de seguridad, publicar y comunicar.
Política de seguridad
Organización de laseguridad
Seguridad del RecursoHumano Gestión de activos
Control de acceso
Seguridad FísicaGestión de
comunicaciones yoperaciones
Gestión de incidentesde seguridad
Cumplimiento
47
Organización de la seguridad: Estructura del departamento de seguridad que le
permita gestionar la seguridad de la información dentro de la organización:
Roles, compromisos, autorizaciones, acuerdos, manejo con terceros, entre otros.
Objetivo
Gestionar la seguridad de la información dentro de la Cooperativa.
Control
Definir claramente todas las responsabilidades en cuanto a seguridad de la
información.
Identificar y revisar con regularidad los acuerdos de confidencialidad.
Seguridad del Recurso Humano: Procedimientos para asegurar que empleados,
contratistas y terceros entienden sus responsabilidades y son idóneos para los roles a
desempeñar minimizando los riesgos relacionados con personal.
Objetivo
Asegurarse que los empleados, contratistas y usuarios por tercera parte
entienden sus responsabilidades y son adecuados para los roles para los que
se consideran, y reducir el riesgo de robo, fraude o uso inadecuado de las
instalaciones.
Control
Definir y documentar los roles y responsabilidades de los empleados,
contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la
política de seguridad de la información de la Cooperativa.
Gestión de activos: Procedimientos para la identificación de los activos de
información y los requerimientos de estos en cuanto a confidencialidad, integridad y
disponibilidad.
Objetivo
Lograr y mantener la protección adecuada de los activos de la Cooperativa.
48
Control
Todos los activos claramente identificados, mediante un inventario.
Control de acceso: Procedimientos y controles para garantizar que el acceso a los
activos de información este restringido a personal autorizado.
Objetivo
Controlar el acceso a la información.
Control
Debe existir un procedimiento formal para el registro y cancelación de usuarios
con el fin de conceder y revocar el acceso a todos los sistemas y servicios de
información.
Seguridad Física: Procedimientos y controles para prevenir accesos físicos no
autorizados (perímetro), daños o interferencias a las instalaciones de la organización y
a su información.
Objetivo
Evitar el acceso físico no autorizado, el daño e interferencia de las
instalaciones y a la información de la Cooperativa.
Control
Las áreas seguras deben estar protegidas con controles de acceso apropiados,
para asegurar que solo se permita el acceso a personal autorizado.
Gestión de comunicaciones y operaciones: Procedimientos y controles para
garantizar la correcta y segura operación de las áreas de procesamiento de
información (actividades operativas y concernientes a la plataforma tecnológica).
49
Objetivo
Asegurar la operación correcta y segura de los servicios de procesamiento de
información.
Control
Se deben controlar los cambios en los servicios y los sistemas de
procesamiento de información
Gestión de incidentes de seguridad: Procedimientos y controles que buscan que los
eventos de seguridad de la información y las debilidades asociadas con los sistemas
de información, sean comunicados de tal manera que se tome una acción correctiva
adecuada y en el momento indicado.
Objetivo
Asegurar que los eventos y las debilidades de la seguridad de la información
asociadas con los sistemas de información se comunican de forma tal que
permiten tomas las acciones correctivas oportunamente.
Control
Los eventos de seguridad de la información se deben informar a través de los
canales de gestión apropiados tan pronto como sea posible.
Cumplimiento: Procedimientos y controles que buscan prevenir el incumplimiento
total o parcial de las leyes, estatutos, regulaciones u obligaciones contractuales que se
relacionen con los controles de seguridad.
Objetivo
Evitar el incumplimiento de cualquier ley, de obligaciones estatutarias,
reglamentarias o contractuales y de cualquier requisito de seguridad.
Control
Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la
legislación y los reglamentos pertinentes.
50
Estructura del Desarrollo del Proyecto
Figura 3 Estructura del Desarrollo del Proyecto. Fuente: Análisis (2016). SantoDomingo: Figura que detalla el La Estructura del desarrollo del Proyecto.
Alcance
Descripción de la empresa, delimitación del alcance, descripción de la Cooperativa
que será objeto de estudio.
El alcance es esencial para cualquier Cooperativa de cualquier tamaño: se debe
decidir cuales activos de información se van a proteger y cuales no antes de decidir en
su protección adecuada.
Análisis de la situación actual.
Análisis de cada uno de los procesos que la cooperativa realiza para la organización,
distribución y almacenamiento de la información, es decir analizar cada una de los
controles, normas que ellos utilizan actualmente, verificando así los problemas
existentes en la Cooperativa.
Identificación Activos.
Realización de un análisis del área establecida de la Cooperativa donde se realizara
toda la identificación necesaria y clasificación de los activos tanto lógicos como físicos,
identificación de procesos/ procedimientos, identificación y clasificación de los activos.
Elaboración de una metodología de análisis de riesgos: Identificación y valoración de
activos, amenazas, vulnerabilidades, cálculo del riesgo, nivel de riesgo aceptable y
riesgo residual.
AlcanceAnálisis de la
situaciónactual
Identificaciónde Activos
Procesos yDiseños deControles
Mejora
51
Procesos y Diseños de Controles
Debe incluir los objetivos de control y controles que serán aplicados y los que serán
excluidos. La declaración de aplicabilidad da la oportunidad a la Cooperativa de que
asegure que no ha omitido algún control.
Para la aplicabilidad se debe tomar en cuenta los dominios o controles, objetivos de
control de la norma ISO/IEC 27001:2013.
Elaboración de cronogramas para las capacitaciones en seguridad informática tanto
para el departamento de tic como para los demás empleados, dichos cronogramas
serán distribuidos de tal forma que no afecten en gran manera a las actividades
normales de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
La política de seguridad y los objetivos que en la misma se defina y apruebe, tanto en
el ámbito general como en el particular, y cree un Sistemas de Gestión para la
Seguridad de la Información (SGSI) que se articule de forma que cumpla los requisitos
legales o reglamentarios, gestione la protección y distribución de los activos de la
Cooperativa, y se encuentre distribuido y publicado para un mejor conocimiento por
parte de todos los empleados.
Evaluación de controles, conocimiento y nivel de cumplimiento de la Cooperativa con
relación al conocimiento en la implementación de los controles de seguridad del SGSI,
de acuerdo a las fases previas de definición, planeación del SGSI. Documento de
contenido genérico que establece el compromiso y enfoque de la Cooperativa en la
gestión de la seguridad de la información.
Mejora
El principal elemento del proceso de mejora son las no-conformidades identificadas,
las cuales tienen que contabilizarse y compararse con las acciones correctivas para
asegurar que no se repitan y que las acciones correctivas sean efectivas.
El objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase de
procesos y diseño de los controles, ya que se observa los beneficios que el plan de
seguridad le brinda a la Cooperativa y a la vez se cumplan a las necesidades de la
misma.
52
Conclusiones Parciales del capítulo
En la Cooperativa existen falencias en procedimientos a seguir en caso de
ocurrir problemas con sus equipos de cómputo, cuando deben respaldar la
información y los pocos que lo hacen no lo realizan con la regularidad que
deberían.
Existen un porcentaje alto de empleados que controlan la conexión de
unidades extraíbles a sus equipos de cómputo pero mientras están en sus
puestos de trabajo, una vez que lo abandonan no existen ninguna medida de
seguridad.
No existen controles en la seguridad de información tanto lógicas como físicas,
por tal motivo al momento de alguna sustracción, modificación, eliminación de
información el departamento de tecnología no tiene un reglamento de que
realizar cuando esto suceda.
La cooperativa no tiene políticas de seguridad de la información, es decir que
los empleados no tienen un documento el cual les certifique lo que deben y no
deben hacer con la información de la cooperativa.
53
CAPÍTULO III
TEMA
Plan informático 2016-2020 basado en la norma ISO/IEC 27001:2013 para mejorar la
seguridad de la información, infraestructura tecnológica y procesos informáticos en la
Cooperativa de Ahorro y Crédito Cámara de Comercio de la Ciudad de Santo
Domingo.
Caracterización de la propuesta
La realización de esta propuesta está orientada al desarrollo de un Plan informático
para mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos basados en la norma ISO/IEC 27001:2013, proyecto se está destinado a
ser implementado en la Cooperativa Ahorro y Crédito Cámara de Comercio.
Luego de realizar un análisis de riesgo de la información en las áreas dependientes del
departamento de Tics, donde se encuentran funcionando un sistema de información,
bienes informáticos cuyos riesgos no son iguales es preciso establecer las prioridades
en las tareas a realizar para minimizar los riesgos. El departamento de Tics de la
Cooperativa debe asumir el riesgo residual, es decir el nivel restante de riesgo
después de su tratamiento.
El aporte de este trabajo de investigación está considerado en los siguientes puntos de
la propuesta:
Plan de seguridad Basado en la norma ISO 27001:2013.
Es la parte más importante de la propuesta, ya que ISO hace referencia a los Sistemas
de Gestión de Seguridad de la Información (SGSI), donde está implicada todas las
áreas de la Cooperativa, por lo tanto se realiza un análisis de ISO 27001:2013 y que
se puede tomar para la elaboración de Plan de Seguridad Informática. Utilizando los
controles adecuados para el desarrollo de la propuesta de un Plan informático.
54
Desarrollo de la propuesta
Alcance del Plan informático
El plan de seguridad abarca el departamento de tecnologías de la información y todos
los equipos de la parte administrativa de la Cooperativa Ahorro y Crédito Cámara de
Comercio de Santo Domingo.
Límites del Plan de seguridad.
El plan informático no establece políticas de seguridad para los sistemas de
información a razón de que estos sistemas actúan en base de sus propias normas y
tienen manuales de operación predefinidos.
Características de la Cooperativa Ahorro y Crédito Cámara de Comercio.
La Cooperativa de Ahorro y Crético Cámara de Comercio se encuentra ubicada en la
Provincia de Santo Domingo de los Tsáchilas en el cantón Santo Domingo de los
Colorados en la Av. Quito y Latacunga, como Gerente Ing. Lorena Haro, está
Cooperativa actualmente es una de las más reconocidas por su trabajo y esfuerzo
diario.
Situación previa de la seguridad informática en el caso de estudio.
El departamento de tecnología de la información es una área fundamental de la
Cooperativa donde se encuentran los dispositivos, software y toda la infraestructura
tecnológica que hace posible brindar servicios a la comunidad por esta razón se
requiere que la información y la seguridad sea tratada de manera organizada, ya que
al momento no se cuenta con políticas de seguridad actualizadas ni adecuadas para
la Cooperativa, y todas las actividades siguen sin tener lineamientos para el
aseguramiento de los activos de la Cooperativa de Ahorro y Crédito Cámara de
Comercio.
55
Análisis de la situación actual.
En el desarrollo de la investigación observamos las carencias de procedimientos,
políticas de seguridad y normativas de control aplicable a la Seguridad en los procesos
Informáticos que engloba al control de la información generada por la Cooperativa.
En la visita realizada en la Cooperativa de Ahorro y Crédito de la Cámara de Comercio
se han podido apreciar algunas dificultades activas, resultantes de un cierto nivel de
inseguridad informática, hay que señalar, que muchas de las operaciones de la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio, son apoyadas por la
seguridad de la tecnología informática.
En la Cooperativa de Ahorro y Crédito de la Cámara de Comercio se pudo encontrar
los siguientes problemas:
No existen las seguridades necesarias para el cuarto de Data Center,
seguridades tales como: No cuenta con seguridad de acceso para ingresar a la
parte interna del data center, No existen sistema de detección y prevención de
incendio, no cuenta con una cámara de seguridad, su ubicación no es la
adecuada en cuanto a peligros de fenómenos naturales (inundaciones).
No se cuenta con políticas de seguridad en la Cooperativa Ahorro y Crédito
Cámara de Comercio, permitiendo el acceso no autorizado a una red
informática o a los equipos que en ella se encuentran, provocando así la
falsificación, sustracción y modificación de información.
No existen manuales de procedimientos, cronogramas y formatos de los
procesos informáticos, la carencia de estos documentos desemboca en la
dificultad de seguimiento de las actividades en el departamento de tecnología y
la delegación de cargos y tareas correspondiente.
La falta de un rack, produce que la organización dentro en el data center no es
el correcto ya que no existe un lugar físico adecuado para los dispositivos.
56
Al no existir un plan de contingencia, generaría deficiente tiempo de reacción
en el caso de algún tipo de desastres. Todas estas falencias implica a la
Cooperativa como una ente vulnerable ante cualquier eventualidad de intrusos
o imprevistos naturales que puedan provocar una alteración, falsificación, robo
o aun pero la pérdida parcial o total de la información.
Análisis de resultados
Una vez realizada el análisis de la situación actual de la Cooperativa de Ahorro y
Crédito y Cámara de Comercio de Santo Domingo, se establece la aplicación de la
entrevista y encuestas realizadas al personal de la Cooperativa para obtener un
análisis más exacto de la seguridad informática que posee, los resultados se
encuentran en el segundo capítulo del presente proyecto, ya que fueron de gran
importancia a la hora de valorar las vulnerabilidades, amenazas y riesgos de la
Cooperativa.
Procesos y diseño de los procesos
Es el desarrollo y cumplimiento de cada uno de los procesos necesarios para la
correcta funcionalidad y eficacia de la Cooperativa de Ahorro y Crédito Cámara de
Comercio según la norma ISO 27001:2013.
A continuación se detallara el uso de cada uno de los controles que se utilizaron para
el desarrollo del presenta plan informático:
Políticas de seguridad
La política global de seguridad de la información de la Cooperativa se encuentra
soportada por políticas, normas y procedimientos específicos los cuales guiaran el
manejo adecuado de la información de la Cooperativa. Adicionalmente, se
establecerán políticas específicas de seguridad de la información las cuales se
fundamentan en los dominios y objetivos de control de la norma internacional ISO
27001:2013.
57
Con la colaboración del Departamento de tecnologías de información se compromete
a liderar y fomentar a todos los funcionarios de la Cooperativa la seguridad de acuerdo
a las políticas de seguridad y los objetivos que en la misma se defina y apruebe, y
cree un sistemas de gestión para la seguridad de la información que se articule de
forma que cumpla los requisitos legales o reglamentarios, gestione la protección y
distribución de los activos de la Cooperativa, es por ello que en el desarrollo del
presente plan informático se promane la elaboración de un manual de políticas de
seguridad informáticas. Ver Anexo Políticas de seguridad.
El desarrollo y aplicación de las políticas de seguridad informática se encuentra
clasificado en diferentes categorías tales como se muestran a continuación:
Seguridad Institucional
Se debe asegurar la integridad, confidencialidad y disponibilidad de la información y
los recursos asociados a esta, razón por la cual se debe administrar adecuadamente
la seguridad de la información de la Cooperativa y establecer un marco gerencial para
iniciar y controlar su implementación y establecer las funciones y responsabilidades,
regirá a todo el ambiente de tecnología de la información y funcionarios administrativos
de la Cooperativa.
Seguridad física y de medio ambiente
La Cooperativa proveerá la implantación y velara por la efectividad de los mecanismos
de seguridad física y control de acceso que aseguren el perímetro de su instalación.
Así mismo, controla las amenazas físicas externas e internas y las condiciones
medioambientes de sus oficinas.
Administración de operaciones en los centro de computo
El Departamento de Tics, encargado de la operación y administración de los recursos
tecnológicos que apoyan los procesos de la Cooperativa, asignara funciones
específicas a sus funcionarios, quienes deben efectuar la operación y administración
de dichos recursos tecnológicos, manteniendo y actualizando la documentación de los
58
procesos operativos para la ejecución de las actividades que serán adecuadamente
controlados y debidamente autorizados.
Acceso lógico
Proteger la información de la Cooperativa, normando el acceso a través de los
sistemas informáticos, considerando: perfiles, permisos, cuentas, contraseñas y
protectores de pantalla. Esta política cubre toda la información que se encuentra
almacenada y gestionada en activos tecnológicos. Su cumplimiento es de carácter
obligatorio para quienes necesitan hacer uso de la misma.
Cumplimiento de seguridad informática
La Cooperativa velara por la identificación, documentación y cumplimiento de la
legislación relacionada con la seguridad de la información, entre ella la referente a
derechos de autor y propiedad intelectual, se aplica a todos los sistemas informáticos,
normas, procedimientos, documentación, así como a personal de la Cooperativa para
que cumpla con los requerimiento legales y de licenciamiento aplicables.
Privacidad y protección de datos personales
Buscará proteger la privacidad de la información personal de sus funciones
estableciendo los controles necesarios para preservar aquella información que el
Departamento de Tics conozca y almacene de ellos, velando por que dicha
información sea utilizada únicamente para funciones propias de instituto y no sea
publicada, revelada o entregada a funcionarios o terceras partes sin autorización.
Las políticas de seguridad, constituye la base a partir de la cual la Cooperativa diseña
su sistema de seguridad, para garantizar que la inversión que se realice sea la
adecuada, que los productos y soluciones adquiridos cumplan con los objetivos de la
institución y que estos sean configurados correctamente. Por lo tanto, el desarrollo y
aplicación de las políticas de seguridad ayudarán a:
59
Concienciar a todos los funcionarios de la Cooperativa, sobre su obligación de
conocer y aplicar las políticas en materia de seguridad informática para lograr
un cambio favorable en la cultura de la Cooperativa.
Las políticas de seguridad de la información cubren todos los aspectos
administrativos y de control que deben ser cumplidos por los directivos,
funcionarios que laboren o tengan relación con la Cooperativa, para conseguir
un adecuado nivel de protección de las características de seguridad y calidad
de la información relacionada.
Las políticas de seguridad informática mantendrán y garantizaran la integridad
física de los recursos informáticos, así como resguardar los activos de la
Cooperativa.
Minimizar la perdida de la información y recursos a través de las políticas de
seguridad informática, mediante su aplicación.
Dar la información necesaria a los funcionarios y directivos administrativos, de
las políticas de seguridad informática que deben cumplir y utilizar para proteger
el hardware y software de la Cooperativa, así como la información que es
procesada y almacenada en estos.
Manual de procedimientos informáticos
Se realizó un análisis en la Cooperativa, que permita gestionar la seguridad de la
información dentro de la misma, Se especificó los roles, compromisos, autorizaciones,
acuerdos, que deben cumplir cada uno de los funcionarios de la Cooperativa, con la
finalidad de definir claramente todas las responsabilidades para proteger la integridad
y seguridad de la información. Por esa razón de acuerdo a la propuesta del presente
plan informático se realizó un manual de procedimientos donde se establece la
metodología para solicitar servicio de soporte técnico y mantenimiento en la
Cooperativa, garantizando la prestación de un servicio eficiente y el adecuado
funcionamiento de sus equipos de cómputo. Ver Anexo Manual de Procedimiento.
60
El objetivo principal del manual de procedimiento es recibir, atender y dar seguimiento
a las solicitudes de forma ordenada, secuencial y detallada las operaciones que se
desarrolla en los procesos, servicio que presta el departamento de Tics. Se encuentra
clasificado en diferentes procesos:
Proceso para configuración de cuenta de usuario
Este procedimiento tiene el propósito de realizar la administración de cuentas de
usuarios dentro de la Cooperativa tales procesos como: creación de usuarios y
contraseñas, recuperación de contraseña y/o cuenta de usuario.
Proceso de capacitación a usuarios
Este procedimiento tiene el propósito de realizar la previa capacitación a los usuarios
en el uso físico y lógicos de los recursos de la Cooperativa tales procesos como:
Capacitación en el uso del sistema al personal administrativo.
Proceso de telecomunicaciones y redes
Este procedimiento se encuentra los procesos relacionados a la gestión de
telecomunicaciones y redes tales como: Administración de res, administrador del
firewall (dispositivo de internet y red institucional).
Proceso de software
Este procedimiento tiene el propósito de realizar procesos de gestión lógica y control
del software y aplicaciones de los equipos de cómputo de la Cooperativa tales como:
administración de software y licencias.
Proceso de gestión de información
Este procedimiento tiene el propósito de realizar los procesos relacionados a la gestión
de la información tales como: copias de seguridad de toda la información diaria que
genera la Cooperativa.
61
Proceso de hardware
Este procedimiento tiene el propósito de realiza los procesos relacionados a la gestión
física de los equipos de cómputo y recursos informáticos de la Cooperativa tales como:
instalación de equipos, baja de equipos de cómputo, mantenimiento a un equipo,
asignación y cambio de equipos o recursos informáticos.
El desarrollo y aplicación del manual de procedimiento informático ayudarán a:
Permite comprender mejor el desarrollo de las actividades de rutina en todos
los niveles jerárquicos, lo que propicia la disminución de fallas u omisiones y
por ende el incremento de la productividad o eficiencia del servicio que se
brinde en la Cooperativa.
Sirve como una guía eficaz para la obtención de conocimientos referente a los
procedimientos informáticos que deben realizar el personal de la Cooperativa.
Minimiza los riesgos personales, legales e institucionales al cumplir con los
parámetros normativos de la Cooperativa.
Evita la repetición de las actividades, referente a los servicios del
Departamento de Tics tales como soporte técnico, mantenimiento,
capacitaciones.
Reduce el tiempo de las labores destinadas al personal del departamento de
Tics, puesto que se racionaliza el trabajo.
Mejora la productividad y eficiencia de los funcionarios de la Cooperativa en
sus actividades diarias.
Mejora de la infraestructura de tecnologías de información y del Data Center
La norma ISO 27001, mantiene la seguridad de la información de una organización
protegida de accesos inadecuados y otras amenazas a las que se poda enfrentar. Ya
que hoy en día, la información está definida como uno de los activos más
62
valiosos y primordiales para cualquier tipo de organización, la cual, sólo tiene sentido
cuando está disponible y es utilizada de forma adecuada, integrada, oportuna,
responsable y segura, lo que implica, que es necesario que la Cooperativa tenga
una adecuada gestión de sus recursos y activos de información con el objetivo
de asegurar y controlar el debido acceso, tratamiento y uso de la información.
Por esta razón se procedió a realizar un análisis de cada uno de los riesgos que puede
sufrir la cooperativa en la infraestructura tecnológica y a la vez sus posibles soluciones
para evitar pérdidas, daños en la información y así mismos en los activos vigentes que
se utilizan en la Cooperativa para su labor diario.
En la realización de esta propuesta de la mejora física y seguridad en la infraestructura
tecnológica se toma en cuenta la norma TIER I (Infraestructura Básica (Disponibilidad,
Confiabilidad, Costo estimados de construcción y mantenimiento)), que es una
certificación o “clasificación” de un Data Center en cuanto a su diseño, estructura,
desempeño, fiabilidad, inversión y retorno de inversión, esta categoría es susceptible a
interrupciones tanto planeadas como no planeadas. Cuenta con sistemas de aire
acondicionado y distribución de energía, pero puede o no tener piso técnico, UPS o
generador eléctrico; si lo posee pueden no tener redundancia y existir varios puntos
únicos de falla. La carga máxima de los sistemas en situaciones críticas es del 100%.
La infraestructura del Centro de Datos deberán estar fuera de servicio al menos una
vez al año por razones de mantenimiento y/o reparaciones. Situaciones de urgencia
pueden motivar paradas más frecuentes y errores de operación o fallas en los
componentes de su infraestructura causaran la detención del Centro de Datos. La tasa
de disponibilidad máxima del Centro de Datos es 99.671% del tiempo. (TIA-942: Data
Center Standards Overview).
Por esta razón la Cooperativa de Ahorro y Crédito Cámara de Comercio deben contar
con una respectiva propuesta guía para analizar y diseñar correctamente el data
center y departamento de tecnología de información en la cual le beneficie, mejore y
cumpla las necesidades que satisfagan con mayor facilidad. Haciendo así que
incremente y mejore la productividad, la velocidad, la facilidad de intercambio y
almacenamiento de información, la seguridad de la informática, disminución en los
errores humanos a través de la automatización.
63
La mejora de la infraestructura permitirá la optimización de los siguientes parámetros
de la Cooperativa:
Asegurar el correcto funcionamiento de la Cooperativa, posibilidad de estar
fácilmente informados ante todo lo que pasa en la institución, pudiendo así, ser
más eficaces a la hora de resolver un problema.
La Cooperativa al estar actualizado en el ámbito tecnológico, dará ventajas
competitivas, capacidad para el desarrollo de la productividad del negocio y lo
que es más importante es que tendrán la capacidad de poder prestar el mejor
servicio a los clientes de la Cooperativa.
Disponiendo una infraestructura adecuada y realizando el mínimo
mantenimiento de esta, se obtendrá un sistema mucho más seguro en cuanto a
la seguridad de la información que genera diariamente los recursos
tecnológicos de la Cooperativa.
El plan informático como se lo ha estado desarrollando consta de la propuesta de la
mejora de la infraestructura tecnológica tanto en el Departamento de Tics como en el
data center. Es importante recalcar que dicha mejora en la infraestructura tecnológica
se cumpla, por lo cual se realizó un análisis de costos y equipamiento que puede
mejorar el valor económico. Ver Anexo Propuesta Mejora infraestructura tecnológica.
Plan de Contingencia Informático
En la propuesta del presente documento se establece la elaboración de un plan de
contingencia informático como parte de la solución para mejorar la seguridad de la
información, infraestructura tecnológica, está basado en la realidad que manifiesta la
Cooperativa de Ahorro y Crédito Cámara de Comercio, durante el desarrollo del
presente plan se ha tomado en cuenta los posibles riesgos dentro de la institución,
tomando en cuenta también la eficacia y calidad de servicios que brinda la institución a
los funcionarios, personal administrativo y usuarios que conforman la Cooperativa, ya
que estos fueron los actores principales para la obtención de la información que
64
ayudara para la correcta realización de un plan de contingencia según las necesidades
de la Cooperativa. Ver Anexo Plan de Contingencia.
Este plan de contingencia es un documento que establece los lineamientos de
respuesta para atender en forma oportuna, eficiente y eficaz, daños en equipos e
computo o desastres producto de eventos naturales u otros, a causa de algún
incidente tanto interno como externo a tecnologías de información.
El desarrollo y aplicación de plan de contingencia ayudarán a:
Proveer una solución para garantizar la continuidad de las operaciones de los
diferentes departamentos de la Cooperativa, en especial el departamento del data
center y área financiera, ya que son los que operan los sistemas de información
principales de la Cooperativa.
Evitar pérdidas financieras significativas debido a la interrupción prolongada de los
servicios de computación que causan la desconfianza de clientes llevando al
fracaso de la institución.
Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y
exposición al riesgo de las diferentes áreas de la institución.
Tomar decisiones rápidas ante anormalidades o fallas para poder reestablecer los
servicios en el menor tiempo posible o evitar las mismas.
Generar cultura y garantizar la seguridad física y lógica de la organización en todo
el personal para de esa manera poder asegurar la estabilidad de la Cooperativa.
La metodología empleada es el resultado de la experiencia práctica de la Cooperativa
de Ahorro y Crédito Cámara de Comercio en la implementación de planes de
contingencia, mitigación de riesgos y seguridad, lo cual garantiza que el documento
final sea necesariamente objetivo y práctico, a fin de contar con una herramienta
efectiva en caso de una contingencia real.
65
La presente metodología se podría resumir en seis fases de la siguiente manera:
Planificación
Identificación y priorización de riesgos
Definición de eventos susceptible de contingencia
Elaboración del Plan de Contingencia
Definición y Ejecución del Plan de Pruebas
Implementación del Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias de permitan
realizar: análisis de riegos, de prevención, de emergencia, de respaldo y recuperación
para enfrentar algún desastre, por lo que se debe tomar como guía para la definición
de los procedimientos de seguridad de la información que cada departamento de la
empresa debe definir.
Cumplimiento
Se debe realizar un seguimiento de cada uno de los puntos mencionados
anteriormente, ya que debe definirse y documentarse todos los controles específicos
que se realicen y también deben tener en cuenta las responsabilidades que hayan sido
asignadas para realizar los controles oportunos que aseguren que se cumplen todos
los requisitos de seguridad.
Mejora
Luego de la implementación del Plan de seguridad Informática para el departamento
de tecnologías de la Información se realizó un seguimiento informático basado en los
objetivos, controles, implementados de la Norma ISO 27001, donde se constata que el
Plan de Seguridad satisface las metas planteadas obteniendo una mejora significativa
en la integridad, confidencialidad y disponibilidad de la información.
Por esa razón se utilizó el Ciclo PDCA en ISO/IEC 27001:2013, para las acciones a
realizar.
66
Fuente: Sistema de Gestión de Seguridad Informática. Fases del ciclo de vida de PDCA.
Planificar
Esta etapa es fundamental para la definición de la estructura del SGSI, ya que sirvió
para la planificación de la organización básica y establecer los objetivos de la
seguridad de la información y a escoger los controles adecuados de seguridad para la
realización de la propuesta del plan informático que se desarrollara en la Cooperativa.
Hacer
Implica la realización de todo lo planificado en la fase anterior, durante esta se
desarrollaron los controles que integran la declaración de aplicabilidad, asimismo, se
llevó a cabo la ejecución del programa de concientización de usuarios y el equipo de
administración, y se inicia la operación de sistema de Gestión de la Información.
Verificar
El objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos
“canales” y verificar si los resultados cumplen los objetivos establecidos dentro de la
Figura 4 Ciclo PDCA en ISO 27001:2013
67
propuesta que se realizara para la Cooperativa. En esta etapa se realizaran una serie
de revisiones al SGSI para detectar las áreas de oportunidad en la eficiencia de
implantación de controles de seguridad, y determinar el grado de apego del SGSI a los
objetivos de negocio de la Cooperativa. Luego de realizar la verificación el
Departamento de Tics trabajara para dar soluciones a los posibles errores detectadas.
Actuar
El objetico de esta fase es mejorar todos los incumplimientos detectados en la fase de
verificación. Adoptar acciones correctivas y preventivas basadas en revisiones internas
con el objetivo de mejorar el SGSI. Hace referencia a la actitud que se debe tomar
después de los tres primeros pasos y dependerá de lo que haya ocurrido. En caso de
haber ocurrido algún mal funcionamiento, se deberá repetir el ciclo de nuevo. Si el
funcionamiento ha sido correcto, se instalarán las modificaciones en el sistema de
manera definitiva.
El desarrollo de la propuesta ayudara a promover la calidad de los servicios que ofrece
el departamento de Tics a todas las áreas administrativas de la Cooperativa de Ahorro
y Crédito Cámara de Comercio de Santo Domingo. Al implementa un Sistema de
Gestión de la Seguridad de la Información basado en la Norma ISO 27001:2013 sus
beneficios son:
Garantizar la confidencialidad, integridad y disponibilidad de información
sensible que la Cooperativa genera diariamente.
Disminuir el riesgo, con la consiguiente reducción de gastos asociados.
Reducir la incertidumbre por el conocimiento de los riesgos e impactos
asociados en cada uno de los procesos que se realizan para la seguridad de la
información de la Cooperativa.
Mejorar continuamente la gestión de la seguridad de la información.
Garantizar la continuidad de negocio de manera rápida y eficiente mediante un
plan de contingencia.
68
Aumento de la competitividad por mejora (Física y lógica) de la imagen de la
Cooperativa.
Incremento de la Confianza de los usuarios de la Cooperativa.
Reducir los costos asociados a los incidentes.
Mejorar la implicación y participación de los funcionarios en la gestión de la
seguridad de la información.
Mejora en los procesos y servicios prestados que el Departamento de Tics
brinda a todas las áreas administrativas de la Cooperativa.
A continuación se presentara el cronograma de actividades el cual detalla el trabajo
realizado a través de las etapas definidas por el presente proyecto y sugiere los
tiempos en los cuales se pondrá acceder a la implementación de los manuales,
políticas de seguridad informática, manual de procesos y procedimientos, plan de
contingencia informático y mejora de la infraestructura tecnológica, tal como se detalla
a continuación:
CRONOGRAMA DE ACTIVIDADES
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo.Figura 5 Cronograma de actividades
69
70
Conclusiones parciales del capítulo
Con el incremento de las exigencias de las Cooperativas y la evolución de la
tecnología, la seguridad de la información se ha convertido en una prioridad
para todo tipo de empresa, especialmente para las entidades de tipo financiero.
Con el análisis y recolección de información de la Cooperativa, se ha procedido
a realizar detalladamente cada uno de los riesgos y amenazas con sus
posibles soluciones, que se deben realizar al momento de sufrir algún ataque
inesperado por terceras personal o por negligencia de los funcionarios dentro
de la Cooperativa.
El desarrollo de cada una de las soluciones para la continuidad laboral de la
Cooperativa está basado en la norma ISO 27001:2013.
El plan de seguridad informática aplica la normativa vigente del país y órganos
de control de la ISO 27001.
También se ha realizado una identificación y evaluación de los activos para
conocer el correcto funcionamiento de cada uno de ellos, y así prevenir alguna
falencia, interrupción o pérdida de información por algún daño inesperado en el
dispositivo.
En el desarrollo de la propuesta se explica todos los procesos realizados para
el cumplimiento de los objetivos del plan informático que se realizara en la
Cooperativa.
.
71
CONCLUSIONES GENERALES
Como resultado del desarrollo del presente proyecto se han obtenido las siguientes
conclusiones.
La información es unos de los activos más importantes de la Cooperativa, la
cual debe asegurarse tomando una guía para poder implementar controles
para su correcta gestión.
La Cooperativa es una institución en crecimiento por lo que se requiere un gran
esfuerzo, control y supervisión de todos los procesos informáticos que se
producen para asegurar que no tenga lugar a pérdidas de información.
El plan de seguridad informática es importante que el inicio se lo realice con un
análisis de la norma ISO 27001 ya que en esta se encuentran los parámetros
generales de los documentos y pasos a seguir para poder realizar un sistema
de gestión de seguridad de la información.
El proceso de incorporación de controles en el plan de seguridad se debe
tomar en cuenta la norma ISO 27001 la cual se establecen los controles para
aseguramiento de las diferentes áreas y equipos de la Cooperativa
La norma ISO 27001 es fundamental ya que se encuentra la explicación de la
metodología para realizar la valoración de activos como análisis de riesgo y las
amenazas a las cuales están expuestas los equipos de informáticos.
En la implementación del plan de seguridad informática es necesario que el
equipo de trabajo se comprometa con la implementación de las políticas, ya
que son la base para obtener una mejora significativa en la integridad,
confidencialidad y disponibilidad en la información y los servicios.
Las políticas de seguridad informática realizadas para el caso de estudio
establecen un avance en cuanto a la gestión de la seguridad del departamento
de tecnologías de la información, ya que realiza una gran reducción de riesgos
y vulnerabilidades.
72
RECOMENDACIONES
Para una implementación exitosa del plan de seguridad informática un factor a
contemplar es tener el apoyo de la gerencia el cual debe conocer y establecer
que la seguridad de los servicios y la información que generan es fundamental
hoy en día.
Antes de la elaboración del plan de seguridad se debe definir que norma se
rigen la gestión informática para que sean consideradas en el desarrollo.
Previamente a la implementación de este plan de seguridad en la Cooperativa
sede be realizar un levantamiento del estado inicial de la seguridad para
establecer que controles son necesarios.
En la valoración de los activos se debe realizar previamente un estudio y
análisis que propone la norma para realizarla de forma correcta y el plan de
seguridad alcance el éxito deseado, de otra forma se puede realizar
erróneamente este proceso.
En la aplicación de controles de la norma ISO 27001 se recomienda contar con
un presupuesto base para la implementación de controles ya que alguno de
estos controles demandan un costo elevado en el caso de no contar con la
infraestructura o equipos necesarios.
En la implementación del plan de seguridad se debe capacitar al equipo de
trabajo en la importancia de aplicar las políticas de seguridad informáticas y las
consecuencias que puede ocasionar la no aplicación de las mismas.
Una vez cumplida la implementación de las políticas de seguridad informáticas
para el caso de estudio se debe realizar un análisis de las políticas de
seguridad para verificar el grado de cumplimiento y así establecer el grado de
reducción de riesgos en el departamento de tecnologías de la información.
BIBLIOGRAFÍA
Aguilera López, P. (2009). Seguirdad Informática. Washington: Editex.
Alan, C. (2009). Implementing information Segurity Based on ISO 27001. Ontario-Canada: Tercera Edicion.
Alfonso García, C. H. (2011). Seguridad Informática. Copibook.
Bernal Torres, C. A. (2010). Metodología de la investigación administración, economía,humanidades y ciencias sociales. Colombia: Person Educación.
BERNAL, C. A. (2010). Metodología de Investigación. Bogotá: Pearson.
Bertolín, J. A. (2008). Seguridad de la Informacion redes, informáticas y sistemas deinformación. Madrid-España: COPYRIGHT, Learning Paraninfo.
Borghello, C. (2010). http://www.segu-info.com.ar/. Recuperado el 17 de 06 de 2016,de http://www.segu-info.com.ar/
Chumpitaz Cmapos, L., Garcia Torres, M. D., Sakiyama Freire, D., & SanchezVasquez, D. (2005). Informatica aplicada a los procesos de enseñanza-aprendizaje. Lima Peru: Pontifica Universidad Catoliza.
CRESSON WOOD, C., CISA, & CISSP. (2002). Políticas de Seguridad InformáticaMejores Prácticas Internacionales. Huston: Netl Q.
DEL CID, A., MENDEZ, R., & FRANCO, S. (2011). Investigación. Fundamentos ymetodologías. México: Pearson.
Desongles Corrales, J., Ponce Cifredo, E. A., Garzón Villar, L., Sampalo De La Torre,D., & Rocha Freire, I. (2006). Técnicos de Soporte Informático. ESPAÑA:Editorial Mad, S.L.
DÍaz Orueta, G., Alzórriz Armendáriz, I., Sancristóbal Ruiz, E., & Castro Gil, M. A.(2014). Procesos y Herramientas para la seguridad de redes. España- Madrid:UNED.
Echeverria, G. (2013). Procedimientos y Medidad de Seguridad Informatica.Guatemala: Copyright.
Escrivá Gascó, G., Romero Serrano, R., Ramada, D. J., & Onrubia Pérez, R. (2013).Seguridad informática. Madrid España: Macmillan Iberia.
ESCRIVÁ, G. (2011). Seguridad Informática. España: MacMillan Iberia S.A.
Excellence, I. (21 de 09 de 2015). Sistemas de Gestión de Seguridad de laInformación. Obtenido de Sistemas de Gestión de Seguridad de la Información:http://www.pmg-ssi.com/2015/09/beneficios-iso-iec-27001-2013/
EYSSAUTLER DE LA MORA, M. (2006). Metodología de la Investigación. Mexico:Desarrollo de la Inteligencia.
Fedriani, M. (12 de 02 de 2016). Informáticos.co. Recuperado el 22 de 06 de 2016, deLa imporntancia de la seguridad infromática:
http://informaticos.co/mantenimiento-informatico-en-madrid/la-importancia-de-la-seguridad-informatica
Fernandez Suarez, J. A. (1991). La filosofia juridica de Eduardo Garcia Maynez.Universidad de Oviedo.
Ferrer, J. D. (2009). CSIC. Recuperado el 21 de 06 de 2016, dehttp://www.iec.csic.es/criptonomicon/articulos/expertos34.html
Frayssinet Delgado, M. (2013). Taller de transición de la norma ISO/IEC 27001:2005 ala ISO/IEC 27001:2013. Oficina Nacional de Gobierno Electrónico eInformática, 38-39.
Galindo López, C. M., Mena, A. B., Santizo Herrera, W. R., & Alonzo Mendoza, S. E.(2014). SEGURIDAD DE LA INFORMACÓN. La Segunda Cohorte delDoctorado en Seguridad Estratégica, 351.
GALINDO, M. (2009). Metodos y tecnicas de la investigación. Mexico: Trillas.García , A., Hurtado, C., & Alegre Ramos, M. (2011). Seguridad informática para
empresas publicas y particulares. Madrid España: COPYRIGHT Paraninfo.
Gascó E, R. G. (2013). Seguridad informática. Macmillan Iberia, S.A.: Madrid España.Gómez Vieites, Á. (2012). Enciclopedia de la Seguridad Informática. Mexico:
Alfaomega.
Gómez, J. A. (2011). REDES LOCALES. España: EDITEX.
González Trejo, D. (30 de 08 de 2013). Magazcitum. Recuperado el 14 de 07 de 2016,de Magazcitum: http://www.magazcitum.com.mx/?p=2397#.V7OoOZjhCM8
Guzmán Barcenes, E. M. (2015). Seguridad informática por capas para la protecciónde la información en la intranet de la cooperativa de ahorro y crédito Juan PioMora, del cantón San Miguel, provincia de Bolivar, período 2013. Obtenido dehttp://dspace.uniandes.edu.ec/handle/123456789/1814
Heredero, C. (2004). Informatica y comunicaciones en la empresa. Madrid: ESICEditorial.
Íñigo Griera, J., Barceló Ordinas, J. M., Cerdá Alabern, L., Peig Olivé, E., CorralTorruella, G., & Abella Fuentes, J. (2008). Estructura de redes decomputadores. Barcelona: UOC.
ISO. (2005). SOLUCIONES TECNICAS Y ORGANIZATIVAS A LOS CONTROLES DEISO/IEC 27001. Recuperado el 20 de 06 de 2016, dehttp://www.iso27000.es/download/ControlesISO270022005.pdf
ISOTools, E. (24 de Marzo de 2014). Sistemas de Gestion de Seguridad de laInformacion. Obtenido de Sistemas de Gestion de Seguridad de la Informacion:http://www.pmg-ssi.com/2014/03/iso-27001-los-dominios-de-la-informacion/
Leonard, F. (2004). Seguridad en centros de computo, politicas y procedimientos.Mexico-Mexico: Trillas.
Lopez Lemos, P. (2015). Novedades ISO 9001:2015. España: fundacionconfemetal.
Lopez, A. (2012). Seguridad Informática. España: EDITEX.
Lorenzo, M. (17 de 09 de 2014). La importancia de la seguridad informática.Recuperado el 22 de 06 de 2016, de La importancia de la seguridadinformática: http://colibris.es/blog/importancia-seguridad-informatica/
Martinez Avila, D. d. (23 de 01 de 2016). Ataques Informáticos. Recuperado el 22 de06 de 2016, de https://sites.google.com/site/martinezaviladiegodejesus/6/5-3-marco-referencial
Mejía Viteri, J. T. (2016 de Mayo de 13). Plan de seguridad informática deldepartamento de tecnologías de la información y comunicación de laUniversidad Técnica de babahoyo para mejorar la gestión en laconfidencialidad e integridad de la información y disponibilidad de los servicios.Tesis de Maestría Universidad Regional Autónoma de los Andes UNIANDESBabahoyo, ECUADOR. Obtenido dehttp://dspace.uniandes.edu.ec/handle/123456789/732
Microsoft, T. (2016). Respuesta a incidentes de seguridad de TI. Recuperado el 23 de06 de 2016, de https://technet.microsoft.com/es-es/library/cc700825.aspx
Pacio, G. (2014). Data Centers hoy. Buenos Aires: Alfaomega.
PEÑA, G. L. (2014). Procedimientos y Medidad de Seguridad Informatica. España.
PORTANTIER, F. (2012). Seguridad Informática. Buenos Aires: Andina.
Rodríguez, N., & Martínez, W. (2006). Planificación y evolución de proyectosinformáticos. COSTA RICA: EDITORIAL UNIVERSIDAD ESTATAL ADISTANCIA.
ROYER, J. M. (2004). Seguirdad en la Informática de empresa. Cornellá de Llobregat(Barcelona): ENI.
SÁNCHEZ GARRETA , J. S. (2003). Ingeniería de proyectos informáticos. Illustrated.
Sanchez Reinoso, A. (2003). Concepto de Seguridad. Lima: Miranda.
Vieites, Á. G. (2011). Seguridad informática Básico. StarBook .
Vieites, Á. G. (2012). Enciclopedia de la seguridad inforática. Mexico: Alfaomega.
Woody, M. W. (2010). La importancia de la Seguridad por Capas. Mexico: Temacilli.
ANEXOS
ANEXO 1 Perfil de Proyecto de investigación.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PERFIL DE PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL
TÍTULO DE INGENIERA EN SISTEMAS E INFORMÁTICA
TEMA:
PLAN INFORMÁTICO 2016-2020 BASADO EN LA NORMA ISO/IEC 2700:2013
PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, INFRAESTRUCTURA
TECNOLÓGICA YPROCESOS INFORMÁTICOS EN LA COOPERATIVA DE
AHORRO Y CRÉDITO CÁMARA DE COMERCIO DE LA CIUDAD DE SANTO
DOMINGO.
AUTORA: CHAMBA MALEZA JENNIFER TERESA
ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, Mgs.
SANTO DOMINGO – ECUADOR
2016
ANTECEDENTES DE LA INVESTIGACIÓN.
Se entiende por seguridad informática al conjunto de normas, procedimientos y
herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información. El acceso no autorizado a una
red informática o a los equipos que en ella se encuentran puede ocasionar en
la gran mayoría de los casos graves problemas.
Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es
un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al
día de las copias de seguridad. Y aunque estemos al día, no siempre es
posible recuperar la totalidad de los datos.Con la constante evolución de las
computadoras es fundamental saber que recursos necesitar para obtener
seguridad de la información.
Al realizar una investigación en el Repositorio Institucional Uniandes, se
encontró trabajos muy parecidos en las que se puede destacar:
Es una investigación preliminar de la tesis de grado del Magister Mejía Viteri,
José (2015).Plan de seguridad informática del departamento de tecnologías de
la información y comunicación de la Universidad Técnica de Babahoyo para
mejorar la gestión en la confidencialidad e integridad de la información y
disponibilidad de los servicios.Tesis de Maestría Universidad Regional
Autónoma de los Andes UNIANDES Babahoyo, Ecuador. Recuperado el 13 de
Mayo de 2016, desde: http://dspace.uniandes.edu.ec/handle/123456789/732
establece que:
Hoy en día la informática es la columna vertebral de las empresas públicas y
privadas, es tan crítico tener un departamento de Tecnologías de la
Información y comunicación, que provea servicios, tales como páginas web,
esto lleva a que se deba asegurar la disponibilidad y la seguridad de la misma,
tanto así que el bien más cotizado por las empresas es la información.
Es una investigación preliminar de la tesis de grado del Magister Santacruz
Fernández, Ángel(2013).Plan de seguridad informática y los riesgos operativos
en el Municipio Descentralizado de Quevedo, Provincia de los Ríos. Tesis de
Maestría Universidad Regional Autónoma de los Andes UNIANDES Los Ríos,
Ecuador. Recuperado el 13 de Mayo de 2016,
desdehttp://dspace.uniandes.edu.ec/handle/123456789/3037establece que:
La seguridad informática ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar más allá de las fronteras
nacionales. En este sentido, las políticas de seguridad informática surgen como
una herramienta organizacional para concienciar a los colaboradores.
Es una investigación preliminar de la tesis de grado del Viera Zambrano, Aída
Piedad (2015).Plan administrativo de red interna para mejorar la seguridad de
la información de la Escuela de perfeccionamiento de aerotécnicos de la
Fuerza Aérea. Tesis de Maestría Universidad Regional Autónoma de los Andes
UNIANDES Ambato, Ecuador. Recuperado el 13 de Mayo de 2016, desde:
httphttp://dspace.uniandes.edu.ec/handle/123456789/620 establece que:
Las Instituciones Públicas, tradicionalmente han ejecutado sus tareas en base
a lo establecido en las normas específicas, leyes y reglamentos, normalmente
en cuanto a la vulnerabilidad de las redes y seguridades es recomendable
utilizar planes de seguridades y redes para las empresas. Se tiene que trabajar
con políticas de seguridades.
Es una investigación preliminar de la tesis de grado del Villarreal Lascano,
Carlos Benjamín (2014). Tesis de Maestría Universidad Regional Autónoma de
los Andes UNIANDES Ibarra, Ecuador. Recuperado el 13 de Mayo de 2016,
desde: http://dspace.uniandes.edu.ec/handle/123456789/2329 establece que:
El presente proyecto describe el resultado obtenido del análisis de la
infraestructura como edificaciones de oficina, infraestructura de
comunicaciones, infraestructura de servicios y equipamiento informático
presenta puntos de debilidad que serán corregidos con la implementación de
las normas y procesos que se ejecutan en un plan de contingencia de
Seguridad informática dirigido al resguardo de la información (datos).
Es una investigación preliminar de la tesis de grado del Magister Guzmán
Bárcenes, Edith Maribel (2015).Seguridad informática por capas para la
protección de la información en la intranet de la cooperativa de ahorro y crédito
Juan Pio Mora, del cantón San Miguel, provincia de Bolivar, período 2013.
Tesis de Maestría Universidad Regional Autónoma de los Andes UNIANDES
Ambato, Ecuador. Recuperado el 13 de Mayo de 2016,
desdehttp://dspace.uniandes.eduec/handle/123456789/1814 establece que:
La seguridad es un tema que se ha puesto de moda en la actualidad, La
cantidad de amenazas que existen es realmente preocupante, por lo que es
importante tratar de estar preparados ante cualquier tipo de ataques. Por lo que
es importante tener bien definidas las seguridades con políticas que definan
qué es lo que desea proteger y qué espera de los usuarios del sistema. En las
redes, la seguridad es más difícil, ya que el canal mismo de comunicaciones
está abierto a posibles ataques.
Luego de una investigación preliminar realizada en la biblioteca virtual de la
Universidad, entre los trabajos de tesis, se pudo apreciar que el tema
propuesto es único.
SITUACIÓN PROBLÉMICA
El Directorio de la Cámara de Comercio de Santo Domingo, precedido por
elIng. Luis Núñez Presidente de la Institución, quien decidió llevar adelante
lacreación de la Cooperativa de Ahorro y Crédito el 10 de mayo del 2005tiempo
en el cual la Cooperativa de Ahorro y Crédito de la Cámara de Comercio
obtuvo la personería jurídica, medianteAcuerdo Ministerial 147-SD-SDC de la
Subdirección de Cooperativas delMinisterio de Bienestar Social, esto con el fin
de fortalecer el apoyo alcomercio de Santo Domingo, tanto para pequeños,
como a medianos ygrandes comerciantes.
La Cooperativa de Ahorro y Crédito de la Cámara de Comercio abre sus
puertas al público y empieza a operar el 20 de febrerodel 2006, gracias al
apoyo y empuje de los 23 socios fundadores. Durante eltiempo de operación la
institución ha tenido una buena aceptación, tomandoen cuenta que mantiene
una oficina moderna en las instalaciones de laCámara de Comercio de Santo
Domingo (CCSD), además posee directivoscon mucha trayectoria y un
personal administrativo que tiene vastaexperiencia en la actividad
financiera.Actualmente está ubicada en la Av. Quito y Latacunga
La utilización de la Informática en la institución, es vital para el manejo de la
información, pues en los actuales momentos sin el uso de las mismas no se
puede realizar ningún proceso o mantener una institución, sin embargo los
procedimientos de seguridad en muchas ocasiones no se toma en cuentas por
no existir políticas de seguridad.Se debe garantizar el flujo permanente de los
datos, contar con procedimientos alternos que permitan afrontar cualquier
eventualidad y que todos los usuarios de la red tengan la certeza que su
trabajo no será afectado por fallas en la comunicación de los datos o de otros
eventos que al final puedan generar un clima de inseguridad.
En la visita realizada en la Cooperativa de Ahorro y Crédito de la Cámara de
Comercio se han podido apreciar algunas dificultades activas, resultantes de un
cierto nivel de inseguridad informática, hay que señalar, que muchas de las
operaciones de la Cooperativa de Ahorro y Crédito de la Cámara de Comercio,
son apoyadas por la tecnología informática, especialmente con las
relacionadas a las redes.
En la Cooperativa de Ahorro y Crédito de la Cámara de Comerciose pudo
encontrar los siguientes problemas:
No existe una óptima infraestructura de red y centro de datos,
ocasionando problemas al momento de realizar mantenimiento así como
un tiempo en espera elevado al momento de acceder a los diferentes
recursos, e inseguridad de acceso al centro de datos.
La conectividad a Internet posibilita que se tengan accesos externos, los
cuales no han sido controlados adecuadamente, produciéndose incluso
perdidas de información por accesos indebidos, y por daños debido a
virus y más.
Las redes inalámbricas no poseen clave de acceso, y las que tienen no
son cambiadas periódicamente.
Las cámaras de seguridad se encuentran mal distribuidas en la
Institución,permitiendo así sustracciones de información dentro de la
misma Institución, también no hay un control visual del trabajo diario de
los empleados.
No se cuenta con políticas de seguridad en la Cooperativa Ahorro y
Crédito Cámara de Comercio, permitiendo el acceso no autorizado a una
red informática o a los equipos que en ella se encuentran, provocando
así la falsificación, sustracción y modificación de información.
No existen manuales de procedimientos, cronogramas y formatos de los
procesos informáticos, la carencia de estos documentos desemboca en
la dificultad de seguimiento de las actividades en el departamento de
tecnología y la delegación de cargos y tareas correspondiente.
Al no existir un plan de contingencia, generaría deficiente tiempo de
reacción en el caso de algún tipo de desastres.
PROBLEMA CIENTÍFICO.
¿Cómo mejorar la seguridad de la información, infraestructura tecnológica y
procesos informáticos en la cooperativa de ahorro y crédito cámara de
comercio de la ciudad de santo domingo?
OBJETO DE INVESTIGACIÓN.
Gestión de la seguridad de la información.
CAMPO DE ACCIÓN.
Infraestructura tecnológica y seguridad de los procesos informáticos.
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN.
Tecnologías de información y Comunicación
OBJETIVO GENERAL.
Diseñar un plan informático basado en la norma ISO/IEC 27001:2013 para
mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos en la cooperativa de ahorro y crédito cámara de comercio de la
ciudad de santo domingo.
OBJETIVOS ESPECÍFICOS.
Fundamentar científicamente las teorías de un plan informático,
procesos de información, categorizaciones, seguridades informáticas
especialmente en redes.
Realizar una investigación de campo para conocer la deficiencia de la
infraestructura, de los procesos informáticos y seguridad informática
existentesen la Institución.
Plantear un plan informático basado en la norma ISO/IEC
27001:2013para mejorar la seguridad de la información, infraestructura
tecnológica y procesos informáticos en la cooperativa de ahorro y
crédito cámara de comercio de la ciudad de santo domingo.
Presentar la propuesta a un tribunal de expertos para su validación.
IDEA A DEFENDER
Con el diseño de un plan informático basado en la norma ISO/IEC 27001:2013
mejorará la seguridad de la información, infraestructura tecnológica y procesos
informáticos en la cooperativa de ahorro y crédito cámara de comercio de la
ciudad de santo domingo.
VARIABLES DE LA INVESTIGACÍON.
Variable independiente: Plan informáticobasado en la norma ISO/IEC
2700:2013.
Variable dependiente:Seguridad de la información, infraestructura tecnológica
y procesos informáticos.
METODOLOGÍA A EMPLEAR
La presente investigación se realizará bajo la aplicación dediferentes métodos
con un enfoque analítico de tipo cualitativo y cuantitativo queorientan todo el
proceso de estudio, derivado de procesos analíticos altamentedefinidos para la
determinación de la seguridad en los procesos informáticos.
Otra forma reciente de caracterizar métodos de investigación es la concepción
de métodos cimentada en las distintas concepciones de la realidad social, en el
modo de conocerla científicamente y en el uso de herramientas metodológicas
que se emplean para analizar. (Bernal Torres, 2010)
Se utiliza el enfoque cuantitativo para analizar y medir el impacto que tendría
una implementación de procesos y normas de seguridad de información en la
Cooperativa de Ahorro y Crédito de la Cámara de Comercio.
Se utiliza el enfoque cualitativo para la realización de la observación del
comportamiento de los usuarios frente al manejo de la información y de los
equipos informáticos como herramientas de gestión en la Cooperativa de
Ahorro y Crédito de la Cámara de Comercio.
Tipos deinvestigación
Esta investigación es aquella que se realiza a través de la consulta de
documentos. Un documento es cualquier testimonio que revela que existe o
existió un determinado hecho o fenómeno. Cuando la investigación se efectúa
mediante la consulta de un tipo de documento en particular, puede recibir
denominaciones específicas. Así, una investigación documentada con apoyo
solo en libros recibe el nombre de investigación bibliográfica.(Elizondo López,
2002)
Bibliográfica, consiste en la recopilación de información existente en libros,
revistas e internet, este tipo de investigación permitirá la elaboración de
antecedentes de la investigación referido especialmente en la seguridad de los
procesos informáticos, inseguridades, redes y más, el mismo que fundamenta
científicamente la propuesta de solución.
La investigación de campo, o directa, en la que se efectúa en el lugar y tiempo
en que ocurre los fenómenos objeto de estudio. En este caso, el investigador
entra en contacto directo con la realidad explorada.(Elizondo López, 2002)
De campo, se utilizará para diagnosticar y ratificar la problemática expuesta
inicialmente, esta será llevada a cabo en el sitio mismo donde se encontraron
las manifestaciones del problema, es decir en la Cooperativa de Ahorro y
Crédito de la Cámara de Comercio, las técnicas para la recopilación de
información serán la encuesta y la entrevista, las encuestas serán realizadas
tanto a los empleados de los departamentos, mientras que la entrevistas se las
realizo al encargado del departamento tecnológico de la institución. Los
instrumentos fueron el cuestionario y la guía de entrevista.
Método Inductivo-Deductivo
Este método de inferencia se basa en la lógica y estudiahechos particulares,
aunque es deductivo en un sentido (parte de lo general a lo particular)e
inductivo en sentido contrario (va de lo particular a lo general).(Bernal Torres,
2010)
Este método será aplicado para centrarse en el problema general y de ahí
seguirlo subdividiendo para que este sea más fácil de estudiarlo y de esto partir
para nuevamente generalizar los resultados, desde la observación de los
fenómenos o hechos de la realizada universal que lo contiene.
Método Hipotético-Deductivo
Consiste en un procedimiento que parte de unas
aseveracionesencalidaddehipótesisybuscarefutarofalseartaleshipótesis,deducie
ndodeellasconclusiones que deben confrontarse con los hechos.(Bernal Torres,
2010)
Las posibles hipótesis se podrán sostener, sustentar o eliminar a través del
método deductivo a medida que avanza nuestra investigación.
Método Analítico – Sintético
Estudia los hechos, partiendo de la descomposición del objetode estudio en
cada una de sus partes para estudiarlas en forma individual (análisis), y
luegose integran esas partes para estudiarlas de manera holística e integral
(síntesis). (Bernal Torres, 2010)
A través de este método se descompondrá el objeto a estudiar para así poder
realizar un análisis más profundo de manera individual es decir se analizará
cada una de las partes descompuestas del objeto de estudio de las mismas
que será analizado solo información integra y real.
Técnicas de la investigación:
Técnica de la Encuesta
La encuesta se ha convertido en una herramienta fundamental para el estudio
de las relaciones sociales. Las organizaciones contemporáneas, políticas,
económicas o sociales, utilizan esta técnica como un instrumento indispensable
para conocer el comportamiento de sus grupos de interés y toma de decisiones
sobre ellos.(Galindo Cáceres, 2002)
Esta técnica se la utilizará como un estudio observacional con la finalidad de
obtener datos del personal dentro de la Cooperativa de Ahorro y Crédito
Cámara de Comercio.
Técnica de la Entrevista
Técnica orientada a establecer contacto directo con las personas que se
consideren fuentes de información. A diferencia de la encuesta, que se ciñe a
un cuestionario, la entrevista, si bien puede soportarse en un cuestionario muy
flexible, tiene como propósito obtener información más espontánea y
abierta.(Bernal Torres, 2010)
La técnica de la entrevista se utilizará con la finalidad de obtener información
real la misma que se realizará tanto al jefe del área de tecnología como al
personal que trabaja en la institución.
Herramientas empleadas en la investigación.
Cuestionario
Con la elaboración de un cuestionario se buscará recolectar información para
entender con mayor profundidad la problemática planteada.
Guía de entrevista
Es una herramienta eficaz y de gran precisión para recolectar información que
contribuirá para el análisis de los procesos que ocasionan la problemática
planteada.
ESQUEMA DE CONTENIDO.
Redes
Definición de red
Norma ISO 27001:2013
Definición
Objetivos de la norma ISO 27001:2013
Beneficio de la norma ISO 27001:2013
Protección de la información de la intranet.
Seguridad en la red
Gestión de la seguridad en la red
Supervisión de red
Control de red
Requisitos de seguridad de los sistemas de información.
Seguridad Informática
Definición de la seguridad informática.
Objetivos de la seguridad informática.
Importancia de la seguridad informática.
Vulnerabilidad
Amenazas
Fuentes de amenaza
Riesgos
Servicios de la seguridad de la información.
Consecuencia de la falta de la seguridad.
Políticas, planes y procedimientos de la seguridad
Definición de las políticas de seguridad.
Objetivo de las políticas y planes de seguridad.
Beneficios de implantar Políticas de Seguridad Informática.
Aspectos físicos de la política de seguridad.
Aspectos lógicos de la política de seguridad.
Debilidades de seguridad comúnmente explotadas.
Protección de datos y documentos sensibles.
Detección y respuesta ante incidentes de seguridad.
Definición de un plan informático.
Organización de la Información De Seguridad
Plan de respuesta a incidentes
Incidentes de seguridad
Obligación legal de notificación de ataques e incidencias
APORTE TEÓRICO, SIGNIFICACIÓN PRÁCTICA Y NOVEDAD CIENTÍFICA.
Aporte teórico
Al hablar del aporte teórico es hablar de nuevos conocimientos que permite a la
Cooperativa de Ahorro y Crédito Cámara de Comerciocentralizar e integrar los
procesos, lograr impedir accesos indebidos, especialmente en el ámbito de las
seguridades de los procesos informáticos y su infraestructura, también se
fundamenta los pasos requeridos para fomentar una cultura de seguridad a
niveles básicos, de tal manera que la Cooperativa de Ahorro y Crédito Cámara
de Comercio cuente con la información segura y confiable.
Significación práctica
Al implementar el Plan informático basándose en una norma internacional otras
Instituciones públicas y privadas del país tendrán un insumo para la
implementación de sus propios planes tomando en cuenta su verificación y
control en todas las etapas para cumplir con un estándar de seguridad. A su
vez este proyecto tiene por objetivo mejorar la infraestructura tecnológica y
seguridad en los procesos informáticos en la Cooperativa de Ahorro y Crédito
Cámara de Comercio, basándose en una norma internacional, con la finalidad
de ofrecer un mejor manejo de los mismos.
Novedad científica
La novedad científica de esta investigación se puede definir el desarrollo de un
plan informático bajo el análisis de la norma ISO/IEC 27001:2013 para mejorar
la infraestructura tecnológica y seguridad en los procesos informáticos en la
Cooperativa de Ahorro y Crédito Cámara de Comercio, por lo tanto este plan
informático puede convertirse en una guía para evaluar el control de TI en la
institución, para determinar su nivel de fortaleza y así mejorar la infraestructura
y seguridad en los procesos informáticos.
BIBLIOGRAFÍAAlfonso García, C. H. (2011). Seguridad Informática. Copibook.
Bernal Torres, C. A. (2010). Metodología de la investigación administración,
economía, humanidades y ciencias sociales. Colombia: Person
Educación.
BERNAL, C. A. (2010). Metodología de Investigación. Bogotá: Pearson.
DEL CID, A., MENDEZ, R., & FRANCO, S. (2011). Investigación. Fundamentos
y metodologías. México: Pearson.
Elizondo López, A. (2002). Metodología de la investigación contable. Mexico:
Thomson.
EYSSAUTLER DE LA MORA, M. (2006). Metodología de la Investigación.
Mexico: Desarrollo de la Inteligencia.
Galindo Cáceres, L. J. (2002). Técnicas de investigación en sociedad, cultura y
comunicación. mexico: Person Educación.
GALINDO, M. (2009). Metodos y tecnicas de la investigación. Mexico: Trillas.
Guzmán Barcenes, E. M. (2015). Seguridad informática por capas para la
protección de la información en la intranet de la cooperativa de ahorro y
crédito Juan Pio Mora, del cantón San Miguel, provincia de Bolivar,
período 2013.Obtenido de http://dspace.uniandes.edu.ec/handle/123456
789/1814
Mejía Viteri, J. T. (2016 de Mayo de 13). Plan de seguridad informática del
departamento de tecnologías de la información y comunicación de la
Universidad Técnica de babahoyo para mejorar la gestión en la
confidencialidad e integridad de la información y disponibilidad de los
servicios. Tesis de Maestría Universidad Regional Autónoma de los
Andes UNIANDES Babahoyo, ECUADOR. Obtenido de
http://dspace.uniandes.edu.ec/handle/123456789/732
Santacruz Fernández, A. (2015). Plan de seguridad informática y los riesgos
operativos en el Municipio Descentralizado de Quevedo.
Vieites, Á. G. (2011). Seguridad informática Básico. StarBook .
Vieites, Á. G. (Enero de 2013). Seguridad en equipos informáticos. StarBook
Editorial (España).
Viera Zambrano, A. P. (2015). Plan administrativo de red interna para mejorar
la seguridad de la información de la Escuela de perfeccionamiento de
aerotécnicos de la Fuerza Aérea. Ambato. Obtenido de
http://dspace.uniandes.edu.ec/handle/123456789/620
Villareal Lascano, C. B. (2014). Seguridad informática sus implicaciones e
implementación en la unidad informática de la Escuela Superior
Politécnica Ecológica Amazónica. Ibarra. Obtenido de
http://dspace.uniandes.edu.ec/handle/123456789/2329
Anexo 2 Autorización para realización de Proyecto de Tesis en la Cooperativa deAhorro y Crédito Cámara de Comercio en Santo Domingo.Anexo 2 Autorización para realización de Proyecto de Tesis en la Cooperativa deAhorro y Crédito Cámara de Comercio en Santo Domingo.Anexo 2 Autorización para realización de Proyecto de Tesis en la Cooperativa deAhorro y Crédito Cámara de Comercio en Santo Domingo.
Anexo 3 Formato de encuesta y entrevista.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILESCARRERA DE SISTEMAS
ENTREVISTA REALIZADA AL ENCARGADO DELDEPARTAMENTO DE TICS DE LA COOPERATIVA DE AHORRO Y
CRÉDITO CÁMARA DE COMERCIO DE LA CIUDAD DE SANTO DOMINGO.
Objetivo: Conocer las necesidades, usos y beneficios de la elaboración de un
Plan informático 2016-2020 basado en la norma ISO/IEC 27001:2013 para
mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos en la Cooperativa de Ahorro y Crédito Cámara de Comercio de la
Ciudad de Santo Domingo.
ENTREVISTAS1) ¿Cuenta con un inventario de los equipos informáticos de la Cooperativa
de Ahorro y Crédito Cámara de Comercio?
2) ¿Qué importancia le da la Cooperativa de Ahorro y Crédito Cámara de
Comercio a la seguridad informática?
3) ¿La Cooperativa de Ahorro y Crédito Cámara de Comercio cuenta con
políticas de seguridad en los procesos informáticos?
4) ¿Cuenta con una adecuada infraestructura para el funcionamiento de los
equipos informáticos (Red electrónica, seguridad, ventilación)?
5) Cuenta la institución con personal dedicada exclusivamente a la
seguridad informática y soporte técnico?
6) ¿Se realiza un mantenimiento informático periódico sobre los
ordenadores de la Cooperativa de Ahorro y Crédito Cámara de
Comercio?
7) ¿La Cooperativa de Ahorro y Crédito Cámara de Comercio dispone de
un servidor central de datos?
8) ¿Dispone de algún tipo de seguridad en los ordenadores, para evitar
daños por apagones y sobretensiones?
9) ¿Dispone de alguna copia de seguridad (CD / DVD /.otro) de la
información de la Cooperativa de Ahorro y Crédito Cámara de
Comercio?
10)¿Se tiene definida una política para la realización de copias de
seguridad de los datos y restauración de los sistemas en caso de
ataques informáticos?
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILESCARRERA DE SISTEMAS
ENCUESTA REALIZADA AL PERSONAL ADMINISTRATIVO DE LACOOPERATIVA DE AHORRO Y CRÉDITO CÁMARA DE COMERCIO DE LA
CIUDAD DE SANTO DOMINGO.
Objetivo: Conocer las necesidades, usos y beneficios de la elaboración de un
Plan informático 2016-2020 basado en la norma ISO/IEC 27001:2013 para
mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos en la Cooperativa de Ahorro y Crédito Cámara de Comercio de la
Ciudad de Santo Domingo.
PREGUNTAS SI NO
1 ¿Se han adoptado medidas de seguridad para el personal enel uso del computador?
2 ¿Ha recibido instrucciones sobre qué medidas tomar en casode que alguien pretenda accedes sin autorización a suordenador?
3 ¿Sabe qué hacer en caso de que ocurra una emergenciaocasionado por un fenómeno natural?
4 ¿Tiene manuales que contengan normas y políticas deseguridad para el personal?
5 ¿Existen manuales y políticas de mitigación de riesgos?
6 ¿Existe documentación que garantice la protección eintegridad de los recursos informáticos que están asignadosa usted?
7 ¿Existen normas o procesos que no permitan hacerModificaciones en la configuración del equipo o intentarlo?
8 ¿Se limpia con frecuencia el polvo acumulado en el piso y losequipos?
9 ¿Es usted notificado cuando su equipo entra enmantenimiento?
10 ¿Estás informado acerca de las prevenciones que hay quetener para evitar el acceso de un hacker u otra amenaza a tuordenador?
11 ¿Sabes lo que debes hacer en caso de la entrada de unaamenaza a tu equipo?
Versión 1.0
Anexo 1 Políticas de seguridad.
POLÍTICAS DEL DEPARTAMENTO DETECNOLOGÍAS DE LA INFORMACIÓN Y
COMUNICACIÓN
AÑO 2017-2020
INTRODUCCIÓN
En una organización la gestión de seguridad puede tomarse compleja y difícil de
realizar, esto no por razones técnicas, más bien por razones organizativas, coordinar
todos los esfuerzos encaminados para asegurar un entorno informático institucional,
mediante la simple administración de recursos humano y tecnológico, sin un adecuado
control que integre los esfuerzos y conocimiento humano con las técnicas depuradas
de mecanismos automatizados, tomará en la mayoría de los casos un ambiente
inimaginablemente desordenado y confuso, para ello es necesario emplear
mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de
los empleados de la corporación.
El documento que se presenta como políticas de seguridad, integra estos esfuerzos de
una manera conjunta. Este pretende, ser el medio de comunicación en el cual se
establecen las reglas, nomas, controles y procedimientos que regulen de forma en que
la Corporación, prevenga, proteja y maneje los riesgos de seguridad en diversas
circunstancias.
Las normas y políticas expuestas en este documento sirven de referencia, en ningún
momento pretenden ser normas absolutas, las mismas están sujetas a cambios
realizables en cualquier momento, siempre y cuando se tengan presentes los objetivos
de seguridad de la información y los servicios prestados por la red a los usuarios
finales.
Toda persona que utilice los servicios que ofrece la red, deberá conocer y aceptar el
reglamento vigente sobre su uso, el desconocimiento del mismo, no expondrá de
responsabilidad al funcionario, ante cualquier eventualidad que involucre la seguridad
de la información o de la red institucional.
En la actualidad la cultura informática que se ha creado como consecuencia de la
mayor disponibilidad de recursos informáticos, ha creado nuevas necesidades y han
hecho ver las posibilidades que se tienen al utilizar las herramientas computacionales
para facilitar el cumplimiento misional de la Cooperativa de Ahorro y Crédito Cámara
de Comercio, pero también esta expansión ha mostrado que se debe hacerse de una
manera planificada con el fin de optimizar los recursos en el presente y proyectarlos
para que cumplan su objetivo final en el futuro.
En área más susceptible a cambios, en una organización de cualquier tipo que haya
optado por organizar los sistemas de información de manera digital como una
herramienta fundamental del trabajo y de planificación, es la se Sistemas, ya que ella
está influenciado por un medio altamente dinámico, donde día a día nacen, se
adoptan, y se implantan nuevas tecnologías, razón por la cual se debe contar con una
serie de normas que le permita mantener un norte fijo y no perder de vista los objetivos
de la organización.
Con la definición de las políticas de seguridad informática se busca establece en el
interior de la Cooperativa de Ahorro y Crédito Cámara de Comercio una cultura de
calidad operando en una forma confiable.
La seguridad informática, es un proceso donde se deben evaluar y administrar los
riesgos apoyados en políticas que cubran las necesidades de la Cooperativa de
Ahorro y Crédito Cámara de Comercio en materia de seguridad.
Para el desarrollo de este manual se busca estructurarlo en base a ciertos criterios
tales como:
Seguridad institucional
Seguridad física y del medio ambiente
Manejo y control Centro de Cómputo
Control de usuarios
Lineamientos legales
ALCANCES Y ÁREA DE APLICACIÓN
El ámbito de aplicación del manual de políticas de seguridad informática, es la
infraestructura tecnológica y entorno informático de red institucional de la Cooperativa
de Ahorro y Crédito Cámara de Comercio- Santo Domingo.
El ente que garantizará la ejecución y puesta en marcha de las políticas de seguridad,
estará bajo el cargo del proceso Tecnologías de Información y Comunicaciones
(TIC’s), siendo el responsable absoluto de la supervisión y cumplimiento, el
Coordinador de Sistemas.
OBJETIVOS
Proteger, preservar y administrar objetivamente la información de la
Cooperativa de Ahorro y Crédito Cámara de Comercio junto con las
tecnológicas utilizadas para su procedimiento, frente a amenazas interna o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de
las características de confidencialidad, integridad, disponibilidad, legalidad,
confiabilidad y no repudio de la información.
Mantener las Políticas de Seguridad de la Información actualizada, vigente,
operativa y auditada dentro del marco determinado por los riesgos globales y
específicos de la Cooperativa de Ahorro y Crédito Cámara de Comercio para
asegurar su permanencia y nivel de eficacia.
Definir las directrices de la Cooperativa de Ahorro y Crédito Cámara de
Comercio para la correcta valoración, análisis y evaluación de los riesgos de
seguridad asociados a la información y su impacto, identificando y evaluando
diferentes opciones para su tratamiento con el fin de garantizar la continuidad e
integridad de los sistemas de información.
ÍNDICE GENERAL
INTRODUCCIÓN.......................................................................................................... 1
ALCANCES Y ÁREA DE APLICACIÓN ........................................................................ 3
OBJETIVOS ................................................................................................................. 4
1. DESARROLLO GENERAL .................................................................................... 7
1.1 Aplicación ....................................................................................................... 7
2.1 Evaluación de las Políticas ............................................................................. 7
3.1 Beneficios....................................................................................................... 7
2. SEGURIDAD INSTITUCIONAL ............................................................................. 7
2.1 Usuarios Nuevos ............................................................................................ 8
2.2 Obligaciones de los usuarios .......................................................................... 8
2.3 Capacitación en seguridad informática ........................................................... 8
2.4 Sanciones............................................................................................................... 8
3. SEGURIDAD FÍSICA Y DEL MEDIO AMBIENTE .................................................. 8
3.1 Protección de la información y de los bienes informáticos .............................. 9
3.1.1 Reporte de forma inmedita. ..................................................................... 9
3.1.2 Obligación de proteger. ........................................................................... 9
3.1.3 Responsabilidad del funcionario. ............................................................. 9
3.2 Controles de acceso físico.............................................................................. 9
3.2.1 Ingreso a las instalacion de la Cooperativa.............................................. 9
3.2.2 Equipos personales y portátiles. .............................................................. 9
3.3 Seguridad en áreas de trabajo...................................................................... 10
3.4 Protección y ubicación de los equipos .......................................................... 10
3.5 Mantenimiento de equipos............................................................................ 11
3.6 Pérdida de Equipo ........................................................................................ 11
3.7 Uso de dispositivos extraíbles ...................................................................... 12
3.8 Daño de equipo ............................................................................................ 13
4. ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPUTO ... 13
4.1 Políticas de Centro de Cómputo. .......................................................................... 13
4.2 Uso de medios de almacenamiento.............................................................. 14
4.4 Licenciamiento de software .......................................................................... 17
4.5 Identificación del incidente............................................................................ 17
4.6 Administración de la Red.............................................................................. 17
4.7 Seguridad para la red ................................................................................... 18
4.8 Uso de Correo electrónico ............................................................................ 18
4.9 Controles contra virus o software malicioso.................................................. 19
4.10 Controles para la generación y restauración de copias de respaldo (backups)
20
4.11 Planes de Contingencia ante Desastre......................................................... 21
4.12 Internet ......................................................................................................... 22
5. ACCESO LÓGICO.............................................................................................. 23
5.1 Controles de acceso lógico........................................................................... 24
5.2 Administración de privilegios ........................................................................ 24
5.3 Equipo desatendido...................................................................................... 25
5.4 Administración y uso de contraseñas............................................................ 25
5.5 Controles para Otorgar, Modificar y Retirar Accesos a Usuarios .................. 25
5.6 Control de accesos remotos ......................................................................... 26
6. Cumplimiento de Seguridad Informática.............................................................. 26
7. Derechos de propiedad intelectual ...................................................................... 26
8. Cláusulas de cumplimiento ................................................................................. 26
9. Violaciones de seguridad informática.................................................................. 27
10. Equipos en el Área Administrativa.................................................................... 28
ANEXOS
1. DESARROLLO GENERAL
1.1 Aplicación
Las políticas de seguridad informática tienen por objeto establecer medidas y patrones
técnicos de administración y organización de la Tecnologías de Información y
Comunicaciones Tics de todo el personal comprometido en el uso de los servicios
Informáticos proporcionados por la Cooperativa de Ahorro y Crédito Cámara de
Comercio.
También se convierte en una herramienta de difusión sobre las políticas de seguridad
informática a todo el personal de la Cooperativa de Ahorro y Crédito Cámara de
Comercio. Facilitando una mayor integridad, confidencialidades y confiabilidad de la
información generada por el Departamento de TIC’s al personal, al manejo de los
datos, al uso de los viene informáticos tanto de hardware como de software disponible,
minimizando los riesgos en el uso de las tecnologías de información.
2.1 Evaluación de las Políticas
Las políticas tendrán una revisión periódica se recomienda que sea semestral para
realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y
sugerencias.
3.1 Beneficios
Las políticas de seguridad informática establecidas en el presente documento son la
base fundamental para la protección de los activos informáticos y de toda la
información de las tecnologías de información y comunicaciones (Tics) en la
Cooperativa de Ahorro y Crédito Cámara de Comercio.
2. SEGURIDAD INSTITUCIONAL
Toda persona que ingresa como funcionario nuevo a la Cooperativa de Ahorro y
Crédito Cámara de Comercio para manejar equipos de cómputo y hacer uso de
servicios informáticos debe aceptar las condiciones de confidencialidad, de uso
adecuado de los bienes informáticos y de la información, así como cumplir y respetar
al pie de la letra las directrices impartidas en el Manual de Políticas de Seguridad
Informática para los funcionarios.
2.1 Usuarios Nuevos
Todo el personal nuevo de la Cooperativa, deberá ser notificado al Departamento de
Tics, para asignarle los derechos correspondientes (Equipo de Cómputo, Creación de
Usuario para la Red, Perfil de usuario en el Directorio Activo) o en caso de retiro del
funcionario, anular y cancelar los derechos otorgados como usuario informático.
2.2 Obligaciones de los usuarios
Es responsabilidad de los funcionarios de bienes y servicios informáticos cumplir las
Políticas de Seguridad Informática para funcionarios del presente Manual.
2.3 Capacitación en seguridad informática
Todo servidor o funcionario nuevo en la Cooperativa de Ahorro y Crédito Cámara de
Comercio deberá contar con la Inducción sobre las Políticas de Seguridad Informática
Manual de Usuarios, donde se den a conocer las obligaciones para los usuarios y las
sanciones en que pueden incurrir en caso de incumplimiento.
2.4 Sanciones
Se considera violación graves el robo, daño, divulgación de información reservada o
confidencial de esta dependencia, o de que se le declare culpable de un delito
informático.
3. SEGURIDAD FÍSICA Y DEL MEDIO AMBIENTE
Para el acceso a los sitios y áreas restringidas se debe notifica al departamento de
Tics para la autorización correspondiente, y así proteger la información y los bienes
informáticos.
3.1 Protección de la información y de los bienes informáticos
3.1.1 El funcionario deberán reportar de forma inmediata al Departamento de
Tics cuando se detecte riesgo alguno real o potencial sobre equipos de
cómputo o de comunicaciones, tales como caídas de agua, choques
eléctricos, caídas, golpes o peligro de incendio.
3.1.2 El funcionario tiene la obligación de proteger las unidades de
almacenamiento que se encuentren bajo su responsabilidad, aun cuando
no se utilicen y contengan información confidencial o importante.
3.1.3 Es responsabilidad del funcionario evitar en todo momento la fuga de
información de la entidad que se encuentre almacenada en los equipos de
cómputo personal que tenga asignados.
3.2 Controles de acceso físico
3.2.1 Cualquier persona que tenga acceso a la Cooperativa de Ahorro y Crédito
Cámara de Comercio, deberá registrar al momento de su entrada, el equipo
de cómputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad de la entidad, en el área de recepción
o portería, el cual podrán retirar el mismo día. En caso contrario deberá
tramitar la autorización de salida correspondiente.
3.2.1 Las computadoras personales, las computadoras portátiles, y cualquier
activo de tecnología de información, podrá ser retirado de las instalaciones
de la Cooperativa de Ahorro y Crédito Cámara de Comercio únicamente
con la autorización de salida del área de Inventarios, anexando el
comunicado de autorización del equipo debidamente firmado por el jefe del
Departamento de Tics.
3.3 Seguridad en áreas de trabajo
Los centros de cómputo de la Cooperativa de Ahorro y Crédito Cámara de Comercio
son áreas restringidas, por lo que solo el personal autorizado por el Departamento de
Tics puede acceder a él.
3.4 Protección y ubicación de los equipos
3.4.1 Los funcionarios no deben mover o reubicar los equipos de cómputo o de
comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los
mismos sin la autorización del Departamento de Tics, en caso de requerir
este servicio deberá solicitarlo.
3.4.2 El área de inventarios de activos será la encargada de genera el resguardo
y recabar la firma delfuncionario informático como responsable de los
activos informáticos que se le asigne y de conservarlos en la ubicación
autorizada por el Departamento de Tics.
3.4.3 El equipo de cómputo asignado, deberá ser para uso exclusivo de las
funciones de los funcionarios de la Cooperativa de Ahorro y Crédito
Cámara de Comercio.
3.4.4 Será responsabilidad del funcionario solicitar la capacitación necesaria para
el manejo de las herramientas informáticas que se utilizan en su equipo, a
fin de evitar riesgos por mal uso y para aprovechar al máximo las mismas.
3.4.5 Es responsabilidad de los funcionarios almacenar su información
únicamente en la partición del disco duro diferente destinada para archivos
de programas y sistemas operativos, generalmente c:\.
3.4.6 Mientras se opera el equipo de cómputo, no se deberán consumir alimentos
o ingerir líquidos.
3.4.7 Se debe evitar colocar objetos encima del equipo de cómputo o tapar las
salidas de ventilación del monitor o de la CPU.
3.4.8 Se debe mantener el equipo informático en un lugar limpio y sin humedad.
3.4.9 El funcionario debe asegurarse que los cables de conexión no sean pisados
al colocar otros objetos encima o contra ellos en caso de que no se cumpla
solicitar un reubicación de cables con el personal del Departamento de
Tics.
3.4.10 Cuando se requiere realizar cambios múltiples de los equipos de cómputo
derivado de reubicación de lugares físicos de trabajo o cambios locativos,
éstos deberán ser notificados con tres días de anticipación al Departamento
de Tics a través de un plan detallado.
3.4.11 Queda terminantemente prohibido que el funcionario distinto al personal del
Departamento de Tics abra o destape los equipos de cómputo.
3.5 Mantenimiento de equipos.
3.5.1 Únicamente el personal autorizado por el Departamento de Tics podrá
llevar a cabo los servicios y reparaciones al equipo informático.
3.5.2 Los funcionarios deberán asegurarse de respaldar en copias de respaldo o
backups la información que consideren relevante cuando el equipo sea
enviado a reparación y borrar aquella información sensible que se
encuentre en el quipo, previendo así la pérdida involuntaria de información,
derivada del proceso de reparación.
3.6 Pérdida de Equipo
3.6.1 El funcionario que tengan bajo su responsabilidad o asignados algún
equipo de cómputo, será responsable de su uso y custodia; en
consecuencia, responderá por dicho bien de acuerdo a la normatividad
vigente en los casos de robo, extravío o pérdida del mismo.
3.6.2 El préstamo de laptops o portátiles tendrá que solicitarse al Departamento
de Tics, con el visto bueno del Secretario General de la Cooperativa o su
Jefe inmediato.
3.6.3 El funcionario deberán dar aviso inmediato al Departamento de Tics y a la
Administración de inventarios de Activos de la desaparición, robo o extravió
de equipos de cómputo, periférico o accesorios bajo su responsabilidad.
3.7 Uso de dispositivos extraíbles
3.7.1 El Departamento de Tics de la Cooperativa de Ahorro y Crédito Cámara de
Comercio, velará por que todos los funcionarios de los sistemas de
información estén registrados en su Base de Datos para la autorización de
uso de dispositivos de almacenamiento externo, como Pendrives o
Memorias USB, Discos portátiles, Unidades de CD y DVD Externos, para el
manejo y traslado de información o realización de copias de seguridad o
Backups.
3.7.2 Cada Jefe de área o dependencia debe reportar al Departamento de Tics el
listado de funcionario a su cargo que manejan estos tipos de dispositivos,
especificando clase, tipo y sus determinados.
3.7.3 El uso de los quemadores externos o grabadores de disco compacto es
exclusivo para Backups o copias de seguridad de software y para respaldos
de información que por su volumen así lo justifiquen.
3.7.4 El funcionario que tengan asignados estos tipos de dispositivos será
responsable del buen uso de ellos.
3.7.5 Si algún área o dependencia por requerimientos muy específicos del tipo de
aplicación o servicios de información tengan la necesidad de contar con
uno de ellos, deberá ser justificado y autorizado por el Departamento de
Tics con el respectivo visto bueno del Secretario General o en su defecto
de su Jefe inmediato o un superior de la Área de Sistemas.
3.7.6 Todo funcionario de la Cooperativa deberá reportar al Departamento de
Tics el uso de las memorias USB asignados para su trabajo y de carácter
personal y responsabilizarse por el buen uso de ellas.
3.8 Daño de equipo
El equipo de cómputo, periférico o accesorios de tecnología de información que sufra
algún desperfecto, daño por maltrato, descuido o negligencia por parte de funcionario
responsable, se le levantara un reporte de incumplimiento de políticas de seguridad.
4. ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPUTO
4.1 Los funcionarios deberán proteger la información utilizada en la infraestructura
tecnológica de Cooperativa de Ahorro y Crédito Cámara de Comercio. De igual
forma, beberán proteger la información reservada o confidencial que por
necesidades institucionales deba ser guardada, almacenada o transmitida, ya
sea dentro de la red interna de la Cooperativa a otras dependencias de sedes
alternas o rede externas como internet.
4.1.1 Los funcionarios de la Cooperativa de Ahorro y Crédito Cámara de
Comercio que hagan uso de equipos de cómputos, deben conocer y aplicar
las medidas para la prevención de código malicioso como pueden ser virus,
caballo de Troya o gusanos de red.
4.1.2 El Departamento de Tics en cabeza de Jefe de Sistemas, establece las
políticas y procedimientos administrativos para regular, controlar y describir
el acceso de visitantes o funcionarios no autorizados a las instalaciones de
cómputo restringidas.
4.1.3 Cuando un funcionario no autorizado o un visitante requieran la necesidad
de ingresar al cuarto donde se encuentren los servidores, debe solicitar
mediante comunicado interno debidamente firmada y autorizado por el Jefe
inmediato de su sección o dependencia y para un visitante de debe solicitar
la visita con anticipación la cual debe traer el visto bueno de la Gerencia de
la Cooperativa, y donde se especifique tipo de actividad a realizar, y
siempre contar con la presencia de un funcionario del Departamento de
Tics.
4.1.4 El Jefe del Departamento de Tics deberá llevar un registro escrito de todas
las visitas autorizadas a los Centros de Cómputo restringidos.
4.1.5 Todo equipo informático ingresado a los Centros de Cómputo restringidos
deberá ser registrado en el libro de visitas.
4.1.6 Cuando se vaya a realzar un mantenimiento en algunos de los equipos del
Centro de Cómputo restringido, se debe dar aviso con anticipación a los
funcionarios para evitar traumatismos.
4.1.7 El Jefe del Departamento de Tics deberá solicitar al Jefe de la Cooperativa
los equipos de protección para las instalaciones contra incendios,
inundaciones, sistema eléctrico de respaldo, UPS.
4.2 Uso de medios de almacenamiento
4.2.1 Los funcionarios de la Cooperativa de Ahorro y Crédito Cámara de
Comercio debe conservar los registros o la información que se encuentra
activa y aquella que ha sido clasificada como reservada o confidencial.
4.2.2 Las actividades que realicen los funcionarios en la infraestructura
Tecnología de Información y Comunicaciones (Tics) de la Cooperativa de
Ahorro y Crédito Cámara de Comercio serán registradas y podrán ser
objeto de auditoria.
4.3 Adquisición de software.
4.3.1 Los funcionarios que requieran la instalación de software que o sea
propiedad de La Cooperativa de Ahorro y Crédito Cámara de Comercio,
deberán justificar su uso y solicitar su autorización por el Departamento de
Tics con el visto bueno de su Jefe inmediato, indicando el equipo de
cómputo donde se instalará el software y el período de tiempo que será
usado.
4.3.2 Se considera una falta grave el que los funcionarios instalen cualquier tipo
de programa (software) en sus computadoras, estaciones de trabajo,
servidores, o cualquier equipo conectado a la red de la Cooperativa de
Ahorro y Crédito Cámara de Comercio, que no esté autorizado por el
Departamento de Tics.
4.3.3 El Departamento de Tics, tiene a su cargo la tarea de informar
periódicamente a los funcionarios, Directivo, Administrativos su política
institucional contra la piratería de software, utilizando todos los medios de
comunicación disponible; Página WEB, Emails, Carteleras y Boletines.
Debemos considerar también la publicación de las posibles sanciones o
multas en los que se puede incurrir.
4.3.4 La Cooperativa de Ahorro y Crédito Cámara de Comercio, debe poseer un
contrato de Alquiler de Uso de Software con la Compañía de Microsoft.
Esto nos garantiza en gran medida la legalidad de los programas
adquiridos. Cualquier otro “software” requerido, y que no pueda ser provisto
por la compañía de Microsoft, será adquirido a otro Proveedor debidamente
certificado, el cual deberá entregar al momento de la comprar, el programa
y la licencia de software con toda la documentación pertinente y necesaria
que certifique la originalidad y validez del mismo.
4.3.5 El control de manejo para las licencias y el inventario de los Medios,
paquete de CD’s será responsabilidad del Departamento de Tics en cabeza
del Jefe de Sistemas, o su delegado, en caso de ausencia.
4.3.6 Los encargados del Departamento de Tics tiene la responsabilidad de velar
por el buen uso de los equipos de cómputo y del cumplimiento de las
políticas de seguridad. A su vez deberán ofrecer mantenimiento preventivo
a las computadoras de la Cooperativa.
4.3.7 En el proceso de reinstalar un programa el técnico debe borrar
completamente la versión instalada para luego proceder a instalar la nueva
versión que desea, esto siempre y cuando no sea una actualización del
mismo.
4.3.8 Deben mantener un inventario de equipos físicos y de los programas
instalados y pueden borrar o instalar programas o software autorizados y
legalmente licenciados. Cualquier otra petición de software deberá ser
tramitada a través del Departamento de Tics utilizando su respectivo
formato llamado “FORMATO DE SOLICITUD DE ADQUISICIÓN,
REPARACIÓN, ACTUALIZACIÓN, MANTENIMIENTO O CAMBIO DE
MATERIALES Y EQUIPOS”. Finalmente se procede a actualizar el
inventario de licencias de software cuyo contrato tiene una vigencia anual.
Y se almacenará en Archivos que puedan ser cerrados con llave.
4.3.9 Todos los años el Departamento de Tics en coordinación con la gerencia de
la Cooperativa ofrecerán capacitaciones al personal administrativo y
funcionarios en el manejo y uso de las Tecnologías de Informática y
Computación (Tics), para de esta manera convertir estos en herramientas
efectivas de trabajo, y que apoyen el quehacer interno de la Cooperativa.
La capacitación de nuestro personal estimula en gran medida la utilización
de los programas adquiridos legalmente, evitando la práctica indebida de
utilizar y la proliferación software no autorizado (pirata).
4.4 Licenciamiento de software
4.4.1 Para el Control de Licenciamiento de Software la Cooperativa de Ahorro y
Crédito Cámara de Comercio debe contar con un contrato con vigencia
anual, con la Compañía MICROSOFT S.A., además como política de
seguridad se tiene establecido en el Reglamento de Uso de Salas, la
prohibición de instalar software y programas no autorizados y sin licencia.
El Departamento de Tics realiza semanalmente un inventario físico de los
programas y software instalados en cada uno de los computadores de la
Institución.
4.5 Identificación del incidente
4.5.1 El funcionario que detecte o tenga conocimiento de la posible ocurrencia de
un incidente de seguridad informática deberá repórtalo al área del
Departamento de Tics lo antes posible, indicando claramente los datos por
los cuales lo considera un incidente de seguridad informática.
4.5.2 Cuando exista la sospecha o el conocimiento de que la información
confidencial o reservada ha sido revelada, modificada, alterada o borrada
sin la autorización de las Directivas Administrativas competentes, el
funcionario informático deberá notificar al Departamento de Tics.
4.5.3 Cualquier incidente generado durante la utilización u operación de los
activos de tecnología de información de la Cooperativa de Ahorro y Crédito
Cámara de Comercio debe ser reportado al Departamento de Tics.
4.6 Administración de la Red
4.6.1 Los funcionarios de las áreas de la Cooperativa de Ahorro y Crédito
Cámara de Comercio no deben establecer rede de área local, conexiones
remotas a rede internas o externas, intercambio de información con otros
equipos de cómputo utilizando el protocolo de transferencia de archivos
(FTP), u otro tipo de protocolo para la transferencia de información
empleando la infraestructura de red de la entidad sin la autorización del
Departamento de Tics.
4.7 Seguridad para la red
4.7.1 Será considerado como un ataque a la seguridad informática y una falta
grave, cualquier actividad no autorizada por el Departamento de Tics, en la
cual los funcionarios realicen la exploración de los recursos informáticos en
la red de la Cooperativa de Ahorro y Crédito Cámara de Comercio, así
como de las aplicaciones que sobre dicha red operan, con fines de detectar
y explotar una posible vulnerabilidad.
4.8 Uso de Correo electrónico
4.8.1 Los funcionarios no deben usar cuentas de correo electrónico asignadas a
otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario
leer el correo de alguien más (mientras esta persona se encuentra fuera o
de vacaciones) el funcionario ausente debe re-direccionar el correo interno,
quedando prohibido hacerlo a una dirección de correo electrónico externa a
la Cooperativa de Ahorro y Crédito Cámara de Comercio, a menos que
cuente con la autorización del Departamento de Tics.
4.8.2 Los funcionarios deben tratar los mensajes de correo electrónico y archivos
adjuntos como información de propiedad de la Cooperativa de Ahorro y
Crédito Cámara de Comercio. Los mensajes de correo electrónico deben
ser manejados como una comunicación privada y directa entre emisor y
receptor.
4.8.3 Los funcionarios podrán enviar información reservada y/o confidencial vía
correo electrónico siempre y cuando vayan de manera encriptado y
destinada exclusivamente a personas autorizadas y en el ejercicio estricto
de sus funciones y responsabilidades.
4.8.4 Queda prohibido falsificar, esconder, suprimir o sustituir la identidad de un
funcionario de correo electrónico.
4.8.5 Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o
revelar las comunicaciones electrónicas.
4.9 Controles contra virus o software malicioso
4.9.1 Para prevenir infecciones por virus informático, los funcionarios de la
Cooperativa Ahorro y Crédito Cámara de Comercio no deben hacer uso de
software que no haya sido proporcionado y valido por el Departamento de
Tics.
4.9.2 Los funcionarios de la Cooperativa de Ahorro y Crédito Cámara de
Comercio deben verificar que la información y los medios de
almacenamiento, estén libres de cualquier tipo de código malicioso, por lo
cual deben ejecutar el software antivirus autorizado por el Departamento de
Tics.
4.9.3 Todos los archivos de computadoras que sean proporcionados por personal
externo o interno considerando al menos programas de software, bases de
datos, documentos y hojas de cálculo que tengan que ser descomprimidos,
el funcionario debe verificar que estén libres de virus utilizando el software
antivirus autorizado antes de ejecutarse.
4.9.4 Ningún funcionario, empleado o personal externo, podrá bajar o descargar
software de sistemas, boletines electrónicos, sistemas de correo
electrónico, de mensajería instantánea y rede de comunicaciones externas,
sin la debida autorización del Departamento de Tics.
4.9.5 Cualquier funcionario que sospeche de alguna infección por virus de
computadora, deberá dejar de usar inmediatamente el equipo y notificar al
Departamento de Tics para la revisión y erradicación del virus.
4.9.6 El icono de antivirus debe permanecer siempre en color verde, si usted
observa dicho icono en otro color, favor avisar inmediatamente al
Departamento de Tics, para que haga la revisión correspondiente.
4.9.7 Los funcionarios no deberán alterar o eliminar, las configuraciones de
seguridad para detectar y/o prevenir la propagación de virus que sean
implantadas por el Departamento de TIC’s en: Antivirus, Outlook, Office,
Navegadores u otros programas.
4.9.8 Debido a que algunos virus son extremadamente complejos, ningún
funcionario de la Cooperativa de Ahorro y Crédito Cámara de Comercio,
distinto al personal del Departamento de TIC’s deberá intentar erradicarlos
de las computadoras.
4.10 Controles para la generación y restauración de copias de respaldo(backups)
4.10.1 Procedimiento de generación y restauración de copias de respaldo para
salvaguardar la información crítica de los procesos significativos de la
entidad. Se deberán considerar como mínimo los siguientes aspectos:
4.10.1.1 Establecer como medida de seguridad informática la necesidad de
realizar copias de respaldo o backups periódicamente en los equipos de
cómputo administrativos y servidores.
4.10.1.2 Cada funcionario es responsable directo de la generación de los
backups o copias de respaldo, asegurándose de validar la copia.
También puede solicitar asistencia técnica para la restauración de un
backups.
4.10.1.3 Conocer y manejar el software utilizado para la generación y/o
restauración de copias de respaldo, registrando el contenido y su
prioridad. Rotación de las copias de respaldo, debidamente marcadas.
Almacenamiento interno o externo de las copias de respaldo, o verificar
si se cuenta con custodia para ello.
4.10.1.4 Las copias de seguridad o Back ups se deben realizar al menos una
vez a la semana y el último día hábil del mes. Un funcionario del
Departamento de TIC’s, revisará una vez por semana, el cumplimiento
de este procedimiento y registrara en el formato de Copias de
Seguridad.
4.11 Planes de Contingencia ante Desastre
Definición: Se entiende por plan de contingencialos procedimientos alternativos a la
operación normal en una organización, cuyo objeto principal es permitir el continuo
funcionamiento y desarrollo normal de sus operaciones, preparándose para superar
cualquier eventualidad ante accidentes de origen interno o externo, que ocasiones
pérdidas importantes de información. Estos deben prepararse de cara a futuros
sucesor.
4.11.1 Con el fin de asegurar, recuperar o restablecer la disponibilidad de las
aplicaciones que soportan los procesos de misión crítica y las operaciones
informáticas que soportan los servicios críticos de la Cooperativa, ante el
evento de un incidente o catástrofe parcial y/o total. Ver Anexo Manual de
Plan de Contingencia.
4.11.2 El Departamento de TIC’s debe tener en existencia la documentación de
roles detallados y tareas para cada una de las personas involucradas en la
ejecución del plan de recuperación ante desastres. Ver Anexo Manual de
Roles.
4.11.3 Disponibilidad de plataformas computacionales, comunicaciones e
información, necesarias para soportar las operaciones definidas como de
misión crítica de negocio en los tiempos esperados y acordados.
4.11.4 Tener en existencia equipos informáticos de respaldos o evidencia de los
proveedores, de la disponibilidad de equipo y tiempos necesarios para su
instalación, en préstamo, arriendo o sustitución.
4.11.5 Existencia de documentación de los procedimientos manuales a seguir por
las distintas áreas usuarias durante el periodo de la contingencia y
entrenamiento a los funcionarios en estos procedimientos.Ver Manual de
Procedimientos.
4.11.6 Existencia de documentación de los procedimientos detallados para
restaurar equipos, aplicativos, sistemas operativos, bases de datos,
archivos de información, entre otros.
4.11.7 Existencia de documentación de pruebas periódicas de la implementación
del plan de recuperación ante desastre para verificar tiempos de respuesta,
capitalizando los resultados de la prueba para el afinamiento del plan.
4.11.8 Actualización periódica del plan de recuperación ante desastre de acuerdo
con los cambios en plataformas tecnológicas (hardware, software y
comunicaciones), para reflejar permanentemente la realidad operativa y
tecnológica de la compañía.
4.11.9 Disponibilidad de copias de respaldo para restablecer las operaciones en
las áreas de misión crítica definidas.
4.12 Internet
4.12.1 El acceso a internet provisto a los funcionarios de la Cooperativa de Ahorro
y Crédito Cámara de Comercio es exclusivamente para las actividades
relacionadas con las necesidades del cargo y funciones desempeñadas.
4.12.2 Todos los accesos a internet tienen que ser realizados s través de los
canales de acceso provistos por la Cooperativa de Ahorro y Crédito
Cámara de Comercio, en caso de necesitar una conexión a internet alterna
o especial, esta debe ser notificada y aprobada por el Departamento de
TIC’s.
4.12.3 Los funcionarios de internet de la Cooperativa de Ahorro y Crédito Cámara
de Comercio tiene que reportar todos los incidentes de seguridad
informática al Departamento de TIC’s inmediatamente después de sus
identificación, indicando claramente que se trata de un incidente de
seguridad informática.
4.12.4 Los funcionarios del servicio de navegación en internet, al aceptar el
servicio están aceptando que:
4.12.4.1 Serán sujetos de monitoreo de las actividades que realiza en internet,
saben que existe la prohibición de acceso de páginas no autorizadas,
saben que existe la prohibición de transmisión de archivos reservados o
confidenciales no autorizados.
4.12.4.2 Saben que existe la prohibición de descarga de software sin la
autorización del Departamento de Tics.
4.12.4.3 La utilización de internet es para el desempeño de sus funciones y
cargo en la Cooperativa de Ahorro y Crédito Cámara de Comercio y no
para propósitos personales.
5. ACCESO LÓGICO
Política: Cada funcionario son responsables de los mecanismos de control de acceso
que les sean proporcionados; esto es, de su “ID” login de usuario y contraseña
necesaria para acceder a la red interna de información y a la infraestructura
tecnológica de la Cooperativa de Ahorro y Crédito Cámara de Comercio, por lo que se
deberá mantener la forma confidencial.
El permiso de acceso a la información que se encuentra en la infraestructura
tecnológica de la Cooperativa de Ahorro y Crédito Cámara de Comercio, debe ser
proporcionado por el dueño de la información, con base en el principio de “Derecho de
Autor” el cual establece que únicamente se deberán otorgar los permisos mínimos
necesarios para el desempeño de sus funciones.
5.1 Controles de acceso lógico
5.1.1 Todos los funcionarios de servicios de información son responsables por el
de usuario y contraseña que recibe para el uso y acceso de los recursos.
5.1.2 Todos los funcionarios deberán autenticarse por los mecanismos de control
de acceso provisto por el Departamento de TIC’s ante de poder usar la
infraestructura tecnológica de la Cooperativa de Ahorro y Crédito Cámara
de Comercio.
5.1.3 Los funcionarios no deben proporcionar información a personal externo, de
los mecanismos de control de acceso a las instalaciones e infraestructura
tecnológica de la Cooperativa de Ahorro y Crédito Cámara de Comercio, a
menos que se tenga el visto bueno del dueño de la información y del
Departamento de TIC’s y la autorización del secretario general o de su Jefe
inmediato.
5.1.4 Cada funcionario que acceda a la infraestructura tecnológica de la
Cooperativa de Ahorro y Crédito Cámara de Comercio debe contar con un
identificador de usuario (ID) único y personalizado. Por lo cual no está
permitido el uso de un mismo ID por varios funcionarios.
5.1.5 Los funcionarios son responsables de todas las actividades realizadas con
su identificador de usuarios (ID). Los usuarios no deben divulgar ni permitir
que otros utilicen sus identificadores de usuario, al igual que tiene prohibido
utilizar el ID de otros usuarios. Ver Anexo Manual de Acceso Lógico.
5.2 Administración de privilegios
5.2.1 Cualquier cambio en los roles y responsabilidades de los funcionarios
deberán ser notificados al Departamento de TIC’s (Administrador de la
Red), para el cambio de privilegios. Ver Anexo Manual de Roles.
5.3 Equipo desatendido
5.3.1 Los funcionarios deberán mantener sus equipos de cómputo con controles
de acceso como contraseñas y protectores de pantalla (screensaver)
previamente instalados y autorizados por el Departamento de TIC’s cuando
no se encuentren en su lugar de trabajo.
5.4 Administración y uso de contraseñas
5.4.1 La asignación de contraseñas debe ser realizada de forma individual, por lo
que el uso de contraseñas compartidas está prohibido. Ver Anexo Manual
de Acceso lógico.
5.4.2 Cuando un funcionario olvida, bloquea o extravíe su contraseña, deberá
acudir al Departamento de TIC’s para que se le proporciones una nueva
contraseña.
5.4.3 Está prohibido que las contraseñas se encuentren de forma legible en
cualquier medio impreso y dejarlos en un lugar donde personas no
autorizadas puedan descubrirlos.
5.4.4 Sin importar las circunstancias, las contraseñas nunca se deben compartir
o revelar. Hacer esto responsabiliza al funcionario que prestó su contraseña
de todas las acciones que se realicen con el mismo.
5.4.5 Todo funcionario que tenga la sospecha de que su contraseña es conocida
por otra persona, deberá cambiarlo inmediatamente.
5.4.6 Los funcionarios no deben almacenar las contraseñas en ningún programa
o sistema que proporcione esta facilidad.
5.5 Controles para Otorgar, Modificar y Retirar Accesos a Usuarios
5.5.1 Cualquier nuevo rol creado por el Departamento de TIC’s se deberá
analizar y conectar con el Comité Técnico de Sistemas.
5.5.2 Todo funcionario debe quedar registrado en la Base de Datos Usuarios y
Roles.La creación de un nuevo usuario y/o solicitud para la asignación de
otros roles dentro del sistema de la Cooperativa de Ahorro y Crédito
Cámara de Comercio, deberá de venir acompañado del reporte
debidamente firmado por el Jefe de Área y con el visto bueno de la
Gerencia, de lo contrario no se le dará trámite a dicha requisición.
5.5.3 El departamento de TIC’s, en cabeza del Jefe de Sistemas o su delegado
en caso de ausencia, será la responsable de ejecutar los movimientos de
altas, bajas o cambios de perfil de los usuarios.
5.6 Control de accesos remotos
5.6.1 La administración remota de equipos conectados a internet no está
permitida, salvo que se cuente con el visto bueno y con un mecanismo de
control de acceso seguro autorizado por el dueño de la información y del
Departamento de TIC’s.
6. CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA
El Departamento de TIC’s tiene como una de sus funciones la de proponer y revisar el
cumplimiento de las políticas de seguridad, que garanticen acciones preventivas y
correctivas para la salvaguarda de equipos e instalaciones de cómputo, así como de
bancos de datos de información automatizada en general.
7. DERECHOS DE PROPIEDAD INTELECTUAL
7.1 Los sistemas desarrollados por personal interno o externo que controle el
Departamento de TIC’s son propiedad intelectual de la Cooperativa de Ahorro y
Crédito Cámara de Comercio.
8. CLÁUSULAS DE CUMPLIMIENTO
8.1 El Departamento de TIC’s realizara acciones de verificación del cumplimiento
del Manual de Políticas de Seguridad informática.
8.2 El Departamento de TIC’s podrá implantar mecanismos de control que
permitan identificar tendencias en el uso de recursos informáticos del personal
interno o externos, para revisar la actividad de procesos que ejecuta y la
estructura de los archivos que se procesan, el mal uso de los recursos
informáticos que sea detectado será reportado conforme a lo indicado en la
política de Seguridad del Personal.
8.3 Los jefes y responsables de los procesos establecidos en la Cooperativa de
Ahorro y Crédito Cámara de Comercio deben apoyar las revisiones del
cumplimiento de los sistemas con las políticas de seguridad informática
apropiadas y cualquier otro requerimiento de seguridad.
9. VIOLACIONES DE SEGURIDAD INFORMÁTICA
9.1 Está prohibido el uso de herramientas de hardware o software para violar los
controles de seguridad informática. A menos que se autorice por el
Departamento de TIC’s.
9.2 Ningún funcionario de la Cooperativa de Ahorro y Crédito Cámara de Comercio
debe probar o intentar probar fallas de la Seguridad informática conocida, a
menos que estas pruebas sean controladas y aprobadas por el Departamento
de TIC’s.
9.3 No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar,
propagar, ejecutar o intentar introducir cualquier tipo de código (programa)
conocidos como virus, gusanos o caballos de Troya, diseñado para auto
replicarse, dañar o afectar el desempeño o acceso a las computadoras, redes o
información de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
10. EQUIPOS EN EL ÁREA ADMINISTRATIVA
10.1 La Gerencia de la Cooperativa de Ahorro y Crédito Cámara de
Comercio deberá poner a disposición del Departamento de TIC’s, la
información contractual de los equipos informáticos de Cómputo Escritorio,
Portátil y periférica, así como de los servicios de soporte y mantenimiento.
10.2 El Departamento de TIC’s, será quien valide el cumplimiento de las
condiciones Técnicas de los equipos informáticos de Cómputo Escritorio,
Portátiles y Periféricos adquiridos.
10.3 El Departamento de TIC´s, tendrá bajo su resguardo las licencias de
software, CD de software y un juego de manuales originales, así como un CD
de respaldo para su instalación, mismos que serán entregados por la Gerencia
o el área usuaria de la licencia, para llevar el control de software instalado, para
los equipos informáticos de cómputo Escritorio, Portátiles y periféricos al
momento de la recepción de los mismos.
10.4 Los requerimientos de Equipos informáticos de Cómputo Escritorio,
Portátiles y periféricos, se llevaran a cabo mediante la solicitud y justificación
por escrito, firmada por el Jefe de área solicitante, lo cuales serán evaluados
por el Departamento de TIC’s para su autorización e inclusión en el
Presupuesto correspondiente.
10.5 El departamento de TIC’s, es el área encargada de trasmitir las
asignaciones, reasignaciones, bajas, etc. De equipos informáticos de cómputo
Escritorio, Portátiles y periféricos ante la sección financiera entidad encargada
del inventario de Activos para su ejecución, con base a las solicitudes
realizadas al respecto y las revisiones de aprovechamiento de los mismos. Ver
formato Manual de Procedimiento.
10.6 El grupo de apoyo del Departamento de TIC’s, elaborará y registrará
cada asignación o movimiento de equipos informáticos de cómputo Escritorio,
Portátiles y periféricos, el documento denominado “FORMATO DE SOLICITUD
DE ADQUISICIÓN, REPARACIÓN, ACTUALIZACIÓN, MANTENIMIENTO O
CAMBIO DE MATERIALES Y EQUIPOS”, el cual contiene los datos generales
del funcionario y de los bienes informáticos entregados, así mismo, contendrá
los datos de software instalado autorizado y configuración del equipo, contando
con la firma de conformidad del funcionario correspondiente.
10.7 Queda prohibido a los funcionarios mover los equipos informáticos de
cómputo Escritorio, Portátiles y periféricos por su propia cuenta, el funcionario
deberá solicitar al Departamento de Tics el movimiento así como informar la
razón del cambio y en su caso, requerir la reasignación del equipo.
10.8 El Departamento de TIC’s deberá elaborar el pase de salida cuando
algún bien informático de computo Escritorio, Portátiles y periférico requiera ser
trasladado fuera de las instalaciones de la Cooperativa de Ahorro y Crédito
Cámara de Comercio por motivo de garantía, reparación o evento.
10.9 Si algún equipo informático de cómputo Escritorio, Portátiles o periférico
es trasladado por el funcionario a oficinas distintas al lugar asignado, oficinas
externas o foráneas para realizar sus labores, dicho bien estará bajo resguardo
del responsable que retira el equipo y el pase de salida quedará a
consideración del Departamento de TIC’s para su autorización y visto bueno.
10.10 Las diferentes áreas de la Cooperativa de Ahorro y Crédito Cámara de
Comercio serán encargadas de proporcionar al Departamento de TIC’s, la
relación de bienes y equipos que entrarán al proceso de baja, según
corresponda. El Departamento de TIC’s realizara la evaluación técnica del
equipo y definirá la reasignación o baja definitiva del bien que será informada a
la Sección financiera para control de inventarios de activos por medio del
procedimiento definido por el mismo.Ver formato Baja de equipo (Manual de
procedimientos)
10.11 Queda prohibido la baja de equipo de cómputo que no cuente con
evaluación técnica por parte del Departamento de TIC’s.
10.12 El Departamento de TIC’s no es responsable de proporcionar asesoría
técnica, mantenimiento preventivo o correctivo a equipo de cómputo propiedad
del funcionario.
10.13 El funcionario que ingrese equipos de sus propiedad a las instalaciones
de la Cooperativa de Ahorro y Crédito Cámara de Comercio es responsable de
la información almacenada en el mismo, y deberá mantener la privacidad,
integridad y respaldos de la misma sin ser esto responsabilidad del
Departamento de TIC’s.
10.14 Queda prohibido instalar software no autorizado o que no cuente con
licencia, el Departamento de Tics deberá realizar las instalaciones de acuerdo
con los estándares de la Cooperativa de Ahorro y Crédito Cámara de
Comercio.
10.15 Es responsabilidad del funcionario a quien este asignado el equipo de
escritorio o portátil, la información contenida en la misma.
10.16 Cuando un funcionario cambie de área, el equipo asignado a este
deberá permanecer dentro del área designada originalmente. Será
responsabilidad de la nueva área en la que habrá de laborar el funcionario, el
proporcionarle equipo de cómputo para el desarrollo de sus funciones.
10.17 En caso de reinstalaciones de equipo, el funcionario será el responsable
de verificar que toda la información y archivos de trabajo estén contenidos en el
equipo asignado, el funcionario deberá firmar la Solicitud o Asignación del
servicio proporcionado por el técnico o ingeniero asignado firmado de
conformidad.
10.18 El Departamento de TIC’s no es responsable de la configuración de
dispositivos personales tales como Palms, IPOD y teléfonos celulares
propiedad del funcionario.
10.19 El funcionario que requiere la instilación de Software de su propiedad
deberá solicitar por escrito al Departamento de TIC’s anexando copia de la
licencia que compruebe su propiedad o en el caso de software libre el
documento probatorio.
ANEXOS
Funciones específicas - Manual de Roles
Para todo el personal integrante del Departamento de Tecnologías de información y
comunicaciones:
1. Administrar y evaluar los requerimientos de información de las distintas
áreas de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
2. Coordinar con el Equipo de Apoyo del Departamento de TIC’s en la
definición, factibilidad, especificación y validación de requerimientos.
3. Vigilar la correcta aplicación de los estándares y metodologías de desarrollo de
sistemas de información, así como sugerir las mejoras que sean necesarias.
4. Coordinar con los líderes usuarios de las distintas dependencias para la
definición de requerimientos funcionales y no funcionales de los sistemas de
información.
5. Revisar, aprobar y mantener actualizados los manuales de los sistemas, de
operación y de usuario, concerniente a los sistemas de información y
tecnologías (TIC´S).
6. Elaborar reportes de avance y estrategias de ejecución de los
proyectos de desarrollo de sistemas de información.
7. Desarrollar e implementar los sistemas de información que requieran las
dependencias, de acuerdo a las prioridades establecidas.
8. Efectuar el mantenimiento y actualización de los sistemas de información,
analizando los problemas o planteamientos de modificación,
garantizando su correcta sincronización.
9. Participar en los procesos de adquisición y pruebas de las soluciones
informáticas de terceros. Asimismo, supervisar las actividades realizadas
por terceros en el desarrollo e implementación de soluciones informáticas.
10. Apoyar en la capacitación al usuario final y al personal designado de la
Sección Soporte a Usuarios, en el adecuado uso de los sistemas de
información, proporcionando material de soporte y los medios necesarios para
tales fines.
11. Administrar en forma eficiente los recursos asignados al Departamento de
TIC’s, así como el centro de cómputo, velando por la seguridad de accesos
y operatividad, y protegiendo la información de ingreso, salida y
almacenamiento.
12. Participar en la elaboración de la propuesta del Plan de contingencia en el
Departamento de TIC’s y en la implementación de acciones que minimicen
el riesgo de Tecnologías de Información.
13. Verificar que el personal del Departamento de Tics atienda oportuna y
eficientemente los requerimientos de las dependencias, supervisando el
cumplimiento de las metodologías, estándares y/o técnicas implementadas en
la Sección.
14. Cumplir y hacer cumplir las medidas correctivas recomendadas por los
entes de vigilancia y control tanto externo como interno.
15. Ejecutar los planes de respaldo y las recuperaciones de información que se
requieran para garantizar la continuidad operativa de las actividades.
16. Atender asuntos relativos al servicio de soporte técnico de primer nivel para la
solución de problemas referidos a hardware, Software, comunicaciones
y servicios de computación personal, efectuados por el personal del
Departamento de TIC’S y por todas las dependencias institucionales.
17. Participar en los Procesos de Atención de los Problemas y Reclamos.
18. Atender consultas técnicas, operativas y funcionales a los usuarios,
incentivándolos en el mejor uso y operación de las tecnologías de
información.
19. Ejecutar, instalar, configurar, y puesta en línea de los equipos de cómputo y
periféricos en las oficinas Administrativas; cumpliendo con los procedimientos y
estándares aprobados.
20. Instalar y diagnosticar los daños del cableado estructurado de la
red de las oficinas Administrativas.
21. Coordinar y analizar las incidencias y magnitudes de un desastre,
determinando prioridades de atención, disminuyendo el nivel de riesgos y
traumatismos en la operación.
22. Determinar y gestionar de inmediato las actividades a realizar para generar
una solución y puesta en marcha en el menor tiempo posible de todos los
sistemas de información colapsados en el desastre.
23. Administrador de la Red: Actualmente vivimos en una sociedad que
depende de los Sistemas de Información (Tics), que se encuentran tanto en la
parte interna como externa de toda Cooperativa, sin embargo para poder
acceder a esta información es necesario que estos sistemas se encuentren
interconectados por medio de un recurso llamado red. Red,recurso constituido
por equipos (router, bridges, switch, etc.), de medios de comunicación
(Fast Ethernet, Gigabyte Ethernet, E1, T1, E3, STM-1, etc.), adicionalmente,
las redes internas se conectan a otras redes (corporativas, Internet), lo que
hace que se vuelvan más complejas y robustas. Es por ello, que se hace
necesario el uso de herramientas para dar el soporte adecuado y óptimo. La
ISO “International Standards Organization”, creó un modelo de
administración, donde se definen claramente las funciones de los
administradores de redes, en 5 áreas:
Administración del Desempeño (Performance Management): Encargada de
monitorear y medir varios aspectos de rendimiento, funcionamiento y
utilización de la red, con el fin de mantener en niveles aceptables los
servicios que se encuentran disponibles, así como rastrear todos los
efectos en su operación.
Administración de la configuración (Configuration Management):
Encargada de los aspectos de configuración de los dispositivos de la
red, como los archivos de configuración de dichos dispositivos, y
administración del software; así como el almacenamiento en un lugar que
sea accesible por el personal autorizado.
Administración de la Contabilidad (Accounting Management): Encargada
de generar la información que permita describir el uso de los recursos que
conforman la red. El primer paso es medir la utilización de todos los
recursos para luego realizar un análisis de que proporcione el patrón de
comportamiento actual de uso de la red, de aquí también se puede obtener
información que ayude a planear un crecimiento o actualización de cada
elemento que forma parte de la red, así como determinar si dicho uso es
justo y adecuado.
Administración de Fallas (Fault Management): Encargada de detectar,
registrar, aislar, notificar y corregir fallas en aquellos equipos que son parte
de la red que presenten algún problema que afecte el buen funcionamiento
de la red. Es importante aclarar que cualquier problema que se presente se
verá reflejado como una degradación en los servicios que ofrece la red. El
proceso inicia desde la detección y determinación de síntomas hasta el
registro del problema y su solución.
Administración de la Seguridad (Security Management): Controlar el
acceso a los recursos de la red, de acuerdo a las políticas establecidas
con el fin de evitar algún abuso y la perdida de la confidencialidad; entre
las funciones está identificar los recursos sensibles y críticos de la red,
monitorear los accesos.
MANUAL DE ACCESO LÓGICO
POLÍTICA: Cada usuario se responsabilizará por el mecanismo de acceso lógico
asignado, esto es su identificador de usuario y contraseña necesarios para acceder a
la información e infraestructura de comunicación en la Cooperativa de Ahorro y Crédito
Cámara de Comercio, es responsabilidad de cada usuario la confidencialidad de los
mismos.
El acceso a la información que fluye dentro de la infraestructura tecnológica de
la Cooperativa de Ahorro y Crédito Cámara de Comercio se otorga en base a las
funciones del usuario, se deberán otorgar los permisos mínimos necesarios para el
desempeño del cargo o rol.
CONTROLES DE ACCESO LÓGICO: Todos los usuarios de equipos
computacionales son responsables de la confidencialidad del identificador de usuario
(ID) y el password o contraseña de su equipo, así como de aplicaciones especiales
que requieran el mismo control de acceso lógico.
Todos los usuarios deberán autenticarse con los mecanismos de control de acceso
lógico antes de tener acceso a los recursos de la Infraestructura tecnológica de la
Cooperativa de Ahorro y Crédito Cámara de Comercio. No está permitido a los
usuarios proporcionar información a personal externo sobre los mecanismos de control
de acceso a los recursos e infraestructura tecnológica de la Cooperativa, salvo el caso
de autorización expresa por Gerencia de la entidad.
El identificador de usuario dentro de la red es único y personalizado, no está permitido
el uso del mismo identificador de usuario por varios miembros del personal. El usuario
es responsable de todas las actividades realizadas con su identificador de usuario, por
tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está
prohibido usar el identificador de usuario de otros.
ADMINISTRACIÓN DE PRIVILEGIOS: Todo cambio en roles, funciones o cargo que
requiera asignar al usuario atributos para acceso a diferentes prestaciones de la
infraestructura tecnológica de la Cooperativa de Ahorro y Crédito Cámara de Comercio
debe ser notificado al Departamento de Tics por el Jefe inmediato correspondiente a la
dependencia o por el Secretario General o en su defecto por la Gerencia.
Versión 1.0
Anexo 5 Plan de Contingencia.
PLAN DE CONTINGENCIA PARA ELDEPARTAMENTO DE TECNOLOGÍAS
DE LA INFORMACIÓN YCOMUNICACIÓN
AÑO 2017- 2020
ÍNDICE GENERAL
INTRODUCCIÓN.......................................................................................................... 5
OBJETIVO general ....................................................................................................... 6
Objetivos Específicos.................................................................................................... 6
METODOLOGÍA ........................................................................................................... 7
Planificación ................................................................................................................. 7
Diagnostico................................................................................................................... 7
Organización Estructural y Funcional............................................................................ 8
Servicios y/o Bienes Producidos................................................................................... 9
Coordinación Ejecutora del Plan................................................................................. 10
Comité de Contingencia.............................................................................................. 10
Funciones y Roles del Comité del Plan de Contingencia ............................................ 11
Contraloría del Plan de Contingencia.......................................................................... 12
Identificación y priorización de Riegos ........................................................................ 12
Análisis de Riesgos .................................................................................................... 13
Probabilidad del Riesgo .............................................................................................. 13
Impacto del Riesgo ..................................................................................................... 13
Exposición al Riesgo................................................................................................... 13
Dentición de Matriz de Riesgos .................................................................................. 14
Definición de eventos susceptibles de contingencia ................................................... 15
Elaboración de los Planes de Contingencia ................................................................ 17
Formato de Registro del Plan de Contingencia........................................................... 17
Definición y ejecución del plan de pruebas ................................................................. 18
Alcance y Objetivos .................................................................................................... 18
Validación y Registro de Pruebas ............................................................................... 20
Implementación del Plan de Contingencia .................................................................. 20
DESARROLLO DE FASES, ACTIVIDADES, ESTRATEGIAS, PROGRAMAS............ 21
Elaboración del Plan de Contingencia ........................................................................ 28
Desarrollo de las Actividades...................................................................................... 30
Subfactor: Contingencia relacionadas a siniestros...................................................... 30
Subfactor: Contingencia relacionadas a los sistemas de información ......................... 44
SubFactor: Contingencia relacionadas a los Recursos Humanos .............................. 56
Subfactor: Contingencia relacionadas a Seguridad Física .......................................... 65
Estrategias.................................................................................................................. 66
Programa.................................................................................................................... 66
RESPONSABLES....................................................................................................... 68
RECURSOS ............................................................................................................... 68
PERIODOS Y/O PLAZOS........................................................................................... 68
CRITERIOS EMPLEADOS ......................................................................................... 68
GLOSARIO................................................................................................................. 69
ANEXOS
Índice de Ilustraciones
Ilustración 1 Organización Administrativa del Plan de Contingencia ............................. 8
Ilustración 2 Forma de Responder ante ocurrencia de un evento de contingencia...... 28
Índice Tablas
Tabla 1 Cuadro de Impacto......................................................................................... 14
Tabla 2 Cuadro de Probabilidad de Ocurrencia .......................................................... 14
Tabla 3 Eventos Susceptibles de Contingencia .......................................................... 16
Tabla 4 Identificación y Priorización de Riesgos ......................................................... 21
Tabla 5 Eventos Controlables ..................................................................................... 23
Tabla 6 Eventos No Controlables ............................................................................... 24
Tabla 7 Elementos Vs. Subfactores a desarrollar ....................................................... 24
Tabla 8 Plan de Continencia desarrollado................................................................... 25
Tabla 9 Plan de contingencia desarrollado ................................................................ 26
Tabla 10 Plan de Contingencia desarrollado............................................................... 27
Tabla 11 Funcionarios responsables de cada evento de contingencia (Siniestros)..... 28
Tabla 12 Funcionarios responsables de cada evento de contingencia (Sistemas de
Información)................................................................................................................ 29
Tabla 13 Funcionarios responsables de cada evento de contingencia (Recursos
Humanos) ................................................................................................................... 29
Tabla 14 Funcionarios responsables de cada evento de contingencia (Seguridad
Física)......................................................................................................................... 30
Tabla 15 Riesgos Relacionadas a Siniestros .............................................................. 31
Tabla 16 Riesgos Relacionadas a Sistemas de Información....................................... 44
Tabla 17 Riesgos relacionadas a recursos humanos .................................................. 57
Tabla 18 Plan de Seguridad Física ............................................................................. 66
Tabla 19 Programas: Subfactores priorizados por la Cooperativa .............................. 67
Tabla 20 Subfactores priorizados por la Cooperativa.................................................. 67
Tabla 21 Subfactores priorizados por la Cooperativa.................................................. 67
INTRODUCCIÓN
Unos de los más importantes activos de la Cooperativa es la información que esta
genera en sus diferentes acciones y ámbitos. Conscientes de esta premisa, podemos
indicar que se debe adoptar medidas de seguridad para la información y así mismo
estar preparados para poder afrontar contingencias y desastres de tipo diverso.
El Departamento de Tecnologías de la Información y de las Comunicaciones, en
adelante TIC’S, tiene, entre otros, el propósito de proteger la información y así
asegurar su procesamiento y desarrollo de funciones institucionales. En base a ello
presenta el Plan de Contingencia Informático de la Cooperativa de Ahorro y Crédito
Cámara de Comercio.
En la actualidad, los profesionales y técnicos de la informática tienen como una de sus
principales actividades y preocupaciones la seguridad en estos sistemas, que
constituyen una base y respaldo a las funciones institucionales realizadas a través de
los años, así como en la actualidad facilitan a sobre manera las tareas que se
desarrollan en la ejecución de los diferentes procesos administrativos, logísticos,
ejecutivos, informativos, sociales de planeamiento y de servicios.
Los responsables del servicio informativo están obligados a hacer de conocimiento y
explicar con lenguaje entendible a estos directivos las posibles consecuencias que la
inseguridad insuficiente o inexistente pueda acarrear; de esa manera proponer y poner
a consideración las medidas de seguridad inmediatas y a mediano plazo, que han de
tomarse para prevenir los desastres que pueda provocar el colapso de los sistemas.
OBJETIVO GENERAL
Recuperar el funcionamiento de los diferentes servicios de comunicaciones en el
menor tiempo posible sobre los procedimiento informáticos del departamento de TIC’S,
así también como enfrentarnos a fallas y eventos inesperados; con el propósito de
asegurar y restaurar los equipos e información con las menores perdidas posibles de
forma eficiente y oportuna; buscando la mejora de la calidad en los servicios que
brinda el Departamento de TIC’S.
Objetivos Específicos
Contar con documentación práctica y actualizada que garantice a la
Cooperativa la continuidad de las operaciones de los sistemas informáticos sin
sufrir paralizaciones o pérdidas relevantes.
Identificar y analizar riesgos posibles que pueden afectar las operaciones y
procesos informáticos de la Cooperativa.
Establecer las estrategias adecuadas para asegurar la continuidad de los
servicios informáticos en caso de interrupción y que esta no exceda las 24
horas.
Contar con personal debidamente capacitada y organizada para afrontar
adecuadamente las contingencias que puedan presentarse en las actividades
de la Cooperativa.
ALCANCE
La implementación del Plan de Contingencia informático, incluye los elementos
referidos a los sistemas de información, equipos, infraestructuras, personal, servicios y
otros, direccionado a minimizar eventuales riesgos ante situaciones adversas que
atentan contra el normal funcionamiento de los servicios de la Cooperativa.
Este plan de contingencia es flexible a modificación e incremento, semestral o
anualmente, ya sea por riesgos físicos o lógicos que pueden provocar daños a la
Cooperativa de Ahorro y Crédito Cámara de Comercio, actualmente la versión de este
Plan de Contingencia es 1.0.0.
METAS
Potenciar el nivel informático del Departamento de Tecnologías de Información y de
las Comunicaciones (TIC’S) de la Cooperativa de Ahorro y Crédito Cámara de
Comercio, y además las funciones cotidianas informáticas, haciéndolas seguras y
consistentes, logrando con ello su buen desarrollo y la optimización de resultados.
METODOLOGÍA
La metodología empleada es el resultado de la experiencia práctica de la Cooperativa
de Ahorro y Crédito Cámara de Comercio en la implementación de planes de
contingencia, mitigación de riesgos y seguridad, lo cual garantiza que el documento
final sea necesariamente objetivo y práctico, a fin de contar con una herramienta
efectiva en caso de una contingencia real.
La presente metodología se podría resumir en seis fases de la siguiente manera:
Planificación
Identificación y priorización de riesgos
Definición de eventos susceptible de contingencia
Elaboración del Plan de Contingencia
Definición y Ejecución del Plan de Pruebas
Implementación del Plan de Contingencia.
Planificación
Diagnostico
Efectuada nuestra revisión de la administración de riesgos de Tecnologías de
Información de la Cooperativa consideramos que debe desarrollarse un Plan de
Contingencia. Si bien hemos observado la existencia de normas, procedimientos y
controles que cubren algunos aspectos de la seguridad de la información, que carece
en general de una metodología, guía o marco de trabajo que ayude a la identificación
de riesgos y determinación de controles para mitigar los mismos.
Dentro de los distintos aspectos a considerar en la seguridad es necesario un
Inventario de la Clasificación de los Activos de información de la Cooperativa. Cabe
mencionar que se ha verificado la existencia de controles, en el caso de la seguridad
lógica, sobre los accesos a los sistemas de información así como procedimientos
técnicos establecidos para el otorgamiento de dichos accesos.
Organización Estructural y Funcional
Uno de los aspectos que evidencia un carácter formal y serio en toda
organización es que ésta se encuentre siempre preparada para afrontar
cualquier evento de contingencia o dificultades en general y que le permitan
poder superarlos por lo menos de manera transitoria mientras dure dicho
evento.
Es necesario entonces que la definición de un Plan de Contingencia
informático deba hacerse de manera formal y responsable de tal forma que
involucre en mayor o menor medida a toda la organización en el Plan de
Prevención, Ejecución y Recuperación, pero definiendo un grupo responsable para su
elaboración, validación y mantenimiento.
Por lo que se propone la siguiente organización según Ilustración 1:
Ilustración 1 Organización Administrativa del Plan de Contingencia
Fuente: Análisis (2016). Santo Domingo: Ilustración que detalla el organigramaempresarial de la Cooperativa de Ahorro y Crédito Cámara de Comercio
Servicios y/o Bienes Producidos
La Cooperativa de Ahorro y Crédito Cámara de Comercio se encarga de brindar
servicios a los socios y clientes como:
Servir a las necesidades financieras de sus socios y de terceros mediante elejercicio de las actividades propias de las cooperativas de ahorro y crédito.
Aperturas de Cuenta
Ahorro Programados
Pólizas
Créditos de Vivienda
Crédito de Consumo
Microcréditos
Cuentas de niños con representantes legales
Pagos de servicios
o Impuesto discales (SRI)
o Revisión vehicular y matriculación (ANT)
o Pensiones Alimenticias (SUPA)
o Pago tarjetas de créditos
o Pago planillas (IESS)
o Pago planilla (CNT)
o Bono de desarrollo humano
o Giros (WESTERN UNION)
Entre otros, para cumplir con las disposiciones legales vigentes y poder brindar
bienestar y desarrollo a cada uno de los socios de la Cooperativa.
A continuación se describe las funciones y roles de la Organización
Administrativa del Plan de Contingencia:
Coordinación Ejecutora del Plan
La Coordinación ejecutora del Plan de Contingencia será responsabilidad
del Jede del Departamento de TIC’S, definiendo todas las acciones a llevarse a
cabo durante un evento de contingencia, también será responsable de que todas
las actividades se cumplan de acuerdo a lo planeado. Dicha coordinación será
asistida y ejecutada en colaboración de las Áreas Administrativas de la
Cooperativa de Ahorro y Crédito Cámara de Comercio.
Funciones y Roles de la Coordinación Ejecutora del Plan:
Mantener permanentemente actualizado el Plan de Contingencia.
Responsable de la ejecución del plan de contingencia, cuando se
presenten los eventos que lo activan.
Evaluar el impacto de las contingencias que se presenten.
Elaborar los informes referidos al Plan de contingencias.
Proponer incorporaciones de eventos al plan de contingencia al Comité
de Contingencia.
Proponer la capacitación al personal nuevo del servicio, sobre las actividades
que deben ejecutar cuando se presente la contingencia.
Velar que el personal se encuentre debidamente capacitado y preparado
para ejecutar el plan de contingencia.
Proponer reuniones periódicas sobre el plan de contingencia.
Comité de Contingencia
El Comité de Contingencias es el órgano donde se coordinan y aprueban todas las
actividades previamente planificadas para ejecutarse en el caso de contingencias
del servicio.
Este comité se reunirá por lo menos con una periodicidad semestral y en él se
definirán, los lineamientos a través de los cuales se sustentará el Plan de
Contingencia.
Dicho Comité estará integrado por los siguientes miembros:
Gerente
Área legal
Asistente de Gerencia
Área financiera
Contador
Tesorero
Área Operativa
o Jefe de Sistemas
Asistente de Sistemas
o Jefe de Captaciones
Caja
Servicio al Cliente
o Jede de Crédito
Asesoría de Crédito
Gestor de Crédito
Servicio Generales
El Gerente, La Asistente de Gerente y Jefe de Sistemas, designara a otros integrantes
que considere pertinente a participar en el Comité.
Funciones y Roles del Comité del Plan de Contingencia
Participar en las reuniones periódicas propuestas por el Coordinador del Plan
de Contingencia.
Proponer la incorporación y/o modificaciones del Plan de contingencia.
Aprobar y/o rechazar las incorporaciones y/o modificaciones del Plan de
Contingencia propuesta por el coordinador de contingencia o sus miembros.
Verificar que el personal a su cargo se encuentre debidamente
capacitado en la ejecución del plan de contingencia.
Coordinar la ejecución de las actividades del plan de pruebas.
Aprobar los informes presentados por la coordinación del plan respecto a
cualquier evento relacionado con el mismo.
Determinar las prioridades y plazos de recuperación de los diferentes
servicios que pudieran verse afectados.
Coordinar con los recursos y/o proveedores externos necesarios para
soportar y restaurar los servicios afectados por la contingencia.
Coordinar y ejecutar la capacitación al personal nuevo del servicio sobre
las actividades que deben de ejecutar cuando se presenta la
contingencia.
Contraloría del Plan de Contingencia
La Asistente de Gerencia sería el órgano que supervise todos los elementos y
recursos descritos para intervenir en una situación de contingencia estén
disponibles y sean perfectamente viables de modo tal que se garantice que no se
presenten carencias y/o fallas en una situación real bajo las Funciones y Roles
siguientes:
Verificar que el plan de contingencia se encuentre actualizado.
Revisar y verificar que el documento de plan de contingencia se
enmarque dentro del alcance establecido.
Velar por suministrar los recursos necesarios para la viabilidad del plan
de Contingencia y Seguridad.
Corroborar que el plan de contingencia se cumpla correctamente.
Presentar los informes del Plan de Contingencia al Comité de
Contingencia de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
Certificar que todos los recursos descritos en el Plan de Contingencia
(materiales, humanos, externos, etc.) Sean viables y se encuentren
disponibles para su uso cuando un evento de contingencia lo requiera.
Auditar los procesos que forman parte del Plan de Contingencia,
corroborando que se cumpla correctamente. Participar y visar las pruebas
de validación del Plan de Contingencia. Informar al Comité respecto a
cualquier evento o anomalía encontrada que ponga en riesgo la ejecución
de todo o parte del plan.
Proponer y recomendar actividades o procesos de mejora que permitan
minimizar los riesgos de operación.
Identificación y priorización de Riegos
Es un suceso incierto que puede llegar a presentarse en un futuro dependiendo de
variables externas o internas. Es entonces la cuantificación de una amenaza.
Análisis de Riesgos
El análisis del riesgo se basa en la información generada en la fase de
identificación, que se convierte ahora en información para la toma de decisiones.
En la fase del análisis, se consideran tres elementos que permiten aproximar un
valor objetivo de riesgo de la lista de riesgos principales: la probabilidad,
impacto y exposición del riesgo. Estos elementos permitirán al equipo
coordinador categorizar los riesgos, lo que a su vez le permite dedicar más
tiempo y principalmente a la administración de los riesgos más importantes.
Probabilidad del Riesgo
Es la probabilidad de que una condición se produzca realmente. La probabilidad
del riesgo debe ser superior a cero, pues si no el riesgo no plantea una amenaza al
servicio. Asimismo, la probabilidad debe ser inferior al 100% o el riesgo será una
certeza; dicho de otro modo, es un problema conocido.
La probabilidad se puede entender también como la posibilidad de la
consecuencia, porque si la condición se produce se supone que la probabilidad
de la consecuencia será del 100%.
Impacto del Riesgo
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud
de una pérdida, causados por la consecuencia. Es una calificación aplicada al
riesgo, para describir su impacto en relación al grado de afectación del nivel de
servicio normal. Cuando mayor sea el número mayor es el impacto. Que lo
clasificaremos el impacto con una escala del 1 al 4.
Exposición al Riesgo
La exposición al riesgo es el resultado de multiplicar la probabilidad por el impacto. A
veces, un riesgo de alta probabilidad tiene un bajo impacto y se puede ignorar sin
problemas; otras veces, un riesgo de alto impacto tiene una baja probabilidad, por
lo que también se podría pensar en ignorarlo, en cuyo caso habrá que
considerar también la criticidad de dicho evento. Los riesgos que tienen un alto
nivel de probabilidad y de impacto son los que más necesidad tienen de
administración, pues son los que producen los valores de exposición más elevados.
Dentición de Matriz de Riesgos
La ocurrencia de un evento tiene una implicancia sobre las actividades
operativas del servicio, en tal sentido, resulta vital conocer el impacto del evento
cuando este se presenta, por lo que resulta necesario cuantificar la misma, a efectos
de ser muy objetivos en su análisis. El factor numérico asignado es directamente
proporcional y va en ascenso con respecto al impacto o gravedad que su
ocurrencia pueda generar sobre los diferentes alcances del servicio y se clasificarán
como se indica en la Tabla N° 1.
Tabla 1 Cuadro de Impacto
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Cuadro de Impacto que pueden existir en la Cooperativa.Elaborado: Chamba J.
Tabla 2 Cuadro de Probabilidad de Ocurrencia
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Cuadro de Probabilidad de ocurrencias que pueden existir enla Cooperativa. Elaborado: Chamba J.
DESCRIPCIÓN IMPACTO VALOR
Perdida de Información y/o equipamiento no
sensitivoPoco Impacto 1
Perdida de información sensible Moderado Impacto 2
Perdida de información sensible, retraso o
interrupciónAlto Impacto 3
Información crítica, daño serio, patrimonial Gran Impacto 4
DESCRIPCIÓN PROBABILIDAD DE OCURRENCIA
Incidentes repetidos Frecuente
Incidentes aislados Probable
Sucede alguna vez Ocasional
Improbable que suceda Remoto
Asimismo, la probabilidad de ocurrencia de un evento resulta de gran
importancia para determinar qué tan posible es que dicho evento se presente
en la realidad. La determinación de esta probabilidad se obtendrá de la
estadística recogida de los eventos que se hayan presentado a lo largo de la
administración del servicio por otros proveedores, así como la información
obtenida de otros planes de contingencia para servicios similares.
Exposición: Impacto X Probabilidad.
Finalmente, después de haber ponderado y validado objetivamente las probabilidades
de ocurrencia y los impactos asociados para un Plan de Contingencia, como sigue:
Todo evento que sea de “Gran Impacto: 4”, será considerado obligatoriamente
dentro del Plan de Contingencia.
Todo evento cuya exposición al riesgo sea mayor o igual a 0.15 será también
considerado en el Plan de Contingencia (Ver Cuadro Nº 4).
Después de todo lo expuesto, se elaborará la “Matriz de Riesgo de
Contingencia” en la cual se tendrá en cuenta todos los eventos susceptibles de entrar
en contingencia, indicando su ponderación y categorización (controlable/ no
controlable) para la elaboración del Plan de Contingencia. Asimismo, se utilizarán
los siguientes tópicos como una forma de agrupar a dichos eventos:
Contingencias relacionadas a Siniestros
Contingencias relacionadas a los Sistemas de Información
Contingencias relacionadas a los Recursos Humanos
Plan de Seguridad Física
Definición de eventos susceptibles de contingencia
El Plan de Contingencia abarca todos los aspectos que forman parte del
servicio informático, en tal sentido, resulta de vital importancia considerar todos
los elementos susceptibles de provocar eventos que conlleven a activar la
contingencia. Los principales elementos, que serán considerados para su
evaluación:
Tabla 3 Eventos Susceptibles de Contingencia
HARDWARE
Servidores
Estaciones de trabajo (laptops y
PC’s)
Impresoras, fotocopiadoras, scanner
Equipos Multimedia
COMUNICACIONES
Equipos de comunicaciones switch y
conectores RJ-45.
Equipo de comunicaciones Router y
LAN
Equipo de Telefonía fija
Enlaces de cobre y fibra óptica
Cableado de Red de Datos
SOFTWARE
Aplicativos utilizados por la
Cooperativa
Software de Aplicaciones
Software de Base de Datos (S.O Y
Ofimática)
Antivirus para protección de
servidores y estaciones de trabajo
INFORMACIÓN SOBRE SISTEMASINFORMÁTICOS
Respaldo de información generada
con Software y de ofimática
Respaldo de las Aplicaciones
utilizadas por la Cooperativa
Respaldo de información y
configuración de los servidores
EQUIPOS DIVERSOS UPS
Aire Acondicionado
INFRAESTRUCTURA FÍSICA Oficinas Administrativas de la
Cooperativa
Departamento de TIC’S
OPERATIVOS Logística operativa (Suministros
Informáticos)
SERVICIOS PÚBLICOS Suministros de Energía Electica
Servicio de Telefonía Fija y móvil
Suministro de Agua
RECURSOS HUMANOS Disponibilidad de personal de
Gerencia
Disponibilidad de personal operativo
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Eventos Susceptibles de Contingencia en la Cooperativa.Elaborado: Chamba J.
Elaboración de los Planes de Contingencia
Una de las fases importantes del Plan de Contingencia es la documentación y revisión
de la información que se plasmará en una guía práctica y de claro
entendimiento por el personal de la Cooperativa de Ahorro y Crédito Cámara de
Comercio.
Es por ello, que una fase importante de la metodología considera un formato estándar
de registro de todos los eventos definidos que forman parte del plan, así se tendrá
finalmente un entregable acorde con los requerimientos definidos para tal fin.
Formato de Registro del Plan de Contingencia
Para una lectura fácil y rápida del Plan de Contingencia, se ha diseñado un formato,
Ver Anexo A 02: “Formato Registro Plan de Contingencia”, el mismo que
describimos a continuación y que se compone de las siguientes partes:
Encabezado
El formato tiene un encabezado, cuyo contenido se presenta como sigue:
Elaborado: En todos los casos se indica “Cooperativa”.
Código del Formato: PC – XX (ver matriz de riesgo de Contingencia).
Nombre del evento: Claro y de fácil entendimiento.
Cuerpo Principal
En el cual se desarrollará cada uno de los eventos que formarán parte del Plan de
Contingencia y se describe el contenido que deberá ir en cada campo.
Definición y ejecución del plan de pruebas
Conscientes que una situación de contingencia extrema puede presentarse en
cualquier momento, y por ende convertirse en un problema prioritario de atender
si éste se produjera en el horario de oficina que pueda resultar impactante
durante las actividades de la Cooperativa; es que se hace necesario definir de
manera específica todas las acciones necesarias para asegurar que, en caso real
de contingencia y tener un conjunto de prestaciones y funcionalidades mínimas
que permitan posteriormente ejecutar el plan de recuperación de manera rápida y
segura.
En este sentido, la garantía del “éxito” del Plan de Contingencia se basa en una
validación y certificación anticipada del mismo, en cada uno de sus procesos.
Alcance y Objetivos
Dado que la mayor parte de los planes de contingencia están orientados a temas de
Siniestros, Seguridad y Recursos Humanos, cuyas situaciones son imposibles de
reproducir en la vida real (Ej.: terremotos, robos, accidentes, problemas
logísticos, etc.), es que el plan de pruebas estará enfocado principalmente a
simular situaciones de contingencia en caso de incidencias producidas sobre
equipos, información y procesos, manejados en situaciones reales y cuyos
respaldos si pueden ser empleados y replicados en una hipotética situación de
contingencia.
Objetivos a alcanzar en la realización de las pruebas:
Programar la prueba y validación de todas las actividades que se
llevarán a cabo como parte del Plan de Ejecución del Plan de
Contingencia respecto a una posible interrupción de los procesos
identificados como críticos para el servicio de la Cooperativa.
Identificar por medio de la prueba, las posibles causas que puedan
atentar contra su normal ejecución y las medidas correctivas a aplicar para
subsanar los errores o deficiencias que se deriven de ella
(retroalimentación del plan).
Determinar los roles y funciones que cumplirán los responsables en la prueba,
los mismos que serán los asignados para su ejecución en caso de una
situación real de contingencia.
Con el fin de garantizar la ejecución integral de la prueba, se diseñará un conjunto de
casos de pruebas funcionales, que serán ejecutados por un grupo determinado
de usuarios de las Áreas Administrativas de la Cooperativa, los cuales probarán,
verificarán y observarán cualquier incidencia que se origine durante dicha
prueba, a fin de retroalimentar cualquier acción que pueda corregir el plan.
La información que se desarrollará como parte del Plan de Pruebas, tiene el siguiente
esquema:
1. OBJETIVOS DE LA PRUEBA DEL PLAN DE CONTINGENCIA
Definición Objetivos
2. ALCANCES
Áreas Afectadas (relación)
Personal involucrado (relación)
3. DESCRIPCIÓN DE LA PRUEBA A EFECTUARSE
Evaluación de una situación de Emergencia
Medios disponibles para operar
Fechas y horas
4. RESULTADOS ESPERADOS DE LAS PRUEBAS
Relación de posibles acciones
Validación y Registro de Pruebas
Todas las actividades generales que forman parte de la prueba, deberán validarse,
registrarse (incluyendo observaciones) y firmarse por todos los responsables que
participaron en cada una de ellas, a fin de dar fe de su ejecución y certificación.
En el Anexo A 03 “Control y Certificación de Pruebas de Contingencia” se muestra
el formato que se usará para la validación y registro de dichas pruebas, así
como el detalle de la información que deberá ser ingresada en cada campo.
Implementación del Plan de Contingencia
La implementación del presente plan se realizará en el segundo mes de su
aprobación.
DESARROLLO DE FASES, ACTIVIDADES, ESTRATEGIAS, PROGRAMAS.
Como parte del presente capítulo, el Departamento de TICS, plantea el desarrollo
de los tópicos, utilizando la metodología expuesta anteriormente.
Este desarrollo incluirá las siguientes fases de la metodología:
Identificación y Priorización de riesgos
Definición de Eventos susceptibles de Contingencia.
Elaboración del Plan de Contingencia.
Identificación y Priorización de riesgos
En la Tabla N °4 muestra la matriz de Riesgo de Contingencia, ponderado de
acuerdo a los valores de riesgo e impacto en el servicio (operatividad), usando el
conocimiento y la experiencia práctica de Informática en Gestión de Sistemas de
Información:
Tabla 4 Identificación y Priorización de Riesgos
Sub Factor. Riesgos Relacionadas a Siniestros
NºDescripción del
RiesgoAlerta Categoría Probabilidad Impacto
Ponderación
INFRAESTRUCTURA
1 Incendio C 0.04 4 0.16
2 Sismo NC 0.04 4 0.40
3
Inundación por
desperfecto de los
servicios sanitarios
C 0.02 1 0.02
SERVICIOS PÚBLICOS
4Interrupción de energía
eléctricaNC 0.10 4 0.40
5Interrupción de servicios
telefónicosNC 0.01 3 0.03
Sub Factor. Riesgos relacionadas a Sistemas de InformaciónINFORMACIÓN
6 Extravió de documentos C 0.02 3 0.06
7Sustracción o robo de
informaciónC 0.02 3 0.06
SOFTWARE
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos la Identificación y Priorización de Riesgos que pueden existir
en la Cooperativa. Elaborado: Chamba J.
Nota: El color amarillo de la alerta representa que el evento es altamenteimpactante en el servicio por lo tanto debe ser obligatoriamente controlado.
8Infección de equipos por
virusC 0.05 4 0.20
9Perdidas de los
sistemas centralesC 0.05 4 0.20
10Perdidas del servicio de
correoC 0.01 2 0.02
11Falla del sistema
operativoC 0.04 4 0.16
COMUNICACIONES
12Fallas en la red de
comunicaciones internaC 0.02 4 0.08
HARDWARE
13Fallas de equipos
personalesC 0.02 2 0.04
RECURSOS OPERATIVOS Y LOGÍSTICOS
14
Falla de equipos
multimedia, impresoras,
scanner y otros
C 0.01 2 0.02
Sub Factor. Riesgos relacionadas a recursos humanosRECURSO HUMANO
15Ausencia imprevista delpersonal delDepartamento de TICS
C 0.05 3 0.15
16
Ausencia de personalAdministrativo para latoma de decisiones antesituaciones de riesgosinformáticos
C 0.05 3 0.15
Sub Factor. Plan de seguridad físicaINFRAESTRUCTURA
17Sustracción de equipos
y software diversosC 0.02 2 0.04
18 Sabotaje NC 0.01 2 0.02
19 Vandalismo NC 0.01 3 0.03
En la columna CATEGORÍA por cada evento, se considera la identificación de
aquellos eventos Controlables (C), y No Controlables (NC).
En las Tablas Nº 5 y Nº 6 se resumen los eventos según la categorización de eventos
controlables y no controlables:
Tabla 5 Eventos Controlables
Nº
Tabla Nº 4Eventos Controlables
1 Incendio
3 Inundación por desperfecto de los servicios sanitarios
6 Extravió de documentos
7 Sustracción o robo de información
8 Infección de equipos por virus
9 Perdidas de los sistemas centrales
10 Perdida del servicio de correo
11 Falla del sistema operativo
12 Fallas en la red de comunicaciones internas
13 Fallas de equipos personales
14 Falla de equipos multimedia, impresoras, scanner y otros
15 Ausencia imprevista del personal del Departamento de TICS
16Ausencia de personal ejecutivo para la toma de decisiones ante
situaciones de riesgo informático
17 Sustracción de equipos y software diversos
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Eventos Controlables que pueden existir en la
Cooperativa. Elaborado: Chamba J.
Tabla 6 Eventos No Controlables
NºTabla Nº 4
Eventos no Controlables
2 Sismo
4 Interrupción de energía eléctrica
5 Interrupción de servicios de telefonía
18 Sabotaje
19 Vandalismo
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Eventos No Controlables que pueden existir en laCooperativa. Elaborado: Chamba J.
Definición de Eventos susceptibles de Contingencia
Una vez identificados los eventos de contingencia, presentamos la Tabla N °7
“Elementos vs. Sub factores”, donde se muestra la relación existente entre los
elementos mínimos definidos por el Departamento de TICS, haciendo una
referencia de todos los Planes de Contingencia relacionados al mismo e
indicando a que sub factor desarrollado pertenecen.
Tabla 7 Elementos Vs. Sub factores a desarrollar
ELEMENTOPLAN DE CONTINGENCIA DESARROLLADO
CÓDIGO ALCANCE SUBFACTORHardware
Servidores
PC-04 Servicios Públicos Contingencia Siniestros
PC-07 InformaciónContingencia SistemasInformación
PC-08 SoftwareContingencia SistemasInformación
PC-09 SoftwareContingencia SistemasInformación
PC-11 SoftwareContingencia SistemasInformación
PC-18 InfraestructuraContingencia SeguridadFísica
Estaciones deTrabajo(laptops y PC’s)
PC-04 Servicios Públicos Contingencia Siniestros
PC-06 InformaciónContingencia SistemasInformación
PC-08 SoftwareContingencia SistemasInformación
PC-12 ComunicacionesContingencia SistemasInformación
PC-19 InfraestructuraContingencia SeguridadFísica
Fotocopiadoras,Impresoras ,y scanner y/oequipos multimedia PC-14 Operativo
Contingencia SistemasInformación
Equipos multimedia PC-14 OperativoContingencia SistemasInformación
ComunicacionesEquipos decomunicaciones switch yconectores RJ-45 PC-12 Comunicaciones
Contingencia SistemasInformación
Equipo decomunicaciones Router yLAN PC-12 Comunicaciones
Contingencia SistemasInformación
Equipo de telefoníaFija PC-12 Comunicaciones
Contingencia SistemasInformación
Cableado de Red deDatos PC-12 Comunicaciones
Contingencia SistemasInformación
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Elementos Vs. Sub factores a desarrollar que pueden existiren la Cooperativa. Elaborado: Chamba J.
Tabla 8 Plan de Continencia desarrolladoELEMENTO PLAN DE CONTINGENCIA DESARROLLADO
CÓDIGO
ALCANCE SUBFACTORSoftware
Software de Base deDatos
PC-09 Software Contingencia SistemasInformación
Aplicativos
utilizados por la
Cooperativa
PC-06 Información Contingencia SistemasInformación
PC-07 Información Contingencia SistemasInformación
PC-08 Software Contingencia SistemasInformación
PC-09 Software Contingencia SistemasInformación
PC-11 Software Contingencia SistemasInformación
PC-12 Comunicaciones Contingencia SistemasInformación
PC-09 Software Contingencia SistemasInformación
Software de Aplicaciones PC-11 Software Contingencia SistemasInformación
PC-12 Comunicaciones Contingencia SistemasInformación
Software Base(sistemasOperativos yOfimática)
PC-09 Software Contingencia SistemasInformación
PC-11 Software Contingencia SistemasInformación
PC-12 Software Contingencia SistemasInformación
Antivirus para protecciónde servidores y estacionesde trabajo.
PC-09 Software Contingencia SistemasInformación
PC-10 Software Contingencia SistemasInformación
PC-11 Software Contingencia SistemasInformación
PC-12 Software Contingencia SistemasInformación
InformaciónBase de datos utilizadaspor los Aplicativos PC-09 Software Contingencia Sistemas
Información
Respaldo deinformación PC-09 Software Contingencia Sistemas
InformaciónFuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Plan de Contingencia desarrollado en la Cooperativa.Elaborado: Chamba J.
Tabla 9 Plan de contingencia desarrollado
ELEMENTO PLAN DE CONTINGENCIA DESARROLLADOCÓDIGO
ALCANCE SUBFACTORGenerada con software
base y de Ofimática PC-11 SoftwareContingencia SistemasInformación
Respaldo de las
Aplicaciones utilizadas por
la Cooperativa
PC-09 Software Contingencia SistemasInformación
PC-11 Software Contingencia SistemasInformación
Respaldo de Base de
Datos
PC-09 Software Contingencia SistemasInformación
PC-11 Software Contingencia SistemasInformación
Respaldos de Información y
Configuración de los
Servidores
PC-11 Software Contingencia SistemasInformación
Equipos DiversosUPS PC-04 Servicios Públicos Contingencia Siniestros
Aire Acondicionado PC-04 Servicios Públicos Contingencia SiniestrosInfraestructura Tecnológica
Oficinas
PC-01 Infraestructura Contingencia SiniestrosPC-02 Infraestructura Contingencia Siniestros
PC-03 Infraestructura Contingencia Siniestros
PC-19 Infraestructura Contingencia SeguridadFísica
Laboratorios
Descentralizados de
Investigación.
PC-01 Infraestructura Contingencia SiniestrosPC-02 Infraestructura Contingencia Siniestros
PC-03 Infraestructura Contingencia Siniestros
PC-19 Infraestructura Contingencia SeguridadFísica
Servicios PúblicosSuministros de EnergíaEléctrica
PC-04 Servicios públicos Contingencia Siniestros
Servicio de Telefonía fijaanalógica/digital y/o móvil
PC-05 Servicios Públicos Contingencia Siniestros
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Plan de Contingencia desarrollado en la Cooperativa.Elaborado: Chamba J.
Tabla 10 Plan de Contingencia desarrollado
ELEMENTO PLAN DE CONTINGENCIA DESARROLLADOCÓDIG
OALCANCE SUBFACTOR
Recursos Humanos
Disponibilidad personalde dirección
PC-16 RecursosHumanos
Contingencia RecursosHumanos
PC-18 Infraestructura Contingencia SeguridadFísica
PC-19 Infraestructura Contingencia SeguridadFísica
Disponibilidad personaloperativo
PC-15 RecursosHumanos
Contingencia RecursosHumanos
PC-18 Infraestructura Contingencia SeguridadFísica
PC-19 Infraestructura Contingencia SeguridadFísica
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Plan de Contingencia desarrollado en la Cooperativa.Elaborado: Chamba J.
Elaboración del Plan de Contingencia
Una vez identificados los eventos de contingencia y los elementos considerados
afectados o causantes de los mismos, pasamos a desarrollar los Planes de
Contingencia agrupados por los Sub factores.
A manera de resumen, presentamos un flujo general que explica la forma de
responder ante la ocurrencia de un evento de contingencia:
Ilustración 2 Forma de Responder ante ocurrencia de un evento de contingencia
Fuente: Chamba J (2016). Cooperativa de Ahorro y Crédito cámara de Comercio de Santo
Domingo.
Los cuadros siguientes muestran los funcionarios responsables de cada evento de
contingencia identificado:
Tabla 11 Funcionarios responsables de cada evento de contingencia (Siniestros)
Sub factor: Siniestros
Código Descripción del Evento de
Contingencia
Responsable (s) Titulares o sus
Representantes
PC-01 Incendio Gerente Administrativo, Jefe deTIC’S, Asistente de TIC’S
PC-02 SismoGerente Administrativo, Jefe deTIC’S, Asistente de TIC’S
PC-03 Inundación por desperfecto de losservicios sanitarios
Área Administrativa y/o Jefe deTIC’S
PC-04 Interrupción de energía eléctricaÁrea Administrativa y/o Jefe deTIC’S
PC-05 Interrupción de servicios de telefonía Área Administrativa y/o Jefe deTIC’S
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Funcionarios responsables de cada evento decontingencia (Siniestros) en la Cooperativa. Elaborado: Chamba J.
Ocurrenciade un Evento
Informar alResponsabledel Plan de
Contingencia
Coordinarcon
CoordinacionEjecutora del
Plan
Iniciar el Plande Ejecucion
Iniciar el Plande
Recuperacion
Informe finala la
CoordinacionEjecutora del
Plan
Tabla 12 Funcionarios responsables de cada evento de contingencia (Sistemas deInformación)
Sub factor: Sistemas de Información
Código Descripción del Evento de
Contingencia
Responsable (s) Titulares o sus
Representantes
PC-06 Extravío de documentosGerente Administrativo, Área
Administrativa, Jefe de TIC’S
PC-07 Sustracción o robo de informaciónGerente Administrativo, Área
Administrativa, Jefe de TIC’S
PC-08 Infección de equipos por virus Jefe de TIC’S, Asistente de TIC’S
PC-09 Pérdidas de los sistemas centrales Jefe de TIC’S, Asistente de TIC’S
PC-10 Perdida del servicio de correo Jefe de TIC’S, Asistente de TIC’S
PC-11 Falla del sistema operativo Jefe de TIC’S, Asistente de TIC’S
PC-12Fallas en la red de comunicaciones
internaJefe de TIC’S, Asistente de TIC’S
PC-13 Falla de equipos personales Jefe de TIC’S, Asistente de TIC’S
PC-14Falla de equipos multimedia,
impresoras, scanner y otrosJefe de TIC’S, Asistente de TIC’S
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Funcionarios responsables de cada evento de
contingencia (Sistemas de Información) en la Cooperativa. Elaborado: Chamba J.
Tabla 13 Funcionarios responsables de cada evento de contingencia (Recursos Humanos)
Sub factor: Recursos Humanos
Código Descripción del Evento de
Contingencia
Responsable (s) Titulares o sus
Representantes
PC-15Ausencia imprevista del personal del
Departamento de TICS
Gerente Administrativo, Área
Administrativa y/o Recursos
Humanos
PC-16
Ausencia de personal
Administrativo para la toma de
decisiones ante situaciones de
riesgo informático
Gerente Administrativo, Área
Administrativa y/o Recursos
Humano
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Funcionarios responsables de cada evento decontingencia (Recursos Humanos) en la Cooperativa. Elaborado: Chamba J.
Tabla 14 Funcionarios responsables de cada evento de contingencia (Seguridad Física)Sub factor: Seguridad Física
Código Descripción del Evento de
Contingencia
Responsable (s) Titulares o sus
Representantes
PC-17Sustracción de equipos y software
diversos
Gerente Administrativo, Área
Administrativa, Jefe de TIC’S
PC-18 SabotajeGerente Administrativo, Área
Administrativa, Jefe de TIC’S
PC-19 VandalismoGerente Administrativo, Área
Administrativa, Jefe de TIC’S
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Funcionarios responsables de cada evento decontingencia (Seguridad Física) en la Cooperativa. Elaborado: Chamba J.
Los Siguientes puntos de este capítulo, trataran del desarrollo de los Planes deContingencia por cada Sub Factor identificado.
Desarrollo de las Actividades
Sub Factor: Contingencia relacionadas a siniestros
Se entiende por Siniestro a las emergencias originadas por la naturaleza
(sismos, inundaciones, entre otros), y aquellas producidas por causas no
controlables tales como choques eléctricos, explosiones, etc.
A continuación se indica los puntos a desarrollarse para el presente sub factor:
Objetivo
Incluir en el Plan de Contingencia todos los eventos relacionados a siniestros
que permitan proveer de un conjunto de acciones destinadas a planificar, organizar,
preparar, controlar y mitigar una emergencia que se presente en las instalaciones, con
la finalidad de reducir al mínimo las posibles consecuencias humanas y
operativas TIC’S que pudieran derivarse de la misma.
Alcance
El alcance está circunscrito a los eventos de contingencia o emergencias que
pudieran afectar, paralizar o dañar las instalaciones, el personal o los recursos
TIC’S.
Una consideración adicional a tenerse en cuenta ante la ocurrencia de un
siniestro que inhabilite total o parcialmente el “Centro de Datos”, es la coordinación
que debe realizarse con la Gerencia de la Cooperativa para determinar el uso de un
ambiente alterno para la continuidad de la operación, hasta que se restablezca el
funcionamiento normal.
Por otro lado, consideramos que como parte del desarrollo del sub factor de
Siniestros, se debe incluir los elementos relativos a Servicios Públicos, por
afectar o ser consecuencia de siniestros que pueden presentarse:
Interrupción de Energía Eléctrica; al momento de restablecerse la energía
eléctrica, pudiera realizarse con cargas altas que pudieran ocasionar
algún tipo de siniestros, afectando la seguridad física.
El siguiente cuadro es un resumen de la Matriz de Riesgos, considerando las
contingencias relacionadas a los Siniestros:
Tabla 15 Riesgos Relacionadas a Siniestros
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Riesgos Relacionadas a Siniestros en la Cooperativa.Elaborado: Chamba J.
Sub Factor. Riesgos Relacionadas a SiniestrosDescripción del
RiesgoAlerta Categoría Probabilidad Impacto Ponderación
INFRAESTRUCTURA
Incendio C 0.04 4 0.16
Sismo NC 0.04 4 0.40
Inundación por
desperfecto de los
servicios sanitarios
C 0.02 1 0.02
SERVICIOS PÚBLICOS
Interrupción de energía
eléctricaNC 0.10 4 0.40
Interrupción de servicios
telefónicosNC 0.01 3 0.03
Plan de Pruebas
El plan de pruebas se determinará luego del análisis de los procesos críticos
del servicio y de identificar los eventos que pudieran presentarse. La
aprobación del plan de pruebas será efectuada por el Comité de Contingencias
de Pruebas previamente a su ejecución.
Descripción de Planes
Se detallarán los Planes de Contingencia de los eventos de mayor impacto.
Evento: Incendio Código: PC-01
PLAN DE PREVENCIÓN
A. Descripción del evento
Es un proceso de combustión caracterizado por la emisión de calor
acompañado de humo, llamas o ambas que se propaga de manera incontrolable
en el tiempo y en el espacio. Se producen en materiales sólidos, líquidos
combustibles inflamables, equipos e instalaciones bajo carga eléctrica entre otros.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, los mismos que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia:
Infraestructura
o “Centro de Datos” de la Cooperativa.
Recursos Humanos
o Personal debidamente entrenado para afrontar el evento
B. Objetivo
Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar
el tiempo de interrupción de las operaciones dela Cooperativa sin exponer la
seguridad de las personas.
C. Criticidad
La Cooperativa determina que el presente evento tiene un nivel de gran impacto
en el servicio y se identifica como crítico.
D. Entorno
Este evento se puede dar en las instalaciones de la Cooperativa en todas las
áreas administrativa.
E. Personal Encargado
El Jefe de TIC’S, es quien debe dar cumplimiento a lo descrito en las Condiciones de
Prevención de Riesgo del presente Plan.
F. Condiciones de Prevención de Riesgo
Realizar inspecciones de seguridad periódicamente.
Mantener las conexiones eléctricas seguras en el rango de su vida útil.
Charlas sobre el uso y manejo de extintores de cada uno de los tipos.
Contar con una relación de teléfonos de emergencia que incluya a los
bomberos, ambulancias, y personal de la Cooperativa responsable de las
acciones de prevención y ejecución de la contingencia.
Igualmente se contará con los siguientes elementos para la detección y
extinción de un posible incendio, los cuales cubrirán los ambientes del “Centro
de Datos” y áreas afines a Informática de la Cooperativa:
o Implementar detectores de humo en el “Centro de Datos”
o Considerar la Implementación de la Central de detección de incendios
o Mantener actualizado los extintores
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
La Contingencia se activará al ocurrir un incendio.
El proceso de contingencia se activará inmediatamente después de ocurrir el evento.
B. Procesos Relacionados antes del evento.
Identificar la ubicación de las estaciones manuales de alarma contra incendio.
Identificar la ubicación de los extintores.
Conocer el número de emergencia del Departamento de seguridad y Vigilancia
de la Cooperativa.
Tener número de teléfono del personal responsable en seguridad Informática y
contingencia de la Cooperativa.
Conocer el número de emergencia de los bomberos
C. Personal que autoriza la contingencia.
El Gerente Administrativo o sus Representantes pueden activar la contingencia.
D. Descripción de las actividades después de activar la contingencia.
Tratar de apagar el incendio con extintores.
Comunicar al personal responsable de la Cooperativa.
Evacuar el área.
En todo momento se coordinará con el Jefe de TIC’S, para las acciones que
deban ser efectuadas por ellos.
Luego de extinguido el incendio, se deberán realizar las siguientes
actividades:
Evaluación de los daños ocasionados al personal, bienes e instalaciones.
En caso de daños del personal prestar asistencia médica inmediata
Inventario general de la documentación, personal, equipos, etc. y/o recursos
afectados, indicando el estado de operatividad de los mismos.
En caso se haya detectado bienes afectados por el evento, se evaluará el caso para
determinar la reposición o restauración.
La Jefe de TIC’S deberá coordinar con la Gerencia encargada de la Cooperativa en
caso se requiera la habilitación de ambientes provisionales alternos para
restablecer la función de los ambientes afectado.
E. Duración
La duración de la contingencia dependerá del tiempo que demande controlar el
incendio.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación es el Departamento de
TIC’S y el equipo del área afectada, cuyo rol principal es asegurar el normal desarrollo
de las operaciones de la Cooperativa.
B. Descripción
El plan de recuperación estará orientado a recuperar en el menor tiempo
posible las actividades afectadas durante la interrupción del servicio.
C. Mecanismos de Comprobación
El Jefe y/o área afectada presentará un informe al Departamento de TIC’S del
Plan explicando qué parte de las actividades u operaciones ha sido afectada y cuáles
son las acciones tomadas.
D. Mecanismos de Recuperación
Se efectuara de acuerdo a las instrucciones impartidas que se menciona en el punto a.
E. Desactivación del Plan de Contingencia
El Jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una
vez que se haya tomado las acciones descritas en la descripción del presente
Plan de Recuperación, mediante una comunicación a la Gerencia Ejecutora del Plan.
F. Proceso de Actualización
El proceso de actualización será en base al informe presentado por el Jefe de
TIC’S luego de lo cual se determinará las acciones a tomar.
Evento: Sismo Código: PC-02
PLAN DE PREVENCIÓN
A. Descripción del evento
Los sismos son movimientos en el interior de la tierra y que generan una liberación
repentina de energía que se propaga en forma de ondas provocando el
movimiento del terreno.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, los mismos que por su naturaleza pueden ser considerados como
parte afectada o causa de la contingencia, como se muestran a continuación:
Infraestructura
o Áreas Administrativas de la Cooperativa.
Recursos Humanos
o Personal
B. Objetivo
Establecer las acciones que se tomarán ante un sismo a fin de minimizar el tiempo de
interrupción de las operaciones de la Cooperativa evitando exponer la seguridad de
las personas.
C. Criticidad
La Cooperativa determina que el presente evento tiene un nivel de gran impacto
en el servicio y se identifica como crítico.
D. Entorno
Este evento se puede dar en las instalaciones de la Cooperativa de todas las
áreas administrativas.
E. Personal Encargado
El Jefe de TIC’S, es quien debe dar cumplimiento a lo descrito en las Condiciones de
Prevención de Riesgo del presente Plan.
F. Condiciones de Prevención de Riesgo
Contar con un plan de evacuación de las instalaciones de la Cooperativa, el
mismo que debe ser de conocimiento de todo el personal que labora.
Realizar simulacros de evacuación con la participación de todo el personal de la
Cooperativa.
Mantener las salidas libres de obstáculos.
Señalizar todas las salidas.
Señalizar las zonas seguras.
Definir los puntos de reunión en caso de evacuación.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Sismo.
El proceso de contingencia se activará inmediatamente después de ocurrir el
evento.
B. Procesos Relacionados antes del evento.
Tener la lista de los empleados por Direcciones y/o Oficinas actualizada.
Mantenimiento del orden y limpieza.
Inspecciones diarias de seguridad interna.
Inspecciones trimestrales de seguridad externa.
Realización de simulacros internos en horarios que no afecten las
actividades
C. Personal que autoriza la contingencia.
El Gerente Administrativo o sus Representantes pueden activar la contingencia.
D. Descripción de las actividades después de activar la contingencia.
Desconectar el fluido eléctrico y cerrar las llaves de gas u otros líquidos inflamables si
corresponde.
Evacuar las oficinas de acuerdo a las disposiciones del Jefe de TIC’S y/o Gerente
administrativo utilizando las rutas establecidas durante los simulacros. Considerar
las escaleras de emergencia, señalización de rutas, zonas de agrupamiento del
personal, etc.
Verificar que todo el personal de la Cooperativa que labora en el área se
encuentren bien.
Brindar los primeros auxilios al personal afectado si fuese necesario.
Alejarse de las lunas (ventanas) para evitar sufrir cortes por roturas y/o
desprendimiento de trozos de vidrio.
Evaluación de los daños ocasionados por el sismo sobre las instalaciones físicas,
ambientes de trabajo, estanterías, instalaciones eléctricas, documentos, etc.
En caso requerirse personal especializado (ejemplo INDECI), coordinar su
presencia a través el Jefe de TIC’S Ejecutor del Plan de Contingencias.
Inventario general de documentación, personal, equipos, etc. y/o recursos
afectados, indicando el estado de operatividad de los mismos.
Limpieza de las áreas afectadas por el sismo.
En todo momento se coordinará con personal de mantenimiento de la
Cooperativa, para las acciones que deban ser efectuadas por ellos.
El Jefe de TIC’S Ejecutor del Plan de Contingencias deberá coordinar con la
Gerencia de la Cooperativa en caso se requiera la habilitación de ambientes
provisionales alternos para restablecer la función de los ambientes afectado.
E. Duración
Los procesos de evacuación del personal de la Cooperativa serán calmados y
demorará 5 minutos como máximo.
La duración total del evento dependerá del grado del sismo, la probabilidad de réplicas
y los daños a la infraestructura.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación es el Departamento de
TIC’S y el equipo del área afectada, cuyo rol principal es asegurar el normal desarrollo
de las operaciones de la Cooperativa.
B. Descripción
El plan de recuperación estará orientado a recuperar en el menor tiempo
posible la producción pendiente durante la interrupción del servicio.
C. Mecanismos de Comprobación
El Jefe y/o área afectada presentará un informe al Departamento de TIC’S del Plan
explicando qué parte del Servicio ha sido afectada y cuáles son las acciones
tomadas.
D. Desactivación del Plan de Contingencia
El Jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una vez
que se haya tomado las acciones descritas en la descripción del presente Plan de
Recuperación, mediante una comunicación electrónica a la Gerencia Ejecutora del Plan.
E. Proceso de Actualización
El proceso de actualización será en base al informe presentado por el Jefe de
TIC’S luego de lo cual se determinará las acciones a tomar.
Evento: Interrupción de Energía Eléctrica Código: PC-06
PLAN DE PREVENCIÓN
A. Descripción del evento
Falla general del suministro de energía eléctrica.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, los mismos que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia:
Servicios Públicos
o Suministro de Energía Electrónica
Hardware
o Servidoreso Estaciones de Trabajo
Equipos Diversos
o UPS.
B. Objetivo
Restaurar las funciones consideradas como críticas para el servicio.
C. Criticidad
Este evento se considera como crítico.
D. Entorno
Se puede producir durante la operatividad, afectando el fluido eléctrico de lasinstalaciones de la Cooperativa.
E. Personal Encargado
El Departamento de TIC’S, Jefe de TIC’S, es responsables de realizar lascoordinaciones para restablecer el suministro de energía eléctrica.
F. Condiciones de Prevención de Riesgo
Durante las operaciones diarias del servicio u operaciones dela Cooperativa se
contará con los UPS necesarios para asegurar el suministro eléctrico en las
estaciones de trabajo consideradas como críticas.
Asegurar que los equipos UPS cuenten con el mantenimiento debido y con
suficiente energía para soportar una operación continua de 30 minutos como
máximo. El tiempo variará de acuerdo a la función que cumplan los equipos
UPS.
Realizar pruebas periódicas de los equipos UPS para asegurar su correcto
funcionamiento.
Contar con UPS para proteger los servidores de correo y desarrollo, previniendo
la pérdida de datos durante las labores. La autonomía del equipo UPS no deberá
ser menor a 30 minutos.
Contar con UPS para proteger los equipos de vigilancia (cámaras, sistemas de
grabación) y de control de acceso a las instalaciones de la Cooperativa (puertas,
contactos magnéticos, etc.)
Contar con equipos de luces de emergencia con tolerancia de 15 minutos,
accionados automáticamente al producirse el corte de fluido eléctrico, los cuales
deben estar instalados en los ambientes críticos.
Contar con procedimientos operativos alternos para los casos de falta de sistemas, de
tal forma que no se afecten considerablemente las operaciones en curso.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Corte de suministro de energía eléctrica en los ambientes de la Cooperativa.
B. Procesos Relacionados antes del evento.
Cualquier actividad de servicio dentro de las instalaciones de la Cooperativa.
C. Personal que autoriza la contingencia.
El Gerente Administrativo, Jefe de TIC’S o sus Representantes pueden activar la
contingencia.
D. Descripción de las actividades después de activar la contingencia.
Informar al Gerente Administrativo y/o Jefe de TIC’S del problema presentado.
Dar aviso del corte de energía eléctrica en forma oportuna a todas las áreas de
la Cooperativa y coordinar las acciones necesarias.
Las actividades afectadas por la falta de uso de aplicaciones, deberán iniciar
sus procesos de contingencia a fin de no afectar las operaciones en curso.
En el caso de los equipos que entren en funcionamiento automático con UPS s, se
deberá monitorear el tiempo de autonomía del equipo y no exceder el indicado
anteriormente.
En caso la interrupción de energía sea mayor a quince minutos, se deberán
apagar los servidores de producción, desarrollo y correo hasta que regrese el
fluido eléctrico
E. Duración
La duración del evento dependerá del nivel de la inundación por Agua.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación es el Departamento de
TIC’S, quienes se encargaran de realizar las acciones de recuperación necesarias.
B. Descripción
El evento será evaluado y registrado de ser necesario en el formato de
ocurrencia de eventos.
Se informará a Gerencia el problema presentado y el procedimiento usado para
atender el problema.
En función a esto, se tomarán las medidas preventivas del caso.
C. Mecanismos de Comprobación
El Jefe de TIC’S presentará un informe a la Coordinación Ejecutora del Plan
explicando que parte del Servicio u operación ha fallado y cuáles son las acciones
correctivas y/o preventivas a realizar.
D. Desactivación del Plan de Contingencia
El Jefe de TIC’S o sus representantes desactivará el Plan de Contingencia una
vez que se recupere la funcionalidad de trabajo con los sistemas.
E. Proceso de Actualización
El proceso de actualización será en base al informe presentado por el Jefe de
TIC’S luego de lo cual se determinará las accione de prevención a tomar.
Sub Factor: Contingencia relacionadas a los sistemas de información
A continuación se muestra los puntos a desarrollarse para el presente sub
factor:
Objetivo
Los planes de contingencia de los eventos relacionados a los Sistemas de
Información tienen por objetivo que ante cualquier evento que atente contra la normal
operación tanto en hardware, software como en cualquier elemento interno o
externo relacionado a los mismos, se dispongan de alternativas de solución
frente al problema a fin de asegurar la operación del servicio y/o minimizar
el tiempo de interrupción.
Alcance
El alcance de dichos planes se circunscribe a las actividades de uso de
sistemas y/o aplicaciones, así como a las operaciones del servicio que son
afectadas durante la operatividad de la Cooperativa.
Resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a
los Sistemas de Información que se describirán en detalle más adelante
Tabla 16 Riesgos Relacionadas a Sistemas de Información
Sub Factor. Riesgos relacionadas a Sistemas de InformaciónINFORMACIÓN
Extravió de documentos C 0.02 3 0.06
Sustracción o robo deinformación
C 0.02 3 0.06
SOFTWARE
Infección de equipos por
virusC 0.05 4 0.20
Perdidas de los
sistemas centralesC 0.05 4 0.20
Perdidas del servicio decorreo
C 0.01 2 0.02
Falla del sistemaoperativo C 0.04 4 0.16
COMUNICACIONES
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Riesgos Relacionadas a Sistemas de Información en laCooperativa. Elaborado: Chamba J.
Plan de Pruebas
El plan de pruebas correspondiente a los eventos desarrollados como parte del
Sub Factor Sistemas de Información, seguirá la metodología expuesta en el punto
4.5 del Plan de Contingencia.
El plan de pruebas se determinará luego del análisis de los procesos críticos
de las operaciones y de identificar los eventos que pudieran presentarse.
Descripción de Planes
Se detallarán los Planes de Contingencia de alguno de los eventos identificados.
Evento: Infección de Equipos por Virus Código: PC-12
PLAN DE PREVENCIÓN
A. Descripción del evento
Virus informático es un programa de software que se propaga de un equipo a otro y
que interfiere el funcionamiento del equipo. Además, Un virus informático puede
dañar o eliminar los datos de un equipo.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, los mismos que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia, los cuales se muestran a continuación:
Hardware
Fallas en la red decomunicaciones interna C 0.02 4 0.08
HARDWAREFallas de equipospersonales C 0.02 2 0.04
RECURSOS OPERATIVOS Y LOGÍSTICOSFalla de equiposmultimedia, impresoras,scanner y otros
C 0.01 2 0.02
o Servidoreso Estaciones de Trabajo
Software
o Software Baseo Aplicativos utilizados por la Cooperativa
B. Objetivo
Restaurar la operatividad de los equipos después de eliminar los virus o reinstalar las
aplicaciones dañadas.
C. Criticidad
El nivel de este evento se considera como crítico.
D. Entorno
Las estaciones de trabajo PC s, se encuentran instaladas en la Cooperativa.
E. Personal Encargado
El Jefe de TIC’S, es responsables en la supervisión del correcto funcionamiento de
las estaciones PC’s.
F. Condiciones de Prevención de Riesgo
Establecimiento de políticas de seguridad para prevenir el uso de aplicaciones
no autorizadas en las estaciones de trabajo.
Restringir el acceso a Internet a las estaciones de trabajo que por su uso no lo
requieran.
Eliminación de disketteras, quemadores de CD, etc. En estaciones de trabajo que
no lo requieran.
Deshabilitar los puertos de comunicación USB en las estaciones de trabajo que
no los requieran habilitados, para prevenir la conexión de unidades de
almacenamiento externo.
Aplicar filtros para restricción de correo entrante, y revisión de archivos adjuntos en los
correos y así prevenir la infección de los terminales de trabajo por virus.
Contar con antivirus instalados en cada estación de trabajo, el mismo que debe
estar actualizado permanentemente.
Contar con equipos de respaldo ante posibles fallas de las estaciones, 50 para
su reemplazo provisional hasta su desinfección y habilitación.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Mensajes de error durante la ejecución de programas.
Lentitud en el acceso a las aplicaciones.
Falla general en el equipo (sistema operativo, aplicaciones).
B. Procesos Relacionados antes del evento.
Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de
trabajo
C. Personal que autoriza la contingencia.
El Gerente Administrativo, Jefe de TIC’S o sus Representantes pueden activar la
contingencia.
D. Descripción de las actividades después de activar la contingencia.
Desconectar la estación infectada de la red de la Cooperativa
Verificar si el equipo se encuentra infectado, utilizando un detector de virus
actualizado.
Rastrear de ser necesario el origen de la infección (archivo infectado, correo
electrónico, etc.)
Eliminar el agente causante de la infección.
Remover el virus del sistema.
Probar el sistema.
En caso no solucionarse el problema:
Formatear el equipo
Personalizar la estación para el usuario
Conectar la estación a la red de la Cooperativa.
Efectuar las pruebas necesarias con el usuario.
Solicitar conformidad del servicio.
E. Duración
La duración del evento no deberá ser mayor a DOS HORAS en caso se confirme la
presencia de un virus. Esperar la indicación del personal de soporte para reanudar el
trabajo.
PLAN DE RECUPERACIÓN
A. Personal EncargadoEl Técnico de Soporte de Sistemas de la Cooperativa, luego de restaurar el
correcto funcionamiento de la estación de trabajo (PC), coordinará con el
usuario responsable y/o Jefe del área para reanudar las labores de trabajo con el
equipo.
B. Descripción
Se informará al Jefe de TIC’S de la Cooperativa, el tipo de virus encontrado y el
procedimiento usado para removerlo.
En función a esto, se tomarán las medidas preventivas del caso enviando una alerta
vía correo al personal de la Cooperativa.
El evento será evaluado y registrado de ser necesario en el formato de ocurrencia de
eventos.
C. Mecanismos de Comprobación
Se llenará el formato de ocurrencia de eventos y se remitirá a la Coordinación
Ejecutora del Plan para su revisión.
D. Desactivación del Plan de Contingencia
Con el aviso del Técnico de Soporte de Sistemas de la Cooperativa, se desactivara el
presente Plan.
E. Proceso de Actualización
El problema de infección presentado en la estación de trabajo, no debe detener la
Aplicación de actualización de datos en las Aplicaciones de la Cooperativa.
Evento: Perdida de los Sistemas Centrales Código: PC-13
PLAN DE PREVENCIÓN
A. Descripción del evento
Es la ausencia de interacción entre el Software y el Hardware haciendo inoperativa la
máquina, es decir, el Software no envía instrucciones al Hardware imposibilitando su
funcionamiento.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia, como se muestran a continuación:
Software
o Software Baseo Aplicativos utilizados por la Cooperativa
Hardware
o Servidores
Información
o Respaldo de Base de Datoso Respaldo de las aplicaciones utilizadas por la Cooperativao Respaldo de software
B. Objetivo
Mantener operativo los servidores de producción donde se ejecutan las
aplicaciones de la Cooperativa.
C. Criticidad
El nivel de este evento es considerado crítico.
D. Entorno
Los servidores de aplicaciones están situados en el centro de datos de la
Cooperativa.
.
E. Personal Encargado
Jefe de TIC’S de la Cooperativa es el responsable de asegurar el correcto
funcionamiento de los servidores durante los servicios. Se coordinarán las acciones
necesarias para restablecer el servicio en caso se produzca el evento.
Jefe de TIC’S de la Cooperativa es el encargado de coordinar las acciones
necesarias con la ULeI y el personal de las áreas usuarias, para asegurar un
servicio continuo de los servidores y sus aplicaciones, de tal forma que no
afecten el servicio brindado en la Cooperativa.
F. Condiciones de Prevención de Riesgo
Tomar las siguientes acciones preventivas que debe implementar el Departamento de
TIC’S de la Cooperativa para asegurar el servicio de las aplicaciones:
Contar con equipos de respaldo ante posibles fallas de los servidores.
Contar con mantenimiento preventivo para dichos equipos.
Contar con los backups de información necesarios para restablecer las aplicaciones
Anexo A04: Copias de Respaldo.
Contar con backups de las aplicaciones y de las bases de datos Anexo
A04: Copias de Respaldo.
Almacenar en un lugar seguro los backups referidos a aplicaciones y datos. Se
recomienda el almacenamiento De Los Backups en un lugar externo fuera de las
instalaciones de la Cooperativa.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Falla de Acceso a Aplicaciones.
Mensaje Pérdida de Conexión a La BD.).
B. Procesos Relacionados antes del evento.
Cualquier proceso relacionado con el uso de las aplicaciones en los servidores
de la Cooperativa.
C. Personal que autoriza la contingencia.
El Jefe de TIC’S de la Cooperativa
D. Descripción de las actividades después de activar la contingencia.
Remitirse a los Procedimientos de recuperación de sistemas de la Cooperativa.
E. Duración
La duración del evento estará en función de la complejidad del problema
encontrado.
Esperar la indicación del jefe de TIC’S de la Cooperativa para reanudar la operación
normal con las aplicaciones.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El Jefe de TIC’S de la Cooperativa, luego de verificar la corrección del problema
de acceso a los servidores, coordinará con los Gerente para la reanudación de
los trabajos operativos con las aplicaciones de la Cooperativa.
B. Descripción
Se informará a la Gerencia la causa que motivó la paralización del servicio.
En función a esto, se tomarán las medidas preventivas del caso y se revisará
el plan de contingencia para actualizarlo en caso sea necesario.
C. Mecanismos de Comprobación
Se llenará el formato de ocurrencia de eventos y se remitirá a la coordinación
ejecutora del plan para su revisión.
D. Desactivación del Plan de Contingencia
Con el aviso del Jefe de TIC’S de la Cooperativa, se desactivara el presente Plan.
E. Proceso de Actualización
En caso existiese información pendiente de actualización, debido a la falla de los
sistemas centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar
las labores de actualización de los sistemas.
Evento: Falla del Sistema Operativo Código: PC-16
PLAN DE PREVENCIÓN
A. Descripción del evento
Falla en el control de computadoras, en el interfaz hombre-máquina, recursos
hardware y software de la Cooperativa.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia:
Software
o Aplicativos utilizados por la Cooperativa
Hardware
o Servidores
Información
o Respaldo de Base de Datoso Respaldo de Aplicaciones utilizadas por la Cooperativa
B. Objetivo
Asegurar la continuidad de las operaciones, con los medios de respaldo
adecuados para restaurar las funciones de los elementos identificados.
C. Criticidad
Este evento se considera como crítico.
D. Entorno
Se puede producir durante la operatividad, afectando a las estaciones de trabajo
y/o servidores de aplicaciones usados para dar soporte a las operaciones
.
E. Personal Encargado
El Jefe de TIC’S de la Cooperativa es el responsable de coordinar las acciones
necesarias para asegurar el correcto funcionamiento de las aplicaciones.
F. Condiciones de Prevención de Riesgo
Se debe asegurar de cubrir los siguientes aspectos:
Contar con los backups diarios de datos de las aplicaciones en producción en la
Cooperativa Anexo A 04: Copias de Respaldo.
Contar con servicios de soporte vigentes para los principales causantes del evento:
La Cooperativa debe asegurarse de mantener acuerdos con sus
Proveedores de Servicio.
Revisión periódica de los logs de actividad de los servidores para
prevenir su mal funcionamiento.
Estaciones de trabajo y servidores deberán contar con antivirus
actualizados.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Detención de las funciones de trabajo en estaciones de trabajo /o servidores
de aplicaciones.
Identificación de falla en el monitor de los servidores de aplicaciones y/o
estaciones de trabajo.
B. Procesos Relacionados antes del evento.
Respaldo disponible de los sistemas operativos para la ejecución de las
aplicaciones en los servidores.
C. Personal que autoriza la contingencia.
El Jefe de TIC’S de la Cooperativa es quien considera activar la contingencia.
D. Descripción de las actividades después de activar la contingencia.
En el caso de las estaciones de trabajo:
Proceder a la revisión de la estación de trabajo para determinar la causa de la
falla.
Verificar si el equipo se encuentra infectado, utilizando un detector de virus
actualizado.
Rastrear de ser necesario el origen de la infección (archivo infectado, correo
electrónico, etc.)
Remover el virus del sistema.
Probar el sistema.
En caso no solucionarse el problema:
o Formatear el equipo
o Personalizar la estación para el usuario
o Conectar la estación a la red del Archivo.
Efectuar las pruebas necesarias con el usuario.
Solicitar conformidad del servicio.
En el caso de los servidores de aplicaciones:
Direcciones y/o Jefaturas:
o Reportar el problema al área de soporte Técnico.
o Coordinar las acciones a realizarse y el tiempo aproximado de
interrupción del servicio.
o Comunicar a los directores y/o jefes de áreas para que se tomen las acciones
del caso y no se afecte en sus operaciones.
E. Duración
El tiempo máximo de la contingencia no debe sobrepasar las CINCO horas.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación para las operaciones de la
Cooperativa es el Jefe de TIC’S.
B. Descripción
Se informará al Jefe de TIC’S de la Cooperativa la causa del problema
presentado y el procedimiento usado para atender el problema.
En función a esto, se tomarán las medidas preventivas del caso enviando una
alerta vía correo al personal de la Cooperativa.
El evento será evaluado y registrado de ser necesario en el formato de
ocurrencia de eventos.
C. Mecanismos de Comprobación
El Jefe de TIC’S de la Cooperativa presentará un informe a la Coordinación Ejecutora
del Plan explicando que parte del Servicio ha fallado y cuáles son las acciones
correctivas y/o preventivas a realizar.
D. Desactivación del Plan de Contingencia
El Jefe de TIC’S de la Cooperativa desactivará el Plan de Contingencia una vez que
se recupere la funcionalidad de trabajo los sistemas
E. Proceso de Actualización
En base al informe presentado que identifica las causas de la pérdida del
sistema operativo en las estaciones de trabajo y/o servidores, se
determinará las acciones de preventivas a tomar.
En caso existiese información pendiente de actualización, debido a la falla de los
sistemas centrales, se coordinará con el Gerente y/o jefes de áreas, para iniciar las
labores de actualización de los sistemas.
Sub Factor: Contingencia relacionadas a los Recursos Humanos
A continuación se muestra los puntos a desarrollarse para el presente sub
factor:
Objetivo
El desarrollo de este tipo de contingencias está relacionado con todos los
elementos y factores que pueden afectar y/o ser afectados por el personal de la
Cooperativa.
Alcance
La seguridad referida al personal se contemplará desde las etapas de selección
del mismo e incluirá en los contratos y definiciones de puestos de trabajo para poder
cumplir el objetivo de reducir los riesgos de:
Actuaciones humanas
Indisponibilidad por enfermedades
Emergencias médicas
Incapacidad temporal o permanente por accidentes
Renuncias o ceses
Se deberá comprobar que las definiciones de puestos de trabajo contemplan
todo lo necesario en cuanto las responsabilidades encomendadas.
A continuación se presenta un resumen de la Matriz de Riesgos, considerando
las contingencias relacionadas a los Recursos Humanos que se describirán en
detalle más adelante:
.
Tabla 17 Riesgos relacionadas a recursos humanos
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos los Riesgos relacionadas a recursos humanosen laCooperativa. Elaborado: Chamba J.
Plan de Pruebas
El plan de pruebas correspondiente a los eventos desarrollados como parte del
tópico Recursos Humanos, seguirá la metodología expuesta en el punto 4.5 del Plan
de Contingencia.
El plan de pruebas se determinará luego del análisis de los procesos críticos
del servicio y de identificar los eventos que pudieran presentarse. La
aprobación del plan de pruebas será efectuada por la Gerencia de la Cooperativa
previamente a su ejecución.
Descripción de los Planes
Se detallarán los Planes de Contingencia de los eventos identificados.
Sub Factor. Riesgos relacionadas a recursos humanosRECURSO HUMANO
Ausencia imprevista del
personal del
Departamento de TICS
C 0.05 3 0.15
Ausencia de personal
Administrativo para la
toma de decisiones ante
situaciones de riesgos
informáticos
C 0.05 3 0.15
Evento: Ausencia imprevista del personal desoporte técnico
Código: PC-20
PLAN DE PREVENCIÓN
A. Descripción del evento
Ausencias del personal de Soporte Técnico relevante (enfermedad, renuncias,
ceses), en toma decisiones claves que garantice el normal funcionamiento de
servidores y redes de la institución
.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, los mismos que por su naturaleza pueden ser considerados como
parte afectada o causa de la contingencia, los cuales se muestran a continuación:
Recursos Humano
o Personal
B. Objetivo
Asegurar la continuidad del Servicio Informático de la Cooperativa.
C. Criticidad
La Cooperativa determina que el presente evento tiene un nivel de gran impacto
en el servicio y se identifica como crítico.
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, Departamento de
TIC’S y las áreas Administrativas de la Cooperativa.
E. Personal Encargado
El Gerente y/o Jefe de TIC’S es quién debe disponer se cumplan las
Condiciones de Previsión de Riesgo del presente Plan.
F. Condiciones de Prevención de Riesgo
La existencia del presente evento se puede dar en cualquier momento,
dependiendo de las circunstancias personales, por lo que se considera lo siguiente:
Como primera prevención, el Jefe de TICS, se asegurará en capacitar al
Asistente de TICS del área de soporte técnico con el fin que cumpla el perfil,
conocimiento y capacidad para reemplazar la ausencia ante la presencia de este
evento.
Como segunda prevención, el jefe de TICS se asegurara en tener como mínimo a
dos profesionales técnicos en el área de soporte técnico y un asistente.
Incluir como parte de las funciones del personal, comunicar
anticipadamente la inasistencia a su centro de labores.
Para el control del personal se cuenta con un software de control de asistencia,
de donde se proveerá información al Jefe de Informática, para que tome las
acciones preventivas correspondientes.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Reporte de inasistencia del personal de Soporte Técnico. El proceso de
contingencia se activa durante las DOS (02) HORAS iniciales del día.
B. Procesos Relacionados antes del evento.
Se podría dar por:
Conocimiento del Jefe de TIC’S por parte del reporte de inasistencia del Sistema
de Control de Asistencia.
Conocimiento del Jefe de TIC’S por comunicación telefónica por parte del personal de
Soporte Técnico ausente o algún familiar.
C. Personal que autoriza la contingencia.
El Jefe de TIC’S de la Cooperativa
D. Descripción de las actividades después de activar la contingencia.
Confirmado la inasistencia del personal de soporte Técnico, el Jefe de Informática
asignará la responsabilidad al Asistente del área de soporte técnico capacitado para
reemplazar en las funciones que el personal titular de soporte técnico poseía.
El Jefe de TIC’S solicitará al Gerente de la Cooperativa, el reemplazo del personal.
E. Duración
Máximo OCHO (08) horas. El fin del presente evento es la presencia del
reemplazo que asume la responsabilidad; hasta que se confirme la presencia del
personal de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación es el Jefe de TIC’S, cuyo rol
principal es asegurar el normal funcionamiento del Servicio Informático.
B. Descripción
Regularización en los servicios pendiente durante la ausencia.
Revisión de los servicios atendidos si fuera el caso.
Definir los ajustes para asegurar rápida y mejora en la acción y prevención del
presente evento.
C. Mecanismos de Comprobación
El Jefe de TIC’S presentará un informe a la Gerencia Coordinado del Plan
explicando que parte del Servicio Informático ha sido afectado y cual son las
acciones tomadas.
D. Desactivación del Plan de Contingencia
El Jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante
una comunicación electrónica a la Coordinación Ejecutora del Plan.
E. Proceso de Actualización
En base al informe presentado por el Jefe de TIC’S y las causas identificadas en el
Servicio informático se determinará las acciones a tomar.
F. Personal Encargado
El personal encargado del Plan de Recuperación es el Jefe de TIC’S, cuyo rol
principal es asegurar el normal funcionamiento del Servicio Informático.
G. Descripción
Regularización en los servicios pendiente durante la ausencia.
Revisión de los servicios atendidos si fuera el caso.
Definir los ajustes para asegurar rápida y mejora en la acción y prevención del
presente evento.
H. Mecanismos de Comprobación
El Jefe de TIC’S presentará un informe a la Gerencia Coordinado del Plan
explicando que parte del Servicio Informático ha sido afectado y cual son las
acciones tomadas.
I. Desactivación del Plan de Contingencia
El Jefe de TIC’S desactivará el Plan de Contingencia una vez que se haya tomado las
acciones descritas en la Descripción del presente Plan de Recuperación, mediante
una comunicación electrónica a la Coordinación Ejecutora del Plan.
J. Proceso de Actualización
En base al informe presentado por el Jefe de TIC’S y las causas identificadas en el
Servicio informático se determinará las acciones a tomar.
Evento: Ausencia del personal ejecutivo para la toma dedecisiones ante situaciones de riesgo informático
Código: PC-21
PLAN DE PREVENCIÓN
A. Descripción del evento
Ausencias del personal de Gerencia y/ Áreas Administrativas (enfermedad,
renuncias, ceses), en toma decisiones claves que garantice el normal
funcionamiento de las actividades.
Este evento incluye los siguientes elementos mínimos identificados por la
Cooperativa, que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia, los cuales se muestran a continuación:
Recursos Humano
o Personal
B. Objetivo
Asegurar la continuidad de las operaciones en las diferentes Áreas de la Cooperativa
evitando el quiebre en la cadena de mandos, a través de reemplazos de personal
ejecutivos.
C. Criticidad
La Cooperativa determina que el presente evento tiene un nivel de gran impacto
en el servicio y se identifica como crítico.
D. Entorno
Este evento se puede dar en las instalaciones en la Gerencia, y las áreas
Administrativas de la Cooperativa.
E. Personal Encargado
El Gerente y/o Jefe de TIC’S es quién debe disponer se cumpla lo descrito en
las Condiciones de Previsión de Riesgo del presente Plan.
F. Condiciones de Prevención de Riesgo
La existencia del presente evento se puede dar en cualquier momento,
dependiendo de las circunstancias personales que se presente a la Gerencia o
Áreas Administrativas, por lo que se considera lo siguiente:
Como primera prevención, la Gerencia asegurará en capacitar a un empleado con
más de 5 años de experiencia en la Cooperativa que cumpla el perfil,
conocimiento y capacidad para reemplazar ante el evento.
Incluir como parte de las funciones del personal en comunicar
anticipadamente la inasistencia a su centro de labores, siempre y cuando se
trate de ocasiones premeditadas.
PLAN DE EJECUCIÓN
A. Eventos que activan la Contingencia
Reporte de inasistencia del Gerente y de área administrativas. El proceso de
contingencia se activa durante las DOS HORAS iniciales del día..
B. Procesos Relacionados antes del evento.
Se podría dar por:
Falta de decisión del Gerente o Jefe área administrativa para aplicar soluciones
ante algún inconveniente en las actividades u operaciones de su competencia, donde
se detecte la ausencia.
Reporte de Control de Asistencia referente a inasistencias
C. Personal que autoriza la contingencia.
El encargado de autorizar el proceso de contingencia es Gerente de la
Cooperativa.
D. Descripción de las actividades después de activar la contingencia.
Confirmado la inasistencia del Gerente, se coordinará el reemplazo con el Jefe de
Área de la Cooperativa.
Confirmado la inasistencia del jefe de área, se realizara el reemplazo
correspondiente
E. Duración
Máximo tres horas. El fin del presente evento es la presencia del reemplazo, o el
empleado más antiguo que esté capacitado para que asuma la responsabilidad;
hasta que se confirme la presencia del Gerente o Jefe de área en caso de renuncia
u otras por fuerza mayor.
PLAN DE RECUPERACIÓN
A. Personal Encargado
El personal encargado del Plan de Recuperación es el Gerente y/o jefe de
área, cuyo rol principal es asegurar el normal funcionamiento de las operaciones
de la Cooperativa.
B. Descripción
Regularización en las coordinaciones pendiente durante la ausencia.
Definir los ajustes para asegurar rápida y mejora en la acción y prevención del
presente evento.
C. Mecanismos de Comprobación
El Gerente y/o jefe de área presentará un informe a la Coordinación Ejecutora
del Plan explicando que parte del Servicio u operaciones ha sido afectado y cual
son las acciones tomadas.
D. Desactivación del Plan de Contingencia
El Gerente y/o Jefe de Área desactivará el Plan de Contingencia una vez que se
haya tomado las acciones descritas en la Descripción del presente Plan de
Recuperación, mediante una comunicación electrónica a la Coordinación Ejecutora
del Plan.
E. Proceso de Actualización
En base al informe presentado por el Gerente y/o Jefe de Área y las causas
identificadas en la operatividad, se determinará las acciones a tomar.
Sub factor: Contingencia relacionadas a Seguridad Física
A continuación se muestra los puntos a desarrollarse para el presente Sub
factor:
Objetivo
Definir acciones de prevención a fin de eliminar o mitigar riesgos de seguridad
física tanto de las instalaciones como de todos los elementos que operan en su interior
(equipos, documentación, mobiliario, etc.) por motivos de incidentes causados de
manera intencional, eventual o natural y que puedan afectar las operaciones
normales del servicio.
Alcance
Serán tomados en cuenta lo siguientes elementos:
Ubicación y disposición física
Elementos de seguridad de los ambientes de trabajo
Control de accesos de personal interno y externo al servicio
Actos terroristas o de vandalismo que pudieran afectar infraestructura,
personal o documentación.
A continuación se presenta un resumen de la Matriz de Riesgos, considerando
las contingencias relacionadas a la Seguridad Física que se describirán en detalle más
adelante:
Plan de Prueba
El plan de pruebas correspondiente a los eventos desarrollados como parte del
Sub Factor Seguridad Física, seguirá la metodología expuesta en el punto 4.5 del
Plan de Contingencia. El plan de pruebas se determinará luego del análisis de
los procesos críticos del servicio y de identificar los eventos que pudieran
presentarse. La aprobación del plan de pruebas será efectuada por la Alta
Gerencia de la Cooperativa, previamente a su ejecución.
Descripción del Planes
Estos eventos de contingencia son menores Impactos.
Tabla 18 Plan de Seguridad Física
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos Plan de Seguridad física en la Cooperativa. Elaborado:Chamba J.
Estrategias
La estrategia aplicada para el presente Plan de Contingencia es contar con:
Plan de Prevención, Plan de Ejecución, Plan de Recuperación y Plan de
Pruebas, desarrollados en el presente Plan de Contingencia.
Se propone una organización para la gestión del Plan de Contingencia, el
mismo que está desarrollado en el presente Plan “Planificación”.
Tener desarrollado y documentado los principales eventos susceptibles
planteados en el presente Plan de Contingencia “Desarrollo de las
Actividades”
Programa
En el presente Plan de Contingencia se ha desarrollado un conjunto de Nº
(Tabla Nro. 4), eventos o programas que permitan añadir valor a los sub-
factores que ha priorizado la Cooperativa. Un resumen de los items
desarrollados son los siguientes:
Sub Factor. Plan de seguridad físicaINFRAESTRUCTURA
17Sustracción de equipos
y software diversosC 0.02 2 0.04
18 Sabotaje NC 0.01 2 0.02
19 Vandalismo NC 0.01 3 0.03
Tabla 19 Programas: Sub factores priorizados por la Cooperativa
Sub factor: Siniestros
Código Alcance Descripción del Evento de Contingencia
PC-01 Infraestructura Incendio
PC-02 Infraestructura Sismo
PC-03 InfraestructuraInundaciones por desperfecto de los servicio
sanitarios
PC-04Servicios
PúblicosInterrupción de energía eléctrica
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos sub factor: Siniestro de la Cooperativa. Elaborado: Chamba J.
Tabla 20 Sub factores priorizados por la Cooperativa
Sub factor: Sistemas de Información
Código Alcance Descripción del Evento de Contingencia
PC-08 Software Infección de equipos por virus
PC-09 Software Pérdidas de los sistemas centrales
PC-11 Software Falla del sistema operativoFuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos sub factor: Sistemas de Información de la Cooperativa.Elaborado: Chamba J.
Tabla 21 Sub factores priorizados por la CooperativaSub factor: Recursos Humanos
Código Alcance Descripción del Evento de Contingencia
PC-15 RecursosHumanos
Ausencia imprevista del personal delDepartamento de TICS
PC-16 RecursosHumanos
Ausencia de personal ejecutivo para latoma de decisiones ante situaciones deriesgo informático
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio (2016). Santo Domingo:Tabla donde mostraremos sub factor: Recursos Humano de la Cooperativa. Elaborado:Chamba J.
RESPONSABLES
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas” del
presente Plan; se ha considerado a los responsables de la ejecución de los diferentes
eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el
formato Anexo A 02: “Formato Registro Plan de Contingencia” tanto para el Plan
de Prevención, Plan de Ejecución, Plan de Recuperación y Plan de Pruebas.
RECURSOS
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas ” del
presente Plan; se ha considerado los recursos a emplear durante la ejecución
de los diferentes eventos susceptibles de contingencia. Para esto se ha
desarrollado utilizando el formato Anexo A 02: “Formato Registro Plan de
Contingencia” tanto para el Plan de Prevención, Plan de Ejecución, Plan de
Recuperación y Plan de Pruebas.
PERIODOS Y/O PLAZOS
En el literal “5. Desarrollo de las actividades, fases, estrategias, programas” del
presente Plan; se ha considerado los plazos a emplear durante la ejecución de
los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado
utilizando el formato Anexo A 02: “Formato Registro Plan de Contingencia” tanto
para el Plan de Prevención, Plan de Ejecución, Plan de Recuperación y Plan de
Pruebas.
CRITERIOS EMPLEADOS
Disminuir el impacto de los eventos de riesgo que se puedan presentar y que
atenten contra la normal operatividad de la Cooperativa, llegándose a detallar los
procedimientos a seguir durante la prevención, ejecución, recuperación y pruebas a
desarrollarse.
GLOSARIO
Plan de Contingencia: El Plan de Contingencia informático es un documento que
reúne conjunto de procedimiento alternativos para facilitar el normal funcionamiento de
las Tecnologías de Información y de Comunicaciones – TIC’S de la Cooperativa,
cuando alguno de sus servicios se ha afectado negativamente por causa de algún
incidente interno o externo de la Cooperativa.
Acciones a ser consideradas:
Antes, como un plan de respaldo o de prevención para mitigar los incidentes. El nivel
adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que dé él se
puedan derivar. Es un concepto aplicable a cualquier actividad, no sólo a la
informática, en la que las personas hagan uso particular o profesional de entornos
físicos.
Durante, como un plan de emergencia y/o ejecución en el momento de presentarse el
incidente. Se debe de ejecutar un plan de contingencia adecuado. En general,
cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto
podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es
corriente que un negocio responda por sí mismo ante un acontecimiento como el que
se comenta, se deduce la necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres
que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de
contingencia que coordina las necesidades del negocio y las operaciones de
recuperación del mismo.
Después, como un plan de recuperación una vez superado el incidente para regresar
el estado previo a la contingencia.
Los contratos de seguros vienen a compensar, en mayor o menor medida las
pérdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso
de datos una vez detectado y corregido el fallo. De la gama de seguros existentes, se
pueden indicar los siguientes:
Centros de proceso y equipamiento: se contrata la cobertura sobre el daño
físico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en
él.
Reconstrucción de medios de software: cubre el daño producido sobre
medio software tanto los que son de propiedad del tomador de seguro como
aquellos que constituyen su responsabilidad.
Gastos extra: cubre los gastos extra que derivan de la continuidad de las
operaciones tras un desastre o daño en el centro de proceso de datos. Es
suficiente para compensar los costos de ejecución del plan de contingencia.
Interrupción del negocio: cubre las pérdidas de beneficios netos causadas
por las caídas de los medios informáticos o por la suspensión de las
operaciones.
Documentos y registros valiosos: Se contrata para obtener una
compensación en el valor metálico real por la pérdida o daño físico sobre
documentos y registros valiosos no amparados por el seguro de reconstrucción
de medio software.
Errores y omisiones: proporciona protección legal ante la responsabilidad en
que pudiera incurrir un profesional que cometiera un acto, error u omisión que
ocasione una pérdida financiera a un cliente.
Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o
fraudulentos cometidos por empleados.
Transporte de medios: proporciona cobertura ante pérdidas o daños a los
medios transportados.
Contratos con proveedores y de mantenimiento: proveedores o fabricantes
que aseguren la existencia de repuestos y consumibles, así como garantías de
fabricación.
Plan de Prevención: Es el conjunto de acciones, decisiones y comprobaciones
orientadas a prevenir la presencia de un evento con el propósito de disminuir y
mitigar la probabilidad de ocurrencia del mismo en los factores identificados en
el presente plan.
El plan de prevención es la parte principal del Plan de Contingencia porque
permite aminorar y atenuar la probabilidad de ocurrencia de un estado de
contingencia.
Plan de Ejecución: Es el conjunto detallado de acciones a realizar en el momento que
se presenta el incidente de contingencia y que activa un mecanismo alterno que
permitirá reemplazar a la actividad normal cuando este no se encuentra disponible.
Las acciones descritas dentro del plan de ejecución deben ser completamente
claras y definidas de forma tal que sean de conocimiento y entendimiento
inequívoco del personal involucrado en atender la contingencia.
Plan de Recuperación: Es el conjunto de acciones que tienen por objetivo
restablecer oportunamente la capacidad de las operaciones, procesos y recursos
del servicio que fueron afectados por un evento de contingencia.
Todo Plan de Contingencia informático debe tener un carácter recursivo que
permita retroalimentar y mejorar continuamente los planes en cada una de las etapas
descritas, logrando así tener un documento dinámico.
Plan de Pruebas: El Plan de Pruebas, será presentado a la Gerencia de la
Cooperativa para su aprobación previa a su implementación. El resultado de las
pruebas efectuadas será presentado igualmente para su conformidad.
Las pruebas relacionadas a este plan, se ejecutaría semestralmente, con el fin de
evaluar la preparación de la organización ante la ocurrencia de un siniestro y realizar
los ajustes necesarios.
Definición de eventos controlables y no controlables: Como parte de la
identificación de los riesgos, estos deben categorizarse en función a las acciones de
prevención que pueden estar en manos de la Cooperativa, o cuya ocurrencia no
puede predecirse con antelación. Así tenemos que los eventos pueden ser:
Eventos Controlables, si al identificarlos podemos tomar acciones que eviten su
ocurrencia o minimicen el impacto en el servicio brindado.
Eventos No Controlables, cuando su ocurrencia es impredecible y únicamente
podemos tomar acciones que permitan minimizar el impacto en el servicio. Esta
identificación se hará en la matriz de riesgo explicada a continuación.
ANEXOSAnexo A 01: Formato de Ocurrencias de Eventos
FORMATO DE OCURRENCIA DE EVENTOS
CÓDIGO DEL EVENTO: FECHA:
DESCRIPCIÓN DE LA OCURRENCIA:
ANOTACIONES AL PLAN DE PREVENCIÓN:
ANOTACIONES AL PLAN DE EJECUCIÓN:
ANOTACIONES AL PLAN DE RECUPERACIÓN:
OBSERVACIONES: _________________________________________________
__________________________________________________________________
__________________________________________________________________
Contingencia Autorizada por: _______________________________________
Contingencia Desactivada por: _______________________________________
Anexo A 02: Formato Registro Plan de Contingencia
Evento: Ausencia imprevista del personal de soporte técnico Código: PC-20
1. PLAN DE PREVENCIÓN
a. Descripción del eventoEn este punto se describe el evento producido
b. ObjetoEn esta sección se describirá el objetivo y funciones principales de un
proceso, ejecutándose a condiciones “normales”, es decir, sin que se
presente un evento que genere la contingencia.
c. CriticidadSeñala cuan crítico es un proceso, así como el nivel de impacto del mismo
dentro del servicio como se clasifica a continuación:
Crítico: El proceso o actividad es altamente crítico, no puede detenerse
nunca y no deber ser interrumpido.
Importante: El proceso o actividad puede ser suspendido por un breve
lapso de tiempo no mayor a las 2 horas.
Menos Importante: El proceso o actividad puede ser suspendido por un
lapso de tiempo no mayor a 24 horas.
d. EntornoEn esta sección se describirá la ubicación y los ambientes, equipos
informáticos, equipos diversos (automáticos, mecánicos o manuales) donde
se ejecuta el proceso en forma normal, así como las condiciones básicas
para su operación.
e. Personal EncargadoAquí se especificará el (los) nombre(s) y cargo(s) del personal del servicio,
encargado de ejecutar el proceso en forma normal, así como sus roles
dentro del mismo.
f. Condiciones de Prevención de Riesgo
En esta sección se debe describir detalladamente las acciones que se
ejecutan durante el proceso normal y los puntos de control implementados,
a efectos de prevenir que se presente el evento que genere la activación de
un estado de contingencia.
2. PLAN DE EJECUCIÓN
a. Eventos que activa la ContingenciaAquí se describen los eventos que deciden la activación de la contingencia.
Asimismo, se especifica el lapso de tiempo en el cual se empieza a ejecutar
el proceso de contingencia.
b. Procesos Relacionados Antes del eventoAquí se establecerán en forma secuencial todos los procesos o actividades
que se tengan que ejecutar con anterioridad al ingreso al proceso de
contingencia.
c. Personal que autoriza la contingenciaSe especificará los cargos del personal que autorizará el inicio del proceso
de contingencia.
Se especificará los cargos del personal que iniciará el proceso de
contingencia.
Se especificará el nivel de coordinación con funcionarios o responsables de
la Cooperativa.
d. Descripción de las Actividades después de activar la contingenciaSe describirá en forma detallada y secuencial los pasos a realizar para
poner en marcha el proceso de contingencia.
e. DuraciónAquí se especificará, de ser posible, el lapso de tiempo por el cual estará
activada la contingencia, así como el evento que determine el término del
mismo.
3. PLAN DE RECUPERACIÓN
a. Personal Encargado
Aquí se especificará el (los) nombre(s) y cargo(s) del personal del servicio,
encargado del proceso de Recuperación (volver al proceso normal), así
como sus roles dentro del mismo.
b. Descripción
Se describirá en forma detallada y secuencial los pasos a ejecutar para
retornar al proceso normal, debiendo indicar lo necesario para asegurar la
recuperación efectiva del mismo.
Deberá tenerse en cuenta aquellas actividades que permiten actualizar los
procesos con la nueva información generada en la contingencia, en caso
sea necesario.
c. Mecanismos de Comprobación
En esta sección se describirán todas aquellas actividades a realizar y que
permitan asegurar que el proceso recuperado opere en condiciones
normales y sin volver a presentar la falla que origino la ocurrencia del
evento. Mientras esta etapa se realiza, aún sigue activado el Plan de
Contingencia.
d. Desactivación del Plan de Contingencia
Se especificará en forma secuencial y lógica cual es el procedimiento a
seguir para desactivar el proceso de contingencia.
e. Proceso de Actualización
Se especificará en forma detallada y secuencial las actividades a ejecutar
para actualizar el proceso normal recientemente recuperado.
Anexo A 03: Control y Verificación de Pruebas de Contingencia
CÓDIGO Nº:
Control y Certificación de Pruebas de Contingencia
Proceso en Prueba:
Área responsable:Fecha: / / Hora Inicio: Hora Fin: (de prueba)
Información del Proceso .
Metodología y Alcance:__(Que se va a hacer en la prueba y hasta donde va a abarcar la
misma)________________________________________________________________
____________________________________________________________________
Condiciones de Ejecución:Equipo:
Aplicación/Software: Versión:Fecha de Backup: / /
De la Prueba/ Certificación .
Resultadode la Prueba: Satisfactorio / Satisfactorio con Observaciones / Deficiente
Observaciones:(En el caso de haber observaciones o que la prueba haya sido deficiente se
iniciaran los motivos de dichas deficiencias, así como de las pruebas en todos los
casos)________________________________________________________________
Actualización del Plan de Contingencia .
Cambio o actualizaciones en el Plan de Contingencia(Se indicara los cambios que se realizan en el Plan de Contingencia como consecuencia de las
observaciones detectadas en las pruebas
correspondientes)______________________________________________________________
_____________________________________________________________________
(Nombre del proceso a probar/certificar)
(Area responsable del proceso a probar/certificar)
(Nombre del servidor/ pc/ maquina en proceso de prueba o certificación)
Participación y Aprobación.
Participante Cargo Firma
Anexo A 04: Copias de Respaldo
La ejecución de los respaldos será responsabilidad del área de Soporte Técnico de la
Unidad de Informática, estará basada en una rutina de copias de seguridad tipo
Normal o Básico y la frecuencia y contenido de estas copias de respaldo se hará tal
como se indica en el cuadro siguiente:
RUTINA DE RESPALDO (BACKUP)
Frecuenciade Backups
ContenidoDía de
entregaPeriodo deretención
Cantidad decopias
Destino
Diario
Semanal
Anual
Las características de los respaldos de información se mencionan acontinuación:
Los respaldos se realizarán en medios magnéticos removibles (HDD, CDs,
etc.), y serán etiquetados inmediatamente después de acabada la operación de
backup.
La terminología que se utilice para identificación de las Herramientas de
respaldo estará basada principalmente en la fecha de realización del mismo.
Las herramientas de respaldo serán almacenados en las instalaciones de la
Cooperativa.
Versión 1.0
Anexo 6 Manual de Procedimientos.
MANUAL DE PROCEDIMIENTOS PARAEL DEPARTAMENTO DE TECNOLOGÍAS
DE LA INFORMACIÓN YCOMUNICACIÓN
AÑO 2017-2020
ÍNDICE GENERAL
ÍNDICE GENERAL ....................................................................................................... 2
INTRODUCCIÓN.......................................................................................................... 4
OBJETIVOS DEL MANUAL.......................................................................................... 5
ALCANCE..................................................................................................................... 6
PROCESOS PARA CONFIGURACIÓN DE CUENTAS DE USUARIO ......................... 1
Tabla 1 Procedimiento de creación de usuario y contraseña ........................................ 2
Tabla 2 Procesos para la recuperacion de contraseña y/o cuenta de usuario............... 5
PROCESO DE CAPACITACIÓN A USUARIOS............................................................ 7
Tabla 3 Capacitacion en el uso del sistemas de la Cooperativa al personal
Administrativo ............................................................................................................... 8
PROCESODETELECOMUNICACIONES Y REDES................................................... 10
PROCESO: ADMINISTRACIÓN DE RED................................................................... 10
Tabla 4 Procedimiento de Administracion de red........................................................ 11
PROCESO: ADMINISTRADOR DEL FIREWALL (DISPOSITIVO DE INTERNET Y
RED INSTITUCIONAL)............................................................................................... 13
Tabla 5 Procedimiento de administrador del firewall ................................................... 14
PROCESO DE SOFTWARE....................................................................................... 16
PROCESO: ADMINISTRADOR DE SOFTWARE/LICENCIAS.................................... 16
Tabla 6 Procedimiento de Administración de software................................................ 17
PROCESO PARALA GESTIÓN DE INFORMACIÓN.................................................. 19
PROCESO: COPIA DE SEGURIDAD......................................................................... 19
Tabla 7 Procedimiento de Copia de seguridad ........................................................... 20
PROCESO DE HARDWARE ...................................................................................... 22
PROCESO: INSTALACIÓN DE EQUIPOS ................................................................. 22
Tabla 8 Procedimiento de Instalación de equipos ....................................................... 23
PROCESO: BAJA DE EQUIPO DE CÓMPUTO ......................................................... 25
Tabla 9 Procedimiento de Baja de equipo de computo ............................................... 26
PROCESO: MANTENIMIENTO DE EQUIPO.............................................................. 29
Tabla 10 Procedimiento de Mantenimiento de un equipo............................................ 30
PROCESO: ASIGNACIÓN Y CAMBIO DE COMPUTADORA..................................... 33
Tabla 11 Procedimiento de Asignación y Cambio de computadora............................. 34
CONCLUSIONES ....................................................................................................... 37
RECOMENDACIONES............................................................................................... 38
ANEXOS
Tablas
Tabla 1 Procedimiento de creación de usuario y contraseña ........................................ 2
Tabla 2 Procesos para la recuperacion de contraseña y/o cuenta de usuario............... 5
Tabla 4 Capacitacion en el uso del sistemas de la Cooperativa al personal
Administrativo ............................................................................................................... 8
Tabla 5 Procedimiento de Administracion de red........................................................ 11
Tabla 6 Procedimiento de administrador del firewall ................................................... 14
Tabla 3 Procedimiento de Administración de software................................................ 17
Tabla 8 Procedimiento de Copia de seguridad ........................................................... 20
Tabla 7 Procedimiento de Instalación de equipos ....................................................... 23
Tabla 9 Procedimiento de Baja de equipo de computo ............................................... 26
Tabla 10 Procedimiento de Mantenimiento de un equipo............................................ 30
Tabla 11 Procedimiento de Asignación y Cambio de computadora............................. 34
Figuras
Figura 1 Diagrama de creacion de usuario y contraseña .............................................. 3
Figura 2 Diagrama de recuperación de contraseña y/o cuenta de usuario.................... 6
Figura 3 Capacitación en uso del sistema administrativo de la institución..................... 9
Figura 4 Diagrama de administración de red .............................................................. 12
Figura 5 Diagrama de administración de firewall......................................................... 15
Figura 6 Diagrama administración de software/licencia .............................................. 18
Figura 7 Diagrama de copia de seguridad .................................................................. 21
Figura 8 Diagrama de instalación de equipo informático............................................. 24
Figura 9 Diagrama baja de equipo informático............................................................ 28
Figura 10 Diagrama de proceso para el mantenimiento de un equipo ........................ 32
Figura 11 Diagrama y cambio de equipos de computo ............................................... 36
INTRODUCCIÓN
Entre los elementos más eficaces en la toma de decisiones del sector público, privado
y ámbito administrativo, destacan los manuales de organización y procedimientos,
instrumentos que facilitan también el aprendizaje del personal, proporcionando la
orientación que se requiere en las unidades administrativas, con el propósito de
mejorar, orientar y conducir los esfuerzos del personal, para lograr la realización de las
tareas que se les han asignado, auxiliándoles también en el cumplimiento de funciones
y procesos de una manera clara y sencilla.
Es responsabilidad de la Cooperativa de Ahorro y Crédito Cámara de Comercio de
cada unidad administrativa a expedición de los manuales de organización,
procedimientos y servicios, se emite este manual de procesos el cual es un
instrumento que facilita la descripción clara de los procesos sustantivos que
proporciona el Departamento de TIC’S.
Este manual facilita la identificación de los elementos básicos de los procesos;
especifica los procedimientos que lo integran, los insumos; los clientes o usuarios de
los servicios o productos; los responsables del proceso; la normatividad, así como los
indicadores de éxito que determinan si el resultado de la dependencia está o no
cumpliendo con los estándares de calidad especificados.
El Manual de Procesos de Departamento de TIC’S, será de gran utilidad ya que
permitirá:
Estandarizar los criterios de operación.
Evitar duplicación de funciones.
Asegurar la continuidad y coherencia en los procedimientos.
Servir como medio de capacitación para el personal de nuevo ingreso.
En presente Manual quedara al resguardo del Departamento de TIC’S. Las revisiones
y actualizaciones se harán anualmente.
OBJETIVOS DEL MANUAL
El Manual de Procesos es su calidad de instrumento administrativo, tiene los
siguientes objetivos:
Describir los procesos sustantivos de las dependencias especificando los
procedimientos que lo conforman.
Extractar de forma ordenada, secuencial y detallada las operaciones que se
desarrollan en los procesos y los diferentes procedimientos que lo integran.
Delimitar las responsabilidades operativas para la ejecución, control y
evaluación del proceso.
Definir los estándares de calidad de los procesos de trabajo.
Establecer las políticas y lineamientos generales que deberán observarse en
el desarrollo de los procesos.
Apoyar en la inducción, adiestramiento y capacitación del personal responsable
de los procesos.
Servir de medio inductivo y orientación al personal de nuevo ingreso para
facilitar su incorporación en el área.
ALCANCE
Este documento es de aplicación exclusiva para el Proceso de Tecnologías de
Información de la Cooperativa de Ahorro y Crédito Cámara de Comercio y por ningún
motivo podrá proporcionarse a personal ajeno a esta entidad, su difusión y
reproducción es responsabilidad del Departamento de TIC’S.
Es obligatoria su observación para todo el personal de la entidad que interviene en las
actividades que este procedimiento establecido. Todas las actualizaciones deberán ser
efectuadas a través del Departamento de TIC’S.
A continuación detallaremos los procedimientos informáticos a realizar para el correcto
funcionamiento de la Cooperativa:
1
PROCESOS PARA CONFIGURACIÓN DE CUENTAS DE USUARIO
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-CU-001
PROCESO: CREACIÓN DE USUARIO YCONTRASEÑA
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
Una cuenta de usuario es una colección de información que indica al S.O los archivos
y carpetas a los que puede obtener acceso. Permite que se comparta el mismo
equipo entre varias personas, cada una de las cuales tiene sus propios archivos,
configuraciones y accesos a ella con un nombre y contraseña.
Objetivo
Controlar los accesos de los usuarios a los sistemas informáticos que administra el
departamento de TICS de la Cooperativa, con la finalidad de salvaguardar la
información contenida en los mismos.
Alcance
El procedimiento es aplicable a la Cooperativa de Ahorro y Crédito Cámara de
Comercio, Inicia con la solicitud de activación de usuario por parte de la dependencia
y culmina con la entrega de usuario y contraseña para que el usuario realice la
activación de estos en el Sistema de la Cooperativa.
Frecuencia: Eventual
2
Tabla 1 Procedimiento de creación de usuario y contraseña
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva creación de usuario y contraseña del sistema laboral de la
Cooperativa. Elaborado por: Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
Recursos Humano de la
Cooperativa Solicitante
Departamento de TICS
Departamento de TIC’S
Departamento de TIC’S
Envía solicitud de generación de usuario en el sistema
corporativo, incluyendo datos básicos, nombres y
apellidos, cédula de la persona, e-mail, y el perfil que se
requiere (ordenador del gasto o consultor.)
Acepta solicitud y procede a creación del usuario, con su
contraseña en el sistema.
Confirma mediante memorando a la dependencia
solicitante la generación del usuario en el sistema de la
cooperativa
Activa el usuario en el sistema
Fin proceso
3
Figura 1 Diagrama de creacion de usuario y contraseña
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
4
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-RC-002
PROCESO: RECUPERACIÓN DE CONTRASEÑA Y/OCUENTA DE USUARIO
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
El sistema de proceso de recuperación de contraseña está orientado a que los
usuarios puedan recuperar los datos que diligenciaron en el respectivo sistema de la
Cooperativa, con el fin de que puedan realizar sus respectivas actividades laborales.
Objetivo
Recuperar de la contraseña y/o cuenta de manera rápida y eficaz, evitando así
operatividad laboral dentro de la Cooperativa.
Alcance
Este procedimiento puede ser utilizado para todas las áreas administrativas de la
Cooperativa.
Frecuencia: Eventual
5
Tabla 2 Procesos para la recuperacion de contraseña y/o cuenta de usuario
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva recuperación de contraseña y/o cuenta del sistema laboral de
la Cooperativa. Elaborado por: Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
Usuario
Recursos Humano de la
Cooperativa Solicitante
Departamento de TIC’S
Recursos Humano de la
Cooperativa Solicitante
Usuario
Envía solicitud de recuperación de contraseña y/o cuenta
de usuario.
Recibe solicitud, envía memorando para la recuperación
de contraseña y/o cuenta
Realiza procesos de recuperación de lo solicitado
mediante memorando y procede a enviar en memorando
la correcta recuperación de la contraseña y/o cuenta.
Verifica que contraseña y/o cuenta este correctamente
recuperada. Procede a envira solicitud de recuperación
de contraseña y/o cuenta y firma de solicitud de correcta
recuperación y entrega al usuario.
Recibe solicitud verifica y actualiza contraseña, firma de
solicitud de conformidad.
Fin proceso
6
Figura 2 Diagrama de recuperación de contraseña y/o cuenta de usuario
RECUPERACIÓN DE CONTRASEÑA Y/O CUENTA DE USUARIO
DEPARTAMENTO DE TICSUSUARIO RECURSOS HUMANO
Fase
Inicio
Solicitud de recuperaciónde contraseña y/o cuentade usuario
Recibe solicitud
Envía memorando parala recuperación decontraseña y/o cuenta
Realiza procesos derecuperación de losolicitado mediantememorando
Envía mediantememorando la correctarecuperación de lacontraseña y/o cuenta
Verifica quecontraseña y/o cuentaeste correctamenterecuperada
Envía solicitud derecuperación decontraseña y/o cuentay firma de solicitud decorrecta recuperacióny entrega al usuario
Recibe solicitud verificay actualiza contraseña
Firma solicitud deconformidad
Fin
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
7
PROCESO DE CAPACITACIÓN A USUARIOS
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-CUS-003
PROCESO: CAPACITACIÓN EN EL USO DELSISTEMA AL PERSONAL ADMINISTRATIVO
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
Se refiere a los métodos que se usan para proporcionar a las personas dentro de la
Cooperativa las habilidades que necesitan para realizar su trabajo, abarca desde
pequeños cursos sobre terminología hasta cursos que le permitan al usuario entender
el funcionamiento del sistema nuevo ya sea teórico o a base de prácticas o mejor aún
combinando los dos, ya que el mejor desempeño de todos los trabajadores en sus
actuales y futuros cargos es adaptarlos a las exigencias cambiantes de entorno.
Objetivo
Proporcionar capacitación en el uso de los sistemas de la Cooperativa a los usuarios
Administrativos responsables de la operación de los mismos.
Alcance
Este procedimiento puede ser utilizado para todas las áreas administrativas de la
Cooperativa.
Frecuencia: Eventual
8
Tabla 3 Capacitacion en el uso del sistemas de la Cooperativa al personalAdministrativo
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva capacitación en el uso del sistema al personal administrativode la Cooperativa. Elaborado por: Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
Departamento de TIC’S
Jefe de TIC’S
Jefe de TIC’S
Jefe de TIC’S
Jefe de TIC’S
Jefe de TIC’S/ Jefe
Administrativo
Elaborar cronograma de capacitación
Solicitar espacio físico.
Enviar invitación de fecha de capacitación
Realizar capacitación
Elaborar acta de participación.
Reprogramar nuevas fechas de capacitación cuando
exista modificaciones del sistema administrativo de la
cooperativo
9
Figura 3 Capacitación en uso del sistema administrativo de la institución
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
10
PROCESODETELECOMUNICACIONES Y REDES
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-AR-004
PROCESO: ADMINISTRACIÓN DE REDFECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
La administración de redes es un conjunto de técnicas tendientes a mantener una red
operativa, eficiente, segura, constantemente monitoreada y con una planeación
adecuada y propiamente documentada
Objetivos:
Brindar a la Cooperativa una plataforma de red ágil y eficiente.
Mejorar la continuidad en la operación de la red con mecanismos adecuados
de control y monitoreo, de solución de problemas y suministro de recursos.
Hacer uso eficiente de la red utilizar mejor el recurso, como por ejemplo, el
ancho de banda.
Alcance
Inicia con una verificación de los equipos activos de red y finaliza con un
mejoramiento o solución dada.
Frecuencia: Eventual.
11
Tabla 4 Procedimiento de Administracion de red
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva Administración de red de la Cooperativa. Elaborado por:
Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
Jefe de TIC’S
Jefe de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Análisis del estado físico y de software de los equipos
activos de red de la cooperativa.
Envía a realizar inspección directa sobre el funcionamiento
de la administración de red.
Realiza inspección a los puntos de red en las diferentes
áreas administrativas. (soporte)
Revisa los centros de cableado y verifica funciones
ubicando posibles fallas.
Inspecciona equipos verificando la configuración en red,
dirección de I.P., máscara y puertos de enlace.
Revisión completa y/o problema solucionado.
12
Figura 4 Diagrama de administración de red
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
13
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-AF-005
PROCESO: ADMINISTRADOR DEL FIREWALL(DISPOSITIVO DE INTERNET Y REDINSTITUCIONAL).
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
Es un sistema o grupo de sistemas que impone una política de seguridad entre la
organización de red privada y el Internet. Es un mecanismo de seguridad de la red
que monitorea el tráfico de red entrante y saliente, que decide si permite o bloquea
trafico específico en función de un conjunto definido de reglas se seguridad.
Objetivo:
Impedir que se realicen conexiones entre la red de la Cooperativa e Internet que
estén fuera de la política de seguridad de la Cooperativa.
Prevenir, detectar y corregir los eventos ocasionados por la presencia de código
malicioso en el perímetro de la red.
Brindar a la Cooperativa un servicio de internet seguro y eficaz.
Alcance
Aplica a todas las áreas Administrativas de la Cooperativa para evitar posibles robos,
modificaciones de información por parte de personas maliciosas.
Frecuencia: Eventual
14
Tabla 5 Procedimiento de administrador del firewall
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva Administración de firewall de la Cooperativa. Elaborado por:
Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
Jefe de TIC’S
Jefe de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Analizar estado de software de la máquina (firewall)
desde el equipo administrador del departamento de TIC’S.
Enviar al asistente a realizar inspección directa del
funcionamiento de firewall.
Revisa físicamente el firewall teniendo en cuenta que las
conexiones de funcionamiento estén correctas y que
no esté bloqueado, en caso contrario reiniciar el equipo.
Actualiza periódicamente el software de gestión (permite
detectar usuarios, intervalos, paginas permitidas y no
permitidas).
Modifica periódicamente la base de datos de páginas
prohibidas que no contribuyan con el fin académico
previsto.
Realiza mantenimiento en la configuración del equipo
firewall (políticas) de manera regular si es necesario.
15
Figura 5 Diagrama de administración de firewall
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
16
PROCESO DE SOFTWARE
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-AS-006
PROCESO: ADMINISTRADOR DESOFTWARE/LICENCIAS
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
La administración de software/ licencias abarca la planeación, calendarización,
administración de riesgos, manejo del personal, estimación de los costos de software
y la administración de calidad. También solía ser sobre cómo evitar auditorias y
sanciones por estar bajo licencias
Objetivo
Realizar la administración de las licencias de software, en los momentos de
instalación y conservación de estas.
Alcance
Este procedimiento puede ser utilizado para todas las áreas administrativas de la
Cooperativa.
Frecuencia: Eventual
17
Tabla 6 Procedimiento de Administración de software
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva administración de software/licencias de la Cooperativa.
Elaborado por: Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN1
2
3
4
5
6
7
8
Jefe de TIC’S
Jefe de TIC’S
Jefe de TIC’S
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Jefe de TIC’S
Recibo y verificación de las licencias remitidas por
el almacén
Guarda en almacenamiento de seguridad a las licencias
dentro del departamento de TICS.
Actualización del inventario de licencias y de
computadores con el software adquirido.
Verificar instalación del software por parte del proveedor
o realización de la instalación del mismo en los equipos
correspondientes
Vistas a dependencias para verificar software
instalado.
Presenta al jefe de TIC’S informe de software licenciado y
no licenciado de toda la cooperativa para control y
administración general, si es el caso el jefe de oficina
solicita a los jefes de área tomar correctivos necesarios
a la hora de trabajar los software no legalizados.
Vistas a dependencias para eliminación de software no
licenciado.
Verificación periódica del lugar de almacenamiento de
seguridad de las licencias, registrar en cuadro de
seguimiento.
18
Figura 6 Diagrama administración de software/licencia
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
19
PROCESO PARALA GESTIÓN DE INFORMACIÓN
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-CS-008
PROCESO: COPIA DE SEGURIDAD
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
Una Copia de Seguridad, es un duplicado de nuestra información más importante,
que realizamos para salvaguardar los documentos, archivos, fotos, etc., de nuestro
ordenador, por si acaso ocurriese algún problema que nos impidiese acceder a los
originales que tenemos en él.
Objetivo
Este procedimiento tiene por objeto garantizar la salvaguarda y restauración de la
información de las diferentes bases de datos archivados en medios magnéticos de los
servidores de la entidad, así como la información de los equipos de cómputo.
Alcance
Este procedimiento aplica para la generación de copias de seguridad en todas las
dependencias Administrativas de la Cooperativa.
Frecuencia: Eventual
20
Tabla 7 Procedimiento de Copia de seguridad
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva copia de seguridad de la información de la Cooperativa.
Elaborado por: Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
Jefe de TIC’S
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Establecer la necesidad de hacer copias de seguridad de
la información de la cooperativa.
Generar la copia de seguridad de la información de los
usuarios y sistemas de información desde los equipos
cliente y servidores.
Generar la copia de seguridad de la información de los
usuarios y sistemas de información desde los equipos
cliente y servidores.
Examinar las cintas para determinar la información
contenida.
Archivar la copia en el depósito de asignado.
21
Figura 7 Diagrama de copia de seguridad
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
22
PROCESO DE HARDWARE
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-IE-009
PROCESO: INSTALACIÓN DE EQUIPOS
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 3
Definición
Ya sea que compremos una computadora de marca o una computadora ensamblada
se debe realizar una adecuada y correcta instalación en básica para su buen
funcionamiento.
Objetivo
Integrar a la red de la Cooperativa el equipo de cómputo de nueva adquisición, así
como la actualización, sustitución o instalación de diferentes componentes de
software o hardware.
Alcance
Aplica en todas las áreas administrativas de la Cooperativa, Iniciando así con la
solicitud de necesidades de instalación del equipo y finaliza con la aprobación de
instalación dando así respuesta a las necesidades.
Frecuencia: Eventual
23
Tabla 8 Procedimiento de Instalación de equipos
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva Instalación de equipos en la Cooperativa. Elaborado por:Chamba, J.
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN1
2
3
4
5
6
7
8
9
10
Jefe de TICS
Jefe de TIC’S
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Usuario
Asistente de TICS
Asistente de TICS
Recibe del almacenista equipo de cómputo y/o
impresoras.
Asigna al analista de soporte técnico responsable de
realizar la instalación y/o configuración del equipo.
Registra y actualiza en el sistema de inventarios de TIC’S
el equipo instalado.
Elabora documento de asignación especificando las
características del equipo e imprime.
Configura el equipo de cómputo y/o impresoras.
Instala equipo o componente en el lugar del usuario.
Solicita firma del usuario en el documento de asignación
de equipo.
Firma documento de asignación de equipo y entrega al
jefe del departamento de TIC’S.
Recibe y entrega copia al departamento de TIC’S.
Archivar documento de asignación debidamente firmado
en expediente.
24
Figura 8 Diagrama de instalación de equipo informático
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
25
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO: MPCACC-BE-010
PROCESO: BAJA DE EQUIPO DE CÓMPUTO
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 4
Definición
La tecnología avanza a pasos agigantados es por ello que en algún momento
realizamos una actualización de algún componente de nuestro equipo de cómputo ya
que con un componente moderno nuestra labor se realiza de una manera eficaz. Esto
porque nuestro equipo cuenta con una tecnología obsoleta, ya que para realizar una
baja de un equipo deben contar con la siguiente información: descripción, número de
serie, número de inventario, componentes, fallos o motivo de baja, firmas.
Objetivos
Establecer los lineamientos y actividades para el reintegro de bienes que se
encuentran en desuso por su estado de obsolescencia o inservibles, con el
fin de darlos de baja, donarlos o destruirlos.
Que el equipo de cómputo obsoleto y/o con daño físico de hardware o software que
no cumpla con el objetivo de su adquisición y asignación sean desincorporados de la
Red de Comunicaciones.
Alcance
Identificación del bien que se encuentre en desuso, obsolescencia, daño o inservible
en la Cooperativa.
Frecuencia: Eventual.
26
Tabla 9 Procedimiento de Baja de equipo de computo
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
7
8
9
Jefe de TICS
Jefe de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TIC’S
Jefe de TIC’S
Jefe de TICS
Asistente de TICS
Recoge equipo de cómputo del usuario y lo traslada al
departamento de TIC’S.
Asigna computadora para el respectivo análisis al
asistente.
Elabora diagnostico técnico en original del equipo de
cómputo determinando la situaciones la que se encuentra
y considera la factibilidad de extraer piezas reutilizables.
En caso de contar con piezas reutilizables: extraer la pieza
reutilizable del equipo de cómputo.
Elabora un inventario de las piezas para llevar el control
de equipo de piezas extraídas y equipo al que se las
extrajo.
Elabora un dictamen técnico en original del equipo de
cómputo especificando la falla y piezas que fueron
extraídas para su reutilización.
Enviar dictamen técnico del equipo de cómputo en original
al jefe del departamento Administrativo de la Cooperativa
para la autorización de baja del equipo por parte del
departamento de TIC’S.
Recibe el departamento de TIC’S el dictamen técnico en
copia y lo archiva de manera cronológica permanente en
el expediente de dictámenes técnicos.
En caso de no contar con piezas reutilizables: elaborar
informe de la baja de equipo de cómputo y obtiene una
27
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar la respectiva baja de equipo informático de la Cooperativa. Elaborado por:Chamba, J.
10
11
Asistente de TICS
Usuario Administrativo
de la Cooperativa
fotocopia, envía al jefe del área administrativa y archivar
en el expediente de bajas de equipos
Elabora pase de salida detallando los equipos que serán
dados de baja.
Entrega en original el equipo de cómputo al departamento
de TIC’S para su baja definitiva.
28
Figura 9 Diagrama baja de equipo informático
BAJA DE EQUIPO INFORMÁTICO
ASISTENTE DE TICSJEFE DE TIC’S USUARIO COOPERATIVA
Fase
Inicio
RECOGE EQUIPO DE COMPUTODEL USUARIO Y LO TRASLADAAL DEPARTAMENTO DE TIC’S
ELABORA DIAGNOSTICO TECNICO ENORIGINAL DEL EQUIPO DE COMPUTODETERMINANDO LA SITUACIONEN LAQUE SE ENCUENTRA Y CONSIDERA LAFACTIBILIDAD DE EXTRAER PIEZASREUTILIZABLES.
EN CASO DE CONTAR CON PIEZASREUTIIZABLES: EXTRAER LA PIEZAREUTILIZABLE DEL EQUIPO DECÓMPUTO.
ELABORA UN INVENTARIO DE LASPIEZASPARA LLEVAR EL CONTROL DEEQUIPO DE PIEZAS EXTRAIDAS YEQUIPO AL QUE SE LAS EXTRAJO.
ELABORA UN DICTAMEN TECNICO ENORIGINAL DEL EQUIPO DE COMPUTOESPECIFICANDO LA FALLA Y PIEZASQUE FUERON EXTRAIDAS PARA SUREUTILIZACION.
ENVIAR DICTAMEN TÉCNICO DELEQUIPO DE COMPUTO ENORIGINAL AL JEFE DELDEPARTAMENTO DE TIC’S PARAAUTORIZACIÓN DE BAJA DEL JEFEADMINISTRATIVO DE LA COOP.
RECIBE DEL DEPARTAMENTO DETIC’S EL DICTAMEN TECNICO ENCOPIA Y LO ARCHIVA DE MANERACRONOLOGICA PERMANENTE ENEL EXPEDIENTE DE DICTAMENESTECNICOS.
EN CASO DE NO CONTAR CON PIEZASREUTILIZABLES: ELABORAR INFORMEDE LA BAJA DE EQUIPO DE COMPUTOY OBTIENE UNA FOTOCOPIA, ENVIA ALJEFE DEL AREA ADMINISTRATIVA YARCHIVAR EN EXPEDIENTE DE BAJASDE EQUIPOS
ELABORA PASE DE SALIDADETALLANDO LOS EQUIPOS QUESERAN DADOS DE BAJA.
ENTREGA EN ORIGINAL EL EQUIPODE COMPUTO AL DEPARTAMENTODE TIC’S PARA SU BAJA DEFINITIVA.
Fin
ASIGNA COMPUTADORA PARAEL RESPECTIVO ANALISIS ALASISTENTE.
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
29
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO:MPCACC-ME-011
PROCESO: MANTENIMIENTO DE EQUIPO
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 4
Definición
Es un conjunto de actividades que se requiere realizar periódicamente para mantener
la PC en óptimo estado de funcionamiento, y poder detectar a tiempo cualquier indicio
de fallas o daños en sus componentes.
Se trata de actividades tanto físicas como lógicas que buscan reducir la posibilidad de
fallas en los equipos de cómputo (incluyendo no sólo computadoras, sino también el
ratón, impresoras, teclados, pantallas, etc.) e inclusive la corrección de fallas
menores.
ObjetivosConocer la forma adecuada de mantener las Pc´s en buen estado de acuerdo a los
mantenimientos Preventivos y Correctivos tanto en Software como en Hardware, para
su óptimo desempeño, evitar problemas o fallas y corregirlas a tiempo.
Que el equipo de cómputo en general, este en óptimas condiciones de operatividad,
verificar que los periféricos y dispositivos electrónicos existentes en la Cooperativa, se
encuentren en condiciones adecuadas de operación y funcionamiento.
Alcance
El procedimiento de mantenimiento hacia un equipo informático aplicara para todos
equipos de todas las áreas administrativas de la Cooperativa.
Frecuencia: Eventual.
30
Tabla 10 Procedimiento de Mantenimiento de un equipo
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
7
Usuario
Jefe de TICS
Jefe de TICS
Jefe de TICS
Jefe de TICS
Jefe de TIC’S
Jefe financiero
Solicita Mantenimiento por medio de solicitud al
departamento de TICS.
Atiende solicitud, determina un diagnóstico y se evalúa tipo
de mantenimiento.
Si es mantenimiento preventivo, se procede a revisar el
equipo según lo solicitado, una vez revisado el equipo se
procederá a entregar el equipo al usuario con firma de
satisfacción del usuario por el mantenimiento.
Si el mantenimiento es correctivo, se procede a realizar la
respectiva revisión, en caso de existir fallas se procede a
verificar tipos de falla.
Si la falla es de hardware se procederá a realizar el
mantenimiento utilizando los recursos a su alcance.
Si requiere de un cambio de piezas, solicita pedido al
departamento financiero. Caso contrario procede a la
entrega del equipo de cómputo con firma de satisfacción
del usuario.
Recibe solicitud de pedido, verifica disponibilidad de
recursos financieros. Si existen recursos, responde
solicitud de disponibilidad de recursos, caso contrario
responde solicitud de no existir recursos financieros por
cierto tiempo.
31
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar el respectivo mantenimiento preventivo y correctivo de los equipos de la
Cooperativa. Elaborado por: Chamba, J.
8
9
10
Jefe de TICS
Jefe de TICS
Jefe de TICS
El departamento de TICS procede a realizar compra al
proveedor de alguna pieza.
Si la falla es de software se procederá a realizar el
mantenimiento utilizando los recursos a su alcance.
Entrega de equipo en buen funcionamiento y firma de
solicitud de realizar mantenimiento al usuario.
Fin procedimiento.
32
Figura 10 Diagrama de proceso para el mantenimiento de un equipo
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
33
MANUAL DE PROCEDIMIENTO DELDEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓNCÓDIGO:MPCACC-ACC-012
PROCESO: ASIGNACIÓN Y CAMBIO DECOMPUTADORA
FECHA AUTORIZACION:
VERSIÓN: 1.0
PAGINA: 1 DE 4
Definición
El personal de la institución realizará en cada asignación o movimiento de bienes
informáticos de cómputo personal y periféricos, el documento o formato de asignación
de bienes, el cual contiene los datos generales del usuario y de los bienes
informáticos entregados, así mismo, contendrá los datos de software instalado y
configuración del equipo, contando con la firma de conformidad del usuario
correspondiente.
Objetivo
Suministrar oportunamente los equipos de cómputo autorizados a los diputados y
áreas administrativas llevando el registro y control de los mismos.
Alcance
Inicia solicitud pidiendo asignación o cambio del equipo y finaliza con su respectivo
cambio o asignación esto será aplicable a todas las áreas administrativas de la
cooperativa.
Frecuencia: Eventual
34
Tabla 11 Procedimiento de Asignación y Cambio de computadora
ACTIVIDADES
Nº RESPONSABLE DESCRIPCIÓN
1
2
3
4
5
6
7
8
Jefe de TIC’S
Jefe de TIC’S
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Jefe de TIC’S
Asistente de TICS
Recibe petición del usuario del área administrativa en la
que solicita equipo de cómputo para asignación o cambio
del que ya se tiene.
Si es asignación de equipo, instruye al técnico para que
verifique en la bodega la existencia y disponibilidad.
Recibe indicación y procede a verificar la disponibilidad de
equipo de cómputo, ya sea usado o nuevo, existente en la
bodega.
Proporciona un equipo usado con mayor o igual capacidad
que satisfaga las necesidades operativas que requiere el
usuario, realiza pruebas de arranque del equipo y lo deja
funcionando adecuadamente.
Proporciona equipo nuevo, instala, realiza prueba de
arranque y lo deja funcionando adecuadamente.
Instala equipo y realiza pruebas de arranque, dejándolo en
óptimas condiciones de funcionamiento para satisfacer las
necesidades operativas que requiere el usuario.(para
actividad 14)
Si la petición del usuario es por cambio de equipo del que
ya se tiene, entonces instruye al técnico para evaluar las
condiciones del equipo en uso y las necesidades que se
requiere para la sustitución.
Recibe indicación y procede a verificar la disponibilidad de
equipos de cómputo, ya sean usados o nuevos existentes
en la bodega.
35
Fuente: Cooperativa de Ahorro y Crédito Cámara de Comercio de Santo Domingo (2016).Investigación de campo realizada por el autor. Santo Domingo: Tabla de los procesospara realizar el respectivo Asignación y cambio de equipo de la Cooperativa. Elaborado
por: Chamba, J.
9
10
11
12
13
14
15
16
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Asistente de TICS
Usuario Administrativo
de la Cooperativa
Asistente de TICS
Jefe de TIC’S
Confirma la existencia de equipo y acude al área
solicitante para evaluar el equipo de cómputo del usuario y
asignar equipo nuevo o usado de acuerdo a sus
requerimientos.
Realiza inspección y verificación del funcionamiento del
equipo y determina la necesidad de cambiarse por uno de
mayor capacidad (usado), o bien, por uno nuevo.
Proporciona un equipo usado con mayor capacidad que
satisfaga las necesidades operativas que requiere el
usuario, realiza pruebas de arranque del equipo y lo deja
funcionando adecuadamente.
Proporciona equipo nuevo, instala, realiza pruebas de
arranque y lo deja funcionando adecuadamente.
Solicita al usuario firma de conformidad la entrega del
equipo.
Firma oficio de recibido y espera a que el departamento
de TIC’S le haga llegar el resguardo correspondiente.
Obtiene acuse de recibido e informa al jefe del
departamento de TIC’S que la petición del usuario ha sido
atendida adecuadamente.
Recibe reporte de servicio atendido y envía copia del
oficio de asignación o cambio, firmado por el usuario al
departamento de TIC’S y a la dirección de informática.
36
Figura 11 Diagrama y cambio de equipos de computo
Fuente: Chamba, J. (2016). Cooperativa de Ahorro y Crédito Cámara de Comercio.
37
CONCLUSIONES
El manual de procedimientos tiene la flexibilidad de ser mejorado con la experiencia y
conocimiento técnicos del encargado del Departamento de TIC’S, para adecuarlo a las
necesidades de la Cooperativa, según el giro y magnitud de la empresa en la cual se
implementara.
La globalización y los avances tecnológicos que suceden cada día, obligan a la
Cooperativa a estar sujetas al cambio y no pueden dejar a un lado los riesgos que esta
conlleva; Identificar, Reconocer, Cuantificar y Monitorear la existencia de ellos, con la
finalidad de minimizar su impacto.
Los Objetivos que persigue el Manual de Procedimientos consiste en salvaguardar los
activos de información, mantener la integridad de los datos y alcanzar la efectividad,
eficiencia, estos principios estarán basados en el soporte que proporcionen las demás
áreas de la Cooperativa.
38
RECOMENDACIONES
Se recomienda que la Cooperativa de Ahorro y Crédito Cámara de Comercio tome en
consideración la propuesta del Manual de Procedimientos y lo proporcione a todos los
miembros de la Cooperativa para que de esta manera se puedan estandarizar los
procesos informáticos.
Es importante que se realicen las actualizaciones necesarias al mismo como resultado
de la mejora o cambio que puedan ocurrir en la Cooperativa de Ahorro y Crédito
Cámara de Comercio, cabe recalcar que las Cooperativas son entes vivos los cuales
se encuentran en cambio constante por lo que cuando se requiera realizar los mismos
es necesario que estos se reflejen en el Manual.
Se recomienda que la Cooperativa adopte la propuesta de organigrama que contiene
este Manual, ya que traerá beneficios al generar mayor eficiencia en los procesos
debido a que los miembros de la Cooperativa tendrían bien definidas sus
responsabilidades y no realizaría tareas que no les correspondan.
La Clara definición de las responsabilidades además generaría una reducción en el
tiempo de ejecución de las mismas al ser realizadas por una persona capacitada para
ello. También disminuiría el trabajo del Departamento e TIC’S otorgando mayor tiempo
para realizar las actividades específicas de su puesto.
ANEXOS
INFORME DE USUARIO
Nombre de solicitante: día mes Año
Departamento: Nº Solicitud:
Indique el motivo de su solicitud marcando alguna(s) de las opciones sombreadas y en negritas
INFORM. GENERAL DEL SOPORTEASISTENCIA TÉCNICA
Indique los programas que presenta el
equipo:
No prende/no inicia
Archivos perdidos
Virus
Configuración de e-mail
Reinicia
Conexión a red
Errores
Bloqueo
Otro (especifique) :
MANTENIMIENTO HARDWARE (PREVENTIVOO CORRECTIVO)
Indique los dispositivos con problemas:
Pantalla
Impresora
Escáner
Teclado/mouse
Puertos de USB
Sonido
Otro (especifique) :
MANTENIMIENTO SOFTWARE (PREVENTIVOO CORRECTIVO)
Selecciónelos programas a instalar:
Antivirus
Microsoft office (instalación/ actualización)
Sistema operativo
Reproductor de DVD
Reproductor de CD
Todos
Otro (especifique):
OBSERVACIONESIndique detalles brevemente de los problemas o información adicional:
SEGURIDAD DE DOCUMENTOS PERSONALES
COPIA DE SEGURIDAD: MEDIO FÍSICO (CD, DVD, USB): A OTRO DISPOSITIVO:Mis documentos
Unidad “D”
Fotos
Escritorio
Otro (especifique):
___________________________________
______________________________________
___________________
USB
Cd
CVD
Outlook Express
Correo electrónico :
__________________________________
Otro (especifique) :
__________________________________
Por favor especifique detalladamente:
Si no encuentra opciones del requisito anterior de su solicitud, describa brevemente en la sección de abajo:
MANTENIMIENTO DE EQUIPO
Uso exclusivo de área de soporte técnico favor de no escribir:
DIAGNÓSTICO Y SOLUCIÓN
DIAGNÓSTICO día mes Año
SOLUCIÓN
Indique detalladamente observaciones o información adicional:
Términos y condiciones
1. El quipo a dejar, se checara de la manera correspondida en la presencia del usuario para verificar losproblemas mencionados
2. El Departamento de TIC’S no se hace responsable de pérdidas no autorizadas por el usuario3. El formato deberá estar completamente contestado, si no es así el Departamento de TICS no es responsable
de daños4. Después de entregar el departamento de TICS el equipo, el usuario deberá verificar y dar el visto bueno,
después de esto no se aceptan reclamos.
_____________________________ ____________________________
FIRMA DEL USUARIO ADMINISTRATIVO JEFE DEPARTAMENTO DE TICS
FORMATO SOLICITUD DE CREACIÓN DE CUENTAS DE USUARIO
CÓDIGO:
FECHA: _______________________ Solicitud Nº: ____________________________
DE: _______________________ PARA: ____________________________
Jefe Administrativo Jefe Departamento de TICS
ACTIVIDAD: Creación Modificación Eliminación
NOMBRES: _______________________ APELLIDOS: ____________________________
CARGO: _______________________ USUARIO: ____________________________
ROLES: ADMINISTRADOR USUARIO OPERATIVO
OBSERVACIONES:
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
_____________________________ __________________________
JEFE ADMINISTRATIVO JEDE DEPARTAMENTO DE TICS
MODELO
Memorando para los empleados
CÓDIGO:Para: (especificar distribución)
De: (director general o alto funcionario directivo)
Tema: Software y ley de derechos de autor
Fecha:(insertar)
El propósito de este memorando es recordarle la política de (Organización) en
relación a la realización de copias o al uso ilegal de programas de software
comerciales. La duplicación no autorizada o el uso sin licencia de cualquier
programa informático es ilegal y puede exponerlo a usted y a la empresa a asumir una
responsabilidad civil y penal en virtud de la ley de derechos de autor.
Para asegurarse de no violar los derechos de autor de los editores de software,
usted no debería copiar ningún programa instalado en su computadora bajo ninguna
circunstancia sin la autorización de (insertar el nombre del director o departamento
responsable). Del mismo modo, no debería instalar ningún programa en su
computadora sin dicha autorización o la clara verificación de que la empresa posee
una licencia que cubre dicha instalación. Finalmente, no debería descargar de
Internet programas de software no autorizados por el departamento
responsable de la empresa.
La empresa no tolerará que un empleado realice copias no autorizadas de
software.
La empresa no tolerará que un empleado cargue o descargue software no
autorizados de Internet, incluidos entre otros la descarga de aplicaciones de
software para utilizar sistemas de peer-to-peer (P2P) que pueden utilizarse
para comercializar trabajos protegidos por los derechos de autor.
Si se descubre que un empleado ha copiado software en forma ilegal, este
puede ser sancionado, suspendido o despedido de manera justificada de la
empresa.
Si se descubre que un empleado ha copiado programas de software en forma
ilegal para dárselos a un tercero, también puede ser sancionado, suspendido o
despedido de manera justificada de la empresa.
Si usted desea utilizar programas de software autorizados por la empresa en
su hogar, debe consultar con (inserte nombre del director) para asegurarse
de que ese uso esté permitido por la licencia del editor.
La política será de aplicación estricta para asegurar que ni usted ni la empresa se
expongan a graves consecuencias legales.
(Inserte nombre del director o gerente) visitará su departamento en el trascurso de
la próxima semana para realizar un inventario de las instalaciones de software en
sus computadoras y determinar si la empresa posee licencias para cada una de las
copias de los programas de software instalados. Si se
Encuentran copias sin licencias, estas serán eliminadas y, de ser necesario,
reemplazadas por copias con licencia. No dude en ponerse en contacto conmigo
ante cualquier consulta que desee realizar.
Información del empleado:
Nombre:
Departamento:
Autorización:
Fecha:
Ubicación y numero deSerie de la computadora:
Programas de software actuales:
Software Editor Versión Uso (1, 2, 3 o 4)
Clave de uso: 1 = diario 2 = semanal 3 = mensual 4 = nunca
¿Hay algún programa informático que usted crea que necesita y no tiene, y quelo ayudaría en su trabajo? Detállelo a continuación:
1:2:3:
FORMATO DE INSTALACIÓN DE EQUIPO Y SERVICIO DE RED
CÓDIGO:
Fecha de Solicitud: [DD/MM/AA]
Información del servicio solicitadoServicio Solicitado
[ ] Apertura dePuertos [ ] Bloque de Puertos [ ] Instalación de nodos de red
[ ] Bloqueo dePágina Web [ ] Instalación de equipo de
cómputo.
Vigencia del servicio:[ ] Temporal Fecha de Inicio
[ ] Permanente Fecha deTerminación
Servicio de PuertosPuerto (s)abrir:
Tipo dePuerto
[ ] TCP[ ] UDP
Asignación del Puerto [ ] Sub Red [ ] IP
Datos del (los) equipo(s) origen: Datos del equipo destino:
IP MAC IP MAC Dominio /URL
Instalación y/o Configuración de equipo de computo
Tipo de
Servicio[ ]
Instalación de Equipo de
computo[ ]
Configuración de equipo
de computo
[ ]
Switch
[ ]
Routers
[ ]
Access point
[ ]
Antenas[ ] Otro [especifique]
Características del
equipo
[Especifique marca, modelo, # de serie, # de inventario,
características ]
Ubicación[Describir detalladamente donde se instalaran ]
Instalación de Servicios Red
Tipo de Servicio [ ] Nodos deRed [ ] Cableado [ ] Antenas de
comunicación
Número de nodos estimado Instalación deRACK [ ] Si [ ] No
Número Metros de [ ] Área [ ] Subterránea
Cableado
Ubicación física de lainstalación
[Describir detalladamente donde se instalará]
Justificación de la Solicitud
Datos del Jefe de departamento de TICS que Ejercerá como contacto:Cargo: Nombre: C.I:
Área: Teléfono o Ext. E-mail.
Firmas de Autorización[Escribir Nombre de la Dependencia]
[Nombre del Titular] Nombre del Jefe encargado del
[Escribir Puesto del Titular] Departamento de las Tecnologías deinformación y Comunicación (TIC’S)
RESPALDO DE INFORMACIÓN EN MEDIOS MAGNÉTICOS
SOLICITUD No.
CÓDIGO:
NOMBRE Y FIRMA SOLICITANTE FIRMA DEJE DE TICS
FECHA DESOLICITUD:
D MM AAAA
TIPO DE INFORMACIÓN A ALMACENAR
CONFIDENCIAL: NOCONFIDENCIAL:
SOFTWARE: SISTEMASDEINFORMACIÓN:
BASE DE DATOS :OTRO:
TIPOSDEMEDIOSMAGNÉTICOS
CD/ DVD MEMORIA/USB DISCO DURO otros
OBSERVACIONES:
DATOS GENERALES DE LA DEPENDENCIA SOLICITANTE
DEPENDENCIA
FUNCIONARIO
CARGO:
JEFE INMEDIATO:
CORREO ELECTRÓNICO:
Seguimiento copias de seguridad versión
Nombre y Apellido Cargo/Asignación Backups Fecha Firma ObservacionesSI NO
SOLICITUD TÉCNICA BAJA DE BIEN INFORMÁTICO
Información básica del activo fijo
Descripción del activo:
Ejemplo de computador de laCooperativa
Nº. Inventario (ID) Nº. Serie Nº. Mac o IP
1204000 HWG41345172FDGS 10.4.7.500
Informes del equipo de cómputo(fragmento)
Entrega Funciona Ubicación del fragmento y responsable
Monitor SI NO SI NO
Teclado SI NO SI NO
Mouse SI NO SI NO
Disco Duro SI NO SI NO
Procesador SI NO SI NO
Fuente SI NO SI NO
OBSERVACIONES
FECHA DESOLICITUD
D MM AAAA CODIGO:
SOLICITUD Nº
Dependencia origen (Entrega)
Responsable actual
Documento de identidad No.
Cargo:
Nombre del Jefe Inmediato:
JEFE DE DTICS
Nombre y Apellido:
Documento de identidad No.
Firma dependencia origen (Entrega)
Firma y sello responsable actual
Firma y sello de quien autoriza eltraslado (Jefe/ Gerente)
Firma dependencia destino (Recibe)
Firma soporte técnico
Firma y sello del departamento de TICS
FORMATO DE SOLICITUD DE ADQUISICIÓN, REPARACIÓN, ACTUALIZACIÓN,MANTENIMIENTO O CAMBIO DE MATERIALES Y EQUIPOS
Fecha de Solicitud Día Mes Año Tipo de Solicitud Adquisición Revisión
Actualización Cambio
Mantenimiento ¿Otro?
Solicitante Cargo Dependencia
Tipo Descripción
Equipo Herramienta Marca
Materiales Papelería Modelo
Insumos Aseo Serie
Otro Otro No en
Inventario
¿Cuál? Ubicación
Responsable
Breve descripción de la razón de la solicitud o del contenido de la solicitud
Día Mes Año
Nombre de Jefe encargado delDepartamento de TIC’S que recibe
la solicitud
Cargo Fecha de recibo de
la solicitud
Firma del Jefe de TIC’S
que recibe la solicitud
Concepto del usuario que recibe la solicitud Aprueba No Aprueba
Para uso exclusivo del proceso de Gestión de Bienes y Servicios
Jefe de TIC’S que atenderá lasolicitud
No de orden
Fecha de solicitud día mes año Hora
Para uso exclusivo del Jefe de TIC’S
Fecha de solicitud día mes año Hora
Descripción de lo realizado Firma Jefe de TIC’S
Para uso exclusivo del usuario solicitante
Nombre de usuario quien recibe Cargo Dependencia
Fecha de entrega día mes año Hora
Fue recibido a satisfacción Firma de recibo
A la espera de capacitación para el uso correcto
Queda pendiente por repuestos y partes
Queda pendiente para ser retirado y reparado en el taller del contratista
COOPERATIVA DE AHORRO Y CRÉDITO CÁMARA DE COMERCIO.
ACTA DE ENTREGA DE EQUIPO
Hoy ____ del mes de ____________ del ________ en la oficina del Departamento de
TIC’S de la Cooperativa de Ahorro y Crédito Cámara de Comercio, mediante el
presente documento se realiza la entrega formal del equipo computacional que se
indica en el punto 2.- EQUIPO COMPUTACIONAL ASIGNADO para el cumplimiento
de las actividades laborales del FUNCIONARIO RESPONSABLE, quién declara
recepción de los mismos en buen estado y se compromete a cuidar de los recursos y
hacer uso de ellos para los fines establecidos.
1.- FUNCIONARIO RESPONSABLE
Nombres, Apellidos
RUT
Cargo
2.- EQUIPOS COMPUTACIONALES ASIGNADOS
MODELO DEL EQUIPO
NUMERO DE SERIE
NUMERO DE INVENTARIO
Descripción Marca Referencia Características Serial
Procesador Intel Core 7
Disco Duro 640 GB
Memoria RAM 4 GB
Teclado Incorporado
Monitor Incorporado
Unidad Óptica Incorporado
S.O. Windows 7
WIFI Incorporado
Web Cam Incorporado
Accesorios:
Funda NO
Maletín SI
Mouse SI
Adaptador SI
Candado NO
3.- PRUEBA DE FUNCIONALIDAD
Descripción Calificación Descripción Calificación
Pruebas On/Of Ok falla Prueba de Sonido Ok Falla
Función S.O. Ok falla Función Monitor Ok Falla
Función Aplicaciones Ok falla Función Teclado Ok Falla
Unidad Óptica Ok falla Función Mouse Ok Falla
4.- TIEMPO ESTIMADO DE USO
Se establece que el FUNCIONARIO RESPONSABLE dispondrá del equipamiento por-
_______ meses, por lo que la fecha estimada de DEVOLUCIÓN es
____________________.
4.- ENTREGA
Certifico que los elementos detallados en el presente documento, me han sido entregados en las
cantidades descritas para mi cuidado y custodia con el propósito de cumplir con las tareas y
asignaciones propias de mi cargo en la Cooperativa, siendo estos de mi única y exclusiva
responsabilidad. Me comprometo a usar correctamente los recursos, y solo para los fines
establecidos, a no instalar ni permitir la instalación de software por personal ajeno al área de
Sistemas; declaro además conocer y cumplir las normas internas actualizadas de seguridad
TIC’S, publicadas y accesibles en todo momento desde la intranet de la Cooperativa. Todo daño
físico causado por maltrato o por el uso inapropiado de los equipos asignados, el robo o pérdida
de éstos es de mi única y exclusiva responsabilidad, por lo cual autorizo se descuente el valor
correspondiente del pago de nómina; en caso de finalizar mi contrato laboral me comprometo a
realizar la devolución de la totalidad de los equipos asignados y autorizo el descuento de
salarios, prestaciones sociales, vacaciones, indemnizaciones, bonificaciones, auxilios y demás
derechos que me correspondan del valor correspondiente a daños, pérdida o robo de los equipos
en comento.
FECHA ENTREGA:
Entregado por: Recibido por:
Jefe a Cargo Nombre y Cargo
5.- DEVOLUCIÓN
FECHA DEVOLUCIÓN:
Entregado por: Recibido por:
Nombre y Cargo Jefe a Cargo
CAPACITACIÓN
Santo Domingo de los Tsáchilas, al [ ] del [mes] del año [ ]
TEMA: _______________________________________
TIEMPO: _____________________________________
DEPARTAMENTO: _______________________ LUGAR: ______________________
Nombre Capacitador: ___________________________________________________
Cargo: ______________________ Cédula: _____________________________
Observaciones:
_____________________________________________________________________
_____________________________________________________________________
Temas tratados:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
N°
Apellidos y Nombres Cédula de Identidad Firma Observación
CRONOGRAMA DE CAPACITACIÓN Y ENTRENAMIENTO
CAPACITACIÓN
N° CAPACITACIÓN DIRIGIDO A MES
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
1 Mantenimiento X
2 X
3 x
4 Administrativo x
5 x
6 x
7 x
ENTRENAMIENTOS
8 Servicio Técnico X x
9 X
10 X x
CONTROL DE REGISTRO DE INGRESO AL DATA CENTER
DATOS
No FECHA Y HORADE ENTRADA
CARGO/EMPRESA FACILITADOR: NOMBRE Y APELLIDOS No IDENTIDAD
HORASALIDA FIRMA
FIRMA DE JEFE DE TICS RESPONSABLE
ÁREA DE TRABAJO: LUGAR:
RESPONSABLE:
Versión 1.0
Anexo 7 Propuesta de Mejoras en la Infraestructura Tecnológicas
PROPUESTA DE MEJORAS EN LAINFRAESTRUCTURA TECNOLÓGICASDE LA COOPERATIVA DE AHORRO YCRÉDITO CÁMARA DE COMERCIO.
AÑO 2017-2020
CARACTERÍSTICAS
La Cooperativa de Ahorro y Crético Cámara de Comercio se encuentra ubicada en la
Provincia de Santo Domingo de los Tsáchilas en el cantón Santo Domingo de los
Colorados en la Av. Quito y Latacunga, como Gerente Ing. Lorena Haro, está
Cooperativa actualmente es una de las más reconocidas por su trabajo y esfuerzo
diario. Actualmente.
La realización de esta propuesta está orientada al desarrollo de un Plan informático
para mejorar la seguridad de la información, infraestructura tecnológica y procesos
informáticos basados en la norma ISO/IEC 27001:2013, proyecto se está destinado a
ser implementado en la Cooperativa Ahorro y Crédito Cámara de Comercio.
Luego de realizar un análisis de riesgo de la información en las áreas dependientes del
departamento de TICS, donde se encuentra funcionado sistemas de información,
bienes informáticos cuyos riesgos no son iguales es preciso establecer las prioridades
en las tareas a realizar para minimizar los riesgos. El departamento de TICs de la
Cooperativa debe asumir el riesgo residual es decir, es decir el nivel restante de riesgo
después de su tratamiento.
ÍNDICE GENERAL
CARACTERÍSTICAS
ÍNDICE GENERAL
INTRODUCCIÓN.......................................................................................................... 1
Objetivo General........................................................................................................... 2
Objetivos Específicos.................................................................................................... 2
DISEÑO Y MEJORA DE LA INFRAESTRUCTURA...................................................... 3
ESTRUCTURA DEL DATA CENTER ........................................................................... 5
ANÁLISIS DEL DATA CENTER DE LA COOPERATIVA DE AHORRO Y CRÉDITO
CÁMARA DE COMERCIO............................................................................................ 5
Control de acceso......................................................................................................... 6
Ubicación del Data Center ............................................................................................ 8
Piso elevado ............................................................................................................... 10
Propuesta ................................................................................................................... 10
Instalaciones eléctricas /Puesta a tierra...................................................................... 11
Sistemas de Climatización.......................................................................................... 12
Sistema de UPS ......................................................................................................... 14
Propuestas ................................................................................................................. 14
Implementación de nuevo Rack.................................................................................. 15
Propuesta de ubicación del nuevo Rack ..................................................................... 16
Seguridad física del cableado ..................................................................................... 19
Propuesta de seguridad física del cableado................................................................ 19
Puerta Corta Fuego .................................................................................................... 21
Propuesta ................................................................................................................... 21
Sistema de monitoreo................................................................................................. 22
Area del Departamento de TICS (Soporte tecnico) .................................................... 22
Sistema de extinción de incendios .............................................................................. 25
Propuesta de mejora de sistema de extinción............................................................. 25
Sistema de Vigilancia.................................................................................................. 28
Propuesta de sistema de vigilancia............................................................................. 28
PRESUPUESTO......................................................................................................... 30
CONCLUSIONES ....................................................................................................... 32
RECOMENDACIONES............................................................................................... 33
BIBLIOGRAFÍA
ÍNDICE DE FIGURAS
Figura 1 Diseño exterior de la Cooperativa de Ahorro y Cedito Camara de Comecio. ..4
Figura 2 Departamento de TICS ................................................................................... 5
Figura 3 Departamento de TICS --Lugar de ubicación. ................................................. 6
Figura 4 Propuesta de implementación de un Sistema de control de acceso
(Biométrico) .................................................................................................................. 7
Figura 5 Diseño del Data Center................................................................................... 8
Figura 6 Diseño de la Ubicación del Data Center.......................................................... 9
Figura 7 Propuesta del piso falso al Data Center ........................................................ 11
Figura 8 Propuesta en cuanto la energía. ................................................................... 12
Figura 9 Propuesta de ubicación de la ventilación del Data Center............................. 13
Figura 10 Tripp Lite SU1500RTXL2Ua Smart Online 1500 VA 1200 Watts 2U
Rackmount Online Extended Runtime UPS................................................................ 14
Figura 11 Parte interior del Data Center..................................................................... 15
Figura 12 Parte interior del Data Center...................................................................... 16
Figura 13 Propuesta de nuevo Rack para la organización de los dispositivos
tecnológicos................................................................................................................ 17
Figura 14 Organización de los Racks ......................................................................... 18
Figura 15 Seguridad en cuanto cableado estructurado............................................... 19
Figura 16 Canaletas para el cableado ........................................................................ 20
Figura 17 Puerta del ingreso al Data Center. .............................................................. 21
Figura 18 Propuesta del diseño de la puerta de ingreso del Data Center.................... 22
Figura 19 Recursos tecnológicos del área de TICs..................................................... 23
Figura 20 Recursos tecnológicos del área de TICs..................................................... 23
Figura 21 Ubicación de los recursos tecnológicos en el Área de Tics. ........................ 24
Figura 22 Ubicación de extintores............................................................................... 25
Figura 23 Propuesta de un sensor humo en el Data Center........................................ 26
Figura 24 Propuesta de extintores dentro del Data Center ......................................... 27
Figura 25 Propuesta de ubicación de las cámaras de seguridad ................................ 28
Figura 26 Propuesta del lugar a colocar la lámpara de emergencia............................ 29
Índice de Tablas
Tabla 1 Presupuesto................................................................................................... 30
1
INTRODUCCIÓN
A través del tiempo la tecnología ha reducido las barreras para realizar negocios,
incrementar ingresos, mejorar procesos e implementar nuevas herramientas dentro de
las compañías. Sin embargo hoy por hoy, la implementación de la misma ya no es un
lujo, o una inversión sino una necesidad fundamental que permite a las grandes y
pequeñas empresas estar a la vanguardia de los nuevos tiempos, con procesos
competitivos tanto en el mercado nacional como internacional.
En la realización de esta propuesta de la mejora física y seguridad en la infraestructura
tecnológica se toma en cuenta la norma TIER I (Infraestructura Básica (Disponibilidad,
Confiabilidad, Costo estimados de construcción y mantenimiento)), que es una
certificación o “clasificación” de un Data Center en cuanto a su diseño, estructura,
desempeño, fiabilidad, inversión y retorno de inversión, esta categoría es susceptible a
interrupciones tanto planeadas como no planeadas. Cuenta con sistemas de aire
acondicionado y distribución de energía, pero puede o no tener piso técnico, UPS o
generador eléctrico; si lo posee pueden no tener redundancia y existir varios puntos
únicos de falla. La carga máxima de los sistemas en situaciones críticas es del 100%.
La infraestructura del Centro de Datos deberán estar fuera de servicio al menos una
vez al año por razones de mantenimiento y/o reparaciones. Situaciones de urgencia
pueden motivar paradas más frecuentes y errores de operación o fallas en los
componentes de su infraestructura causaran la detención del Centro de Datos. La tasa
de disponibilidad máxima del Centro de Datos es 99.671% del tiempo. (TIA-942: Data
Center Standards Overview).
Por esta razón la Cooperativa de Ahorro y Crédito Cámara de Comercio deben contar
con una respectiva tecnología de información en la cual le beneficie, mejore y cumpla
las necesidades que satisfagan con mayor facilidad. Haciendo así que incremente y
mejore la productividad, la velocidad, la facilidad de intercambio y almacenamiento de
información, la seguridad de la informática, disminución en los errores humanos a
través de la automatización.
2
Objetivo General
Diseñar la infraestructura de comunicaciones para la seguridad física del Data Center
que cumpla con las normas internacionales ANSI/EIA/TIA 942, 607 e ISO que
garanticen solidez en las comunicaciones en las nuevas seguridades físicas de la
infraestructura tecnológica que se implementara en la Cooperativa de Ahorro y Crédito
Cámara de Comercio.
Objetivos Específicos
Analizar el estado actual de la seguridad en la infraestructura de
comunicaciones de la Cooperativa de Ahorro y Crédito Cámara de Comercio.
Analizar los servicios y aplicaciones actuales, y los que se brindara a corto y
mediano plazo a los usuarios de la diferentes dependencias de la Cooperativa
de Ahorro y Crédito Cámara de Comercio.
Determinar cuáles son los componentes necesarios de Hardware en el diseño
de la infraestructura de comunicaciones para el Data Center a los servicios y
aplicaciones específicos.
Diseñar la infraestructura de comunicaciones del Data Center considerando
aspectos relacionados con el respaldo y seguridad de la información, equipos
de interconectividad; de manera que se garantice un alto índice de
disponibilidad de los servicios de red y la óptima funcionalidad de las
aplicaciones que requieren los usuarios de la Cooperativa.
Diseñar la seguridad física en la infraestructura del Centro de Datos basado en
los estudios realizados con los ajustes necesarios para cumplir con los
requerimientos de la Cooperativa.
3
DISEÑO Y MEJORA DE LA INFRAESTRUCTURA
El Data Center es donde se concentra la principal actividad informática de la empresa
desde la seguridad de la información hasta el procesado de las principales
transacciones de una empresa. A continuación veremos una breve descripción de
cada una de los aspectos de la infraestructura tecnológica que serán tratados.
Data Center: Se refiere al área que ocupa el Data Center y sus espacios
asociados, salas de almacenamiento y/o desembalaje, techos y paredes.
Energía: Suministro eléctrico, sistemas de alimentación ininterrumpida, grupo
electrógeno, luminaria, toma de tierra. Incluye paneles eléctricos, conductos y
registros. La alimentación eléctrica es suministrada generalmente por un
proveedor externo.
Climatización: El sistema de climatización se compone de una unidad interior
que absorbe el calor, una unidad exterior que lo libera, un compresor (aumenta
la presión) y válvula de sobrepresión, y su principal misión radica en extraer el
calor del Data Center.
Sistema de protección/Extinción de incendios (PCI): Incluye los sistemas de
detección y los de extinción.
Racks: Son los habitáculos donde se instalan los sistemas de información
(servidores y comunicaciones).
Seguridad: Controles de seguridad como lectores de tarjeta o cámaras de
video vigilancia.
Dichas infraestructuras son las que contribuirán a proporcionar la disponibilidad y
seguridad requerida por los equipos de TIC que se encuentren en su interior.
4
Diseño lugar de ubicación de la Cooperativa de Ahorro y Crédito Cámara de Comercio
Fuente: Análisis (2016). Santo Domingo: Figura en la que se muestra el diseño exterior de la
instalaciones de la Cooperativa. Elaborado por: Chamba Jennifer.
Figura 1 Diseño exterior de la Cooperativa de Ahorro y Cedito Camara de Comecio.
5
ESTRUCTURA DEL DATA CENTER
ANÁLISIS DEL DATA CENTER DE LA COOPERATIVA DE AHORRO Y CRÉDITOCÁMARA DE COMERCIO
Se realizó el respectivo análisis del Data Center de la Cooperativa de Ahorro y Crédito
Cámara de Comercio de Santo Domingo de lo Tsáchilas donde lo podemos constatar
en las siguientes imágenes.
En la Cooperativa de Ahorro y Crédito Cámara de Comercio el departamento de TICS
no cuenta con seguridades en cuanto el acceso de usuarios, provocando así que
cualquier usuario puede acceder al departamento de tecnologías de la Cooperativa.
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar el departamento
de TICS. Elaborado por: Chamba Jennifer.
En el Data Center de la Cooperativa de Ahorro y Crédito Cámara de Comercio se
pudo observar que este no cuenta con una seguridad en cuanto acceso al Data
Center, provocando así que cualquier usuario no autorizado manipule la información
para el perjuicio de la Cooperativa.
Figura 2 Departamento de TICS
6
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la parte interna
del departamento de TICS. Elaborado por: Chamba Jennifer.
Propuesta de control de acceso
Control de acceso
Las áreas restringidas como la del Data Center y necesita una buena gestión de
acceso. Los sistemas de control de acceso son sistemas creados para la gestión e
integración informática de las necesidades de una empresa relacionadas con el control
de accesos de sus empleados o de personas ajenas en sus edificios y delegaciones,
existen varias opciones de terminales según el nivel de seguridad necesario (banda
magnética, proximidad, teclado/pin y biométrico).
Se propone que para la seguridad en cuanto a control de acceso se contara con un
sistema Biométrico que permitirá controlar el acceso al Data Center. Para accionar la
Figura 3 Departamento de TICS - Lugar de ubicación.
7
puerta de ingreso al Data Center se lo hará a través del sistema de ingreso de clave
numérica y lector de huellas que puede ser accionado una vez que la puerta de
acceso al Data Center este completamiento cerrada, lo que nos permite tener un nivel
de seguridad tipo exclusiva, el cual solo se tendrá el registro de las personas
autorizadas al ingreso al Data Center.
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de implementación de un sistema
de control de acceso (Biométrico) en el Data Center. Elaborado por: Chamba Jennifer
Figura 4 Propuesta de implementación de un Sistema de control de acceso (Biométrico)
8
Ubicación del Data Center
El uso del espacio del Data Center de la Cooperativa no es el adecuado, ya que por el
mismo no cuenta con una correcta administración, provocando así una mala
organización y conflictos al momento de realizar algún crecimiento de los recursos
tecnológicos.
Para el presente trabajo, se entenderá como infraestructura física, al cuarto donde
funcionara el centro de datos con todos sus componentes; el mismo que estará
compuesto por un entorno que almacena equipos de comunicación, servidores, racks,
equipos de seguridad lógica y externa. La TIA-942, es la norma de infraestructura de
telecomunicaciones para centro de datos, una norma que ofrece orientación sobre el
diagrama de distribución del centro de datos. Tendrá como medidas 4m de ancho y
3m de alto, dando como resultado un área plena de 12 m2.
Fuente: Análisis (2016). Santo Domingo: Figura del diseño del Data Center de la Cooperativa.
Elaborado por: Chamba Jennifer.
Figura 5 Diseño del Data Center
9
Ubicación del Data Center
Según la norma ANSI/ TIA 942, la ubicación y dimensiones puede ser aplicable a
cualquier centro de datos independiente de la magnitud de la misma.
La ubicación del Data Center será en el lugar actual (planta baja) de la Cooperativa
por las facilidades que brinda y el costo que representa el realizar las presentes
modificaciones.
Se propone que el espacio del Data Center y del departamento de TICS sea
incrementado a 4m de ancho para la correcta organización e incremento de algún
dispositivo a futuro, su ubicación será en el mismo lugar de funcionamiento de la
actual para facilitar la administración de los recursos de la Cooperativa.
Fuente: Análisis (2016). Santo Domingo: Figura del diseño del Data Center de la Cooperativa.
Elaborado por: Chamba Jennifer.
El diseño fue elaborado en Sweet Home 3D y sigue las normas y estándares para
infraestructura. Este modelo permitirá visualizar su implementación a futuro analizando
el área aledaña al Data Center, ingresos, salidas de emergencias, etc.
Figura 6 Diseño de la Ubicación del Data Center
10
Piso elevado
El lugar del Data Center actualmente está en la planta baja de la Cooperativa, ya que
la propuesta de mejora se realiza en el mismo lugar por motivos de evitar perdida de
días laborales y presupuesto elevados en el cambio del lugar del Data Center. Por tal
motivo se realizó un análisis de proponer piso elevado en el área del Data Center, para
evitar alguna catástrofe natural como por ejemplo inundaciones.
Propuesta
El piso técnico estará compuesto por paneles o palmetas modulares montadas en un
sistema de apoyo o estructura elevada, con una arquitectura flexible que facilita la
instalación de cableado eléctrico y/o estructurado, permite una adecuada distribución
del flujo del aire, y debe ser resistente a carga concentradas, desgaste y golpes.
La altura entre el piso de la planta baja y la losa del piso superior es de 3 metros, y la
del piso falso es de 30 cm; por lo tanto, la diferencia es de 270 cm, que es la altura
efectiva para el Centro de Daros, la cual es suficiente para albergar los equipos y
Racks.
La colocación del piso falso se realiza para mejorar las condiciones operativas del
Centro de Datos, pues permite el suministro de aire frio directamente en los lugares
que se requiera a través de la colocación en el piso de paneles perforados; esto es, de
abajo hacia arriba, lo que ayuda a mejorar las condiciones de temperatura y humedad
en los equipos. Los cables de energía se encaminaran por medio de canaletas
metalizar ancladas debajo del piso falso, para que estas no toquen la lozas inferior y
estén protegidas contra un posible derrame de líquidos; y cuyas rutas están definidas,
lo que no garantiza una mejor operación, facilita las labores de expansión de los
circuito y cambio de redes por obsolescencia.
11
Fuente: Análisis (2016). Santo Domingo: Figura diseño piso falso a propones en el Data
Center.
El piso falso debe ser conectado con el sistema de puesta a tierra lo que proporcionara
una protección adicional contra los problemas de estática e interferencias favoreciendo
de esta forma a las condiciones eléctricas exigidas por la norma.
La propuesta del uso/implementación de un piso falso para el centro de datos no es
solo con el fin de mejorar la estética del mismo, ya que ayuda a evitar el uso de
tuberías visibles en las paredes para la red de datos, voz y energía, permitiendo
colocar todos los cables y canales por debajo lo que hace más rápida la remodelación
y/o reubicación de los equipos, así como enviar a tierra las corrientes estáticas lo cual
aumenta la seguridad de las instalaciones.
Instalaciones eléctricas /Puesta a tierra
Del buen funcionamiento del suministro de energía dependen todos los servicios de
proceso y comunicaciones de la empresa. La instalación debemos dotarlo de un
cuadro específico para los servicios de información, comprobando la calidad de la
tierra y dimensionándolo para futuros crecimiento.
Figura 7 Propuesta del piso falso al Data Center
12
Proponiendo así que debajo del piso falso se propone instalara un enlace
equipotencial común a todo el Centro de Datos en forma de malla que estará
conectado a la red de puesta a tierra de la Cooperativa. Todo equipo o elemento que
requiera ser aterrado se conectara a estos conductores; por lo tanto, este enlace
(equipo-malla) será de corta longitud, se ha escogido este método porque es lo que
recomienda los estándares debido a que la malla ofrece la resistencia más baja.
Fuente: Análisis (2016). Santo Domingo: Figura la propuesta en cuanto a la energía del Data
Center de la Cooperativa. Elaborado por: Chamba Jennifer.
El sistema de energía es muy importante en el diseño de un data center ayuda a
maximizar el tiempo de vida de los equipos, así como proteger al personal de daños,
por lo que se utilizara el estándar ANSI/TIA/EIA 607 que detalla el esquema básico y
componentes necesarios para proporcionar protección eléctrica con el que se creará
los caminos adecuados que dirigirán las corrientes eléctricas y excesos de voltaje
hacia la tierra.
Sistemas de Climatización
Garantizar las condiciones ambientales, térmicas y de humedad, requeridas por los
equipos allí instalados se ha considerado lo siguiente:
El sistema de climatización será de precisión con el fin de mejorar el control de
humedad y temperatura del lugar. Estará configurado para trabajar las 24 horas del
Figura 8 Propuesta en cuanto la energía.
13
día, los 7 días de la semana. La capacidad de cada uno de los equipos debe
garantizar una adecuada climatización del Data Center. Al ser equipo que enfrían por
debajo del piso es necesario colocar paneles perforados con el fin de crear pasillo
“cool”.
Con el fin de mantener sistemas de climatización independientes, entre el Data Center
se utilizara el actual equipo de climatización para uso exclusivo del Data Center. Se
debe tomar en cuenta la distribución de los Rack con el fin de crear pasillos fríos y
pasillos calientes.
Fuente: Análisis (2016). Santo Domingo: Figura propuesta de ubicación de la ventilación delData Center de la Cooperativa. Elaborado por: Chamba Jennifer.
La climatización de un Data Center constituye una parte muy considerable del
consumo energético. Se ubicara 1 salidas de aire frío (Aire Acondicionado Split Lg
Inverter Vm182cj 18000 Btu 220v) para el uso de los equipos informáticos, el aire
caliente que salga de los mismos será absorbido por una tubería instalada en varios
puntos que conducirán el aire hasta el sistema de refrigeración instalado fuera de la
Cooperativa.
Figura 9 Propuesta de ubicación de la ventilación del Data Center
14
Sistema de UPS
Actualmente en Data Center de la Cooperativa no cuenta con adecuados UPS que
brinden la seguridad y estabilidad de la información, ya que sus componentes no son
adecuados para sus Racks.
Propuestas
Con el fin de garantizar que los equipos tengan energía permanente al momento de
que se produzca un corte, ya sea por una falla del sistema eléctrico del edificio o por
efecto de mantenimiento, se ha considerado colocar 2 UPS de forma redundante. Son
del tipo Tripp Lite SU1500RTXL2Ua Smart Online 1500 VA 1200 Watts 2U Rackmount
Online Extended Runtime UPS, que permite un respaldo de energía de al menos 20
minutos.
Fuente: Análisis (2016). Santo Domingo: Figura UPS del Data Center de la Cooperativa.
Figura 10 Tripp Lite SU1500RTXL2Ua Smart Online 1500 VA 1200 Watts 2URackmount Online Extended Runtime UPS
15
Implementación de nuevo Rack.
Actualmente el Data Center no tiene una correcta organización de los recursos
tecnológicos, así mismo el tamaño es un poco reducido tomando en cuenta la cantidad
de dispositivos ubicados en él, ocasionando que algunos equipos se estén mal
ubicados encontrándose en contacto directo con el suelo.
La falta de un rack dentro del Data Center, provoca que los dispositivos no estén en un
orden adecuado y en una correcta colocación de cada uno de sus componentes ya
que en la actualizar los UPS, baterías existentes en la Cooperativa se encuentra en el
suelo del Data Center.
Fuente: Análisis (2016). Santo Domingo: Ilustración en la que podemos observar la parte
interna del Data Center. Elaborado por: Chamba Jennifer.
Figura 11 Parte interior del Data Center
16
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la parte interna
del Data Center. Elaborado por: Chamba Jennifer.
Propuesta de ubicación del nuevo Rack
La puerta de acceso al cuarto técnico debe permitir el paso de un rack de medidas
estándar evitando escalones o barreras arquitectónicas similares. Para la instalación
de un nuevo rack, su diseño debe coincidir con los ya existentes en altura, color y
modelo.
Las características principales de los armarios son:
Color negro.
Perfiles delanteros y traseros desplazables y provistos de numeración para
identificar la posición de los equipos.
Los racks tienen ventilación delantera y trasera por medio de puertas
agujereadas.
Los armarios poseen techo con espacios adaptados al paso de cables con
cierres de corredera para ajustar el hueco al mínimo paso de cables. En los
techos pueden instalarse unidades de ventiladores.
Los armarios incluidos en la oferta incluyen paneles ciegos, pasa hilos y
organizadores de cables necesarios para la correcta y ordenada instalación de
los equipos en el Data Center.
Figura 12 Parte interior del Data Center
17
Por esta razón, para la óptima organización de los quipos se propone la
implementación de un tercer rack (servidor de torre BEAUCOUP) en el cual se ubicada
un servidor de torre, un SAI con sus respectivas baterías, los posibles espacios
quedaran disponibles en el caso del crecimiento del Data Center.
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de nuevo Rack para la organización
de los dispositivos tecnológicos dentro del Data Center Chamba Jennifer.
Propuesta donde estará ubicado el Rack para la organización de los UPS y baterías
existentes en el Data Center, para evitar la incorrecta organización y desorden de los
dispositivos del interior del Data Center.
Figura 13 Propuesta de nuevo Rack para la organización de los dispositivos tecnológicos
18
Figura 14 Organización de los Racks
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la nueva
organización de los contenidos que tendrán los Racks. Chamba Jennifer.
La implementación de un Rack, con el fin de adecuar los UPS existentes en una sola
ubicación, mejorando la adecuación del lugar.
La implementación de la ubicación del nuevo Rack ayudara al correcto orden de cada
uno de los dispositivos información dentro de los Racks, evitando así desorganización
y mejorando el espacio en cuanto seguridad y estética para el crecimiento del mismo
en un futuro.
La distribución de los rack será:
Rack de Cableado: Panel de Conexión, enrutador, multiplicador, estante.
Rack de servidor de Torre y bastidor: Sistema de monitoreo, 4 servidores de
rack, 2 servidores de torre.
Rack servidor y UPS: 2 UPS para rack, 1 UPS de torre, baterías de energía.
19
Seguridad física del cableado
El cableado de cada uno de los computadores que se conectan directamente a los
servidores no cuenta con una correcta protección física, provocando así que cualquier
usuario manipule el acceso al mismo y así realice algún daño o falencia en la
transmisión de información.
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar el cableado
estructurado. Elaborado por: Chamba Jennifer.
Propuesta de seguridad física del cableado
Las canaletas de datos serán de tipo malla, las cuales reduce el efecto de ruido en los
cables debido a interferencia electromagnética: además, al ser de estructura abierta
permiten un control visual de la disposición de los cables y permiten derivar los cables
a los tubos fácilmente. Se ha decidido que la bandeja debe estar ocupada solo en un
40% para evitar diafonía entre los cables; por ello se escogió que la bandeja tenga un
ancho de 200mm.
Figura 15 Seguridad en cuanto cableado estructurado
20
Las bandejas deben tener salida de cables suaves y no en Angulo recto con el fin de
no dañas los mismo al momento de bajarlos hacia el Racks correspondiente. Estarán
inmovilizadas al techo a través de grapas de sujeción y varilla de expiación para llegar
a una altura adecuada.
Las canaletas de energía serán de tipo malla, lo que permite una adecuada circulación
del aire, instaladas debajo del piso falso a través de accesorios de soporte y
abrazaderas que sirven para fijarlas en los soportes de piso falso.
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de canaletas para el cableado de
energía dentro de Procesamiento de Datos de la Cooperativa.
Figura 16 Canaletas para el cableado
21
Puerta Corta Fuego
En Data Center no cuenta con una adecuada puesta de seguridad de acceso ni
seguridad en cuanto fenómeno natural (incendio) que pueda suceder internamente en
el Data Center.
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la parte interna
del departamento de TICs. Elaborado por: Chamba Jennifer.
Propuesta
Las dimensiones de las puertas de acceso del Data Center serán de 1.4 metros de
ancho y 2.5 metros de altura según norma ANSI/EIA/TIA 942, mismas que serán
blindadas y resistentes al fuego. Para mayor seguridad de acceso se puso en
consideración la colocación de una puerta (metálica), con elementos de cierre
permanente, con barra antipánico para evacuación rápida, debidamente señalizadas,
con cerradura electromagnética que interactúa con los sistemas de control de accesos.
Figura 17 Puerta del ingreso al Data Center.
22
Deben tener una mirilla que soporte al menos 350oC para control y evaluación del sitio
desde afuera, con el fin tomar las acciones correspondientes en caso de incendio.
Debe tener brazo de auto-retorno para qué cierre la puerta cada vez que sea abierta y
así permanezca herméticamente cerrada para garantizar el adecuado funcionamiento
del sistema de climatización, la puerta del cuarto de comunicaciones se deberá abrir
siempre hacia fuera.
Fuente: Análisis (2016). Santo Domingo. Elaborado por: Unitil.
Sistema de monitoreo
Se deben incorporar dispositivos de monitoreo remoto vía IP, dispositivos a los que se
asigna una dirección IP cada alarma que maneja, el dispositivo necesita un solo punto
de red para el envió de todas las alarmas, se puede configurar para enviar las alarmas
a un correo electrónico o directamente al computador.
Area del Departamento de TICS (Soporte tecnico)
No cuenta con politicas de seguridad adecuadas en cuanto a la correcta organización
que debe tener el encargado de los recursos tecnologicos en el area de TICs.
Figura 18 Propuesta del diseño de la puerta de ingreso del Data Center
23
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar los recursos
tecnológicos en el área de Tics. Elaborado por: Chamba Jennifer.
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar los recursos
tecnológicos en el área de Tics. Elaborado por: Chamba Jennifer.
No existe un correcto orden de los materiales informáticos, provocando así una
incorrecta distribución de información, mal prestigio, fallos provocados por la incorrecta
organización de todos los dispositivos a cargo de departamento de TICS.
Figura 19 Recursos tecnológicos del área de TICs
Figura 20 Recursos tecnológicos del área de TICs.
24
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la ubicación de
los recursos tecnológicos en el Área de TICS. Elaborado por: Chamba Jennifer.
Propuesta
Por tal motivo se propone realzar políticas de seguridad para el departamento de
TICS, ya que todo funcionario que obtenga en su poder bienes y servicio informáticos
se compromete a conducirse bajo los principios de confidencialidad de la información y
uso adecuado de los recursos informáticos de la Cooperativa de Ahorro y Crédito
Cámara de Comercio de Santo Domingo de los Tsáchilas.
Figura 21 Ubicación de los recursos tecnológicos en el Área de Tics.
25
Sistema de extinción de incendios
Las seguridades en cuanto los extintores no están establecidos en el lugar adecuado o
la cantidad suficiente para el departamento de TICs y en el Data Center no cuentan
con un sistema de extinción, al momento de suceder un accidente de fenómeno
natural.
Fuente: Análisis (2016). Santo Domingo: Figura en la que podemos observar la ubicación
incorrecta de los extintores. Elaborado por: Chamba Jennifer.
Propuesta de mejora de sistema de extinción
El sistema de detección y extinción de incendios estará basado en dispositivos de
iniciación (detector de humo, de calor), dispositivos de notificación (sirenas con luz
estroboscópica), el sistema de extinción (agente limpio FM-200) y módulos de control
para el corte de las facilidades (aire acondicionado).
El sistema contra incendios será con agente limpio FM200, el cual consiste en un gas
inerte que por sus propiedades es inofensivo para las personas, de rápida acción, no
cauda daño a los equipos y es ecológico.
Figura 22 Ubicación de extintores
26
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de sensor de humo en el Data
Center de la Cooperativa. Elaborado por: Chamba Jennifer.
El sistema de Detección y Extinción de Incendios es aquel destinado a sofocar y evitar
la propagación del fuego que pudiera desatarse al interior de Data Center de la
Cooperativa. Está conformado por un tablero de control que recibe información de los
detectores de humo instalados en el Data Center y ordena la activación de los
elementos de seguridad así como la descarga del agente limpio destinado a sofocar el
fuego al interior del Data Center.
La primera consideración a tener en cuenta para abordar la implantación de un
sistema anti-incidentes es definir la área que van a proteger. En la presente propuesta
se van a proteger el área del Data Center. El sistema de detección de incendios
(ANALOGICO FA-DOT230) estará en la parte superior (techo) del área del Data
Center.
Figura 23 Propuesta de un sensor humo en el Data Center.
27
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de extintores dentro del Data Center
de la Cooperativa. Elaborado por: Chamba Jennifer.
En extinción se propone la opción de gas de bióxido de carbono (CO2, De 5 libras,
marca Ansul COD: 322) con sus característica: efectos sofocación, descarga
intermitente, capacidad 2.3 – 92 kg, alcance 2- 3 m, aplicación a fuegos clase B y C,
tiempo de descarga 8 a 30 segundos. Ya que es un gas incoloro, inodoro,
eléctricamente no conductor, eso es altamente eficaz como un agente de extinción de
incendios. El extintor estará ubicado en la entrada de la puerta a la derecha y otro en
la esquina de la parte izquierda.
Figura 24 Propuesta de extintores dentro del Data Center
28
Sistema de Vigilancia
En el interior del Data Center no cuenta con una cámara de que faciliten la seguridad
para el correcto control de cada uno de sus dispositivos (servidores, UPS, Rack, etc.),
provocando así daños físico, extracción, modificación o falseo información de la
cooperativa de manera rápida
Propuesta de sistema de vigilancia
Un sistema de vigilancia es de vital importancia para asegurar la integridad de los
equipos e información y además la vigilancia de lo antes mencionado. Las
cámaras de red representan una manera sen cilla de capturar y distribuir imágenes
de vídeo de gran calidad a través de cualquier tipo de red IP o de Internet. Las
imágenes se pueden visualizar utilizando un navegador Web estándar y pueden
almacenarse en cualquier disco duro.
Con servidor Web incorporado, las cámaras de red funcionan de modo indepen diente
y pueden situarse en cualquier lugar donde exista una conexión de red IP. Permiten
visualizar vídeo en vivo de forma remota y gestionar el envío de imágenes de vídeo
desde cualquier parte del mu ndo utilizando un navegador.
Figura 25 Propuesta de ubicación de las cámaras de seguridad
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta de sistema de vigilancia dentro del
Data Center de la Cooperativa. Elaborado por: Chamba Jennifer.
29
Sistema de Iluminación
Los artefactos de iluminación deberán ser de alto factor, y deberán estar provistos de
luminarias tipo LED. Las lámparas de emergencia deberán estar provistas de 2 focos o
luminarias led. Estas deberán tener las siguientes características:
Focos móviles direccionales
Cobertor: Plástico resistente.
Autonomía mínima: 1 Hora con 2 Focos /LEDs.
Botón de prueba para verificar funcionamiento
Voltaje: 220 V, automática.
Batería: 6V -4A sellada libre mantenimiento.
Fuente: Análisis (2016). Santo Domingo: Figura Propuesta del lugar a colocar la lámpara de
emergencia en el Data Center de la Cooperativa. Elaborado por: Chamba Jennifer.
El centro de procesamiento debe tener una lámpara de emergencia con batería para
indicar el camino del salida, en alguna situación ante apagones inesperados de luz
eléctrica, de igual forma debe tener el departamento de TICs.
Figura 26 Propuesta del lugar a colocar la lámpara de emergencia
30
PRESUPUESTO
Estos son valores alternativos ya que los equipos informáticos van evolucionando
constantemente, y no se exige la compra de ningún equipo en la Cooperativa de
Ahorro y Crédito Cámara de Comercio, es de decisión de la empresa si considera
dichos valores para mejorar la seguridad y el trabajo en la empresa antes mencionada.
Tabla 1 Presupuesto.
ANÁLISIS DE COSTO DEL DATA CENTER
CANTIDAD DETALLE V. UNITARIO V. TOTAL
1 Patch Panel Cat.6 24 puertos con Jacks $60,00 $60,00
1 Switch Nexxt Nw223nxt66 de 24 puertos
10/100 Mbps para Rack
$84,99 $84,99
10 P.red Puntos de red en cobre CAT 6a $18,00 $126,00
12m2 Bandeja metaliza de rejilla de 200 x 60mm
electronzincada
$50,37/3m $201,48
RACK
1 Rack de piso con bandeja y pasa cable
BEAUCOUP
$145,00 $145,00
2 Tripp Lite SU1500RTXL2Ua Smart Online
1500 VA 1200 Watts 2U Rackmount Online
Extended Runtime UPS
$660,00 $1320,00
SISTEMA DE CLIMATIZACIÓN
1 Aire Acondicionado Split Lg Inverter
Vm182cj 18000 Btu 220v
$1,224,00 $1,224,00
1 Climatizador $310,00 $310,00
DETECTORES DE INCENDIO
1 Detector de óptico-térmico ANALÓGICO FA- $75,00 $75,00
31
DOT230
EXTINCIÓN DE INCENDIO
3 Extintor contra incendio CO2 $ 75,00 $225,00
SEGURIDADES
1 Cerradura Cromada con lector de Huella,
Proximidad y teclado.
$ 980,00 $980,00
2 Cámara HD-SDI Infrarrojo 30 metros 3,6
MM/Ref.- S133331
$118,00 236,00
PISO ELEVADO
12m2 Paneles de acceso elevado $240 /m $2,800,00
1 Paneles perforados $180,00 $180
1 Rampa para el piso de acceso elevado $200,00 $200,00
1 Ventosa para piso falso $50,00 $50,00
OBRA CIVIL
1 Elementos constructivos $ 985,00 $985,00
1 Mano de Obra $ 950,00 $950,00
ELECTRICIDAD
12m2 Malla de Alta Frecuencia $ 200 /m $2,400,00
1 Barra principal para descarga de tierra $ 200 $200
TOTAL DE INFRAESTRUCTURA 12,752.47
Fuente: Análisis (2016). Santo Domingo: Tabla en la que podemos observar el presupuesto
para la realización del Data Center. Elaborado por: Chamba Jennifer.
32
CONCLUSIONES
Los objetivos planteados al inicio de la propuesta del proyecto, se han cubierto
en su totalidad, los mismos que se ven plasmados en el documento que ha
sido elaborado y que propone un proceso de Gestión de Servicios de TI para la
Cooperativa.
Un Data Center debe permanecer limpio, ordenado y que cuente con los
elementos necesarios y accesibles y bien etiquetados, con un sistema de aire
acondicionado funcional.
Se debe hacer un diseño ideal para cada empresa considerando el tipo de
actividad que vaya a realizar, y contando con el presupuesto que se dispone.
El departamento de TICS debe otorgar y garantizar el control, planificación y
dirección de los procesos de una empresa.
Un Data Center debe tener una seguridad lógica para poder implementar
barreras de protección y medidas de prevención ya sean dentro o alrededor del
Data Center para poder evaluar y controlar permanentemente la seguridad
como una función primordial dentro de cualquier Cooperativa.
Las instalaciones eléctricas en un Data Center deben soportar cortes eléctricos
por periodos largos sin generar daños a los equipos.
33
RECOMENDACIONES
Implementar un Data Center que tome en cuenta la ubicación física, para poder
evitar cualquier traslado a futuro.
Elaborar un presupuesto acorde a cada empresa para adquirir los equipos
respectivos y a nuestras necesidades.
Concientizar a la administración de los riesgos informáticos que se pueden
generar.
Disponer de políticas de seguridad que permitan neutralizar el ataque para que
genere el menor daño posible.
Tener personal altamente capacitado que sea capaz de afrontar una
emergencia y respuesta inmediata ante alguna eventualidad negativa que se
presente en el Data Center.
Se recomienda que la cooperativa adopte los servicios de tecnologías
informáticas planteados en la presente propuesta y proceda a organizar un
catálogo de los mismos que deberá ser aprobado por las autoridades.
BIBLIOGRAFÍA
Acuña Lasheras, T. (2013). Diseño de un Centro de Proco de Datos. Leganés.
Almachi Puco, J. E., & Bonilla Arévalo, L. D. (2015). Diseño de un centro de
procesamiento dedatos, elaborando un modelo detallado para cáculos del
sistema de climatización y su consumo de energía. Guayaquil.
Areitio Bertolín, J. (2008). Seguridad de la información. Redes, informática y sistemas
de información. Madrid: Paraninfo.
CERINI, M. D., & IGNACIO PARA, P. (Octubre de 2002). Plan de Seguridad
Informatica (PSI) . Argentina.
Colobran Huguet, M., Arqués Soldevila, J. M., & Galindo, E. M. (2008). Administración
de sistemas operativos en red. Barcelona: Laburo.
González, R. I. (2013). Sistemas de proteccion activa para CPD. Madrid.
Hesselbach Serra, X., & Bosch, J. A. (2002). Análisis de redes y sistemas de
comunicación. Barcelona.
IEC, I. , & 27001, E. I. (2005). Tecnología de la Información - Técnicas de Seguridad -
Sistemas de Gestión de Seguridad de la Información. Primera Edición.
Lamilla Rubio, E. A., & Patiño Sánchez, J. R. (2009). Desarrollo de políticas de
seguridad nformática e implementación de cuatro dominios en base a la norma
27002 para el área de hardware en la empresa niplex Systems. Guayaquil.
Medina Rodas, J. E. (2011). Análisis de la Factibilidad de norma para CPD. Cuenca.
PADILLA BENITEZ, R. D., & URQUIZA AGUILAR, L. F. (Enero de 2008). Rediseño de
la Red WAN de Petrocomercial con Qos. Quito, Ecuador.
CODIGO SERIE CLASE DE EQUIPO CARACTERISTICAS FEC.COMPRA N. DE FACTURA ACTA DE ENTREGA UBICACIÓN ECCARGADO COSTO
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
INVENTARIO DE EQUIPOS
ESTADO
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJA
NUEVA USADA VIEJANUEVA USADA VIEJA
AV. Quito y Latacunga
Anexo 8 Formato de Inventario
Anexo 1 Certificación de Cumplimiento de Plan Informático en la Cooperativa de Ahorroy Crédito Cámara de Comercio.