universidad regional autÓnoma de los andes...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN SISTEMAS E INFORMÁTICA
TEMA:
PLAN INFORMÁTICO 2016 - 2020 BASADO EN LAS NORMAS ITIL PARA MEJORAR
LA SEGURIDAD DE LA INFORMACIÓN, INFRAESTRUCTURA Y RECURSOS
TECNOLÓGICOS EN EL SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO.
AUTORA: RODRÍGUEZ CHÁVEZ GÉNESIS DAYANA
ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, Mgs.
PORTADA SANTO DOMINGO – ECUADOR
2017
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: El presente trabajo de titulación realizado
por la señorita Génesis Dayana Rodríguez Chávez, estudiante de la Carrera de
Sistemas, Facultad de Sistemas Mercantiles, con el tema: “PLAN INFORMÁTICO 2016 - 2020 BASADO EN LAS NORMAS ITIL PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN, INFRAESTRUCTURA Y RECURSOS TECNOLÓGICOS EN EL SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO.”, ha sido
prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa
pertinente de la Universidad Regional Autónoma de los Andes “UNIANDES”, por lo que
apruebo su presentación.
Santo Domingo, abril de 2017.
Dr. Fredy Pablo Cañizares Galarza, Mgs.
ASESOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Rodríguez Chávez Génesis Dayana, estudiante de la Carrera de Sistemas, Facultad
de Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente
trabajo de investigación, previo a la obtención del título de INGENIERA EN SISTEMAS E INFORMÁTICA, son absolutamente originales, auténticos y personales; a excepción
de las citas, por lo que son de mi exclusiva responsabilidad.
Santo Domingo, abril de 2017
Srta. Rodríguez Chávez Génesis Dayana
C.I. 1717459372
AUTORA
DERECHOS DE AUTOR
Yo, Rodríguez Chávez Génesis Dayana, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma
de los Andes, que en su parte pertinente textualmente dice: El patrimonio de la
UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,
trabajos científicos o técnicos, proyectos profesionales y consultoría que se realicen en
la Universidad o por cuenta de ella;
Santo Domingo, abril de 2017
Srta. Rodríguez Chávez Génesis Dayana
C.I. 1717459372
AUTORA
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
El presente proyecto de tesis se lo dedico a Dios, por permitirme
despertar cada día con vida, poner en mi la inteligencia y paciencia
necesarias para cumplir cada uno de mis objetivos, como lo es este
momento tan importante en mi formación profesional
A mi madre que durante todo este tiempo me ha apoyado para que mi
educación y preparación sea constante, gracias por brindarme su amor,
consejos, comprensión y ayuda incondicional en los momentos más
difíciles.
Dedico también este trabajo a todas las personas que buscan alcanzar
sus sueños así como el mío fue llegar a ser un profesional y lo cumplí,
siendo perseverante sabiendo aprovechar los conocimientos adquiridos
durante mi etapa académica.
Génesis Dayana Rodríguez Chávez
AGRADECIMIENTO
Agradezco a mi madre y hermana, quienes siempre han estado pendiente
de mí dándome su apoyo, motivándome e impulsándome a culminar mis
estudios siempre con ejemplo y perseverancia.
Al Sindicato de Choferes Profesionales de Santo Domingo, por
permitirme desarrollar mi trabajo de tesis en sus instalaciones siempre
predispuestos a brindarme su colaboración.
A mi asesor y lector de tesis, por todo su apoyo, esfuerzo y predisposición
para asesorarme en el transcurso de este proyecto el cual he logrado
terminar con éxito, gracias por los conocimientos brindados y por todos
los consejos que me ha proporcionado para el correcto desenvolvimiento
en mi defensa de tesis.
A mis maestros, por enseñarme a valorar mi carrera, guiarme y compartir
a lo largo de estos años de formación profesional sus conocimientos.
Finalmente agradezco de manera especial a la Universidad Regional
Autónoma de los Andes “UNIANDES”, por haberme acogido y dado la
posibilidad de forjarme un futuro mejor, muchas gracias.
Génesis Dayana Rodríguez Chávez
RESUMEN
El presente proyecto tiene por objetivo desarrollar un plan informático basado en las
normas ITIL (Biblioteca de Infraestructura de Tecnologías de Información), el cual esta
propuesto para una institución privada que es el Sindicato de Choferes Profesionales de
Santo Domingo.
Antes de realizar el plan utilizando la investigación campo se ejecuta el levantamiento
de la información referente a los equipos y recursos informáticos de la empresa, para
luego efectuar la valoración de los mismos de acuerdo con su estado, integridad,
confidencialidad y disponibilidad. Además se realiza el análisis de las amenazas más
significativas que pueden ocasionar daño a los activos y afectar su actividad, para definir
los riesgos y plantear las mejoras tomando en cuenta la metodología de las normas ITIL.
El presente plan informático está alineado con la optimización de la calidad de los
servicios de las tecnologías de la Información (TI), enfocándose en mejorar seguridad
de la información, infraestructura y recursos tecnológicos del Sindicato de Choferes
Profesionales, tal como lo describe las normas ITIL, el mismo contiene un manual de
políticas de seguridad, manual de procesos y procedimientos informáticos, plan de
contingencia informático y la propuesta de mejora de la infraestructura del Centro de
Procesamiento de Datos y departamento de TI de la empresa. En el desarrollo de las
propuestas anteriormente mencionadas se contemplan los aspectos de seguridad que
se deben manejar en el área de TI, además la elaboración de los mismos facilitó conocer
las fortalezas y debilidades de la empresa.
ABSTRACT
The purpose of this project is to develop an IT plan based on the ITIL (Information
Technology Infrastructure Library) standards, which is proposed for a private institution
that is the Sindicato de Choferes Profesionales de Santo Domingo.
Before carrying out the plan using the field research, the information related to the
company's computer equipment and resources is carried out, and then they are
evaluated according to their status, integrity, confidentiality and availability. In addition,
the analysis of the most significant threats that can cause damage to the assets and
affect their activity, to define the risks and to make the improvements taking into account
the methodology of the ITIL norms.
This IT plan is aligned with the optimization of the quality of Information Technology (IT)
services, focusing on improving the security of information, infrastructure and
technological resources of the Professional Driver Union, as described by ITIL, It
contains a manual of security policies, manual of processes and computer procedures,
computer contingency plan and the proposal to improve the infrastructure of the Data
Processing Center and IT department in the company. In the development of the
abovementioned proposals, the security aspects to be handled in the area of IT are
contemplated, in addition the elaboration of the same facilitated to know the strengths
and weaknesses of the company.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
ÍNDICE GENERAL
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
ÍNDICE DE ANEXOS
INTRODUCCIÓN .......................................................................................................... 1
Antecedentes de la investigación .............................................................................. 1
Planteamiento del problema ...................................................................................... 2
Formulación del problema ......................................................................................... 5
Delimitación del problema ......................................................................................... 5
Objeto de investigación y campo de acción ............................................................... 5
Identificación de la línea de investigación .................................................................. 6
Objetivos ................................................................................................................... 6
Objetivo general..................................................................................................... 6
Objetivos específicos ............................................................................................. 6
Idea a Defender ........................................................................................................ 7
Justificación del tema ................................................................................................ 7
Aporte teórico, Significación práctica y Novedad científica ........................................ 8
CAPITULO I ................................................................................................................ 10
MARCO TEÓRICO ..................................................................................................... 10
Definición de seguridad ....................................................................................... 10
Definición de informática ...................................................................................... 10
Seguridad informática ............................................................................................. 11
Objetivos de la Seguridad Informática ..................................................................... 11
Principios de la Seguridad Informática .................................................................... 12
Confidencialidad .................................................................................................. 12
Integridad............................................................................................................. 13
Disponibilidad ...................................................................................................... 13
Gestión de la Seguridad Informática ....................................................................... 14
Seguridad de la información .................................................................................... 14
Seguridad Activa .................................................................................................. 15
Seguridad Pasiva ................................................................................................. 15
Amenazas ............................................................................................................... 15
Fuentes o tipos de amenazas .............................................................................. 15
Vulnerabilidades ...................................................................................................... 16
Riesgos ................................................................................................................... 16
Seguridad Física ..................................................................................................... 17
Seguridad Lógica .................................................................................................... 17
Seguridad en Redes ................................................................................................ 18
Seguridad en Recursos Humanos ........................................................................... 19
Seguridad en Contrataciones externas u Outsourcing ............................................. 19
Riesgos del outsourcing ....................................................................................... 20
Requisitos de seguridad en el outsourcing ........................................................... 20
Políticas de seguridad ............................................................................................. 21
Definición e implantación de las políticas de seguridad ....................................... 21
Aspectos físicos y lógicos de las políticas de seguridad ..................................... 22
Plan de Contingencia .............................................................................................. 22
Normas ITIL ............................................................................................................ 23
Versiones de ITIL ................................................................................................. 23
Filosofía ITIL ........................................................................................................ 26
Los Objetivos de ITIL ........................................................................................... 26
Que es una buena práctica .................................................................................. 27
Que es un servicio ............................................................................................... 27
Enfoque de Procesos .......................................................................................... 27
Normas y estándares internacionales ISO .............................................................. 28
ISO/IEC 20000 – 2011 ......................................................................................... 29
ISO/IEC 27000 .................................................................................................... 29
Plan Informático ...................................................................................................... 30
Plan de Seguridad Informática ............................................................................. 31
Conclusiones parciales del capítulo ........................................................................ 32
CAPITULO II ............................................................................................................... 33
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA .................... 33
Caracterización del Sector ...................................................................................... 33
Descripción del procedimiento metodológico........................................................... 35
Enfoque de la investigación ................................................................................. 35
Tipos de Investigación ......................................................................................... 35
Métodos, técnicas e instrumentos ........................................................................ 36
Población y Muestra ............................................................................................ 37
Interpretación de los resultados realizados .......................................................... 38
Propuesta del investigador ...................................................................................... 40
Conclusiones parciales del capítulo ........................................................................ 44
CAPÍTULO III .............................................................................................................. 45
DESARROLLO DE LA PROPUESTA ......................................................................... 45
Tema ....................................................................................................................... 45
Caracterización de la propuesta .............................................................................. 45
Desarrollo de la propuesta ...................................................................................... 47
Planeación ........................................................................................................... 47
Diagnóstico Inicial ................................................................................................ 48
Análisis de resultados .......................................................................................... 51
Diseño y elaboración de procesos ....................................................................... 52
Mejoras ................................................................................................................ 60
Conclusiones parciales del capítulo ........................................................................ 67
CONCLUSIONES GENERALES ................................................................................ 68
RECOMENDACIONES ............................................................................................... 69
BIBLIOGRAFÍA
ANEXOS
ÍNDICE DE TABLAS
Tabla 1 Técnicas e instrumentos utilizados en la investigación. .................................. 37
Tabla 2 Personal Empresarial del Sindicato de Choferes Profesionales de Santo
Domingo. .................................................................................................................... 37
Tabla 3 Interpretación de resultados de la encuesta realizada al personal del Sindicato
de Choferes Profesionales de Santo Domingo ........................................................... 38
ÍNDICE DE FIGURAS
Figura 1 Planos de actuación en la Seguridad Informática ......................................... 12
Figura 2 Representación Gráfica de los principios de la seguridad informática ........... 12
Figura 3 Rueda de Deming ......................................................................................... 28
Figura 4 Organigrama Empresarial ............................................................................. 34
Figura 5 Ciclo de Deming ........................................................................................... 41
Figura 6 Fases del ciclo de vida del servicio con el ciclo de Deming ........................... 41
Figura 7 Modelo de Implementación ITIL .................................................................... 42
Figura 8 Organización de equipos tecnológicos en departamentos administrativos .... 48
Figura 9 Departamento de Tecnologías de la Información (TI) ................................... 49
Figura 10 Sistemas de prevención de incendios ......................................................... 49
Figura 11 Monitoreo de cámaras de seguridad ........................................................... 50
Figura 12 Rack del Centro de Procesamiento de Datos .............................................. 51
Figura 13 Rack aéreo del Centro de Procesamiento de Datos .................................... 51
Figura 14 servicios que ofrece el departamento de TI ................................................. 60
Figura 15 Portafolio de servicios ITIL .......................................................................... 61
Figura 16 Portafolio de servicios ITIL del Sindicato de Choferes Profesionales .......... 62
Figura 17 Actividades y tiempos de implementación de las etapas del plan informático
................................................................................................................................... 66
ÍNDICE DE ANEXOS
Anexo 1 Perfil de proyecto de investigación
Anexo 2 Autorización para realización del Proyecto de Tesis en el Sindicato de Choferes
Profesionales de Santo Domingo
Anexo 3 Certificación del Sindicato de Choferes Profesionales de Santo Domingo
referente a la entrega del Plan Informático a la institución
Anexo 4 Políticas de seguridad informática
Anexo 5 Plan de contingencia informático
Anexo 6 Manual de procesos y procedimientos para el departamento de Tecnologías de
la Información
Anexo 7 Propuesta de mejora en infraestructura tecnológica
1
INTRODUCCIÓN
Antecedentes de la investigación
Hoy en día la informática es parte fundamental de las empresas sean estas públicas o
privadas, es de gran importancia tener un departamento de tecnologías de la
Información y comunicación, que provea servicios, tales como control en la conservación
de la información, equipos y recursos informáticos, asimismo es necesario poseer una
infraestructura que cumpla con los estándares en cuanto a seguridad, integridad y
confidencialidad, además de una correcta planificación estratégica de tecnología que
sirva de apoyo para lograr que los sistemas de información y los recursos de hardware,
satisfagan las necesidades y calidad del trabajo corporativo en las organizaciones.
En una investigación preliminar realizada a la tesis de grado del Magister Mejía Viteri,
José. (2015). Plan de seguridad informática del departamento de Tecnologías de la
Información y Comunicación de la Universidad Técnica de Babahoyo para mejorar la
gestión en la confidencialidad e integridad de la información. Tesis de Maestría.
Universidad Regional Autónoma de los Andes UNIANDES. Babahoyo, Ecuador,
establece que:
Hoy en día las empresas tienen automatizados los procesos y estos generan grandes
cantidades de información para la toma de decisiones, por lo que los gerentes de las
empresas requieren asegurarla y debe estar siempre disponible y sea confiable,
surgiendo la necesidad de implementar los S.G.S.I (Sistemas de Gestión de la
Seguridad Informática), tomando en cuenta las normas que existen en la actualidad.
En una investigación precedente de la tesis del Magister Santacruz Fernández, Ángel.
(2013). Plan de seguridad informatica y los riesgos operativos en el municipio
descentralizado de Quevedo provincia de Los Rios. Tesis de Maestria. Universidad
Regional Autónoma de los Andes UNIANDES. Quevedo, Ecuador, afirma que:
La seguridad informática se va convirtiendo en una necesidad cada vez más latente en
las instituciones que disponen de un gran apoyo tecnológico. Es sabido que la
tecnología optimiza los procesos y acelera los servicios, pero así también ha dado origen
al aparecimiento de nuevos formas de delito, generalmente por intrusión indebida con
la finalidad de obtener información o desvíos financieros en forma electrónica.
2
Por otro lado, en el internet se pudo encontrar algunos trabajos relacionados de manera
directa e indirectamente con el tema, así por ejemplo podemos señalar el trabajo del
Ingeniero Posso Guerrero, Richard. (2009). Desarrollo de políticas de seguridad
informática e implementación de tres dominios en base a la norma 27002 para el área
de Hardware en la empresa UNIPLEX SYSTEMS S.A. en Quito. Proyecto de Pregrado.
Escuela Politécnica Nacional. Quito, Ecuador, establece que:
La información en medios informáticos es altamente utilizada en las, empresas, hogares,
escuelas, universidades, etc. Por esta razón es importante determinar que hacer para
protegerla y evitar que caiga en manos de personas no autorizadas; esto se obtiene con
la implementación de políticas de Seguridad Informática.
Así también se puede analizar la Tesis del Ingeniero Quirumbay Yagual, Daniel. (2015).
Desarrollo del esquema de seguridad, plan de recuperación ante desastres informáticos
y solución para el nivel de exposición de amenazas y vulnerabilidades aplicada a los
servidores y equipos de comunicación del centro de datos de la municipalidad de la
ciudad del este. Tesis de Pregrado. Escuela Superior politécnica del Litoral. Guayaquil,
Ecuador, en la cual alega que:
El Implementar Seguridad Informática a las infraestructuras Tecnológicas
específicamente para el Centro de Procesamiento de Datos se ha convertido en
necesarias debido a que si se logra estimar la frecuencia con la cual se materializan los
riesgos o vulnerabilidades, así como determinar la magnitud de sus posibles
consecuencias considerando las debidas precauciones, 35 podemos de modo
preventivo tomar medidas para reducir su impacto y evitar la paralización de las
organizaciones o empresas.
Con toda esta información recopilada se concluye que la seguridad de la información y
recursos tecnológicos se constituyen en un factor muy importante en empresas o
Instituciones educativas y que dentro de ellas, el aspecto de la seguridad informática
garantiza la privacidad de la información y la continuidad del servicio, tratando de
minimizar la vulnerabilidad lógicas y físicas.
Planteamiento del problema
Las Tecnologías de la Información y Comunicación evolucionan rápidamente en el
mundo actual siendo fundamentales para las empresas en sus operaciones
3
administrativas y en el desarrollo informático de una sociedad, por ende se debe tomar
las medidas de seguridad pertinentes para resguardar la integridad física y lógica de los
mismos. La falta de seguridad informática es una de las principales causas que originan
los problemas de control y administración tanto lógicos como físicos, el Sindicato de
Choferes Profesionales de Santo Domingo presenta varios inconvenientes en base al
déficit de seguridad de la información, infraestructura y recursos tecnológicos, entre ellos
se encuentran:
En departamento de TI (Tecnologías de la Información) la organización y distribución de
las herramientas, computadores y recursos informáticas no es la adecuada, pues dicho
equipamiento electrónico, informático y de comunicaciones es colocado en el piso o
cartones, lo que ocasiona daño y averías en los mismos por el grado de acumulación
de basura y polvo sumando pérdidas en los bienes de la empresa. Además varios de
los equipos y recursos son guardados en diferentes departamentos al no contar con una
bodega provocando que no se lleve un registro de inventario de hardware y control de
entrada y salida del equipamiento de la institución.
Los equipos y recursos informáticos de los distintos departamentos administrativos y
operativos de la empresa poseen una mala ubicación, encima de ellos se colocan
carpetas, documentos, botellas de líquidos, basura entre otros, además el personal no
tiene la debida precaución en el uso y resguardo de los mismos. Varios computadores
se encuentran conectados a un mismo UPS (uninterruptible power supply) o regulador
de voltaje, los cables de los equipos y dispositivos están expuestos ocasionando
problemas y daños en su funcionamiento.
Es importante mencionar que la seguridad lógica es baja pues no existe un buen uso
del software y de los sistemas, protección de los datos, procesos y programas, así como
el del acceso ordenado y autorizado de los usuarios a la información, además los
programas informáticos no cuentan con las licencias pertinentes como es el caso de los
antivirus lo que provoca que hayan infecciones por virus en los equipos y en la red.
Actualmente en el departamento de TI, no existe un sistema contra incendios o
extintores dentro del área ni cercano al lugar, además la señalética del edificio está mal
diseñada y en varios de los sitios para ubicación de implementos contra incendios se
encuentran vacíos, y en otros los extintores no están compuestos de material químico
adecuado para resguardo de los equipos informáticos
4
El Centro de Procesamiento de Datos (CPD), se encuentra ubicado en la misma área o
espacio del departamento de TI y su separación se realiza mediante una puerta
deslizable, no cuenta con una adecuada instalación y requerimientos de seguridad física
y lógica ocasionando un bajo grado de fiabilidad ya que los sistemas de información y
gestión de datos pueden caer o fallar, así mismo se debe controlar los gastos
energéticos que en él se generen.
El servicio de soporte técnico al personal se lo realiza en las diferentes oficinas de la
empresa ya que el grado de desorden en el espacio compartido del departamento de
Tecnologías de la Información y CPD no permite realizar el requerimiento, además los
soportes y mantenimientos no tiene un cronograma de planificación, registro de servicios
brindados o capacitaciones proporcionadas a los usuarios si fuese el caso, por ende
existe mala atención, demora del servicio y problemas con el espacio y ubicación de los
equipos receptados para brindar el soporte solicitado.
Actualmente no se maneja alguna normativa de prevención de desastres lo que puede
ocasionar problemas físicos en las instalaciones donde se encuentran los bienes, sea
por causas naturales o humanas; mientras que por razones lógicas los problemas
pueden surgir en los sistemas que se utilizan por cambios involuntarios o intencionales,
pudiendo ocasionar divulgación de información a instancias fuera de la Compañía.
Las copias de seguridad o backups no tienen un cronograma para su realización, los
mismos son solicitados por el jefe de cada área de la empresa al jefe de TI según su
necesidad, esto puede ocasionar graves pérdidas en la información y continuidad del
servicio de la empresa ya que un backup puede proteger ante cualquier eventualidad
sea esta por un fallo de software o programación, por un error en el disco duro, virus,
gusanos, ataques mal intencionados o catástrofes imprevisibles como incendios o
robos.
El departamento de TI no ha establecido medidas de índole técnica, de organización,
controles de acceso a los equipos de la institución y sanciones por daños en el mal
manejo de los recursos informáticos para garantizar la seguridad de las tecnologías de
información, ocasionando que no exista el resguardo de los equipos de cómputo,
sistemas de información, redes (Voz y Datos) e irresponsabilidad por parte del personal
administrativo o usuarios de cómputo de la empresa que interactúan haciendo mal uso
de los servicios asociados a ellos.
5
El departamento de Tecnologías de la información no tiene definido sus objetivos,
alcances, políticas, estructura organizacional y estrategias, ocasionando que no se
puede determinar los diferentes procesos y responsables que componen los servicios
que presta la empresa, asimismo se crea una dependencia de la persona a cargo
actualmente del departamento en cuestión, ya que al dejar la institución por cualquier
motivo un reemplazo no podrá establecer fácilmente los procedimientos a tomar en las
distintas áreas que le competan.
Por todas las razones anteriormente puntualizadas y después de haberlas analizado se
puede concluir notoriamente que el Sindicato de Choferes Profesionales de Santo
Domingo posee niveles muy bajos de seguridad informática, lo que conlleva a que
existen problemas en los diferentes departamentos de la empresa y sea un gran riesgo
en la operatividad institucional.
Formulación del problema
¿Cómo mejorar la seguridad de la información, Infraestructura y recursos tecnológicos
del Sindicato de Choferes Profesionales de Santo Domingo?
Delimitación del problema
El trabajo investigativo se llevará a cabo en el Sindicato de Choferes Profesionales
Santo Domingo, ubicado en la Provincia de Santo Domingo de los Tsáchilas, cantón
Santo Domingo, en la vía Chone km 1 y calle Obispo Schumacher, durante el periodo
2016 - 2020.
Esta investigación se basará en desarrollar un Plan Informático 2016 – 2020 basado en
las normas ITIL para mejorar la seguridad de la información, Infraestructura y recursos
tecnológicos de la institución en cuestión.
Objeto de investigación y campo de acción
• Objeto de investigación: Gestión de la Seguridad Informática
• Campo de acción: Seguridad de la información, Infraestructura y recursos
tecnológicos.
6
Identificación de la línea de investigación
La presente investigación se inscribe en la línea de Tecnologías de la Información y
Comunicación.
Objetivos
Objetivo general
Desarrollar un Plan Informático 2016 – 2020 basado en las normas ITIL para mejorar la
seguridad de la información, Infraestructura y recursos tecnológicos en el Sindicato de
Choferes profesionales de Santo Domingo.
Objetivos específicos
a) Fundamentar científicamente la teoría referente a normas ITIL, seguridad física
y lógica, políticas de seguridad, plan de contingencia, seguridad de la
información, gestión de la seguridad informática, Normas y Estándares
Internacionales para tener un sustento bibliográfico en la elaboración del plan
informático.
b) Realizar investigación de campo para conocer las deficiencias de la seguridad
información, procesos, recursos e infraestructura tecnológica en la institución.
c) Elaborar el plan informático orientado al cumplimiento de normas, políticas,
procedimientos, análisis para la mejora de la Infraestructura y recursos
tecnológicos para crear una cultura de seguridad informática en el sindicato de
Choferes Profesionales de Santo Domingo.
d) Presentación del proyecto al Sindicato de Choferes Profesionales de Santo
Domingo para la aprobación del plan informático.
7
Idea a Defender
Con la aplicación del plan informático 2016 - 2020 basado en las normas ITIL se
mejorará la seguridad de la información, Infraestructura y recursos tecnológicos en el
Sindicato de Choferes Profesionales de Santo Domingo.
• Variable Independiente: Plan Informático 2016 – 2020 basado en las normas ITIL
• Variable Dependiente: seguridad de la información, Infraestructura y recursos
tecnológicos
Justificación del tema
La seguridad informática hoy en día se ha convertido en una necesidad cada vez mayor
en las organizaciones que poseen de un apoyo tecnológico, ya que disponer de
seguridad continua y confiable en la información, recursos tecnológicos e infraestructura
constituye una ventaja fundamental. Si bien es cierto la tecnología optimiza los procesos
y acelera los servicios, pero así también se han originado riegos, amenazas y
vulnerabilidades que infringen la seguridad en los aspectos antes mencionados.
El Sindicato de Choferes Profesionales de Santo Domingo, para su funcionamiento se
apoya cada vez más en su infraestructura tecnológica sea esta: redes, sistemas,
hardware, etc., todos estos elementos permiten que brinden un servicio mejorado a sus
clientes, pero de la misma manera si alguno deja de funcionar o se ven alterados es fácil
imaginar que las operaciones de la institución serán afectadas. Al implementarse un
plan informático basado en las normas ITIL para mejorar la seguridad de la información,
Infraestructura y recursos tecnológicos se obtendrán algunos beneficios apreciables, así
por ejemplo:
• Desarrollo de un plan de contingencia con un adecuado sistema de seguridad
física y lógica en previsión de desastres.
• Políticas de seguridad para establecer las medidas de índole técnica y de
organización para garantizar la seguridad de las tecnologías de información.
8
• Manual de procesos que describa el origen, evolución y logros del Departamento
de Informática y Sistemas, así como sus objetivos y políticas.
• Se planteará el mejoramiento en la infraestructura del departamento de
Tecnologías de la Información para satisfacer las demandas en cuanto a
hardware, estructura física y brindar un adecuado servicio de soporte técnico al
personal de la institución.
• Mejora de la infraestructura del Centro de Procesamiento de Datos (CPD),
basado en buenas normas y seguridades que se deben cumplir, ya que en esta
área es donde se ubican los recursos informáticos y dispositivos de red
necesarios para el procesamiento de la información de la institución.
• También se espera crear una cultura de seguridad en los usuarios, esto quiere
decir que cada uno deberá disponer de controles y claves para acceder a sus
equipos, sistemas y datos.
Aporte teórico, Significación práctica y Novedad científica
Aporte Teórico
Esta investigación tiene como propósito generar la cultura de seguridad informática en
el Sindicato de Choferes Profesionales de Santo Domingo de los Tsáchilas con el
desarrollo de un plan Informático basado en las normas ITIL (Information Technology
Infrastructure Library) con el fin de mejorar la seguridad de la información,
Infraestructura y recursos tecnológicos, de esta manera se podrá evaluar el impacto que
causan en la continuidad de las operaciones del negocio y así concientizar a los usuarios
respecto al buen uso de las tecnologías y evitar las amenazas existentes.
Significación Práctica
La actual investigación sobre un Plan Informático 2016 - 2020 basado en las normas
ITIL, podrá ser aplicado en el área de Sistemas del Sindicato de Choferes Profesionales
de Santo Domingo de los Tsáchilas, pues a través de dicho plan se permitirá llevar una
mejor administración de los procesos y controles implementados, políticas de seguridad,
plan de contingencia, etc. Es una investigación en apoyo al personal de TIC, quienes
9
podrán determinar estrategias para mitigar los riesgos de seguridad, de manera que no
afecten a la continuidad de la institución.
Novedad Científica
Como novedad se puede definir el desarrollo de un plan informático 2016 - 2020 basado
en las normas ITIL, para mejorar la seguridad de la información, Infraestructura y
recursos tecnológicos, el cual es una novedad ya que por medio de este se puede
ayudar a la implementación de normas de control interno, por lo cual la tesis puede
convertirse en una guía para evaluar el control de TI en la institución y determinar su
nivel de fortaleza, con un análisis de riesgos, controles, procesos, políticas de seguridad,
plan de contingencia, entre otros.
10
CAPITULO I
MARCO TEÓRICO
Definición de seguridad
La seguridad trae consigo la ausencia de amenazas, es eliminar la incertidumbre ante
lo que puede pasar, se puede entender como el estado de cualquier sistema o tipo de
información (informático o no) que esté libre de peligro o contingencia. La seguridad total
no existe y la misma es una de las necesidades básicas que el ser humano requiere y
se puede clasificar en varios ámbitos y tipos de seguridades.
Según la (REAL ACADEMIA ESPAÑOLA, 2007), define que la seguridad es cualidad de
seguro y seguro es libre y exento de todo peligro.
El autor (FERNÁNDEZ SUÁREZ, 1991, pág. 268) sustenta que Máynez entiende que el
concepto o, mejor, el valor seguridad es funcional idea que recoge Rolz Bannet y que
es entendida en el mismo sentido que este. La seguridad se halla siempre referida a lo
asegurado, y el valor de la misma o, mejor dicho, del aseguramiento deriva del que
tenga lo que se quiere asegurar.
Definición de informática
Según la definición del diccionario de la (REAL ACADEMIA DE LA LENGUA
ESPAÑOLA, 1992), la palabra informática significa el conjunto de conocimientos
científicos y técnicas que hacen posible el tratamiento automático de la información por
medio de ordenadores.
“De manera más sencilla podríamos definirla como la ciencia que estudia y se ocupa del
tratamiento automático y racional de la información o también como la ciencia de los
ordenadores.” (PABLOS HEREDERO, 2004, pág. 14)
La informática surge de la necesidad del hombre por encontrar la forma de realizar
operaciones matemáticas cada vez más rápidas y fáciles. Muy pronto se notó que con
ayuda de aparatos y máquinas las operaciones y otro tipo de procesos se realizaban de
manera más eficiente, rápida y automática
11
Seguridad informática
Se puede definir a la seguridad informática como cualquier medida que impida la
ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos
efectos pueden conllevar daños sobre la información, comprometer su confidencialidad,
autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso
de los usuarios autorizados al sistema. (GÓMEZ VIEITES, 2011, pág. 38)
El autor (RODAO, 2003), define a la seguridad informática como:
El conjunto de procedimientos que nos permite que nuestros datos de hoy puedan ser
utilizados mañana sin ninguna merma de calidad en los mismos. Por ello, la seguridad
abarca muchos temas aparentemente dispares como el mantenimiento regular de los
equipos, la ocultación de datos, la protección de los mismos con claves de acceso y
más.
Se puede recalcar que la seguridad informática es el estado de cualquier tipo de
información que indica si los recursos de una organización están libres o no de peligros,
daños, riegos. Es importante mencionar que no existe ninguna técnica que permita
asegurar al 100 por ciento la inviolabilidad de un sistema, red u otro recurso.
Objetivos de la Seguridad Informática
El autor (GÓMEZ VIEITES, 2011, pág. 40), establece que entre los principales objetivos
de la seguridad informática estan los siguientes.
• Minimizar y gestionar los riesgos y detectar las posibles amenzas a la seguridad.
• Garantizar la adecuada utilización de los recursos y las aplicaciones del sistema
• Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso
de un incidente de seguridad.
• Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus
contratos.
Para cumplir con estos objetivos una organización debe contemplar cuatro planos de
actuación:
12
Figura 1 Planos de actuación en la Seguridad Informática
Fuente: Gómez Vieites (2011). Enciclopedia de la seguridad Informática.
Principios de la Seguridad Informática
Figura 2 Representación Gráfica de los principios de la seguridad informática Fuente: Giménez Albacete, (2015). Seguridad en equipos informáticos. IFCT0510.
Confidencialidad
“Se entiende por confidencialidad al servicio de seguridad, o condición, que asegure que
la información no pueda estar disponible o ser descubierta por o para otras personas,
entidades o proceso no autorizados.” (SÁNCHEZ GARRETA, 2003, pág. 102)
“La confidecialidad es la propiedad que impiden la divulgación de información a
personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la
información unicamente a aquellas personas que cuentan con la debuda autorización.”
(SEGUNDA COHORTE DEL DOCTORADOO EN SEGURIDAD E., 2014, pág. 165)
Mediante la descripción de los anteriores autores se puede definir que la
confidencialidad se refiere a la privacidad de los elementos de información y mediante
13
el mismo las herramientas de seguridad informática deben proteger los sistemas de
invasiones por personas o programas no autorizados.
Integridad
“Se entiende por integridad al servicio de seguridad que garantiza que la información
es modificada, incluyendo su creación y borrado, solo por el personal autorizado.”
(SÁNCHEZ GARRETA, 2003, pág. 102)
“Este principio garantiza la utenticidad y precisión de la información sin importar el
momento en que esta se solicita, o dicho de otra manera, una garantía de que los datos
no han sido alterados ni destruidos de modo no autorizado.” (AGUILERA LÓPEZ, 2011,
pág. 10)
En si la integridad es la validez y consistencia de los elementos de información
almacenados y procesado en un sistema, es decir que la información no sea falseada y
que los datos recibidos o recuperados son exactamente los que han sido enviados o
almacenados.
Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos
o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que así lo requieran. (SEGUNDA
COHORTE DEL DOCTORADOO EN SEGURIDAD E., 2014, pág. 167)
Según el autor (SÁNCHEZ GARRETA, 2003, pág. 103), la disponibilidad “es el grado
en el que un dato esta en el lugar, momento y forma en que es requerido por el usuario
autorizado.”
La disponibilidad no es más que la capacidad que posee un sistema o recurso
informático para mantenerse funcionando eficientemente y en caso de suceder alguna
falla tener la capacidad de recuperarse rápidamente.
14
Gestión de la Seguridad Informática
Se puede definir el sistema de gestión de la seguridad informática (SGSI) como aquella
parte del sistema general de gestión que comprende la política, la estructura
organizativa, los recursos necesarios, los procedimientos y los procesos necesarios
para implantar la gestión de la seguridad de la información en una organización.
(GÓMEZ VIEITES, Enciclopedia de la seguridad Informática, 2011, pág. 52)
Para gestionar la seguridad de la información se debe tomar en cuenta varias tareas y
procedimientos que permitan avalar los niveles de seguridad exigidos por una
organización, teniendo en cuenta que los riesgos no se eliminaran al cien por ciento,
pero si se pueden gestionar ya que es imposible alcanzar la seguridad en sus totalidad.
Seguridad de la información
Según la (SEGUNDA COHORTE DEL DOCTORADOO EN SEGURIDAD E., 2014, pág.
162), determinan que:
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la
información buscando mantener la confidencialidad, disponibilidad e integridad. El
concepto de la seguridad de la información no debe ser confundido con el de seguridad
informática ya que este último solo se encarga de la seguridad en el medio informático,
pero la información puede encontrarse en diferentes formas y no solo en medios
informáticos.
“Los riesgos fundamentales asociados con la incorrecta protección de la información
son los siguientes: revelación a personas no autorizadas, inexactitud de los datos,
inaccesibilidad de la información cuando se necesita.” (SÁNCHEZ GARRETA, 2003,
pág. 101)
Mediante las anteriores definiciones se puede establecer que la seguridad de la
información tienen una relevancia especial ya que es la posesión más valiosa de una
empresa, en sí es el conjunto de medidas técnicas, que permiten a una organización
asegurar la información del acceso, uso, divulgación, interrupción o destrucción no
autorizada.
15
Seguridad Activa
La seguridad activa es aquella en la que se toman todas las medidas utilizadas para la
detección de amenazas y en caso de su detección proveer los recursos necesarios para
evadir el problema, se la plantear en el uso de contraseñas o claves de acceso, antivirus,
cortafuegos, entre otros.
Seguridad Pasiva
Se establece como seguridad pasiva el conjunto de medidas utilizadas para que cuando
se produzca un ataque en un sistema, red o recurso informático, hacer que el impacto
sea el menor posible, además de activar los mecanismos de recuperación del mismo.
Amenazas
“Se considera una amenaza a cualquier evento accidental o intencionado que pueda
ocasionar algún daño al sistema informático provocando pérdidas materiales,
financieras o de otro tipo a la organización.” (GÓMEZ VIEITES, 2011, pág. 60)
El autor (GIMÉNEZ ALBACETE, 2015, pág. 8) menciona que las amenazas no se
pueden eliminar, porque existen de manera intrínseca al contexto y entorno en que
existen los equipos informáticos. Por lo tanto, existe la obligación de analizarlas para
poder reducir el daño que supondrían en los equipos informáticos.
Las amenazas son la presencia de los factores de diferentes índoles (personas,
máquinas o sucesos) que pueden atacar un sistema produciendo daños,
aprovechándose de su nivel de vulnerabilidad. Existen diferentes tipos de amenazas
físicas, eléctricas, fallos de hardware, riesgos ambientales, errores intencionales de
usuarios, software malicioso, destrucción o modificación de información.
Fuentes o tipos de amenazas
Amenazas software: En esta clasificación se pueden encontrar cualquier tipo de
software malicioso, como virus espías, troyanos, gusanos, phishing, spamming, ataques
DoS, entre otros.
16
Amenazas físicas: En esta clasificación de amenazas se pueden encontrar todos
aquellos daños causados al sistema informático por circunstancias físicas y naturales,
como robos, incendios (casuales o provocados), catástrofes naturales, etcétera.
Amenazas humanas: Las amenazas humanas se pueden considerar a los intrusos como
piratas informáticos, que pueden entrar por la web, es decir, de forma remota, o
físicamente al sistema; y por fallos humanos de los propios usuarios de los sistemas
que se administran.
Vulnerabilidades
Según (GÓMEZ VIEITES, 2011, pág. 61), menciona que la vulnerabilidad es cualquier
debilidad en el sistema informático que pueda permitir a las amenazas causarle daños
y producir pérdidas en la organización.
Las vulnerabilidades son las probabilidades que existen de que una amenaza se
materialice contra un activo. No todos los activos son vulnerables a las mismas
amenazas. Por ejemplo, los datos son vulnerables a la acción de los hackers, mientras
que una instalación eléctrica es vulnerable a un corto circuito. (AGUILERA LÓPEZ,
2011, pág. 14)
Mediante lo anteriormente expuesto se puede determinar que una vulnerabilidad es una
debilidad que puede ser utilizada para provocar algún tipo de daño. Además estas
pueden aparecer en cualquiera de los elementos de una computadora o recurso
informático, es decir, tanto en el software como hardware.
Riesgos
“Se denomina riesgo a la posibilidad de que se materialice o no una amenaza
aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay
vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma.”
(AGUILERA LÓPEZ, 2011, pág. 14)
“El riesgo es la probavilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informático causando un determinado impacto en la
organización.” (GÓMEZ VIEITES, 2011, pág. 63)
17
En si el riesgo no es más que la posibilidad de que una amenaza se produzca, dando
origen a un ataque al equipo de cómputo, sistema o recurso informático permitiendo
tomar decisiones para protegerlos, es la probabilidad de que ocurra un ataque por parte
de una amenaza.
Seguridad Física
“La seguridad física son tareas y mecanismos físicos cuyo objetivo es proteger al
sistema (y, por lo tanto indirectamente a la información) de peligros físicos y lógicos.”
(AGUILERA LÓPEZ, 2011, pág. 18)
Se utiliza para proteger el sistema informático utilizando barreras físicas y mecanismos
de control. Las amenazas físicas se pueden producir provocadas por el hombre de forma
accidental o voluntaria o bien por factores naturales. Algunos ejemplos de seguridad
física pueden ser el uso de SAI (UPS), guardias de seguridad del edificio, alarmas,
cámaras de seguridad, sistemas antiincendios, extintores, climatizadores,…
(CERVIGÓN HURTADO & ALEGRE RAMOS, 2011, pág. 6)
Con los conceptos anteriormente citados se puede determinar que la seguridad física
es aquella que ayuda a la protección de los elementos físicos de una organización ya
sean dispositivos físicos como detectores de humo, extintores, cortafuegos por
hardware, alarmas contra intrusos, sistemas de alimentación ininterrumpida, etcétera; y
respaldo de datos como el guardado de copias de seguridad del sistema en un lugar
seguro y que cuente con la disponibilidad necesaria.
Seguridad Lógica
“La seguridad lógica es toda aquella relacionada con la protección directa de los datos
y de la información.” (AGUILERA LÓPEZ, 2011, pág. 30)
Los autores (CERVIGÓN HURTADO & ALEGRE RAMOS, 2011, pág. 6), mencioan que:
La seguridad lógica se encarga de asegurar la parte del software de un sistema
informático, que se compone de todo lo que no es físico, es decir, los programas y los
datos. Se encarga de controlar que el acceso al sistema informático, desde el punto de
vista software, se realice correctamente y por usuarios autorizados, ya sea desde dentro
del sistema informático, como desde fuera, es decir, desde una red externa, usando
18
VPN (protocolos PPP,PPTP,…), la web (protocolos http, https), transmisión de ficheros
(ftp), conexión remota (ssh, telnet)…
Se puede decir que la seguridad lógica se encarga directamente de proteger
digitalmente la información, mediante controles de acceso estableciendo, nombres de
usuarios y contraseñas, cifrado de datos a través de la encriptación, firma digital para
la transición de mensajes telemáticos y en gestión de documentos electrónicos,
antivirus, cortafuegos, entre otros.
Seguridad en Redes
Las redes en las empresas son los medios que permiten la comunicación de diversos
equipos y usuarios es así que es prioridad en la empresa mantener su seguridad debido
a la información que por ellas se transmite como son los datos de clientes, servicios
contratados, reportes financieros y administrativos, estrategias de mercado, etc.
La seguridad de las redes y la información puede entenderse como la capacidad de las
redes o de los sistemas de información para resistir, con un determinado nivel de
confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o
hacen accesibles y que son tan costosos como los ataques intencionados. (LUCENA
LÓPEZ, 1999, págs. 136 - 138)
La seguridad en redes se trata sobre las protecciones que se le pueda dar a las redes
de datos de una organización ya que al mantener una red segura sin duda fortalece la
confianza de la organización pues la información será resguardada aportando así a la
integridad y disponibilidad de la misma. Existen dos tipos de redes:
La red interna o intranet está conformada por un grupo de ordenadores interconectados
a través de un servidor con la finalidad de compartir recursos e información de manera
eficiente, el mayor problema en ella proviene por el uso inadecuado del sistema por
parte de los usuarios.
La red externa o extranet sin duda la más grande que existe es internet y es donde se
originan la mayor parte de ataques por parte de personas que tiene la intención de
destruir o alterar la información de una empresa causando así pérdidas de dinero.
19
Seguridad en Recursos Humanos
Los autores (SIMSON & SPAFFORD, 1999, pág. 337) puntualizan que:
Las personas son necesarias para que trabajen en las computadoras pero también es
cierto que la mayor amenaza para los sistemas de seguridad de una empresa es la
deshonestidad y negligencia de sus propios empleados. Los gerentes deben poner
mucha atención al personal que contratan para puestos con acceso a los sistemas
computarizados de información y de datos delicados ya que alguien totalmente
negligente puede causar tanto daño como alguien que sea deshonesto por naturaleza.
Para mantener la seguridad en los recursos humanos que trabajarán y trabajan en la
organización es necesario considerar lo siguiente: Investigar sus antecedentes,
Establecer acuerdos de confidencialidad, Fijar los términos y condiciones de la relación
laboral, Capacitación continua y concientización, Segregación de funciones, Despidos y
renuncias.
Normalmente muchas organizaciones no tienen claro el concepto de que el área de
talento humano debe trabajar de la mano con el departamento de sistemas, ya que el
objetivo es asegurar que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que desarrolles.
Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. (ISO/ IEC
27002)
Es importante mencionar que la seguridad en recursos humanos es importante para
mantener el buen funcionamiento en una empresa pues si existe prevención al momento
de establecer las contrataciones y puntualizar las medida de seguridad respecto a la
información que el personal manejara en su puesto de trabajo existirá un control ante
cualquier eventualidad que pudiera suceder y se procederá a ejecutar la toma de
decisiones correspondiente según el daño o suceso que provocara la perdida, edición o
divulgación de la información o perjuicio de cualquiera de los recursos informáticos.
Seguridad en Contrataciones externas u Outsourcing
“El outsourcing es una herramienta de gestión que, por sus especiales características
en sus bases de negocio, ha llegado a las pequeñas empresas y administraciones
locales.” (FÓRNEAS CARRO, 2008, pág. 16)
20
“La esencia del outsourcing es la exteriorización de un proceso de gestión empresarial
que no es parte intrínseca de la actividad principal.” (FUSTER FABRA, 2008, pág. 185)
El outsourcing no es más que la subcontratación de servicios, una organización puede
buscar determinados servicios de fuentes externas, muchas empresas subcontratan en
el área de informática, recursos humanos, contabilidad y administración de activos e
inmuebles, otras también lo hacen en el soporte técnico al usuario, ingeniería, etcétera.
No obstante es una técnica que debe ser analizada antes de su aplicación ya que puede
tener efectos negativos y positivos.
Riesgos del outsourcing
El outsourcing puede traer consigo varios riesgos o desventajas entre ellos están los
siguientes:
• Mayor Costo: las empresas que contratan el outsourcing sin una estrategia clara
de actividades y controles, el costo puede duplicarse.
• Concentración del conocimiento en manos de terceros: Las empresas deben
cuidar la parte fundamental del negocio, no deben dejar el control en su totalidad
en manos de terceros ya que pueden ver su trabajo copiado y el negocio
perjudicado.
• Dependencia de proveedores: Depender de uno o pocos proveedores pone en
riesgo las operaciones de una empresa en caso de que estos proveedores
tengan alguna contingencia.
• Mala calidad: Si la empresa no plantea reglas y perspectivas adecuadas, el
riesgo de tener déficit en la calidad es alto.
Requisitos de seguridad en el outsourcing
La empresa que contrata el outsourcing debe tomar todas las medidas necesarias, es
decir, procedimientos, recursos físicos o humanos, para asegurar la confidencialidad e
integridad de la información que le pertenece. Al realizar una contratación con una
empresa de servicios de tecnologías de la información se debe considerar aspectos
legales y evidenciar en un contrato todos los arreglos; además se tomarán en cuenta
las marcas comerciales, derechos de autor y propiedad intelectual, los contratos deben
21
indicarse claramente la responsabilidad de fracaso del servicio, fallas en los equipos y
pérdidas de datos.
Políticas de seguridad
Se puede definir una política de seguridad como una “declaración de intenciones de alto
nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases
para definir y delimitar responsabilidades para las diversas actuaciones técnicas y
organizativas que se requieran” (GÓMEZ VIEITES, 2011, pág. 71)
Una política de seguridad “recoge las directrices u objetivos de una organización con
respecto a la seguridad de la información. Forma parte de su política general y, por lo
tanto, ha de ser aprobada por la dirección.” (AGUILERA LÓPEZ, 2011, pág. 21)
Una política de seguridad es un documento que adopta la empresa para definir las
reglas de comportamiento, seguridad de la información y comportamiento dentro de la
institución. En si es un punto de articulación del negocio por lo cual se convierte en un
instrumento donde se contemplan los diferentes niveles de seguridad que deben ser
gestionados.
Definición e implantación de las políticas de seguridad
Según (GÓMEZ VIEITES, 2011, pág. 76) a la hora de definir las políticas de seguridad
de una organización, sería conveniente contemplar todos los aspectos que se
encuentran a continuación:
• Alcance de recursos, instalaciones y procesos de la organización sobre los que
se aplican.
• Objetivos perseguidos y prioridades de seguridad.
• Compromiso de la Dirección de la organización.
• Clasificación de la información e identificación de los activos a proteger.
• Análisis y gestión de Riesgos.
• Elementos y agentes involucrados en la implantación de las medidas de
seguridad.
• Asignación de responsabilidades a los distintos niveles organizativos.
22
• Definición clara de los comportamientos exigidos y prohibidos por parte del
personal.
• Identificación de las medidas, normas y procedimientos de seguridad a
implantar.
• Gestión de las relaciones con terceros (clientes, proveedores, partners…).
• Gestión de incidentes.
• Planes de contingencia y de continuidad del negocio.
• Cumplimiento de la legislación vigente.
• Definición de las posibles violaciones y de las consecuencias derivadas del
incumplimiento de las Políticas de Seguridad.
Una empresa debe tomar en cuenta todas las consideraciones anteriormente citadas ya
que una política de seguridad debe ser clara y concisa para no perder el enfoque del
negocio, al establecer los requisitos de seguridad pertinentes se desarrollara un
conjunto de principios y reglas que resumirán como se debe gestionar la protección de
la información y recursos que esta posea.
Aspectos físicos y lógicos de las políticas de seguridad
Es de gran importancia recalcar que las empresas se logran preocupar con mayor
relevancia en la seguridad lógica de la información pero la protección de la
infraestructura física donde se alojan los equipos o recursos informáticos es primordial
ya que fácilmente un atacante puede tomar esta debilidades y provocar daños, además
la seguridad contra desastres naturales como incendios, terremotos, etcétera es precisa
ya que nunca se sabe cuándo se puede estar propenso a un daño de esta magnitud.
En cuanto a la seguridad Lógica de las políticas de seguridad se debe considerar todas
las normas y procedimientos fundamentales tales como: políticas de uso, acceso,
protección de virus, contraseñas, entre otras.
Plan de Contingencia
Según (GASPAR MARTÍNEZ, 2004, pág. 207), un plan de contingencia es un conjunto
de estrategias, acciones procedimiento planificados y responsabilidades definidas para
minimizar el impacto de una interrupción imprevista de las funciones críticas y conseguir
la restauración de las mismas, dentro de los límites establecidos.
23
(MAD-EDUFORMA, 2006, pág. 348), establece que los objetivos principales de un plan
de contingencia son:
• Minimizar las interrupciones en la operación normal
• Limitar la extensión de las interrupciones y de los daños que originen
• Posibilitar una vuelta al servicio rápida y sencilla
• Ofrecer a los empleados unas normas de actuación frente a emrgencias
• Dotar de medios alternativos de proceso en caso de catástrofe
Si bien una contingencia se la define como una interrupción no planificada de la
disponibilidad de los recursos informáticos, se puede establecer que un plan de
contingencia es el conjunto de medidas de detección y reacción a ejecutar ante la
presencia de una contingencia. A partir de que las empresas se han vuelto cada vez
más dependientes de los computadores, redes y la tecnología en sí, es importante que
se cuente con un alto nivel de disponibilidad ante cualquier situación adversa o que no
sea prevista por lo cual un plan de contingencia es de gran relevancia a la hora de
considerar proteger la información del negocio.
Normas ITIL
La Biblioteca de Infraestructura de Tecnologías de la Información o ITIL por sus siglas
en inglés (Information Technology Infrastructure Library), puede ser definido como un
conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios
TI. Su objetivo es mejorar la calidad de los servicios TI ofrecidos, evitar los problemas
asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuación
para que estos sean solucionados con el menor impacto y a la mayor brevedad posible.
Versiones de ITIL
ITIL V2
Según el autor (QUESNEL, 2012, pág. 25), menciona que un determinado número de
empresas aún están bajo ITIL V2, aunque se puede pensar que van evolucionando
hacia ITIL 2011 antes o después. Los procesos de ITIL V2 son los siguientes:
24
Procesos tácticos: Gestión de niveles de servicios, gestión financiera, gestión de la
capacidad, gestión de la continuidad de los servicios, gestión de la disponibilidad,
gestión de la seguridad.
Procesos Operativos: Gestión de cambios, gestión de incidencias, gestión de
problemas, gestión de configuraciones.
ITIL V2 es la segunda versión de ITIL es definida como un modelo de procesos se
consolida como el soporte de servicios, entrega de servicios y juntos forman la
administración de servicios.
ITIL V3
El autor (QUESNEL, 2012, pág. 26) indica que ITIL V3 se publicó en 2007 y representa
una evolución importante a la V2. Los conceptos de la versión anterior se conservan en
lo fundamental; sin embargo, esta versión añade cabos importantes y, en particular,
sobre la estructura global. Se basa en una noción nueva: el ciclo de vida de la gestión
de los servicios. Además puntualiza que los procesos de ITIL V3 son los siguientes:
Nivel decisional: Mejora continua de servicios.
Nivel decisional: Estrategia de servicios (Procesos estratégicos). Estrategia de servicios
gestión del porfolio de servicios, gestión financiera, gestión de la demanda.
Nivel decisional: Transición de servicios (Procesos estratégicos y tácticos y operativos).
Gestión de catálogo de servicios, gestión de nivel de servicios, gestión de la
disponibilidad, gestión de la capacidad, gestión de la continuidad de los servicios
informáticos, gestión de la seguridad informática, gestión de proveedores.
Nivel decisional: Transacción de servicios (Procesos tácticos y operativos). Gestión de
cambios, gestión de activos de servicios y configuraciones, gestión de los despliegues
y de las entradas en producción, validación y prueba de los servicios, evaluación,
gestión del conocimiento.
Nivel decisional: Transacción de servicios (Procesos tácticos y operativos). Gestión de
eventos, ejecución de consultas, gestión de incidencias, gestión de problemas y gestión
de los accesos.
25
ITIL V3 al igual que ITIL V2 según los procesos anteriormente mencionados se define
como un modelo de procesos basado en la administración de servicios, solo que ahora
estos procesos están sujetos al ciclo de vida de las aplicaciones y servicios de TI.
ITIL 2011
(QUESNEL, 2012, pág. 28), menciona que debido al número de errores presentado en
la edición 2007 en septiembre del 2009 se tomó la decisión de actualizar los libros
considerando tres aspectos fundamentales: Inconsistencias planteados en el registro de
control de cambios, asesoría del comité de cambios, retroalimentación por parte de la
comunidad de capacitación, los principales cambios se encentran en la versión 2011.
Los procesos de ITIL 2011 son los siguientes:
Estrategia del servicio: Gestión estratégica para los servicios TI, gestión del portafolio
de servicios, gestión financiera para procesos TI, Gestión de la demanda, gestión de
relaciones con el negocio.
Diseño del servicio: Coordinación del diseño, gestión del catálogo de servicios, gestión
de niveles de servicio, gestión de disponibilidad, gestión de capacidad, gestión de
continuidad de servicios de TI, gestión de seguridad de la información, gestión de
proveedores.
Transición del servicio: planeación y soporte a la transición, gestión de cambios, gestión
de activos de servicios configuraciones, gestión liberaciones e implementaciones,
validación y pruebas del servicio, evaluación del cambio, gestión de conocimiento.
Operaciones del servicio: gestión de eventos, gestión de incidentes, cumplimiento de
solicitudes, gestión de problemas, gestión de accesos.
Mejora continua: Mejora de los 7 pasos.
ITIL 2011 es una versión añadida de ITIL V3, después de cuatro años se realizó cambios
y actualizaciones sustanciales de contenido por ejemplo se incluye la gestión de la
estrategia de servicios TI y de negocios de gestión de relación.
26
Filosofía ITIL
El autor (QUESNEL, 2012, pág. 30), indica que la filosofía ITIL se basa en cuatro
principios:
• Considerar que la organización TI está estrechamente unidad al negocio y que
el uno no funciona sin el otro.
• Proponer una estructura basada en los procesos que se debe adaptar a cada
organización, ya sea esta grande o pequeña, y a todas las tecnologías.
• Los servicios de TI se definen para ajustarse a lo esperado por parte de los
usuarios y los clientes, es decir, al negocio, y se basan en un conjunto de
procesos.
• Identificar las prácticas más eficaces para utilizar los recursos humanos y
tecnologías necesarias para ejecutar procesos y entregar los servicios
esperados.
Los Objetivos de ITIL
El autor (QUESNEL, 2012, pág. 29), menciona que el objetivo de ITIL es responder a
estos puntos:
• Alinear los servicios ITIL a las necesidades del negocio de los clientes actuales
y futuros.
• Mejorar la calidad de los procesos proporcionados.
• Mejorar la eficacia y aspirar a la eficiencia de la organización TI.
• Reducir los costes de entrega de los servicios TI a más largo plazo.
Tener claro cuáles son los objetivos principales de ITIL es fundamental para lograr
alcanzar los objetivos de la organización conjuntamente con los del área de tecnología,
de esta manera se podrá proporcionar una mejora en la calidad de los servicios y mejor
control de roles y responsabilidades de los integrantes de TI asegurando satisfacer las
necesidades del negocio.
27
Que es una buena práctica
Las mejores prácticas utilizadas actualmente en el entorno o medio informático son ITIL,
COBIT, CMMI, PRINCE2, PMBOK y Six Sigma. También es importante recalcar que las
normas más utilizadas son la ISO 9001:2008, ISO 20000-2011, ISO 27000.
El autor (QUESNEL, 2012, pág. 33), indica que una buena práctica se define por varios
elementos:
• Se desarrolla a partir de elementos generales aplicables a múltiples contextos
del negocio u organizativos.
• Es ampliamente reconocida por la industria como modelo de referencias.
• Constituye un éxito comprobado ha sido implementada en las organizaciones y
aporta un valor para el servicio proporcionado.
Que es un servicio
Un servicio es el resultado de las acciones realizadas por un proveedor para entregar lo
que ha sido acordado. El servicio se proporciona a través de una interacción entre
cliente, usuario y proveedor. (QUESNEL, 2012, pág. 33)
“Un servicio es un medio de entregar valor a los clientes facilitando los resultados que
los clientes desean lograr sin la responsabilidad de costes y riesgos específicos.”
(COMMERCE OFFICE OF GOVERNMENT, 2010, pág. 16)
Es importante indicar que es un servicio y mediante las citas anteriores se puede
establecer su principio fundamental en una empresa u organización. Los servicios se
pueden definir por: servicios de negocios que son específicamente aquellos que se
ofrecen a los clientes y los servicios de soporte que sirven para sostener los negocios y
vn indirectamente realcionados con el cliente.
Enfoque de Procesos
“Los procesos son ejemplo de sistemas en bucle cerrado, debido a que proporcionan
los cambios y transformación necesarios para lograr un objetivo.” (COMMERCE
OFFICE OF GOVERNMENT, 2010, pág. 12)
28
Para que un organismo (estructura, empresa, conjunto de actividades…) funcionen
eficazmente, es necesario identificar y gestionar muchas actividades estructuradas y
relacionadas.
Figura 3 Rueda de Deming
Fuente: Quesnel, J. (2012). Entender ITIL 2011: Normas y mejores prácticas para avanzar hacia ISO 20000
(QUESNEL, 2012, pág. 37) define los procesos de la rueda de Deming de la siguiente
manera:
P de Plan (Planificar): Identificar la estrategia de mejora, planificar, decidir los objetivos,
el calendario, las responsabilidades y los recursos, basándose en lo que se ha definido
durante la actividad, Definir los indicadores que permitirán medir la mejora real.
D de DO (Hacer): Realizar las acciones que se definen en el plan, respetando los
objetivos y el calendario.
C de Check (Controlar): Realizar el control o los controles para verificar los resultados
obtenidos durante la fase DO, Verificar los resultados de los indicadores.
A de Act (Definir los ejes de mejora): A partir de los resultados del Check, se identificara
las direcciones de mejora. Estas direcciones se validarán durante el próximo ciclo en el
plan.
Normas y estándares internacionales ISO
“Una norma es un documento cuyo uso es voluntario, fruto del consenso de las partes
interesadas y que debe ser aprobado por un organismo de normalización reconocido.”
(CERVIGÓN HURTADO & ALEGRE RAMOS, 2011, pág. 20)
29
Los estándares cumplen un papel importante en la sociedad y el desarrollo de varias
actividades en una empresa, sobre todo las que utilizan técnicas de gestión de calidad
y certificación de productos.
ISO/IEC 20000 – 2011
La ISO 20000 tiene un enfoque en la gestión de servicios de TI y define un conjunto de
procesos necesarios para ofrecer un servicio eficaz. La norma adopta un enfoque de
proceso para el establecimiento, la implementación, operación, monitorización, revisión
y mantenimiento del sistema de gestión de servicios de TI.
ISO/IEC 27000
La ISO/IEC 27000 es publicada en el año 2009 brinda una visión general de toda la serie
27000. Esta norma es una serie de estándares relacionados con los sistemas de gestión
de seguridad de la información (SGSI), sus rangos de numeración van de 27000 a 27019
y de 27030 a 27044.
(GÓMEZ VIEITES, 2011, pág. 159), indica que los objetivos de esta serie de estándares
son los siguientes:
• Contribuir a la mejor identificación y ordenación de las normas de gestión de
seguridad de la información.
• Proporcionar un marco homogéneo de normas y directrices.
• Proporcionar requisitos, metodología y técnicas de valoración.
• Evitar el solapamiento de las normas y favorecer la armonización
• Alinearse con los principios generalmente aceptados relativos al gobierno de las
organizaciones.
• Seguir las directrices de seguridad y de privacidad de la OCDE.
• Emplear un lenguaje y métodos comunes.
• Facilitar la flexibilidad en la selección e implantación de controles.
• Ser consistente con otras normas y directivas de ISO.
ISO/IEC 27001: Norma publicada en octubre de 2005, en esta un SGSI se define como
la parte del sistema global de gestión sobre la base de un enfoque basado en los riesgos
30
y se ocupa de constituir, implantar, seguir, revisar, mantener y mejorar la seguridad de
la información.
ISO/IEC 27002: Norma publicada en julio de 2007 es el nuevo nombre de la anterior
norma ISO/IEC 117799:2005, En si es una guía de buenas prácticas que describe 39
objetivos de control y 133 controles recomendables en cuanto a seguridad de la
información.
ISO/IEC 27003: Norma publicada en febrero del 2010 como una guía que describe el
proceso de especificación y diseño de un Sistema de Seguridad de la Información de
acuerdo con la ISO/IEC 27001, se centra en los aspectos críticos necesarios para su
diseño e implementación con éxito.
ISO/IEC 27004: Norma publicada en diciembre de 2009, es una guía de métricas y
técnicas de medida que se pueden utilizar para establecer la eficacia de un SGSI y de
los controles implementados según la ISO/IEC 27001. No es una norma certificable.
ISO/IEC 27005: Norma publicada en junio del 2008 a modo de una guía con una serie
de requerimientos para la gestión del riesgo en la seguridad de la información. Su
publicación retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
No es una norma certificable.
ISO/IEC 27006: Norma publicada en marzo de 2007 especifica los requisitos para la
acreditación de entidades de auditoría y certificación de los SGSI.
ISO/IEC 27007: Esta norma consiste en una guía de la auditoría de un sistema de
Gestión de la Seguridad de la Información.
Plan Informático
El autor (SÁNCHEZ GARRETA, 2003, pág. 5) indica que un plan informático debe definir
“un conjunto de tareas coordinadas en el tiempo, así como los recursos necesarios para
cumplir los compromisos de la compañía.”
“El plan informático es el documento que contiene las especificaciones, políticas y
directrices generales que delimitan la estrategia tecnológica.” (EUNED, 2006, pág. 26)
31
Un plan informático tal como lo establecen los autores anteriores es un documento el
cual contiene todas las normativas para el control tecnológico de la empresa, es decir
que un plan informático fija los principios básicos de las políticas de funcionamiento del
servicios de la información de la organización como la descentralización frente a la
centralización del tratamiento de la información, contenido y características de la red,
datos, voz, acción del servicio informático como imitaciones y alcances, ademas del
grado de flexibilidad de los participantes.
Plan de Seguridad Informática
“Un plan de seguridad es un conjunto de decisiones que definen cursos de acción
futuros, así como los medios que se van a utilizar para conseguirlos.” (GÓMEZ VIEITES,
2011, pág. 71)
Los autores (COLOBRAN HUGUET, RQUÉS SOLDEVILA, & MARCO GALINDO, 2008,
pág. 266), establecen que un plan de seguridad tiene que velar por “la seguridad de todo
el equipamiento informático de la organización. La responsabilidad del jefe de
informática es hacerlo y asegurar que se llevará a cabo correctamente.”
En pocas palabras se puede determinar que un plan de seguridad informática constituye
un documento fundamental para el control y seguridad en el aprovechamiento de las
tecnologías informáticas de una empresa u organización.
32
Conclusiones parciales del capítulo
• Se pudo determinar que en la actualidad las diversas empresas, instituciones y
organizaciones realizan inversiones en infraestructura TI ya que es un elemento
fundamental para el crecimiento y surgimiento de los negocios, pero varias de
las mismas no prestan la debida precaución en el resguardo y seguridad de la
información.
• Se estipuló la relevancia de conocer las bases teóricas de los principales
conceptos referentes a la seguridad informática, riesgos, amenazas,
vulnerabilidades y principales aspectos que conllevan a prestar seguridad en el
área de TI de un negocio.
• Se definió a la seguridad informática a través de los planes informáticos,
políticas, normas y estándares que permitan gestionar y reducir los riesgos que
surgen en la infraestructura de TI y todo lo que conlleva el resguardo de la
información y seguridad de los recursos tecnológicos de una empresa o
institución.
• Las normas ITIL actúan directamente sobre los procesos de una empresa por
medio del conjunto de buenas prácticas que lo conforman ya que administran los
servicios de TI para el cumplimiento de objetivos estratégicos de una institución.
33
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA
Caracterización del Sector
El Sindicato de Choferes Profesionales de Santo Domingo nace en 1966 y alcanza su
vida legal en 1968, es una institución que brinda servicios tales como adquisición de
licencias tipo “C”, “D” y “E” mediante sus escuelas de capacitación, gasolineras, centro
médico y cancha sintética del coliseo Héctor Ibarra Hernández.
La institución en cuestión, se sustenta en los principios de reconocimiento y ejercicio de
una servicio responsable ahora cuenta con más de 800 socios, con alrededor de 1000
estudiantes y unas 300 personas que directa e indirectamente colaboran diariamente
para engrandecer las paginas doradas de la institución.
MISIÓN.- Organización gremial que forma, capacita y perfecciona a conductores
profesionales y público en general de la provincia de Santo Domingo de los Tsáchilas
en base al cultivo de valores morales como la honestidad y el respeto. Con personal
capacitado, ofrece servicios de excelencia con calidez a través de software y hardware
acordes a las necesidades y exigencias modernas ofertando una variedad de productos
para el progreso de la sociedad, a través de la comercialización de combustibles,
prestación de servicios médicos, asesoría jurídica, alquiler de bienes inmuebles
recreativos, contribuyendo de esta manera al mejoramiento de la calidad de vida de la
población y la seguridad vial en el país.
VISIÓN.- Ser líder a nivel provincial; constituirse en una institución de renombre y
prestigio a nivel nacional, en la formación integral de los profesionales de la conducción,
mediante procesos innovadores con personal capacitado, metodología, software y
hardware acordes a las necesidades y exigencias modernas, priorizando los valores
humanos que permitan lograr verdaderos conocimientos en nuestros educandos con un
alto sentido de responsabilidad, siempre pensando en el desarrollo y bienestar de la
sociedad.
Las actividades del Sindicato de Choferes Profesionales de Santo Domingo están
basadas en procesos administrativos divididos en diversos departamentos tales como:
Secretaría General, Departamento Contabilidad, Departamento de Tecnología (TI),
34
Departamento de Coordinación, Secretarías de escuelas de capacitación,
Departamento de actas y comunicaciones, Departamento de finanzas, viabilidad,
tránsito y defensa jurídica, Departamento de beneficencia y mortuoria, Departamento de
vivienda, archivo y estadística, Departamento de sindicalismo y capacitación,
Departamento de organización disciplina y propaganda (Recursos humanos),
Departamento de Fiscalización, Departamento de cultura y deportes.
Figura 4 Organigrama Empresarial
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2012). Organigrama empresarial del Sindicato de Choferes Profesionales de Santo Domingo.
35
Descripción del procedimiento metodológico
Enfoque de la investigación
La presente investigación se sustenta en la aplicación de diferentes métodos con un
enfoque cuali-cuantitativo con tendencia cualitativa. El enfoque cualitativo es el
procedimiento metodológico que se caracteriza por la utilización de palabras, textos,
gráficos, entro otros, para entender el conjunto de cualidades interrelacionadas, la
misma se la aplicará en la calidad de las actividades, relaciones, asuntos, medios,
materiales o instrumentos en la busca de la solución del problema.
Se utilizó el enfoque cuantitativo en la recolección, análisis e interpretación de resultados
mediante la medición numérica, conteo y el uso de estadísticas para establecer con
exactitud los patrones de comportamiento en la población a investigar.
Tipos de Investigación
Investigación de campo
Se utilizó esta investigación para diagnosticar y ratificar la problemática de la
infraestructura tecnológica y como se está llevando actualmente la gestión de la
seguridad en el Sindicato de Choferes Profesionales de Santo Domingo.
Investigación bibliográfica
Consiste en la recopilación de información existente en libros, revistas, internet, etc.,
que permitirá la elaboración del marco teórico el mismo que fundamentará
científicamente la propuesta de solución, es decir el plan informático que mejorará la
seguridad de la información, Infraestructura y recursos tecnológicos en el Sindicato de
Choferes Profesionales de Santo Domingo.
36
Métodos, técnicas e instrumentos
Métodos de Investigación
Método Analítico – Sintético
Consiste en descomponer un objeto de estudio separando cada una de sus partes del
todo para estudiarlas en forma individual, luego se integran los objetos dispersos del
objeto de estudio para estudiarlos en su totalidad. (BERNAL, 2006)
Este método se aplicó para la elaboración de la fundamentación científica que
sustentará la solución del problema.
Método Inductivo - Deductivo
Este método está basado en la lógica y relacionamiento con el estudio de hechos
particulares. (BERNAL, 2006)
Es decir el método inductivo es aquel método científico que alcanza conclusiones
generales partiendo de hipótesis o antecedentes en particular, en el desarrollo del
presente proyecto de investigación se lo utilizó en la observación, registro y acciones de
los hechos; además en la deducción de los problemas que presenta la empresa, los
mismos que se formularán a partir de la idea a defender.
Por otra parte el método deductivo va de lo general a lo específico y da paso a los datos
para llegar a un cálculo a partir del razonamiento de forma lógica, es por ello que se lo
utilizó como base para el análisis de los resultados obtenidos en las encuestas
realizadas a los empleados del Sindicato de Choferes Profesionales de Santo Domingo
y de esta manera lograr determinar los problemas referentes a la seguridad de la
información, infraestructura y recursos tecnológicos que se presentan en la empresa.
Técnicas e Instrumentos de Investigación
Parte fundamental de la investigación son las técnicas e instrumentos a utilizar, entre
ellos se encuentran: la encuesta que se utilizó para la recopilación de información y la
observación en las visitas realizadas para determinar los fenómenos que ocurren en la
institución referente a la seguridad de la información, infraestructura y recursos
37
tecnológicos, para lo cual se elaborará los respectivos cuestionarios del trabajo
realizado con la colaboración de los empleados y directivos del Sindicato de Choferes
Profesionales de Santo Domingo.
Tabla 1 Técnicas e instrumentos utilizados en la investigación.
Fuente: La investigación (2016). Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta las técnicas e instrumentos utilizados en la investigación. Elaborado por: Rodríguez, D.
Población y Muestra Población “Es el conjunto de individuos que tienen ciertas características o propiedades que son
las que se desea estudiar. Cuando se conoce el número de individuos que la componen,
se habla población finita y cuando no se habla de población infinita” (FUENTELSAZ
GALLEGO, ICART ISERN, & PULPÓN SEGURA, 2006, pág. 55)
La población a estudiar es la siguiente:
Tabla 2 Personal Empresarial del Sindicato de Choferes Profesionales de Santo Domingo.
PERSONAL EMPRESARIAL TOTAL
Administrativos Titulares 12
Empleados 78
Total 90
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el personal que labora en la institución. Elaborado por: Rodríguez, D. Muestra “La muestra es el grupo de individuos que realmente se estudiarán, es el subconjunto
de la población. Para que se puedan generalizar los resultados obtenidos dicha muestra
Técnicas Instrumentos
Observaciones Fotografías, Fichas de Observación, notas.
Encuesta Cuestionario.
38
ha de ser representativa de la población” (FUENTELSAZ GALLEGO, ICART ISERN, &
PULPÓN SEGURA, 2006, pág. 55)
La muestra a utilizar es de 90 personas ya que la población es finita.
Interpretación de los resultados realizados
Para la Interpretación de los resultados se toma en cuenta los datos obtenidos de la
encuesta realizada a los empleados que laboran en el Sindicato de Choferes
Profesionales de Santo Domingo.
Tabla 3 Interpretación de resultados de la encuesta realizada al personal del Sindicato de Choferes Profesionales de Santo Domingo
PREGUNTA RESULTADO INTERPRETACIÓN
¿Según su criterio, existen
en su departamento
procedimientos a seguir en
caso de ocurrir algún
problema con su
computador, recursos o
servicios informáticos que
necesita para laborar?
Como resultado la mayoría de
los encuestados dieron a
conocer que no existen
procedimientos a seguir en
caso de ocurrir algún
problema con los servicios o
recursos informáticos que
necesita para laborar.
¿Existe en su departamento
alguna política que indique
en qué periodo o lapso de
tiempo debe respaldar la
información de su equipo
de cómputo?
Un alto porcentaje de los
encuestados responden que
no existe ninguna política que
indique el periodo de tiempo
para respaldar la información.
¿En caso de ser afirmativa
la respuesta anterior cada
que tiempo se realiza dicho
respaldo?
En relación a la pregunta
anterior el 4% de los
encuestados respondió que
si, por lo cual el 25%
manifiesta que los respaldos
se los realiza cada año o más
y el 75% indica que se los
realiza cada 6 meses.
39
¿Ha facilitado a otra
persona dentro o fuera de la
institución contraseñas de
alguno de los servicios que
usted utiliza (equipo,
software, correo
electrónico, etc.)?
Más de la mitad de los
encuestados respondieron
que si han facilitado sus
contraseñas a otra persona
fuera de la instrucción.
¿Existe algún requerimiento
por parte del jefe de
tecnología para crear,
cambiar o recuperar la
contraseña del computador
en el que usted labora?
Casi todas las personas
encuestadas indican que no
existe ningún requerimiento
del jefe de TICS para
recuperar, cambiar o crear
contraseñas de un ordenador
¿Se controla quien y
cuando se utiliza
dispositivos de
almacenamiento en su
computador por ejemplo
USB, discos externos?
Todos los encuestados
respondieron que no se
controla el uso de dispositivos
de almacenamiento en la
institución.
¿De los siguientes cuál de
ellos incide más en sus
labores en la oficina?
Los resultados dan a conocer
que los problemas que más
inciden en las labores de la
oficina son el internet con un
62%, el 27% con el software
contable, el 9% con la página
web de la institución y el 2%
con el correo electrónico.
¿Ha existido suspensión de
algún servicio que usted
necesita para realizar su
trabajo diario en la oficina?
La mayoría de los
encuestados con un 67%
responden que si han tenido
problemas con algún servicio
para laborar en su oficina.
40
¿Su lugar u oficina de
trabajo se encuentra
completamente adecuado
resguardando su seguridad
y de los equipos
informáticos que en ella se
encuentran?
El 91% los encuestados no
creen que su oficina o lugar de
trabajo esta adecuado para
resguardar la seguridad de los
equipos informáticos que en
ella se encuentran.
¿Considera usted que un
plan informático mejoraría la
seguridad de la información,
Infraestructura y recursos
tecnológicos en el Sindicato
de Choferes profesionales
de Santo Domingo?
El 100% de encuestados
consideran que un plan
informático mejoraría la
seguridad de información
Infraestructura y recursos
tecnológicos de la institución.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la interpretación de resultados de la encuesta realizada al personal de la institución. Elaborado por: Rodríguez, D.
Propuesta del investigador
Luego de haber tabulado los resultados de la investigación de campo se puede deducir
que la solución a la problemática planteada en la introducción, consiste en el desarrollo
de un plan informático para mejorar la seguridad de la información, Infraestructura y
recursos tecnológicos en el Sindicato de Choferes Profesionales de Santo Domingo. Es
decir se espera que el plan informática reduzca los riesgos operativos que posee la
institución de manera significativa, la solución estará basada en la descripción puntual
de los problemas críticos, además del desarrollo y diseño de las estrategias del plan
respectivo.
La solución está basada en las normas ITIL en la versión V3 y se encuentra
estructurada de la siguiente manera:
El modelo a utilizar se basa en la mejora continua y está relacionado con el ciclo de
Deming (Planear, Hacer, Verificar, Actuar), dicho modelo fue creado por Edwards
Deming y es el que mejor se adapta a la solución que se busca en desarrollo de la
propuesta.
41
Figura 5 Ciclo de Deming
Fuente: Walton, M. (2004). El método Deming en la práctica.
El ciclo de Deming mostrado anteriormente es muy utilizado para la mejora continua de
la calidad dentro de una empresa o institución. Este ciclo consiste en la sucesión lógica
de cuatro pasos repetitivos que se llevan a cabo consecutivamente.
Las fases del ciclo de vida del servicio en la que se estructura el proyecto son un reflejo
del ciclo de Deming, es decir que la Estrategia y Diseño del servicio se relacionan con
Planificar, Diseño y Transición se relacionan con Planificar y Hacer, Transición y
Operación se relacionan con Hacer y Verificar, Operación y Mejora Continua se
relacionan con Verificar y Actuar y por ultimo Mejora continua se relaciona con Verificar,
Actuar y Planificar.
Figura 6 Fases del ciclo de vida del servicio con el ciclo de Deming Fuente: ITIL Foundation, s.f. Fases del ciclo de vida del servicio.
42
El modelo que se propone se basa en un análisis que se realizó en el Sindicato de
Choferes Profesionales de Santo Domingo tomando en cuenta las siguientes
características:
• La institución en cuestión es una organización bien definida, que cuenta con
diversas áreas que trabajan en conjunto para el bienestar y crecimiento
organizacional.
• La institución cuenta con diversas áreas las mismas que están divididas por
departamentos administrativos y operativos las cuales demandan los servicios
de TI (Tecnologías de la información) para el cumplimiento de sus labores.
• El departamento de Tecnología está conformada por áreas funcionales cuyos
roles y delegaciones se basaran a los procesos ITIL, determinando mejora en
los servicios, infraestructura y desarrollo tecnológico.
• Los conocimientos de ITIL del área de TI serán equivalentes y orientados al
modelo ITIL V3 para el desarrollo del plan informático en la institución.
Las etapas que componen el modelo a formular son las siguientes:
Figura 7 Modelo de Implementación ITIL
Fuente: Lozano Sandoval & Rodriguez Mejia (2011). Modelo para implementación de
ITIL
Planeación
El objetivo de esta fase es determinar la estrategia de estudio, objetivos y alcances de
los recursos necesarios, es de relevancia que esta fase sea difundida y aprobada por la
organización. En esta etapa se debe establecer cuál es el equipo que estará involucrado
dentro del estudio y análisis de los procesos ITIL; estas personas son fundamentales
para la adquisición de información de la gestión se servicios de TI, definición de áreas
de TI y cargos que forman parte del estudio.
43
Diagnóstico Inicial
El objetivo de esta etapa es analizar el estado actual del proceso ITIL en el departamento
de TI basándose en una revisión actual y preliminar para conocer el punto de partida
inicial, durante esta etapa se deben definir las personas que serán encuestadas,
seleccionando aquellas que ejecutan funciones de gestión de servicios y los que tengan
relación con los procesos ITIL.
Análisis de resultados
En esta etapa se analiza la información obtenida en la etapa anterior con el fin de poder
identificar el estado inicial de los procesos ITIL.
Diseño y elaboración de los procesos ITIL
En este punto se deberá elaborar la documentación de la propuesta teniendo en cuenta
la información y resultados obtenidos en los procesos anteriores, se debe reflejar la
información relevante del proceso y solución planteada para el desarrollo del plan
informático con base en las normas ITIL. Es decir se elaborarán los procesos que serán
implementados de acuerdo con el análisis de la propuesta.
Mejoras
En esta etapa se propone el plan de mejoras basado en las normas ITIL como solución
a los problemas encontrados en la organización.
44
Conclusiones parciales del capítulo
• Para la investigación del plan informático basado en las normas ITIL para
mejorar la seguridad de la información, Infraestructura y recursos tecnológicos,
se aplicó la metodología Cuali – Cuantitativa, utilizando el método deductivo para
la construcción del contexto en general del proyecto a través de la encuesta
realizada a los trabajadores de la institución, se aplicó el método inductivo
entrando en contacto directo con el objeto de estudio dando las bases para
plantear una propuesta de solución.
• El personal de la institución no posee una cultura de seguridad, el departamento
de TI no ha logrado establecer alguna normativa o política para lograr resguardar
la información, recursos informáticos y mejorar la infraestructura tecnológica
que la constituyen.
• Existe un porcentaje alto de inseguridad informática ya que los usuarios no
conocen por parte del departamento de TI, los procedimientos o políticas a seguir
en caso de suscitarse algún problema en su estación de trabajo y están de
acuerdo que un plan informático ayudaría a solventar los inconvenientes que se
pueden presentar con integridad o confidencialidad de la información y
disponibilidad de los servicios.
45
CAPÍTULO III
DESARROLLO DE LA PROPUESTA
Tema
Plan Informático 2016 – 2020 basado en las normas ITIL para mejorar la seguridad de
la información, Infraestructura y recursos tecnológicos en el Sindicato de Choferes
profesionales de Santo Domingo.
Caracterización de la propuesta
La propuesta está orientada al desarrollo de un plan informático basado en las normas
ITIL que contribuya a mejorar la seguridad de la información, infraestructura y recursos
tecnológicos del Sindicato de Choferes Profesionales de Santo Domingo, para esto se
realizó un análisis crítico en las diferentes áreas de la institución, donde se encuentran
funcionando sistemas de información, recursos informáticos e infraestructura
tecnológica, es preciso decir que los riesgos no son iguales por lo cual se debe
establecer prioridades en las tareas a realizar.
El departamento de Tecnologías de la Información (TI) de la institución, debe asumir
con responsabilidad el mejoramiento de los niveles de seguridad tecnológicos y así
minimizar los riesgos que puedan afectar la operatividad institucional. El aporte de este
proyecto está considerado e los siguientes puntos:
• Estrategia del servicio
En esta fase se hace la referencia principal a los servicios y requerimientos que serán
plasmados, Es por ello que se plantea la propuesta del desarrollo de un plan informático
basado en las normas ITIL, el mismo tendrá la capacidad brindar las mejoras
tecnológicas en la institución, teniendo en consideración los requerimientos, valor,
presupuestos de inversión y resultados esperados.
46
• Diseño de los Servicios de TI
En esta fase es primordial diseñar, mejorar o modificar los servicios ya existentes,
tomando en cuenta los recursos y capacidades de la organización y departamento de
TI, aquí se deberá planificar todo el proceso de cambio considerando las
vulnerabilidades, amenazas y riesgos que surgen dentro de la institución y determinar
los modelos que se deben seguir para alcanzar los objetivos propuestos en la etapa
anterior.
• Transición del servicio
La misión de esta fase es hacer que todos los servicios y requerimientos establecidos
según el análisis de riesgos para mejoras puedan integrarse y sean accesibles, es decir
que sean comunicados y aceptados por las partes involucradas en la operación y
usuarios, como resultado se espera la correcta alineación de los servicios que presta la
institución cumpliendo los requerimientos de seguridad informática mediante controles,
planes de contingencia, políticas, entre otras.
• Operación del servicio
La fase de operación sin duda es la más crítica ya que en ella se refleja la percepción
de que los clientes y usuarios obtengan la calidad de los servicios prestados aportando
valor y calidad a los procesos de la institución, un aspecto fundamental es que se debe
alcanzar el equilibrio entre estabilidad y capacidad de respuesta, es importante que el
departamento de TI no adquiera de manera infraestructura tecnológica innecesaria para
aquellas personas que no poseen la capacidad tecnológica, para ello se debe trabajar
en el área de recursos humanos para la adquisición de personal con las competencias
adecuadas.
• Mejora Continua del servicio
En esta fase se ve reflejada en la estructuración completa del servicio con las mejoras
planteadas en los objetivos de las fases anteriores, La mejora continua del servicio solo
se puede alcanzar mediante el control y medición de todas las actividades y procesos
47
involucrados en la prestación de servicios de TI, es por ello que se plantean en 3
aspectos fundamentales:
• Conformidad: los procesos acoplan a los nuevos modelos y protocolos.
• Calidad: se cumplen los objetivos preestablecidos en plazo y forma.
• Rendimiento: los procesos son eficientes y beneficiosos para la organización TI.
• Valor: los servicios ofrecen el valor esperado.
Se establece que en este punto se recomiendan todos los procesos y actividades
involucrados en la gestión y prestación de servicios TI, así como el análisis de los
parámetros y métodos para el seguimiento de los servicios y correcto funcionamiento,
esta etapa da el respectivo mantenimiento a las etapas de estrategia y diseño. Los
resultados de la mejora continua del servicio se ven reflejados en el desarrollo de los
planes de mejoras y las soluciones propuestas en los mismos.
Desarrollo de la propuesta
La propuesta está basada en las normas ITIL en el modelo V3, estas son una guía a
hacerse con el fin de ofrecer servicios de TI adecuados para ayudar a un negocio, cabe
recalcar que estas normas toman referencia de la norma ISO / IEC 20000 ya que esta
se modela en los principios ITIL es decir la gestión de servicios y fue concebida para
lograr que una organización pueda ser certificable.
Planeación
Alcance del Plan Informático
El plan Informático abarca el departamento de Tecnologías de la Información y todos
los equipos y recursos informáticos que se encuentren inmersos a él dentro del Sindicato
de Choferes Profesionales de Santo Domingo.
Límites del Plan Informático
El plan informático abarca políticas de seguridad para el uso de los equipos y recursos
informáticos, manual de procesos para el departamento de TI, fichas de mantenimiento
y soporte, plan de contingencia y un estudio para el mejoramiento del Centro de
48
Procesamiento de Datos (CPD) y departamento de Tecnologías de la Información (TI)
en el edificio del Sindicato de Choferes Profesionales de Santo Domingo. El principal
objetivo es dejar documentado los procesos y requerimientos que debe tener en cuenta
el departamento de TI para la mejora del servicio tecnológico en la institución, cabe
recalcar que dicho plan se lo desarrolla con la propuesta de que el mejoramiento se lo
pueda realizar en el periodo 2016- 2020 de esta manera la organización podrá
considerar los presupuestos para la aplicación priorizando en las necesidades más
relevantes.
Diagnóstico Inicial
Previo al desarrollo del plan informático se ejecuta un estudio inicial de la situación
actual de la institución en cuanto a seguridad tecnológica, determinación de políticas
actuales, reglamentos y procesos en el departamento de Tecnologías de información
(TI), para esto se realiza la investigación de campo y el levantamiento de una inventario
tecnológico del equipamiento y recursos informáticos, además de reuniones con el
gerente, jefe de TI para la otorgación de permisos y determinar ciertas características
de la empresa para el desarrollo del presente proyecto.
A continuación se detalla algunos aspectos analizados como situación actual de la
institución:
Los equipos y recursos informáticos de los distintos departamentos administrativos y
operativos de la institución no se encuentran en una correcta ubicación, además el
personal no tiene la debida precaución en el uso y resguardo de los mismos, además
varios equipos se encuentran conectados a un mismo UPS y los cables de los equipos
y dispositivos se encuentran expuestos ocasionando problemas y daños en los mismos
Figura 8 Organización de equipos tecnológicos en departamentos administrativos Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
49
El departamento de Tecnologías de la Información no posee una correcta organización
y distribución de las herramientas, equipos y recursos informáticas. No cuenta con
vitrinas, perchas, organizadores o un área destinada para bodega informática, que
permitan colocar y clasificar el equipamiento anteriormente mencionado sea este,
electrónico, informático o de comunicaciones, por lo cual se los coloca en el piso,
cartones y se los guarda en diferente departamentos de la institución.
El Centro de Procesamiento de Datos posee una mala infraestructura ya que solo existe
una separación mediante una puerta deslizable del departamento de TI sin una
adecuada organización ni control de acceso.
Figura 9 Departamento de Tecnologías de la Información (TI)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
Actualmente en el departamento de TI no existe un sistema contra incendios, dentro del
área ni cercano al lugar, además la señalética del edificio está mal diseñada y en los
sitios para ubicación de implementos contra incendios se encuentran vacíos, los
extintores no están compuestos de material químico adecuado para resguardo de los
equipos informáticos.
Figura 10 Sistemas de prevención de incendios
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
50
El Departamento de TI no posee el control y monitoreo principal de las cámaras de
seguridad que competan al área, por lo cual se dificulta uno de los aspectos de
seguridad informática de la institución ante cualquier eventualidad.
Figura 11 Monitoreo de cámaras de seguridad
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El Centro de Procesamiento de Datos (CPD), posee una mala infraestructura física, se
encuentra ubicado en la misma área o espacio del departamento de TI y su separación
se realiza mediante una puerta deslizable, en la misma área donde está ubicado
físicamente el Rack que posee los servidores principales de la institución se encuentran
cartones con basura, polvo y recursos informáticos en mal estado. Por lo anteriormente
mencionado se puede establecer que el CPD no cuenta con una adecuada instalación
y seguridades es por ello que se recalcan las siguientes características:
• No cuenta con una adecuada organización.
• No posee señalización de emergencia.
• Carece de un sistema de control de acceso (Biométrico).
• Las instalaciones eléctricas no están bien adecuadas
• No existe una correcta temperatura ambiental y acondicionamiento de aire en el
Centro de Procesamiento de Datos.
• La iluminación no es adecuada.
• En las canalizaciones no se impide la posible entrada de insectos.
• No existe sistema de video vigilancia.
• No cumple con los requisitos de seguridad física y lógica.
• No cuenta con un sistema de detención de incendios o al menos un extintor que
resguarde la seguridad de los equipos en caso de un incidente tanto en el CPD
como departamento de TI.
51
Figura 12 Rack del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
En el CPD los Racks aéreos como de piso a pesar de contar con algunos organizadores,
el cableado estructurado no se encuentra debidamente ordenado, lo que ocasiona
inconvenientes y malestar a la hora de detectar algún problema y tratar de solucionarlo
rápidamente.
Figura 13 Rack aéreo del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Análisis de resultados
Después de realizar el diagnóstico inicial y situación actual del Sindicato de Choferes
Profesionales de Santo Domingo, se ejecuta la aplicación de las encuestas al personal
de la institución para tener un análisis más preciso de la seguridad informática que
posee, los resultados se encuentran en el segundo capítulo del presente proyecto y
fueron de suma importancia a la hora de valorar las vulnerabilidades, amenazas y riegos
de la institución.
52
Diseño y elaboración de procesos
Para el diseño y elaboración de los procesos de la propuesta basada en la normativa
ITIL para mejorar la calidad de los servicios de TI (Tecnologías de la Información), se
plantea el desarrollo de un plan informático el mismo que consta de los siguientes
aspectos:
• Plan de contingencia informático
• Políticas de seguridad Informáticas.
• Manual de procesos.
• Mejoramiento en la infraestructura del departamento de tecnologías de
información (TI) y del Centro de Procesamiento de Datos (CPD).
Plan de contingencia informático
En la propuesta del presente documento se establece la elaboración de un plan de
contingencia informático como parte de la solución para mejorar la seguridad de la
información, infraestructura y recursos tecnológicos del Sindicato de Choferes
Profesionales de Santo Domingo, es por ello que se han tomado en consideración las
ventajas y desventajas que han surgido en la investigación referente a dicho plan de
contingencia, además se considera como uno de los factores principales la calidad de
servicios que brinda la institución a los usuarios, trabajadores y personal administrativo
que conforman la organización, ya que fueron los principales voceros para obtener
correcta información.
Las acciones del plan de contingencia deben estar adecuados en un proceso crítico de
riesgos, es por ello que debe estar en constante prueba, actualización y mantenimiento,
ya que nada en el entorno es constante siempre se mantiene en permanente cambio, el
presente plan de contingencia no implica un reconocimiento de la ineficiencia sino
supone un valioso avance a la hora de superar los eventos adversos que pueden
provocar importantes pérdidas, no solo materiales sino también de la información de la
institución y de todas las causantes que se deriven de las mismas. Es por ello que se
consideran las siguientes mejoras con su desarrollo y puesta en marcha:
• Garantizar la continuidad de las operaciones de los diferentes departamentos
del Sindicato de Choferes Profesionales de Santo Domingo, en especial los
53
departamentos operativos (Recaudación, Secretarías de Escuelas de
Capacitación y consultorio médico) los cuales son considerados como críticos ya
que manejan los Sistemas de Información principales de la institución.
• Precisar las acciones y procedimientos a ejecutar en caso de fallas de los
elementos que componen los Sistemas de Información, equipos o recursos
informáticos de la institución.
• Garantiza la seguridad física, la integridad de los activos humanos, lógicos y
materiales de los sistemas de información de datos, equipos y recursos
informáticos de los diferentes departamentos administrativos y operativos de la
institución.
• Aprueba la ejecución de acciones con el fin de evitar el fallo, o en su caso,
disminuir las consecuencias que de un evento adverso se puedan derivar.
• Permite realizar un análisis de riesgos, respaldo de los datos y posterior
recuperación de los datos ante cualquier evento, que al suscitarse tiene la
capacidad de interrumpir el normal proceso de una institución.
La metodología del plan de contingencia informático basado en las normas ITIL es la
que describe los procedimientos y etapas para el proceso de ejecución del mismo en el
Sindicato de Choferes profesionales de Santo Domingo. Dicho así, a continuación se
detallan las etapas de desarrollo:
• Etapa 1: Organización
• Etapa 2: Identificación de riesgos
• Etapa 3: Definición de eventos de contingencia
• Etapa 4: Elaboración del Plan de Contingencia
• Fase 5: Ejecución del Plan de Pruebas
• Fase 6: Implementación del Plan de Contingencia
El tratamiento de cada evento adverso con su respectivo plan de prevención, plan de
ejecución y plan de recuperación depende de la matriz de riesgos y la ponderación
referente al nivel de impacto y probabilidad de ocurrencia que posean, cualquier evento
54
cuya calificación sea de “Gran impacto”, es decir nivel 4, o cuya calificación sea mayor
o igual a 0.15, será considerado dentro del plan de contingencia informático. El
desarrollo de cada uno de las etapas del plan de contingencia informático del Sindicato
de Choferes Profesionales, basado en la metodología ITIL se encuentra en los anexos
del presente documento.
Políticas de seguridad Informáticas
Las actividades de la administración de la seguridad informática están inmiscuidas en
casi todos los procesos de ITIL, debido a que es de gran importancia dentro de una
correcta administración identificar los riesgos asociados al proceso para definir líneas
de acción, con la finalidad de mitigarlos. La metodología ITIL implica diferentes métodos
para realizar dicha administración, entre los cuales se encuentra el resguardo de la
información, es por ello que en el desarrollo del presente plan informático se propone la
elaboración de un manual de políticas de seguridad informáticas que contendrá las
reglas que permitan definir de manera clara la gestión, resguardo y asignación de los
recursos tecnológicos del Sindicato de Choferes Profesionales de Santo Domingo,
acorde a los lineamientos de la Dirección General y departamento de TI.
El desarrollo y aplicación de las políticas de seguridad informática ayudarán a:
• Concientizar a los miembros y usuarios de la institución que interactúan haciendo
uso de los servicios asociados a ella, acerca de la importancia de la información,
uso y sanciones por incumplimiento de las medidas de precaución definidas.
• Mitigar las vulnerabilidades, amenazas y riesgos y lograr mantener un alto nivel
de seguridad en la institución.
• Establecer medidas de seguridad para el resguardo de los equipos de cómputo,
sistemas de información, redes (Voz y Datos).
• Determinar las exigencias que pretenden evitar que la organización sea dañada
en caso de fallo de seguridad referente a la integridad, confidencialidad y
disponibilidad de la información.
55
El manual de Políticas de Seguridad Informática se encuentra en los anexos del
presente documento, el mismo se encuentra clasificado en diferentes categorías tal
como se muestra a continuación:
• Políticas de seguridad informáticas para la información
• Políticas de seguridad informáticas para recursos informáticos
• Políticas de seguridad informáticas para redes y comunicaciones
• Políticas de seguridad informáticas para acceso físico
• Políticas de seguridad informáticas de continuidad del negocio
Manual de procesos y procedimientos Informático
De acuerdo a la propuesta del presente plan informático se establece el desarrollo de
un manual de procesos y procedimientos para el departamento de tecnologías de la
información, ya que es de gran importancia establecer las funciones que deben cumplir
cada uno de los departamentos que conforman la organización, además de reglas,
normativas de servicios, instrucciones, y políticas que los empleados deben efectuar
para realizar de manera satisfactoria su trabajo.
Las instrucciones de un manual de procesos y procedimientos son comunicadas a las
personas en el momento oportuno, y su objetivo es precisar las funciones asignadas en
un área específica, es por ello que su desarrollo e implementación ayudará a mejorar
aspectos tales como:
• Evitar la duplicidad del trabajo, referente a los servicios de TI como soporte,
mantenimientos, capacitaciones o autorizaciones que preste el departamento de
Tecnologías de la Información.
• proporcionar uniformidad de las tareas a realizar por parte del personal de TI y
usuarios para su correcta ejecución.
• Ahorrar tiempo y esfuerzos en las labores designadas al personal del
departamento de TI y departamentos vinculados, proveedores y Outsourcing
contratado.
• Agilitar las actividades en la institución y prestación de servicios.
56
• Promover el buen uso de los recursos humanos, materiales, económicos y
tecnológicos disponibles de la institución.
• Establecer responsabilidades de nivel jerárquico y sistematizar la aprobación,
publicación y ejecución de los cambios requeridos en las diversas áreas de la
institución.
El objetivo principal de dicho manual es establecer los procesos y procedimientos para
levantar solicitudes de servicio, reportes de fallas, delegación de funciones, logros y
alcances que presta el departamento de Tecnologías de la Información (TI). El mismo
se clasificará en diferentes procesos como se muestra a continuación:
• Procesos para hardware
En esta categoría se encuentran todos los procesos relacionados a la gestión física de
los equipos de cómputo y recursos informáticos de la institución tales como: renovación
o adquisición de nuevos equipos, gestión de garantías, mantenimiento de equipos, baja
de equipos y recursos informáticos, reemplazo temporal de equipos y recursos
informáticos, asignación de equipos o recursos informáticos, Soporte técnico e ingreso
y configuración de nuevos equipos.
• Procesos para software
En esta categoría se encuentran todos los procesos relacionados a la gestión lógica y
control del software y aplicaciones de los equipos de cómputo de la institución tales
como: actualización de licencias, reporte de Incidentes, desarrollo de aplicaciones y
sistemas de información, desarrollo de sistemas propios, configuración, Instalación y
solución de problemas de sistemas de información, configuración y publicaciones en
sitio web institucional y publicaciones en la página web institucional.
• Procesos para telecomunicaciones y redes
En esta categoría se encuentran todos los procesos relacionados a la gestión de redes
y telecomunicaciones tales como: configuración de dispositivos de red, configuración de
57
centrales telefónicas, configuración de red de voz y datos, configuración de VPN, y
configuración de firewall.
• Procesos para gestión de información
En esta categoría se encuentran todos los procesos relacionados a la gestión y
administración de la información tales como: almacenamiento de información, ingreso o
salida de la información, manejo de Información sensible y copias de seguridad.
• Procesos para la contratación de proveedores
En esta categoría se encuentran todos los procesos relacionados a la contratación de
Proveedores.
• Procesos configuración de cuentas de usuario
En esta categoría se encuentran todos los procesos relacionados a la configuración y
administración de cuentas de usuario tales como: creación de nuevos usuarios y perfiles
de usuarios, cambio o recuperación de contraseñas, configuración de cuentas de correo
electrónico, configuración de cuentas SACI e Inactivación de cuentas.
• Procesos para la gestión de políticas de seguridad informática
En esta categoría se encuentran todos los procesos relacionados a la creación,
excepción o actualización de políticas de seguridad.
En el manual de procesos y procedimiento, constan los formatos de fichas de registro y
control que permitirá gestionar las actividades de soporte y servicios brindados por
departamento de Tecnologías de la Información (TI). El desarrollo de dicho manual se
encuentra en los anexos del presente documento.
58
Mejoramiento en la infraestructura del departamento de Tecnologías de Información (TI) y del Centro de Procesamiento de Datos (CPD).
El proceso de Diseño del Servicio de ITIL se encuentra englobado de una serie de
subprocesos como la gestión de la capacidad y de la disponibilidad, para la mejora de
la calidad de los servicios se debe asegurar que la capacidad de los mismos y de la
infraestructura de las tecnologías de la información sean capaces de cumplir con los
objetivos acordados de capacidad y desempeño de manera económicamente efectiva y
puntual, es decir la gestión de la capacidad toma en cuenta todos los recursos
necesarios para llevar a cabo los servicios de TI, y prevé las necesidades de la
institución a corto, medio y largo plazo.
Por los motivos anteriormente descritos y explicados en la metodología ITIL, se propone
la mejora de la infraestructura tecnológica del Centro de Procesamiento de Datos (CPD)
y departamento de Tecnologías de la Información del Sindicato de Choferes
Profesionales de Santo Domingo, dicha propuesta de mejora ayudará a optimizar la
calidad de los servicios de TI de la institución enfocándose al subproceso del diseño del
servicio que es la gestión de la disponibilidad y continuidad.
La propuesta se adhiere como base a la metodología ITIL, considerando los estándares
sobre diseño y funcionamiento del Centro de Procesamiento de Datos, como lo es el
estándar ANSI/TIA-942 el cual se clasifica mediante 4 categorías denominadas TIER
según el nivel de redundancia de los componentes que soportan el CPD. Para el
desarrollo de la propuesta de mejora de la infraestructura se utiliza las características
relacionadas a la categoría TIER I, las cuales se muestran a continuación:
• Sensible a las interrupciones, planificadas o no.
• Es una instalación que no tiene redundadas sus componentes vitales
(climatización, suministro eléctrico) y que por tanto perderá su capacidad de
operación ante el fallo de cualquiera de ellas.
• Sin exigencias de piso elevado
• Posee generador independiente.
• No es obligatorio contar con un UPS o fuente alternativa de electricidad en caso
de emergencia.
• Las operaciones de mantenimiento se derivarán en tiempo de no disponibilidad
de la infraestructura.
59
• Debe cerrarse completamente para realizar mantenimiento preventivo.
• Plazo de implementación: 3 meses.
• Tiempo de inactividad anual: 28,82 horas.
• Disponibilidad del 99.671%.
El documento de mejora de la infraestructura tiene como finalidad convertirse en una
propuesta guía para analizar y diseñar correctamente el CPD y departamento de
Tecnologías de la Información del Sindicato de Choferes Profesionales de Santo
Domingo, teniendo en cuenta factores como la seguridad, disponibilidad, manejabilidad,
entre otros, todo esto contemplado bajo normas y estándares de calidad. Dicha mejora
de la infraestructura permitirá la optimización de los siguientes parámetros de la
institución:
• La gestión de los servicios que maneje la infraestructura promete tanto a los
empleados de la organización como a los clientes externos de la misma,
prestarse de la manera más eficiente posible, en términos de velocidad, calidad
y disponibilidad.
• Prestar el soporte necesario para poder adquirir beneficios concretos y visibles,
basados en la información.
• Las aplicaciones que posea la institución para los diferentes departamentos o
áreas de la organización deben estar disponibles cuando estas se necesiten y
de no ser así, el problema debe resolverse lo más rápido posible para minimizar
las consecuencias de dicho problema.
El plan informático como se lo ha venido describiendo consta de la propuesta de la
mejora de la Infraestructura tecnológica tanto en el departamento de Tecnologías de la
Información como en el Centro de Procesamiento de Datos. Es importante indicar que
el objetivo principal de dicha mejora en la infraestructura es que se realice, por lo cual
se realizó un análisis de costos y equipamiento que puede menorar el valor económico,
estableciendo desde los mejores elementos que se puede adoptar, hasta cuales se
podría llegar sin descuidar el nivel de seguridad que se desea establecer en la institución
y principalmente en estas áreas.
60
El desarrollo, características y análisis de cada uno de los implementos se los detalla en
el documento de mejora de la infraestructura el cual se encuentra en los anexos del
presente proyecto.
Mejoras
De acuerdo con los procesos de elaboración del presente plan informático para mejorar
la seguridad de la información, Infraestructura y recursos tecnológicos, se establece que
dichas mejoras hacen parte del objetivo principal de ITIL el cual es mejorar la calidad
de los servicios de las tecnologías de la información, por tal se planteó el desarrollo de
un plan de contingencia informático, políticas de seguridad informáticas, un manual de
procesos y procedimientos informáticos y el mejoramiento en la infraestructura del
departamento de tecnologías de información y del Centro de Procesamiento de Datos
(CPD) de la institución.
La elaboración de la propuesta ayudará a promover la calidad de los servicios que ofrece
el departamento de TI del Sindicato de Choferes Profesionales de Santo Domingo tales
como:
Figura 14 servicios que ofrece el departamento de TI
Fuente: Portafolio de servicios del Sindicato de Choferes Profesionales de Santo Domingo. Elaborado por: Rodríguez, D. (2016).
A continuación se presenta un resumen de las mejoras desde el punto de vista de los
ciclos de vida del servicio de la normativa ITIL.
Garantizar el correcto funcionamiento de los equipos de cómputo, recursos informáticos y
aplicaciones de software de los diferentes departamentos y áreas administrativas y
operativas de la institución.
Desarrollar y mantener los sistemas de información que incorporen las herramientas
de apoyo para la ejecución y gestión de los procesos internos de la institución.
Gestión, instalación o desarrollo de herramientas tecnológicas que permitan la implementación de la calidad de servicios
para los usuarios de la institución.
Implementar y gestionar la plataforma tecnológica de la institución que permita proveer los servicios informáticos de alta disponibilidad, seguridad y confiabilidad.
Gestionar la constante renovación de la infraestructura tecnológica de acuerdo al
crecimiento y requerimientos de la institución.
Desarrollar, analizar y diseñar los sistemas informáticos y supervisar aquellos que son de responsabilidad de contrataciones externas.
Gestionar y mantener los servicios de soporte técnico para usuarios internos de la
institución que permitan mantener la continuidad operativa de su equipo y servicios
tecnológicos.
Capacitar, Gestionar y supervisar el buen uso del equipamiento informático, resguardo y seguridad de la información que en ellos se
encuentra.
Administrar los recursos informáticos de la institución y asegurar la disponibilidad de las redes, comunicación, servidores y estaciones
de trabajo.
Brindar soporte a usuarios, es decir prevenir, mantener y corregir hardware, software y la
conectividad Institucional de las estaciones de trabajo.
61
Mejoras relacionadas en la estrategia del servicio
Con el apoyo del área de Tecnologías de la Información del Sindicato de Choferes
Profesionales se establece el cumplimiento de los objetivos de los servicios de TI con
la mejora de los aspectos de la seguridad y gestión de los servicios:
• Con respecto a la gestión financiera se realizaron mejoras en la planeación y
control de presupuesto ya que al mejorar la seguridad de los equipos de cómputo
y recursos informáticos se logra reducir daños en la reparación y repuestos y
nuevas adquisiciones de los mismos.
• Con relación a las mejoras en gestión de la demanda, estas se deben a que el
grupo de apoyo frecuentemente evalúa la demanda de los servicios mediante un
análisis de actividades de la institución, para definir las mejoras en la utilización
del equipamiento informático.
Figura 15 Portafolio de servicios ITIL
Fuente: ITIL Foundation, s.f. Portafolio de servicoos ITIL.
62
Figura 16 Portafolio de servicios ITIL del Sindicato de Choferes Profesionales
Fuente: Portafolio de servicios del Sindicato de Choferes Profesionales de Santo Domingo. Elaborado por: Rodríguez, D. (2016).
Mejoras relacionadas en el diseño de los servicios de TI
Las acciones que más aportaron en esta etapa fueron las mejoras en la Gestión de la
Seguridad del Servicio y Continuidad del Servicio, dentro de estas mejoras se destaca
los siguientes puntos:
• El departamento de Tecnologías de la Información, es el encargado de realizar
el seguimiento de los procesos, actualización de la información del equipamiento
informático del Sindicato de Choferes Profesionales de Santo Domingo.
• En temas de gestión de disponibilidad se propone la implementación de políticas
de seguridad, mejora de la infraestructura del departamento de Tecnologías de
la Información y Centro de Procesamiento de Datos.
• Con relación a gestión de la seguridad, se plantea la implementación de un plan
de contingencia estableciendo los niveles de riesgo que puede generar cada
evento adverso y evaluaciones de posibles riesgos de seguridad informática para
planear y ejecutar acciones para contrarrestarlo.
63
• En temas de gestión de procesos para los servicios de Tecnologías de la
Información para los usuarios y proveedores la institución se formalizo el asunto
mediante la elaboración de un manual de procesos en el cual se detalla todos
los aspectos de control, soporte técnico, responsabilidades y contratación de
servicios de TI, este proceso está completamente alineado con la estrategia de
la institución.
• En el área de procesos de TI se elaboró el documento de planes de continuidad
y recuperación de servicios de TI que incluye el plan de contingencia informático,
así mismo se han definido rutinas para análisis de riesgos e impacto del negocio
para validar la efectividad de los planes de continuidad.
Mejoras relacionadas en la transición del servicio
En esta etapa se pueden detallar los siguientes aspectos:
• Cada uno de los archivos de los manuales desarrollados, así como diagramas y
fichas de control y registro fueron entregados al departamento de Tecnologías
de la Información.
• En lo relacionado con la gestión de la implementación del presente plan de
contingencia se lo realizará según el requerimiento de la institución y el valor
económico que implique.
• Otro aspecto importante es que cualquier cambio exige autorización de las
personas encargadas de administrar el plan informático de la institución, además
el proceso de cambio está relacionado con otros procesos importantes como
implementación y gestión de la configuración.
• Se determinó mejoras en procesos del departamento de Tecnologías de la
Información, originados principalmente por la evaluación previa que se hace en
el despliegue de un servicio, planeando y evaluando la disponibilidad de todos
los recursos.
64
Mejoras relacionadas en la operación del servicio
Dentro del avance más representativo de la operación de servicio en el Sindicato de
Choferes Profesionales de Santo Domingo se distinguen los siguientes puntos:
• El departamento de tecnologías de la Información cuenta con un proceso
documentado para mejorar la seguridad de la información, infraestructura y
recursos informáticos, la definición de los mismos se encuentran en los
manuales informáticos de políticas de seguridad, manual de plan de
contingencia, manual de procesos y procedimientos y documento de mejora de
la infraestructura tecnológica del centro de procesamiento de Datos y
departamento de Tecnologías de la Información (TI).
• El departamento de tecnologías de la Información a definido las
responsabilidades de varios roles dentro de dicho departamento y áreas
administrativas.
• En temas de detención, registro y reporte de incidentes se establece una buena
consistencia en las actividades de gestión de incidencias y mejoras los procesos
para la gestión de servicios de TI.
• Como parte de la investigación se estableció como norma de gestión de
incidentes realizar documentación del incidente y actualizar su estado, de tal
forma que se refleje la situación actual del incidente y su atención se realiza por
orden de prioridad, así como revisar los errores conocidos para la solución de
los mismos.
• Con respecto a la solución de los incidentes con el equipamiento y recursos
informáticos de la institución se establece mejor control en el soporte técnico y
registro de fecha y hora de solución, en el plan de contingencia informático en la
matriz de riesgos se desarrollaron métricas para medir los diferentes tipos de
eventos adversos y su impacto, lo que sirve para impulsar la mejora continua.
65
Mejoras relacionadas en la mejora Continua del servicio
El progreso alcanzado en el grado de madurez de ITIL en el Sindicato de Choferes
Profesionales de Santo Domingo, en los diferentes ciclos de vida de servicio, se generan
esencialmente por las normas e iniciativas de mejoras en los procesos propuestos por
el departamento de Tecnologías de la Información, directivos y el compromiso de todo
el equipo de trabajo de la institución, es importante plantear que la mejora continua está
ligada a la actualización y renovación, según el crecimiento y requerimientos del
negocio.
Los procesos y mejoras fueron alineados a los servicios de TI con las necesidades del
negocio, el trabajo en equipo y las frecuentes reuniones con el personal del
departamento de TI permitieron revisar el cumplimiento de los objetivos para definir
estrategias de mejora para la prestación de servicios de TI. Estas estrategias contaban
con objetivos claros a los cuales se les hacía seguimiento con las métricas definidas en
el plan informático, además se realiza un diagrama de actividades el cual detalla el
trabajo realizado a través de las etapas definidas por el presente proyecto y sugiere los
tiempos en los cuales se podrá acceder a la implementación de los manuales de
políticas de seguridad informática, manual de procesos y procedimientos, plan de
contingencia informático y propuesta de mejora de la infraestructura tecnológica, tal
como se muestra a continuación:
66
Figura 17 Actividades y tiempos de implementación de las etapas del plan informático
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
67
Conclusiones parciales del capítulo
• El Plan Informático, está realizado de acuerdo a las necesidades que se
encontraron en el Sindicato de Choferes Profesionales de Santo Domingo en
cuanto a mejorar la seguridad de la información, Infraestructura y recursos
tecnológicos, al aplicar la metodología ITIL desde un comienzo se permitió
establecer una serie de alternativas las cuales encaminaron a mejorar la calidad
de los servicios de las Tecnologías de la Información para la solución del
problema.
• Para desarrollar el plan informático, se lo hizo mediante la utilización de las
normas ITIL V3 las cuales se basan en el cumplimiento de 5 etapas claves:
Estrategia del servicio, Diseño de los Servicios de TI, Transición del servicio,
Operación del servicio y Mejora Continua del servicio, obteniendo el método
más eficaz para plantear la solución del problema mediante la elaboración de los
manuales de políticas de seguridad informática, manual de procesos y
procedimientos, plan de contingencia informático y propuesta de mejora de la
infraestructura tecnológica.
• Las exigencias del responsable del departamento de TI de la Institución han sido
notables por lo que han realizado un plan informático detallado y de fácil
comprensión.
• Con el desarrollo del Plan Informático el cual consta de los diversos manuales
orientados a mejorar la seguridad de la información infraestructura y recursos
tecnológicos, el departamento de TI podrá manejar una cultura de seguridad en
base a procedimientos, políticas, normativas y delegación de responsabilidad,
para brindar un servicio de calidad y eficiencia a los usuarios de la institución.
68
CONCLUSIONES GENERALES
• Con el desarrollo del plan informático permitió avalar la importancia de la
implementación del modelo ITIL, ya que este permite contar con una definición
clara de los procesos, roles y responsabilidades para el logro de los objetivos y
que poseer un proceso de mejoramiento en la seguridad de la institución es vital
para adoptar métodos que determinen si se están haciendo bien las cosas o
como pueden hacerse mejor.
• La implantación de normas ITIL es una herramienta para mejorar la gestión de
tecnología, y simboliza un conjunto de recomendaciones y sugerencias para el
manejo de recursos y requerimientos de los servicios de TI.
• Existen procesos que pueden ser sometidos nuevamente a evaluación de
riesgos para incrementar los controles y disminuir el riesgo informático, los
mismos serán aceptados por los responsables de la administración y aprobación
del plan informático.
• El desarrollo del plan informático se concentra en mejorar la seguridad de la
información, infraestructura y recursos tecnológicos, por ende ayuda a optimizar
la integridad, disponibilidad y confidencialidad de los servicios del Sindicato de
Choferes Profesionales de Santo Domingo.
• Los controles y manuales del plan informático se implementarán según el
requerimiento de la institución y el valor económico que implique.
69
RECOMENDACIONES
• Realizar evaluaciones periódicas al plan informático para incrementar los
controles necesarios y así alcanzar la meta de fomentar una cultura de seguridad
informática en los usuarios de la institución.
• Realizar informes periódicos a los directivos de la institución sobre el progreso
de la seguridad de la información, infraestructura y recursos tecnológicos, para
que continúen apoyando las iniciativas y proyectos que mejoren la calidad de los
servicios de las tecnologías de la información.
• Se recomienda analizar las normas ITIL para mantener el mejoramiento
continuo del plan informático, en especial el manual de procesos y
procedimientos, manual de políticas de seguridad y plan de contingencia
informático, ya que estos controles deben ser revisados y actualizados
periódicamente.
• Ya que la información de una institución es muy valiosa, se recomienda que el
personal de la misma sea capacitado referente a las normas de seguridad de la
información y sean conocedores de los reglamentos o manuales que se posea
para su correcto cumplimiento
BIBLIOGRAFÍA
AGUILERA LÓPEZ, P. (2011). Introducción a la seguridad informática (Seguridad
informática ). Editex.
BERNAL, C. (2006). Metodología de la Investigación. Bogotá: Pearson Education.
CERVIGÓN HURTADO, A. G., & ALEGRE RAMOS, M. D. (2011). Seguridad Informática
(primera edición ed.). (M. J. López Raso, Ed.) Madrid, España: Editorial Paraninfo.
COLOBRAN HUGUET, M., RQUÉS SOLDEVILA, J. M., & MARCO GALINDO, E. (2008).
Administración de sistemas operativos en red. Editorial UOC.
COMMERCE OFFICE OF GOVERNMENT. (2010). Libro Oficial ITIL. Mejora continua
del servicio;. The Stationery Office.
DEL PESO NAVARRO, E. (2003). Manual de outsourcing informático: (análisis y
contratación) : modelo de contrato (segunda edición ed.). Madrid, España: Ediciones
Díaz de Santos, S.A.
EUNED. (2006). Planificación Y Evaluación de Proyectos Informáticos. EUNED.
FERNÁNDEZ SUÁREZ, J. A. (1991). La filosofía jurídica de Eduardo García Máynez.
Universidad de Oviedo.
FÓRNEAS CARRO, J. R. (2008). Outsourcing.: Saque el máximo partido de sus
proveedores. Netbiblio.
FUENTELSAZ GALLEGO, C., ICART ISERN, M. T., & PULPÓN SEGURA, A. M. (2006).
Elaboración y presentación de un proyecto de investigación y una tesina. Edicions
Universitat Barcelona.
FUSTER FABRA, F. (2008). Dirigir a Los Que Gestionan. Lulu Editorial.
GASPAR MARTÍNEZ, J. (2004). Planes de Contingencia la Continuidad Del Negocio en
Las Organizaciones. Ediciones Díaz de Santos.
GIMÉNEZ ALBACETE, J. F. (2015). Seguridad en equipos informáticos. IFCT0510. IC
Editorial.
GÓMEZ VIEITES, Á. (2011). Enciclopedia de la seguridad Informática (segunda ed.).
Madrid, España: Alfaomega Grupo Editor, S.A. de C.V.
GÓMEZ VIEITES, Á. (2013). Auditoría de la seguridad informática. España: StarBook.
ISO/ IEC 27002. (s.f.). SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS
CONTROLES DE ISO/IEC 27002.
ITIL Foundation. (s.f.). ITIL FUNDATION GESTIÓN DE SERVICIOS TI. Obtenido de
http://itilv3.osiatis.es/proceso_mejora_continua_servicios_TI/ciclo_deming.php
LOZANO SANDOVAL, F., & RODRIGUEZ MEJIA, K. (2011). Modelo para la
implementación de ITIL en una institución universitaria. Santiago de Cali.
LUCENA LÓPEZ, M. J. (1999). Criptografía y Seguridad en Computadoras (Segunda
Edición ed.). Universidad de Jaen.
MEJÍA VITERI, J. T. (2015). Plan de Seguridad Informática del departamento de
Tecnologías de la Información y Comunicación de la Universidad Técnica de Babahoyo
para mejorar la gestión en la confidencialidad e integridad de la Información. Babahoyo,
Los Ríos, Ecuador.
PABLOS HEREDERO, C. (2004). Informática y comunicaciones en la empresa. ESIC
Editorial.
PAZMIÑO, I. (2000). Investigación Científica 2 (Segunda edición ed.). Quito, Ecuador:
Grupo Leer.
POSSO GUERRERO, R. E. (Marzo de 2009). Desarrollo de políticas de seguridad
informática e implementación de tres dominios en base a la norma 27002 para el área
de Hardware en la empresa UNIPLEX SYSTEMS S.A. EN QUITO. Quito, Pichincha,
Ecuador.
QUESNEL, J. (2012). Entender ITIL 2011: Normas y mejores prácticas para avanzar
hacia ISO 20000. Ediciones ENI.
QUIRUMBAY YAGUAL, D. I. (2015). Desarrollo del Esquema de Seguridad, Paln de
recuperación ante desastres informáticos y solución para el nivel de exposición de
amenazas y vulnerabilidades aplicada a los servidores y equipos de comunicación del
Centro de Datos de la Municipalidad de la C. Guayaquil, Guayas, Ecuador.
REAL ACADEMIA DE LA LENGUA ESPAÑOLA. (1992). Real Academia de la Lengua
Española.
REAL ACADEMIA ESPAÑOLA. (2007). Real Academia Española. Real Academia
Española.
RODAO, J. D. (2003). Piratas cibernéticos: cyberwars, seguridad informática e Internet.
2, illustrated.
ROYER, J.-M. (2004). Seguridad en la informática de empresa: riesgos, amenazas,
prevención y soluciones. Barcelona, España: Ediciones ENI.
SÁNCHEZ GARRETA, J. S. (2003). Ingeniería de proyectos informáticos:. illustrated.
Santacruz Fernández, Á. (2013). Plan de seguridad informatica y los riesgos operativos
en el municipio descentralizado de Quevedo provincia de Los Rios. Quevedo, Los Rios,
Ecuador.
SANTACRUZ FERNÁNDEZ, Á. (2013). Plan de seguridad informatica y los riesgos
operativos en el municipio descentralizado de Quevedo provincia de Los Rios. Quevedo,
Los Rios, Ecuador.
SEGUNDA COHORTE DEL DOCTORADOO EN SEGURIDAD E. (2014). Seguridad de
la Información: Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica.
Segunda Cohorte del Doctorado en Seguridad Estratégica.
SIMSON, G. F., & SPAFFORD, G. (1999). Seguridad Práctica en UNIX e Internet
(Segunda Edición ed.). Mc. Graw Hill.
WALTON, M. (2004). El método Deming en la práctica. Editorial Norma.
ANEXOS
Anexo 1 Perfil de proyecto de investigación
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PERFIL DE PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN SISTEMAS E INFORMÁTICA
TEMA:
PLAN INFORMÁTICO 2016 - 2020 BASADO EN LAS NORMAS ITIL PARA MEJORAR
LA SEGURIDAD DE LA INFORMACIÓN, INFRAESTRUCTURA Y RECURSOS
TECNOLÓGICOS EN EL SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO.
AUTORA: RODRÍGUEZ CHÁVEZ GÉNESIS DAYANA
TUTOR: DR. CAÑIZARES GALARZA FREDY PABLO, Mg.
SANTO DOMINGO – ECUADOR
2016
ANTECEDENTES DE LA INVESTIGACIÓN
Hoy en día la informática es parte fundamental de las empresas sean estas públicas
o privadas, es de gran importancia tener un departamento de tecnologías de la
Información y comunicación, que provea servicios, tales como control en la
conservación de la información, equipos y recursos informáticos, asimismo es
necesario poseer una infraestructura que cumpla con los estándares en cuanto a
seguridad integridad y confidencialidad, además de una correcta planificación
estratégica de tecnología que sirva de apoyo para lograr que los sistemas de
información y los recursos de hardware, satisfagan las necesidades y calidad del
trabajo corporativo en las organizaciones.
En una investigación preliminar realizada a la tesis de grado del Magister Mejía
Viteri, José. (2015). Plan de seguridad informática del departamento de
Tecnologías de la Información y Comunicación de la Universidad Técnica de
Babahoyo para mejorar la gestión en la confidencialidad e integridad de la
información. Tesis de Maestría. Universidad Regional Autónoma de los Andes
UNIANDES. Babahoyo, Ecuador. Recuperado el 11 de Mayo de 2016, desde:
http://dspace.uniandes.edu.ec/bitstream/123456789/732/1/TUAMEIE012-2015.pdf
establece que:
Hoy en día las empresas tienen automatizados los procesos y estos generan
grandes cantidades de información para la toma de decisiones, por lo que los
gerentes de las empresas requieren asegurarla y debe estar siempre disponible y
sea confiable, surgiendo la necesidad de implementar los S.G.S.I (Sistemas de
Gestión de la Seguridad Informática), tomando en cuenta las normas que existen
en la actualidad.
En una investigación precedente de la tesis del Magister Santacruz Fernández,
Ángel. (2013). Plan de seguridad informatica y los riesgos operativos en el
municipio descentralizado de Quevedo provincia de Los Rios. Tesis de Maestria.
Universidad Regional Autónoma de los Andes UNIANDES. Quevedo, Ecuador.
Recuperado el 11 de Mayo de 2016, desde: http://dspace.uniandes.edu.ec/bitstrea
m/123456789/3037/1/TUQMIE002-2013.pdf afirma que:
La seguridad informática se va convirtiendo en una necesidad cada vez más latente
en las instituciones que disponen de un gran apoyo tecnológico. Es sabido que la
tecnología optimiza los procesos y acelera los servicios, pero así 5 también ha dado
origen al aparecimiento de nuevos formas de delito, generalmente por intrusión
indebida con la finalidad de obtener información o desvíos financieros en forma
electrónica.
Por otro lado, en el internet se pudo encontrar algunos trabajos relacionados de
manera directa e indirectamente con el tema, así por ejemplo podemos señalar el
trabajo del Ingeniero Posso Guerrero, Richard. (2009). Desarrollo de políticas de
seguridad informática e implementación de tres dominios en base a la norma 27002
para el área de Hardware en la empresa UNIPLEX SYSTEMS S.A. en Quito.
Proyecto de Pregrado. Escuela Politécnica Nacional. Quito, Ecuador. Recuperado
el 11 de Mayo de 2016, desde: http://bibdigital.epn.edu.ec/bitstream/15000/1371/1/
CD-2075.pdf establece que:
La información en medios informáticos es altamente utilizada en las, empresas,
hogares, escuelas, universidades, etc. Por esta razón es importante determinar que
hacer para protegerla y evitar que caiga en manos de personas no autorizadas;
esto se obtiene con la implementación de políticas de Seguridad Informática.
Así también se puede analizar la Tesis del Ingeniero Quirumbay Yagual, Daniel.
(2015). Desarrollo del esquema de seguridad, plan de recuperación ante desastres
informáticos y solución para el nivel de exposición de amenazas y vulnerabilidades
aplicada a los servidores y equipos de comunicación del centro de datos de la
municipalidad de la ciudad del este. Tesis de Pregrado. Escuela Superior
politécnica del Litoral. Guayaquil, Ecuador. Recuperado el 11 de Mayo de 2016,
desde:http://www.dspace.espol.edu.ec/xmlui/bitstream/handle/123456789/30025D
-4693.pdf?sequence=-1&isAllowed=y en la cual alega que:
El Implementar Seguridad Informática a las infraestructuras Tecnológicas
específicamente para el Centro de Procesamiento de Datos se ha convertido en
necesarias debido a que si se logra estimar la frecuencia con la cual se materializan
los riesgos o vulnerabilidades, así como determinar la magnitud de sus posibles
consecuencias considerando las debidas precauciones, 35 podemos de modo
preventivo tomar medidas para reducir su impacto y evitar la paralización de las
organizaciones o empresas.
Con toda esta información recopilada se concluye que la seguridad de la
información y recursos tecnológicos se constituyen en un factor muy importante en
empresas o Instituciones educativas y que dentro de ellas, el aspecto de la
seguridad informática garantiza la privacidad de la información y la continuidad del
servicio, tratando de minimizar la vulnerabilidad lógicas y físicas.
SITUACIÓN PROBLÉMICA
Las Tecnologías de la Información y Comunicación evolucionan rápidamente en el
mundo actual siendo fundamentales para las empresas en sus operaciones
administrativas, estas han sido conceptualizadas como la integración y
convergencia de la computación, las telecomunicaciones y la técnica para el
procesamiento de datos, donde sus principales componentes son: el factor
humano, los contenidos de la información, el equipamiento, la infraestructura, el
software y los mecanismos de intercambio de información, los elementos de política
y regulaciones, además de los recursos financieros.
Los factores anteriormente mencionados son primordiales para el desarrollo
informático de una sociedad, por ende se debe tomar las medidas de seguridad
pertinentes para resguardar la integridad física y lógica de los mismos. Actualmente
en el mundo y por ende no obstante en el Ecuador existe un sin número de delitos
informáticos, gran parte de ellos son por ingeniería social, suplantación, acceso no
autorizado, virus, etc., además cabe recalcar que las empresas no poseen
planificaciones estratégicas para resguardar la seguridad, integridad y
confidencialidad de la información y recursos tecnológicos.
La falta de seguridad informática es una de las principales causas que originan los
problemas de control y administración tanto lógicos como físicos. El Sindicato de
Choferes Profesionales de Santo Domingo, presenta varios inconvenientes en base
al déficit de seguridad de la información, infraestructura y recursos tecnológicos,
entre ellos se encuentran:
El departamento de TI (Tecnologías de la Información) no cuenta con una
infraestructura que satisface las demandas de hoy en día en cuanto a hardware y
estructura física, además no consta con un lugar adecuado para prestar los
servicios de soporte técnico al personal de la empresa por ende existe mala
atención y problemas con el espacio y ubicación de los equipos receptados para
brindar el soporte solicitado.
No existe un plan de contingencia con un adecuado sistema de seguridad física y
lógica en previsión de desastres lo cual imposibilita el acceso a los recursos
informáticos; si se habla de problemas físicos estos pueden presentarse en las
instalaciones donde se encuentran los bienes, sea por causas naturales o
humanas, mientras que por razones lógicas los problemas surgen en los sistemas
que se utilizan por cambios involuntarios o intencionales, pudiendo ocasionar
divulgación de información a instancias fuera de la Compañía.
No posee políticas de seguridad para establecer las medidas de índole técnica y de
organización para garantizar la seguridad de las tecnologías de información, por
ende no hay resguardo de los equipos de cómputo, sistemas de información, redes
(Voz y Datos), además carece de controles de acceso a los equipos de la institución
e irresponsabilidad por parte del personal administrativo y/o usuarios de cómputo
de la empresa que interactúan haciendo uso de los servicios asociados a ellos, al
no tener un documento que detalle requerimientos de uso y sanciones por daños
en el mal manejo de los recursos informáticos.
Se evidencia la inexistencia de un manual de procesos que describa el origen,
evolución y logros del Departamento de Informática y Sistemas, así como sus
objetivos, políticas, estructura organizacional, estrategias y orientaciones
institucionales ocasionando que no se puede determinar los diferentes procesos y
responsables que componen los servicios que presta la empresa, asimismo se crea
una dependencia de la persona a cargo actualmente del departamento en cuestión,
ya que al dejar la institución por cualquier motivo un reemplazo no podrá establecer
fácilmente los procedimientos a tomar en las distintas áreas que le competan.
Actualmente no cuenta con adecuado Centro de Procesamiento de Datos (CPD)
con los estándares y requerimientos que se deben cumplir, en donde se concentren
los recursos informáticos y dispositivos de red necesarios para el procesamiento de
la información de la organización, cabe recalcar que no existe el diseño de la
distribución de los puntos de red en la empresa dando pie a que exista inseguridad
en la transmisión de información.
No hay una correcta ubicación de los equipos de cómputo y demás recursos
informáticos en las diversas áreas y departamentos de la organización lo que
produce daños en los mismos por diversos factores. Es importante mencionar que
la seguridad lógica es baja pues no existe un inventario de software, además los
programas informáticos no cuentan con las licencias pertinentes como es el caso
de los antivirus lo que provoca que siempre haya infecciones por virus en los
equipos y en la red.
Por todas las razones anteriormente puntualizadas y después de haberlas
analizado se puede concluir notoriamente que el Sindicato de Choferes
Profesionales de Santo Domingo posee niveles muy bajos de seguridad
informática, lo que conlleva a que existen problemas en los diferentes
departamentos de la empresa y sea un gran riesgo en la operatividad institucional.
PROBLEMA CIENTÍFICO
¿Cómo mejorar la seguridad de la información, Infraestructura y recursos
tecnológicos del Sindicato de Choferes Profesionales de Santo Domingo?
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN
OBJETO DE INVESTIGACIÓN
Gestión de la Seguridad Informática
CAMPO DE ACCIÓN
Seguridad de la información, Infraestructura y recursos tecnológicos.
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN
La presente investigación se inscribe en la línea de Tecnologías de la Información
y Comunicación.
OBJETIVO GENERAL
Desarrollar un Plan Informático 2016 – 2020 basado en las normas ITIL para
mejorar la seguridad de la información, Infraestructura y recursos tecnológicos en
el Sindicato de Choferes profesionales de Santo Domingo.
OBJETIVOS ESPECÍFICOS
a) Fundamentar científicamente la teoría referente a normas ITIL, seguridad
física y lógica, políticas de seguridad, plan de contingencia, seguridad en
recursos humanos, seguridad en redes, riesgos del Outsourcing, centro de
procesamiento de información CPD, gestión de la seguridad informática,
Normas y/o Estándares Internacionales.
b) Realizar investigación de campo para conocer las deficiencias de la
seguridad información, procesos, recursos e infraestructura tecnológica en
la empresa.
c) Elaborar el plan informático orientado al cumplimiento de normas, Políticas,
procedimientos, Análisis para implementación de infraestructura, recursos
tecnológicos y estudio de costos con el objetivo de crear una cultura de
seguridad informática en el sindicato de Choferes Profesionales de Santo
Domingo.
d) Validación del proyecto mediante la vía de expertos.
IDEA A DEFENDER
Con la aplicación del plan informático 2016 - 2020 basado en las normas ITIL se
mejorara la seguridad de la información, Infraestructura y recursos tecnológicos en
el Sindicato de Choferes Profesionales de Santo Domingo
VARIABLES DE INVESTIGACIÓN
Variable Independiente: Plan Informático 2016 – 2020 basado en las normas
ITIL
Variable Dependiente: Seguridad de la información, Infraestructura y
Recursos tecnológicos
METODOLOGÍA A EMPLEAR
La presente investigación se sustenta en la aplicación de diferentes métodos con
un enfoque cuali-cuantitativo con tendencia cualitativa.
Se utilizará el enfoque cuantitativo en la recolección, análisis e interpretación de
resultados mediante la medición numérica, conteo y el uso de estadísticas para
establecer con exactitud los patrones de comportamiento en la población a
investigar. Así mismo el enfoque cualitativo se aplicará en la calidad de las
actividades, relaciones, asuntos, medios, materiales o instrumentos en la busca de
la solución del problema.
Tipos de Investigación
Específicamente se aplicaran dos tipos de investigación, la investigación de campo
se la utilizará para diagnosticar y ratificar la problemática la misma será efectuada
en el Sindicato de Choferes Profesionales de Santo Domingo. La investigación
bibliográfica consiste en la recopilación de información existente en libros, revistas,
internet, etc., que permitirá la elaboración del marco teórico el mismo que
fundamentará científicamente la propuesta de solución.
Métodos
Método Analítico – Sintético
Consiste en descomponer un objeto de estudio separando cada una de sus partes
del todo para estudiarlas en forma individual, luego se integran los objetos
dispersos del objeto de estudio para estudiarlos en su totalidad. (BERNAL, 2006)
Este método se aplicara para la elaboración de la fundamentación científica que
sustentará la solución del problema.
Método Inductivo - Deductivo
Este método está basado en la lógica y relacionamiento con el estudio de hechos
particulares. (BERNAL, 2006)
Es decir el método inductivo es aquel método científico que alcanza conclusiones
generales partiendo de hipótesis o antecedentes en particular, se lo aplicará en la
observación, registro o acciones de los hechos; además en la deducción de las
predicciones o clasificación de los fundamentos obtenidos en la investigación, los
mismos que se formularán a partir de la hipótesis. Por otra parte el método
deductivo va de lo general a lo específico y se lo utilizará ya que da paso a los datos
para llegar a un cálculo a partir del razonamiento de forma lógica.
Técnicas e Instrumentos de Investigación
Las técnicas e instrumentos de investigación a utilizar son los siguientes:
Tabla 1 Técnicas e instrumentos utilizados en la investigación.
Fuente: La investigación (2016). Investigación de campo realizada por el autor. Santo Domingo:
Tabla donde consta las técnicas e instrumentos utilizados en la investigación. Elaborado por:
Rodríguez, D.
Técnicas Instrumentos
Observaciones Fotografías, Fichas de Observación, notas.
Entrevista Cuestionario.
Encuesta Cuestionario.
ESQUEMA DE CONTENIDOS
Fundamentar científicamente la teoría referente a:
Seguridad informática
o Definición de seguridad
o Definición de informática
o Definición de seguridad informática
o Objetivos de la Seguridad Informática
Principios de la Seguridad Informática
o Integridad
o Confidencialidad
o Disponibilidad
Seguridad de la Información
o Seguridad Activa
o Seguridad Pasiva
Vulnerabilidades
Amenazas
o Fuentes o tipos de amenazas
Riesgos
o Tipos de Riesgos
Seguridad Física
Seguridad Lógica
Seguridad en Redes
Seguridad en Recursos Humanos
Seguridad en Contrataciones externas u Outsourcing
o Riesgos del outsourcing
o Requisitos de seguridad en el outsourcing
Políticas de seguridad
o Beneficios de implementar políticas de seguridad
o Aspectos Físicos de políticas de seguridad
o Aspectos lógicos de políticas de seguridad
o Elementos de políticas de seguridad
Plan de Contingencia
o Contenido del plan de contingencia
o Etapas del plan de contingencia
Normas ITIL
o Que es ITIL
o Versiones de ITIL
ITIL V2
Procesos ITIL V2
ITIL V3
Procesos ITIL V3
ITIL 2011
Procesos ITIL 2011
o Filosofía ITIL
Los Objetivos de ITIL
Que es una buena práctica
Que es un servicio
Enfoque de Procesos
La calidad
o Administración por procesos
Normas y/o estándares internacionales ISO
o Propósito de los estándares
o ISO 9001 - 2008
o ISO/IEC 20000 – 2011
o ISO/IEC 27000
ISO/IEC 27001
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
ISO/IEC 27005
ISO/IEC 27006
ISO/IEC 27007
Plan Informático
o Plan de Seguridad Informático
APORTE TEÓRICO, SIGNIFICACIÓN PRÁCTICA Y NOVEDAD CIENTÍFICA
Aporte Teórico
Esta investigación tiene como propósito ratificar la seguridad informática del
Sindicato de Choferes Profesionales de Santo Domingo de los Tsáchilas con el
desarrollo de un plan Informático basado en las normas ITIL (Information
Technology Infrastructure Library) con el fin de mejorar la seguridad de la
información, Infraestructura y recursos tecnológicos, de esta manera se podrá
evaluar el impacto que causan en la continuidad de las operaciones del negocio y
así concientizar a los usuarios respecto al buen uso de las tecnologías y evitar las
amenazas existentes.
Significación Práctica
La actual investigación sobre un Plan Informático 2016 - 2020 basado en las
normas ITIL, podrá ser aplicado en el área de Sistemas del Sindicato de Choferes
Profesionales de Santo Domingo de los Tsáchilas, pues a través de dicho plan se
permitirá llevar una mejor administración de los procesos y controles
implementados, políticas de seguridad, plan de contingencia, etc. Es una
investigación en apoyo al personal de TIC, quienes podrán determinar estrategias
para mitigar los riesgos de seguridad, de manera que no afecten a la continuidad
de la empresa.
Novedad Científica
Como novedad se puede definir el desarrollo de un plan informático 2016 - 2020
basado en las normas ITIL, para mejorar la seguridad de la información,
Infraestructura y recursos tecnológicos, el cual es una novedad ya que por medio
de este se puede ayudar a la implementación de normas de control interno, por lo
cual la tesis puede convertirse en una guía para evaluar el control de TI en la
empresa y determinar su nivel de fortaleza, con un análisis de riesgos, controles,
procesos, políticas de seguridad, plan de contingencia, entre otros.
BIBLIOGRAFÍA
BERNAL, C. (2006). Metodología de la Investigación. Bogotá: Pearson Education.
CERVIGÓN HURTADO, A. G., & ALEGRE RAMOS, M. D. (2011). Seguridad
Informática. (M. J. López Raso, Ed.) Madrid, España: Editorial Paraninfo.
COMMERCE OFFICE OF GOVERNMENT. (2010). Libro Oficial ITIL.: Mejora
continua del servicio. The Stationery Office.
DEL PESO NAVARRO, E. (2003). Manual de outsourcing informático: (análisis y
contratación) : modelo de contrato. Madrid, España: Ediciones Díaz de Santos, S.A.
GÓMEZ VIEITES, Á. (2011). Enciclopedia de la seguridad Informática (segunda
ed.). Madrid, España: Alfaomega Grupo Editor, S.A. de C.V.
GÓMEZ VIEITES, Á. (2013). Auditoría de la seguridad informática. España:
StarBook.
MEJÍA VITERI, J. T. (2015). Plan de Seguridad Informática del departamento de
Tecnologías de la Información y Comunicación de la Universidad Técnica de
Babahoyo para mejorar la gestión en la confidencialidad e integridad de la
Información. Babahoyo, Los Ríos, Ecuador.
PAZMIÑO, I. (2000). Investigación Científica 2 (Segunda edición ed.). Quito,
Ecuador: Grupo Leer.
POSSO GUERRERO, R. E. (Marzo de 2009). Desarrollo de políticas de seguridad
informática e implementación de tres dominios en base a la norma 27002 para el
área de Hardware en la empresa UNIPLEX SYSTEMS S.A. en Quito. Quito,
Pichincha, Ecuador.
QUESNEL, J. (2012). Entender ITIL 2011: Normas y mejores prácticas para
avanzar hacia ISO 20000. Ediciones ENI.
QUIRUMBAY YAGUAL, D. I. (2015). Desarrollo del Esquema de Seguridad, Paln
de recuperación ante desastres informáticos y solución para el nivel de exposición
de amenazas y vulnerabilidades aplicada a los servidores y equipos de
comunicación del Centro de Datos de la Municipalidad de la C. Guayaquil, Guayas,
Ecuador.
ROYER, J.-M. (2004). Seguridad en la informática de empresa: riesgos, amenazas,
prevención y soluciones. Barcelona, España: Ediciones ENI.
SANTACRUZ FERNÁNDEZ, Á. (2013). Plan de seguridad informatica y los riesgos
operativos en el municipio descentralizado de Quevedo provincia de Los Rios.
Quevedo, Los Rios, Ecuador.
Anexo 2 Autorización para realización del Proyecto de Tesis en el Sindicato de
Choferes Profesionales de Santo Domingo
Anexo 3 Certificación del Sindicato de Choferes Profesionales de Santo Domingo
referente a la entrega del Plan Informático a la institución
Anexo 4 Políticas de seguridad informática
POLÍTICAS DE SEGURIDAD INFORMÁTICA
SANTO DOMINGO – ECUADOR 2017
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO
Av. Chone Km. 1 y calle Obispo Schumacher
SINDICATO DE CHOFERES
PROFESIONALES DE SANTO DOMINGO
ÍNDICE GENERAL
ÍNDICE GENERAL ....................................................................................................... 2
INTRODUCCIÓN .......................................................................................................... 4
PROPÓSITO ................................................................................................................ 4
ALCANCE ..................................................................................................................... 4
OBJETIVO .................................................................................................................... 5
OBLIGACIONES Y CONTRAVENCIONES ................................................................... 5
BENEFICIOS ................................................................................................................ 5
RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE POLÍTICAS DE
SEGURIDAD INFORMÁTICA. ...................................................................................... 6
1 POLÍTICAS DE SEGURIDAD PARA LA INFORMACIÓN ..................................... 7
1.1 Acceso de la información ................................................................................ 7
1.1.1 Seguridad de accesos ............................................................................. 7
1.1.2 Establecimiento de usuarios .................................................................... 9
1.2 Seguridad de la información ......................................................................... 12
1.2.1 Gestión de la información ...................................................................... 12
1.2.2 Gestión de la Seguridad de la Información ............................................ 17
2 POLÍTICAS DE SEGURIDAD PARA RECURSOS INFORMÁTICOS .................. 20
2.1 Activos Informáticos ...................................................................................... 20
2.1.1 Gestión activos o recursos informáticos ................................................. 20
2.2 Hardware ...................................................................................................... 23
2.2.1 Gestión de servidores ............................................................................ 23
2.2.2 Equipos de cómputo .............................................................................. 25
2.2.3 Equipos Móviles .................................................................................... 29
2.3 Software ....................................................................................................... 33
2.3.1 Control de licencias de software empresarial ......................................... 33
2.3.2 Vulnerabilidades Técnicas del Software ............................................... 34
2.4 Sistemas de Información .............................................................................. 37
2.4.1 Sistemas operativos .............................................................................. 37
2.4.2 Gestión de sistemas propios .................................................................. 41
2.5 Terceros ....................................................................................................... 45
2.5.1 Gestión para terceras personas ............................................................. 45
3 POLÍTICAS DE SEGURIDAD PARA REDES Y COMUNICACIONES ................. 47
3.1 Redes ........................................................................................................... 47
3.1.1 Gestión de redes ................................................................................... 47
3.2 Comunicaciones ........................................................................................... 49
3.2.1 Administración de internet ..................................................................... 49
3.2.2 Administración de intranet ..................................................................... 52
3.2.3 Administración de correo electrónico ..................................................... 54
4 POLÍTICAS DE SEGURIDAD PARA ACCESO FÍSICO ...................................... 57
4.1 Seguridad física ............................................................................................ 57
4.1.1 Gestión de áreas seguras ...................................................................... 57
5 POLÍTICAS DE SEGURIDAD PARA LA CONTINUIDAD DEL NEGOCIO........... 60
5.1 Copias de Seguridad .................................................................................... 60
5.1.1 Gestión de copias de seguridad ............................................................ 60
5.2 Contingencias y recuperación de desastres ................................................. 63
5.2.1 Gestión de contingencias ...................................................................... 63
5.2.2 Administración y control ante contingencias .......................................... 63
GLOSARIO DE TÉRMINOS ....................................................................................... 64
ANEXOS ..................................................................................................................... 66
INTRODUCCIÓN
La base para que cualquier empresa u organización pueda operar de manera confiable
en materia de seguridad informática es el establecimiento de políticas de seguridad
claras y precisas las cuales detallen las directrices y lineamientos que se deben
considerar para la adecuada protección y resguardo de la información y equipamiento
tecnológico.
El presente documento contendrá las reglas que permitan definir de manera clara la
gestión, resguardo y asignación de los recursos tecnológicos del Sindicato de Choferes
Profesionales de Santo Domingo, acorde a los lineamientos de la Dirección y
departamento de TI (Tecnologías de la Información), concientizando a cada uno de los
miembros acerca de la importancia de la información propia de la empresa. Todas las
directrices y normativas establecidas en este documento deben ser revisadas
constantemente, para lograr determinar de manera oportuna la creación, actualización
y exclusión de cada normativa, con el fin de mitigar las vulnerabilidades, amenazas y
riesgos y lograr mantener un alto nivel de seguridad en la empresa.
PROPÓSITO
Este documento tiene como finalidad el establecimiento de Políticas de Seguridad
Informática, las cuales se rigen a normas y lineamientos para lograr proteger
adecuadamente los activos tecnológicos y la información del Sindicato de Choferes
Profesionales de Santo Domingo.
ALCANCE
El alcance de las Políticas de Seguridad Informática que contempla el presente
documento abarca todas las áreas y empleados de la organización, así como
contratistas y terceros que laboren o tengan relación con el Sindicato de Choferes
Profesionales de Santo Domingo, para conseguir un apropiado nivel de protección de
las características de seguridad y calidad de la información relacionada.
OBJETIVO
Establecer las políticas de seguridad informática en el Sindicato de Choferes
Profesionales de Santo Domingo, con el fin de velar por la adecuada protección,
preservación y salvaguarda de la información y recursos tecnológicos de la entidad.
OBLIGACIONES Y CONTRAVENCIONES
Es compromiso y deber de todos los empleados, contratistas y terceros que interactúen
con los recursos e información del Sindicato de Choferes Profesionales de Santo
Domingo cumplir el manual de Políticas de Seguridad Informática así como respetarlas
para el desarrollo de cualquier actividad de TIC (Tecnologías de la Información y
Comunicación).
En el momento en que se evidencia la infracción o incumplimiento de cualquier política
de seguridad contemplada en este documento, se debe considerar como una falta
disciplinaria y dará pie a las respectivas investigaciones internas, se aplicarán las
sanciones contempladas en el Reglamento Interno de la empresa y el vigente Código
de Trabajo del Ecuador según corresponda.
BENEFICIOS
Las políticas y estándares de seguridad informática definidos dentro de este documento
son la base para el amparo de los activos tecnológicos e información del Sindicato de
Choferes Profesionales de Santo Domingo.
RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE POLÍTICAS DE
SEGURIDAD INFORMÁTICA.
Tabla 1 Responsables en las etapas de desarrollo de políticas de seguridad informática
ETAPA RESPONSABLE
Creación Departamento de Tecnologías de la Información
Revisión Dirección General (Secretaría General), Recursos
Humanos y departamento de TI
Excepciones y Actualizaciones Dirección General (Secretaría General), Recursos
Humanos y Departamento de TI
Aprobación Dirección General (Secretaría General),
Socialización Departamento de Tecnologías de la Información
Cumplimiento Toda la Empresa
Supervisión Recursos Humanos - Departamento de TI
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta las etapas para el desarrollo de
políticas de seguridad en la empresa. Elaborado por: Rodríguez, D.
Para el establecimiento de cambios sean estos creación, excepciones y/o
actualizaciones de políticas de seguridad se lo realizara en base a una ficha modelo la
cual se la encuentra en los Anexos del presente documento, en ella se detallara los
motivos válidos y justificados para el control de cambios del presente manual, los
mismos se someterán al proceso de análisis y aprobación de las entidades involucradas
en las etapas de desarrollo de las políticas de seguridad informática.
1 POLÍTICAS DE SEGURIDAD PARA LA INFORMACIÓN
1.1 Acceso de la información
1.1.1 Seguridad de accesos
Objetivo: Establecer un adecuado control en la definición de accesos de usuarios a los
diferentes sistemas y aplicaciones informáticas que utiliza el Sindicato de Choferes
Profesionales de Santo Domingo.
Alcance: Esta política aplica a todos los usuarios que hagan uso de los sistemas y
aplicaciones informáticas en la institución.
1.1.1.1 Administración de contraseñas
a) Para garantizar la seguridad de la información y de los equipos, el departamento
de Sistemas o TI (Tecnologías de la Información) asignará a cada usuario las
claves de acceso para: acceso al computador, acceso a la red interna, acceso al
correo electrónico, acceso a las aplicaciones correspondientes.
b) El departamento de Tecnologías de la Información, responsables de activos
tecnológicos y los dueños de la Información serán los responsables de velar por
que los perfiles de acceso existentes sean acordes con las funciones realizadas
por cada uno de los usuarios.
c) En caso de que algún usuario deje de tener vínculo laboral con la Organización,
el departamento de Recursos Humanos de la empresa debe notificarlo por
escrito al departamento de Tecnologías de la Información, con la finalidad de
inactivar todas las cuentas, accesos, equipos y recursos informáticos asignados.
d) La contraseña podrá ser cambiada por requerimiento del dueño de la cuenta.
e) Todo usuario que tenga la sospecha de que su contraseña es conocido por otra
persona, tendrá la obligación de cambiarla inmediatamente.
1.1.1.2 Establecimiento de Contraseñas
Para el establecimiento de contraseñas se deben cumplir con los parámetros mínimos
contemplados para contraseñas fuertes o de alto nivel, entre ellos se encuentran:
a) Debe ser de mínimo seis caracteres alfanuméricos de longitud.
b) Debe contener como mínimo dos letras, de las cuales una debe ser Mayúscula.
c) Debe contener mínimo un número.
d) Debe contener como mínimo un carácter especial (+-*/@#$%&).
e) No debe contener vocales tildadas, ni eñes, ni espacios.
f) Las contraseñas deberán ser cambiados en forma obligatoria cuando se
presente alguna vulnerabilidad en los criterios de seguridad.
En el caso de presentarse algún incidente, vulnerabilidad o contra tiempo con los
sistemas o equipos asignados, los usuarios deben reportar inmediatamente al
departamento de Tecnologías de la Información para la solución de problemas y toma
de medidas correspondientes.
1.1.2 Establecimiento de usuarios
Objetivo: Garantizar el correcto uso de la Información por los usuarios de altos
privilegios en los sistemas y aplicaciones tecnológicas del Sindicato de Choferes
Profesionales de Santo Domingo.
Alcance: Esta política aplica a todos los usuarios con altos o máximos privilegios en los
componentes de los sistemas y aplicaciones tecnológicas del Sindicato de Choferes
Profesionales de Santo Domingo.
1.1.2.1 Asignación de Usuarios
a) Par la asignación de nuevos usuarios o perfiles de usuarios el departamento de
Recursos Humanos deberá emitir una solicitud de asignación de usuarios
indicando el departamento o área de contratación, cargo y datos del mismo,
dicha solicitud deberá ser aprobada por la Dirección General (Secretaría
General); solo de esta manera el departamento de Tecnología de la Información
(TI) realizara dicha actividad.
b) El departamento de Tecnologías de la Información (TI) es el responsable de
asignar usuarios unificados (mismo nombre de usuario) para los sistemas,
servicios y aplicaciones de esta manera se garantizará la estandarización por
cada usuario de la empresa.
c) La estandarización de los nombres de Usuario estará compuesta de la siguiente
manera:
Primera letra del primer nombre + primer apellido.
en caso de existir duplicidad se establecerá la primera letra del primer
nombre + primera letra del segundo nombre + primer apellido.
d) Ningún usuario será eliminado de un sistema, servicio o aplicación, se deberá
aplicar la inactivación del usuario.
e) Las cuentas de Usuario serán de uso personal y no podrán ser transferibles.
1.1.2.2 Usuarios Súper-usuario
a) Aplica los máximos privilegios a los usuarios que realizan actividades de
dirección en el sistema o programa tecnológico.
b) Las contraseñas de las cuentas de Súper-usuarios del sistema o programa
tecnológico no deben ser conocidas por el personal que realiza tareas de
administración o soporte.
c) La asignación de las calves de Súper-usuarios debe ser responsabilidad del
departamento de Tecnologías de la Información conjuntamente con
responsabilidad de la persona designada para tareas de Programación y
Desarrollo del mismo.
d) El departamento de Tecnologías de la Información (TI) deberá entregar una
copia en medio escrito y sobre sellado a la dirección general de la empresa
(Secretaría General) de las contraseñas de Súper-usuarios establecidas de los
sistemas de información o programas tecnológicos principales que utilice la
organización para la administración de la misma.
1.1.2.3 Usuarios Administradores
a) Se destina a todos los usuarios cuyo cargo se relacione con la administración
tecnológica de los sistemas de información.
b) La cuenta de un usuario administrador será utilizada para el monitoreo y control
del sistema por parte del responsable de Soporte o quien ejerza dichas
funciones.
1.1.2.4 Usuarios Avanzados
a) Aplica a los usuarios que por las funciones que desempeñan requieren acceso
de usuarios privilegiados a los sistemas, servicios y aplicaciones asignados.
b) Ningún Usuario avanzado debe modificar o alterar la información directamente
de las bases de datos sin previa autorización del Departamento de Tecnologías
de la Información.
1.1.2.5 Usuarios Finales
a) Los usuarios finales son aquellos cuyas funciones requieren acceso de usuario
a los sistemas, servicios y aplicaciones asignadas por la empresa.
1.2 Seguridad de la información
1.2.1 Gestión de la información
Objetivo: Garantizar el adecuado uso, resguardo, confidencialidad, integridad y
disponibilidad de la información de la empresa.
Alcance: Esta política aplica a todos los usuarios del Sindicato de Choferes
Profesionales de Santo Domingo.
1.2.1.1 Ubicación de la Información
a) Todos los equipos informáticos deben poseer una unidad de disco virtual o
partición, destinada para el almacenamiento de la información del usuario.
b) Para la optimización de copias de seguridad se deberá crear una estructura tipo
árbol, para almacenamiento y gestión de la información de los usuarios, según
determine el departamento de Tecnologías de la Información.
c) Los usuarios no deben almacenar información en los escritorios del sistema
operativo, esto puede ocasionar la perdida de la información en caso de
suscitarse algún inconveniente y se tenga que reinstalar el software para
reparación o recuperación del sistema; además puede ser susceptible a ingresos
y modificaciones no autorizadas, es por tal que se recomienda la creación de
accesos rápidos en el escritorio a los archivos permanentes de consulta.
1.2.1.2 Clasificación de la Información
a) La información debe ser clasificada acorde a su importancia y origen, que
permitan el uso, acceso de forma fácil y oportuna.
b) La información personal del usuario no es considerada crítica y su
almacenamiento será designado a un directorio específico y estará sujeta a
auditoria.
c) Todos los empleados y contratistas que conformen los diferentes departamentos
o áreas de la empresa deben clasificar la información que tengan bajo su
custodia.
d) Todo archivo debe ser almacenado en la estructura destinada para tal fin, bajo
alguna identificación o nombre que permita su fácil acceso.
e) La información pública debe tener una estructura definida por el usuario o
usuarios responsables del a misma y debe ser divulgada oportunamente a los
interesados.
f) Toda información utilizada por los usuarios del Sindicato de Choferes
Profesionales de Santo Domingo, es de la empresa en cuestión y el uso
inadecuado de la misma es responsabilidad del usuario.
1.2.1.3 Administración de archivos
a) Todo usuario que utilice los recursos informáticos, tiene la responsabilidad de
cuidar la integridad, confidencialidad, disponibilidad y auditoria dela información
que en ellos se maneje. Primordialmente si dicha información ha sido clasificada
como importante.
b) Los archivos creados por los usuarios deben ser de carácter confidencial, de
manera que no sean compartidos por todos los usuarios dela empresa sin previa
autorización.
c) Se compartirá solamente la información que el usuario autorice previa
confirmación del departamento de Tecnologías de la Información, la integridad
de toda información compartida entre usuarios es responsabilidad de los
mismos.
d) Los archivos que se utilicen en procesos institucionales o equipos de cómputo
que requieran una calve de acceso o contraseña especial deben ser notificados
al departamento de Tecnologías de la Información.
e) Toda la información debe contar con copias de seguridad para garantizar su
disponibilidad, seguridad y recuperación.
f) El acceso no autorizado a los sistemas de información y uso indebido de los
recursos informáticos de la empresa está prohibido. Se considera como
conducta de uso indebido de la información y recursos cuando el usuario incide
en las siguientes conductas:
Proporcionar o hacer pública la información sin la debida autorización.
Usar la información con el fin de obtener beneficio propio o de terceros.
Hurtar software del Sindicato de Choferes Profesionales (copia o
reproducción entre usuarios).
Modificar, reubicar o sustraer equipos de cómputo, software, periféricos
o información sin la debida autorización.
Evadir los mecanismos de seguridad o autentificación.
Utilizar los recursos e infraestructura tecnológica del Sindicato de
Choferes Profesionales de Santo Domingo (computadores, software,
información o redes), para acceder a recursos externos con propósitos
ilegales o no autorizados.
Descargar o publicar material ilegal, con derechos de propiedad o
material dañino o de cualquier otro tipo no autorizado usando recursos
de la empresa.
Uso de recursos del Sindicato de Choferes Profesionales de Santo
Domingo para acceder, descargar, imprimir almacenar, transmitir o
distribuir material pornográfico.
Violar cualquier ley o decreto nacional respecto al uso de sistemas de
informáticos y mal manejo de la información.
g) Se debe establecer la adopción de buenas prácticas para la administración
documental y de archivo que provea la mejor disposición de la información física
y digital.
1.2.1.4 Confidencialidad de archivos
a) La información de la empresa no podrá ser extraída de las instalaciones sin
anticipado conocimiento y autorización de la dirección general (Secretaría
General).
b) Siempre que se entregue información a terceros se debe hacer una evaluación
de dicha información, para determinar si la misma debe o no ser entregada.
c) En la contratación con terceros u Outsourcing (subcontrataciones), se debe
incluir una cláusula de confidencialidad la cual prohíba la divulgación por
cualquier medio de la información del Sindicato de Choferes Profesionales de
Santo Domingo.
d) Todos los usuarios deben mantener total confidencialidad de la información a la
cual tengan acceso y no utilizarla con propósitos ajenos a los destinados al cargo
que ejerzan.
e) En caso de que cualquier usuario de la empresa requiera copiar información
sensible, deberá contar con previa autorización del personal asignado por la
Dirección o Departamento de Tecnologías de la Información.
f) Todos los archivos en medio físico impreso de carácter confidencial, debe contar
con mecanismos de destrucción de papel, de tal manera que la información no
pueda ser leída por personal no autorizado.
g) Los departamentos administrativos, deben garantizar que toda la información
que salga o ingrese a través de recepción o forma directa a la empresa debe ser
registrada, controlada y tramitada adecuadamente.
1.2.1.5 Confidencialidad de datos del personal de la empresa, contratistas y
terceros.
a) La información personal de los empleados y contratistas de la empresa ya sean
nombres, direcciones, teléfonos, datos familiares, entre otros, deben ser de uso
restringido respetando la privacidad de la persona, Si la información en cuestión
es requerida por la empresa debe solicitarse el permiso de los implicados.
b) Si la empresa posee o adquiere un software en el cual se conserve información
personal de los empleados, la información allí almacenada debe ser de uso
restringido y dicha información podrá ser divulgada con la autorización del
empleado.
c) La información que concierna a deudas y estados de pagos de los empleados y
contratistas es confidencial y solo podrá ser divulgada con previa autorización
de los mismos.
d) Todo acuerdo, vínculo o servicio con terceros debe establecer un acuerdo de
confidencialidad, que garantice la integridad, confidencialidad y disponibilidad de
la información que tenga lugar la naturaleza del contrato.
e) La información de terceras partes no podrá ser divulgada y tendrá los mismos
lineamientos de confidencialidad que se establecen dentro del Sindicato de
Choferes Profesionales de Santo Domingo.
1.2.2 Gestión de la Seguridad de la Información
Objetivo: Determinar la función de la administración de la seguridad Informática y por
ende de la seguridad de la Información del Sindicato de Choferes Profesionales de
Santo Domingo.
Alcance: Esta política aplica a la dirección general, Departamento de Tecnologías de la
Información, Outsourcing Informático y usuarios.
1.2.2.1 Administración de la seguridad de la información.
a) La Dirección General (Secretaría General) y departamento de Recursos
Humanos tendrán a su cargo la revisión y validación de las políticas de
seguridad informáticas para resguardo de la información, recursos e
infraestructura tecnológica que plantee el departamento de Tecnologías del a
Información y las que considere adicionales y para el efecto de aprobación de
las mismas debe estar presente un representante del departamento de TI.
b) El departamento de Tecnologías del a Información (TI) será responsable de la
administración de la seguridad informática y debe velar por el cumplimiento de
las políticas, normas y procedimientos relacionados con seguridad informática,
así como la coordinación y elaboración de proyectos relacionados con la
creación de controles para mejorar y optimizar la seguridad de la información de
la empresa.
c) La Dirección General y departamento de Tecnologías de la Información (TI) de
la empresa deben aprobar las tareas de administración de seguridad informática
de los activos tecnológicos, tales como: definición de accesos, administración de
cuentas de usuarios, establecimiento de perfiles de usuarios y administradores,
atención de incidentes de seguridad informática
d) El departamento de Tecnologías de la Información (TI), debe documentar todas
las responsabilidades y procedimientos de seguridad informática, alineadas con
las pautas contempladas en las políticas de seguridad de la empresa.
e) El sindicato de Choferes Profesionales de Santo Domingo debe realizar
evaluaciones de manera periódica a cargo del departamento de tecnologías de
la información, referente a los servicios tecnológicos para de esta manera lograr
determinar los riesgos inherentes a la gestión y seguridad de la información.
f) Ningún ente interno o externo del sindicato de Choferes Profesionales de Santo
Domingo estará autorizado a general copias de la información de la empresa,
sin previa autorización por escrito de la Dirección General (Secretaría General).
1.2.2.2 Responsabilidad de la Dirección General
a) La Dirección General (Secretaria General) debe revisar, evaluar y aprobar las
políticas de seguridad Informática, tanto de la información, recursos e
infraestructura tecnológica de la empresa propuestas por el departamento de
Tecnologías de la Información (TI).
1.2.2.3 Responsabilidad del departamento de Tecnologías de la Información (TI)
a) El departamento de Tecnologías de la Información es responsable de la
distribución y administración de los recursos o activos informáticos solicitados
por los usuarios para llevar a cabo sus labores diarias.
b) El departamento de Tecnologías de la Información es responsable por la
custodia de la información en servidores, redes y medios de almacenamiento
digitales.
1.2.2.4 Responsabilidad de usuarios y custodios de la información.
a) El usuario es responsable por la administración, creación y tratamiento de la
información a su cargo.
b) Es responsabilidad de los usuarios de activos o recursos tecnológicos del
Sindicato de Choferes Profesionales de Santo Domingo:
Administrar y mantener de forma ordenada la información existente en el
computador personal que este a su cargo.
Hacer uso adecuado de la información perteneciente al Sindicato de
Choferes Profesionales de Santo Domingo y garantizar la integridad,
disponibilidad, confidencialidad y almacenamiento adecuado de la misma
para el cumplimiento de sus funciones.
Utilizar adecuadamente las contraseñas y mantener la confidencialidad
de las mismas.
Reportar al departamento de Tecnologías de la Información (TI),
cualquier incidente de seguridad que se presente en su equipo o en la
información que usa para sus labores diarias.
Hacer uso adecuado de los recursos informáticos dotados por el
Sindicato de Choferes Profesionales de Santo Domingo.
Conocer y cumplir íntegramente las políticas, normas, procedimientos y
directrices definidas por el Sindicato de Choferes Profesionales de Santo
Domingo.
c) Todo empleado del Sindicato de Choferes Profesionales de Santo Domingo de
nuevo ingreso deberá:
Leer el Manual de Políticas de Seguridad Informática para usuarios del
Sindicato de Choferes Profesionales, en el cual se dan a conocer las
obligaciones para los usuarios y las sanciones que pueden aplicar en
caso de incumplimiento.
2 POLÍTICAS DE SEGURIDAD PARA RECURSOS INFORMÁTICOS
2.1 Activos Informáticos
2.1.1 Gestión activos o recursos informáticos
Objetivo: Garantizar el buen uso de la infraestructura tecnológica (Hardware y
Software) del Sindicato de Choferes Profesionales de Santo Domingo, por sus
empleados y contratistas.
Alcance: Esta política aplica a todos los usuarios del Sindicato de Choferes
Profesionales de Santo Domingo.
2.1.1.1 Control de activos informáticos
a) Todos los cambios y configuraciones de los computadores de la empresa deben
realizarse por el personal de soporte del departamento de Tecnologías de la
Información.
b) Los activos de la información (computadores y periféricos) deben estar
protegidos por reguladores de voltaje, además las instalaciones eléctricas deben
tener técnicamente un buen estado.
c) Los equipos de cómputo y de comunicaciones deben estar protegidos por
Sistemas de Alimentación Ininterrumpida (SAI) o Uninterruptible Power Supply
(UPS) y sus instalaciones eléctricas deben tener técnicamente un buen estado
para determinar que el circuito no presente sobrecarga.
d) El sistema de cableado estructurado debe ser independiente del sistema de
energía de iluminación, y su gestión debe estar centralizada en buenas normas
eléctricas.
e) Las copias de seguridad, serán responsabilidad del departamento de
Tecnologías de la Información (TI) los mismos que aplicaran los procedimientos
necesarios que garanticen el adecuado tratamiento de los medios físicos y
digitales de la empresa.
f) La única entidad en la empresa con potestad para tener acceso a la información
y activos utilizados por los usuarios sin previa autorización será la Dirección
General, previo la supervisión del departamento de Tecnologías de la
Información (TI).
g) La responsabilidad de la gestión y administración de la seguridad de la
información, aplicación de políticas y controles de acceso definidos por la
Dirección General, departamento de Recursos Humanos o propietarios de los
activos de la información, estará a cargo del departamento de Tecnologías de la
Información (TI).
2.1.1.2 Responsabilidad de los usuarios
a) El usuario es responsable del cuidado y adecuado uso de los recursos
informáticos que le sean asignados para el desarrollo de sus funciones de
trabajo.
b) Los recursos informáticos destinados a cada uno de los usuarios, son para el
uso exclusivo de sus actividades laborales, por lo tanto no está permitido el uso
de los mismos con fines de ocio o lucro.
c) Los usuarios que manejen los activos o recursos informáticos de la institución no
podrán realizar actividades personales distintas al cargo por el cual fueron
contratados.
d) Los usuarios que manejen los activos o recursos informáticos son responsables
ante la Dirección General (Secretaría General) de la protección de la información
y de los recursos asignados, por lo cual deberán de comunicar al departamento
de Tecnologías de la Información (TI) todos los incidentes que puedan surgir y
vulnerar los controles de acceso y seguridad informática.
e) La instalación de software no autorizado es responsabilidad del usuario y
cualquier tipo de daño en la configuración del equipo por el incumplimiento de
esta política de seguridad debe ser asumida por el responsable del activo o
recursos informático. En caso de necesitarse la instalación de hardware y
software personal del usuario deberá solicitar la autorización del jefe del área
con el aval del departamento de Tecnologías de la Información (TI).
f) El uso de activos de información o recursos informáticos de la empresa para
actividades personales será considerado como un incumplimiento a esta política
de seguridad.
g) Los usuarios no podrán, descargar, instalar y transferir juegos, archivos de audio,
archivos de video, software y/o programas desde o hacia internet que no tengan
derechos de autor, excepto los que el departamento de Tecnologías de la
Información autorice.
h) Los activos, equipos y/o recursos informáticos no deben moverse o reubicarse
sin la previa aprobación del jefe del área involucrado. El traslado y nueva
instalación debe realizarlo el departamento de tecnologías de la información (TI).
i) Los usuarios y/o visitantes no podrán: comer, fumar o beber en los puestos de
trabajo o instalaciones con equipos tecnológicos, sin excepciones; al hacerlo
estarían exponiendo los equipos a daños eléctricos y a riegos de contaminación
sobre los dispositivos de almacenamiento.
2.1.1.3 Responsabilidad administrativa
a) La dirección General (Secretaría General), departamentos Administrativos y
departamento de Tecnologías de la Información (TI) deben garantizar la
elaboración y actualización de un inventario de los activos de la información y/o
recursos informáticos de la empresa, que garantice un fácil acceso, control y
auditoria.
b) Se deben consignar las herramientas necesarias que permitan la correcta
gestión de inventarios de los activos y recursos informáticos, empleando como
mínimo etiquetas de identificación externas.
2.2 Hardware
2.2.1 Gestión de servidores
Objetivo: Establecer medidas para la configuración y mantenimiento de los servidores
para lograr conservar la seguridad de los mismos, del software y datos en ellos
instalados.
Alcance: Esta política aplica al personal responsable de los servidores.
2.2.1.1 Control de accesos de servidores
a) Para la definición de accesos y privilegios a los servidores, la clave master de
“administrador” será gestionada únicamente por el responsable del
departamento de Tecnologías de la Información (TI), y debe existir una copia de
respaldo de la misma en poder de la Dirección General (Secretaría General).
b) Para la administración de los servidores por parte del Outsourcing Informático se
debe crear y asignar una calve con privilegios de administración, que será
responsabilidad del personal asignado para tal fin.
c) La gestión o administración de los servidores se debe realizar únicamente bajo
la utilización de canales seguros.
d) El acceso físico a servidores debe ser gestionado, programado y autorizado por
el departamento de Tecnologías de la Información (TI).
2.2.1.2 Gestión y administración de servidores
a) La gestión, operación, instalación, desinstalación y mantenimiento de servidores
es responsabilidad del Outsourcing Informático, mientras que la supervisión y
control son responsabilidad del departamento de Tecnologías de la Información.
b) El Outsourcing Informático debe asignar personal altamente calificado en la
administración de servidores e informar todas las novedades inherentes a la
gestión del mismo.
c) La operación de servidores desde departamentos o áreas de trabajo diferentes
a las designadas para soporte técnico, debe ser autorizada por el departamento
de Tecnologías de la Información (TI).
d) Los cambios en la configuración de los servidores de la empresa deben hacerse
siguiendo los procedimientos y parámetros establecidos para dicha operación.
2.2.1.3 Control y supervisión de servidores
a) Todos los servidores deben tener activos los servicios de auditoría de eventos
que garanticen la auditoria de las transacciones realizadas en ellos.
b) Todos los eventos relacionados con la seguridad, rendimiento, fallas y
vulnerabilidades se deben reportar al departamento de Tecnologías de la
Información (TI).
2.2.1.4 Accesos remotos a servidores
a) Toda herramienta de acceso remoto a servidores y equipos de cómputo, debe
ser autorizada por el departamento de Tecnologías de la Información (TI), e
instalada por la persona de soporte designada.
b) El acceso remoto a los equipos de cómputo será autorizado por el departamento
de Tecnologías de la Información (TI) previa solicitud por parte del responsable
de cada departamento, garantizando la confidencialidad de la información de
cada usuario.
c) Los soportes remotos se realizaran únicamente en caso de no tener acceso
directo al equipo que requiera el soporte, por eventos de localización física
externa o distante de la empresa.
d) Los accesos desde Internet/Intranet para utilizar sistemas de información de la
empresa en forma remota y en tiempo real deben ser autorizados por el
departamento de Tecnologías de la Información (TI).
e) Los accesos remotos para soportes en redes por terceros y proveedores de
servicios, deben ser asignados y aprobados por el departamento de Tecnologías
de la Información (TI).
2.2.2 Equipos de cómputo
Objetivo: Establecer medidas para el mantenimiento y configuración de los equipos de
cómputo y periféricos, además de lograr conservar la seguridad de hardware y datos
instalados en los mismos.
Alcance: Estas políticas aplican a todo el personal y usuarios que tengan asignados y
sean responsables de equipos de cómputo, periféricos y recursos informáticos del
Sindicato de Choferes Profesionales de Santo Domingo.
2.2.2.1 Configuración de equipos de cómputo
a) El departamento de Tecnologías de la Información (TI), debe efectuar todos las
normativas y/o guías de configuración de los equipos de cómputo y periféricos
de la empresa.
b) Los equipos de cómputo y periféricos deben ser configurados de tal forma que
los usuarios no puedan alterar la configuración ni instalar software.
c) Será responsabilidad del usuario solicitar la capacitación necesaria para el
manejo de las herramientas informáticas que se utilizan en su equipo, a fin de
evitar riesgos por mal uso y para aprovechar al máximo las mismas.
2.2.2.2 Control de accesos de equipos de cómputo
a) Para la asignación de los accesos a los equipos y periféricos, la clave máster
local de “administrador” será gestionada únicamente por el responsable del
departamento de Tecnologías de la Información (TI) y debe ser estándar
unificado para todos los equipos de la organización.
b) Para la gestión de los equipos de cómputo y periféricos por parte del Outsourcing
Informático, se debe crear y asignar una clave con privilegios de administración,
que será responsabilidad del personal asignado por el proveedor del
Outsourcing.
c) La correcta utilización de la cuenta de usuario para administración y su
contraseña a nivel de computadores personales está bajo la responsabilidad del
departamento de Tecnologías de la Información (TI).
2.2.2.3 Gestión y administración de equipos de cómputo
a) La gestión, operación, instalación, desinstalación y mantenimiento de los
equipos de cómputo y periféricos es responsabilidad del departamento de
Tecnologías de la Información (TI), en caso que se designe dichas tareas al
Outsourcing Informático se deberán hacer bajo la supervisión del departamento
de TI.
b) El departamento de Tecnologías de la Información (TI) y outsourcing Informático
debe asignar personal calificado en la gestión de equipos y periféricos y notificar
todas las novedades inherentes a la gestión del mismo.
c) Toda actividad que implique reasignación y traslado de equipos de cómputo y
periféricos entre diferentes áreas de trabajo deben ser realizadas y autorizadas
únicamente por el personal del departamento de Tecnologías de la Información
(TI) de la empresa.
d) Los cambios en los equipos de cómputo y periféricos deben hacerse siguiendo
los procedimientos establecidos para dicha operación.
e) Cuando se requiera realizar cambios múltiples del equipo de cómputo derivado
de reubicación de lugares físicos de trabajo, éstos deberán ser notificados con
una semana de anticipación al departamento de Tecnologías de la Información
(TI), autorizados por el titular del área que corresponda.
f) Todos los eventos relacionados con la seguridad, rendimiento, fallas y
vulnerabilidades se deben reportar al departamento de Tecnologías de la
Información (TI).
2.2.2.4 Mantenimiento de equipos de cómputo
a) Se debe hacer el mantenimiento periódico de los equipos de cómputo y
periféricos, utilizando las normativas y/o procedimiento diseñado por el
departamento de Tecnologías de la Información (TI).
b) Los procedimientos de Instalación y mantenimiento de los equipos de cómputo
y periféricos deben ser actualizados por el departamento de Tecnologías de la
Información.
c) Los parches más recientes de seguridad se deben probar, aprobar e instalar
tanto al sistema operativo de equipos de cómputo y periféricos como a las
aplicaciones activas, a menos que esta actividad interfiera con la producción.
d) Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/
desinstaladas.
e) Debe mantenerse un inventario actualizado de software y hardware de cada uno
de los equipos de cómputo y periféricos de la empresa.
f) El personal de soporte de la empresa o designado por el Outsourcing Informático
tiene la potestad para remover y notificar, cualquier software que no esté
autorizado por el departamento de Tecnologías de la Información (TI)
g) El departamento de Tecnologías de la Información (TI), debe generar los
procedimientos y normativas necesarios que garanticen la adecuada
generación, custodia y disposición de las copias de seguridad para los equipos
de cómputo y dispositivos de almacenamiento portátiles de la organización,
acordes con la política de Copias de Seguridad.
2.2.2.5 Actividades restringidas
a) Los usuarios que tengan asignados y hagan uso equipos de cómputo y
periféricos deben considerar los siguientes aspectos:
No ingerir bebidas o alimentos cerca de los equipos de cómputo y
periféricos.
No fumar dentro de las instalaciones o cerca a los equipos de cómputo y
periféricos.
No insertar objetos extraños en las ranuras de los equipos de cómputo y
periféricos.
No realizar actividades de mantenimiento de hardware, es decir que el
usuario abra o desarme los equipos de cómputo, porque con ello perdería
la garantía que proporciona el proveedor de dicho equipo.
No Instalar Software no autorizado en los equipos de cómputo y
periféricos, en caso de instalar software no licenciado, el usuario debe
asumir las consecuencias legales y económicas.
Apagar los equipos cuando no estén en uso.
Bloquear la sesión cuando esté ausente.
Se debe evitar colocar objetos encima del equipo o cubrir los orificios de
ventilación del monitor o del gabinete.
mantener el equipo informático en un entorno limpio y sin humedad.
b) El departamento de Tecnologías de la Información (TI) debe ser responsable de:
Conservar los equipos en adecuadas condiciones ambientales.
Mantener una adecuada protección contra fluctuaciones de voltaje.
Únicamente el personal de Soporte de la empresa pueda instalar
software en los equipos de cómputo y periféricos.
Establecer programas de mantenimiento de equipos de cómputo y
periféricos.
2.2.3 Equipos Móviles
Objetivo: Establecer normas para la configuración y mantenimiento de equipos de
cómputo y dispositivos de almacenamiento portátiles, para lograr conservar la seguridad
de hardware y datos instalados en los mismos.
Alcance: Estas políticas aplican a todo el personal y usuarios responsables de equipos
de cómputo, dispositivos de almacenamiento portátiles y recursos informáticos portables
del Sindicato de Choferes Profesionales de Santo Domingo.
2.2.3.1 Configuración de equipos móviles
a) El departamento de Tecnologías de la Información (TI) es el encargado de la
configuración de todos los equipos de cómputo y dispositivos de
almacenamiento portátiles de la organización.
b) Los equipos de cómputo y dispositivos de almacenamiento portátiles deben ser
configurados de tal forma que los usuarios no puedan alterar la configuración ni
instalar software.
2.2.3.2 Control de Accesos de equipos móviles
a) Para el establecimiento de los accesos a los equipos de cómputo portátiles y
dispositivos de almacenamiento, la clave máster local de “administrador” será
gestionada únicamente por el responsable del departamento de Tecnologías de
la Información (TI) y debe ser estándar unificado para todos los equipos de la
organización.
b) Para la gestión de los Equipos de Cómputo y dispositivos de almacenamiento
portátiles por parte del Outsourcing Informático, se debe crear y asignar una
clave con privilegios de administración, que será responsabilidad del personal
del departamento de Tecnologías de la Información (TI).
c) La correcta utilización de la cuenta de usuario para administración y su
contraseña a nivel de computadores personales está bajo la responsabilidad del
personal del departamento de Tecnologías de la Información (TI) y si se diese el
caso de contratación de Outsourcing Informático para soporte las contraseñas
serán gestionadas por los mismos con supervisión y autorización del
departamento de TI.
2.2.3.3 Gestión y administración de equipos móviles
a) La gestión, operación, instalación, desinstalación y mantenimiento de los
equipos de cómputo y dispositivos de almacenamiento portátiles es
responsabilidad del departamento de Tecnologías de la Información (TI).
b) El departamento de Tecnologías de la Información (TI) debe poseer personal
calificado en la gestión de equipos de cómputo y dispositivos de almacenamiento
portátiles y notificar todas las novedades inesperadas.
c) Los cambios en los equipos de cómputo y dispositivos de almacenamiento
portátiles los realizará el personal del departamento de Tecnologías de la
Información (TI).
2.2.3.4 Monitoreo de equipos móviles
a) Todos los eventos relacionados con la seguridad, rendimiento, fallas y
vulnerabilidades se deben reportar al departamento de Tecnologías de la
Información (TI), estos eventos se contemplan en las normativas y manuales
establecidos.
b) Se deben asegurar los mecanismos necesarios que mitiguen el riesgo de
extracción no autorizada de la organización, de equipos de cómputo y
dispositivos de almacenamiento portátiles.
2.2.3.5 Mantenimiento de equipos móviles
a) el departamento de Tecnologías de la Información (TI) debe realizar el
mantenimiento periódico de los Equipos de Cómputo y dispositivos de
almacenamiento portátiles.
b) Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas o
desinstaladas.
c) Debe mantenerse un inventario actualizado de software y hardware de cada uno
de los equipos de cómputo y dispositivos de almacenamiento portátiles de la
Organización.
d) Solo el personal del departamento de Tecnologías de la Información (TI), tiene
la potestad para remover y notificar, cualquier software no autorizado.
e) El departamento de Tecnologías de la Información (TI) debe generar los
procedimientos necesarios que garanticen la adecuada generación, custodia y
disposición de las copias de seguridad para los equipos de cómputo y
dispositivos de almacenamiento portátiles de la organización, acordes con la
política de Copias de Seguridad.
f) Se deben garantizar los mecanismos necesarios que permitan la generación de
las Copias de Seguridad de forma remota.
2.2.3.6 Actividades restringidas
a) Los usuarios de equipos de cómputo y dispositivos de almacenamiento
portátiles, deben registrar la entrada y salida de los mismos en los mecanismos
destinados para tal fin.
b) Todos los equipos de uso personal del usuario, deben ser registrados en la
entrada y salida de las instalaciones en los mecanismos destinados para tal fin.
c) Por el gran riesgo que existe en la manipulación externa de los equipos de
cómputo y dispositivos de almacenamiento portátiles, se deben contemplar las
siguientes recomendaciones de seguridad:
No transportar equipos de cómputo y dispositivos de almacenamiento
portátiles, en vehículos a la vista, o en maletines que expongan el
contenido, mitigando el riesgo de robo / hurto.
No prestar o reasignar equipos de cómputo y dispositivos de
almacenamiento portátiles a personal externo no autorizado por la
empresa.
En caso de pérdida o robo / hurto, se debe notificar el incidente de forma
inmediata al departamento de Tecnologías de la Información (TI) y al
Área Administrativa.
d) Los usuarios de los equipos de cómputo y dispositivos de almacenamiento
portátiles deben considerar los siguientes aspectos:
No ingerir bebidas y/o alimentos cerca de los equipos de cómputo y
dispositivos de almacenamiento portátiles
No fumar cerca a los equipos de cómputo y dispositivos de
almacenamiento portátiles.
No insertar objetos extraños en las ranuras de los equipos de cómputo y
periféricos.
No realizar actividades de mantenimiento de hardware.
No Instalar Software no autorizado en los equipos de cómputo y
dispositivos de almacenamiento portátiles, en caso de instalar software
no licenciado, el usuario debe asumir las consecuencias legales y
económicas.
Apagar los equipos cuando no estén en uso.
Bloquear la sesión cuando esté ausente.
e) Es responsabilidad del departamento de Tecnologías de la Información (TI)
garantizar los siguientes aspectos:
Mantener una adecuada protección contra fluctuaciones de voltaje,
dentro de las instalaciones.
Todos los equipos de cómputo deben mantener activa la política de
equipos desatendidos.
Únicamente el personal de Soporte de la empresa pueda instalar
software en los equipos de cómputo y dispositivos de almacenamiento
portátiles.
Establecer programas de mantenimiento de equipos de cómputo y
dispositivos de almacenamiento portátiles.
2.3 Software
2.3.1 Control de licencias de software empresarial
OBJETIVO: Establecer medidas para la gestión del software empresarial.
Alcance: Esta política es aplicable para el personal responsable de manejar y controlar
el licenciamiento del software empresarial.
2.3.1.1 Licencias
a) Todo software que se maneje a nivel de la empresa, es decir sistemas
operativos, sistemas de información, aplicaciones y herramientas de gestión,
debe ser direccionado y controlado de forma directa por el departamento de
Tecnologías de la Información (TI) y gestionado operativamente por el
Outsourcing Informático si se diera el caso.
b) El personal del departamento de Tecnologías de la Información (TI) será el único
autorizado para realizar la instalación, configuración, actualización y
desinstalación de software.
c) Debe existir un inventario de las licencias de software de la empresa, con el
propósito de facilitar la administración y control del software no licenciado.
2.3.1.2 Control de Licencias
a) El departamento de Tecnologías de la Información (TI) debe garantizar la
generación y actualización de inventarios de licencias del software de la
empresa, garantizando la legalidad del mismo ante entes de vigilancia externos.
b) La utilización de software de la empresa para fines personales, dentro o fuera de
la organización será responsabilidad de usuario responsable del activo o equipo
informático.
c) La extracción, préstamo, copia, venta o renta de software de la empresa para
fines ajenos o personales, no está autorizado bajo ninguna circunstancia.
2.3.2 Vulnerabilidades Técnicas del Software
Objetivo: Establecer las medidas necesarias para lograr prevenir, detener y eliminar
virus informáticos en los equipos de cómputo del Sindicato de Choferes Profesionales
de Santo Domingo.
Alcance: Esta política aplica a todos los empleados y contratistas ligados a la empresa.
2.3.2.1 Seguridad ante vulnerabilidades de Software
a) Los equipos de cómputo deben contar con Software Antivirus que garantice la
protección ante amenazas por virus informáticos, el mismo debe considerar
actualizaciones y filtro de correos entrantes y salientes.
b) Debe existir uno o varios software que gestionen la salida hacia internet y desde
internet, filtrado de contenidos, filtrado de páginas y monitoreo de navegación.
c) Se debe contar con un software de seguridad que permita controlar el acceso de
virus, troyanos, malware, spyware, phishing y spam.
d) El software de detección de virus y demás software de seguridad seleccionados
por la empresa, deben ser instalados en todos los servidores y equipos de
cómputo, incluyendo computadores portátiles del Sindicato de Choferes
Profesionales de Santo Domingo.
e) Para la utilización de medios electrónicos externos, de uso empresarial y/o
personal, correos electrónicos y descarga de archivos, se debe realizar
previamente el escaneo de los mismos.
f) Los usuarios deben conocer los procedimientos de detección y eliminación de
virus informáticos, para lo cual el departamento de Tecnologías de la Información
(TI), debe garantizar una capacitación o asesoramiento necesario para el uso de
las herramientas de seguridad existentes.
g) Los usuarios no deberán alterar o eliminar las configuraciones de seguridad para
detectar y/o prevenir la propagación de virus que sean implantadas por la
Dirección en programas tales como: Antivirus, Correo electrónico, Paquetería
Office, Navegadores u otros programas.
h) Es responsabilidad del departamento de Tecnologías de la Información (TI), que
todos los equipos asignados estén libres de virus, y responsabilidad de los
usuarios que la información gestionada en los activos asignados, y medio de
almacenamiento sean filtrados con el Software Antivirus y otros software de
seguridad instalados en cada uno de los equipos del Sindicato de Choferes
Profesionales de Santo Domingo.
2.3.2.2 Gestión de herramientas de Software
a) El departamento de Tecnologías de la Información (TI) es responsable de la
gestión de aplicaciones de seguridad informática que contemple las actividades
de instalación, configuración, administración, mantenimiento y desinstalación.
b) La actualización del antivirus debe ser gestionada para cada uno de los equipos
de cómputo de la empresa.
c) Las actualizaciones de nuevas versiones serán gestionadas únicamente por el
personal del departamento de Tecnologías de la Información (TI).ç
d) Debe realizarse una evaluación periódica, mínimo cada 2 años, de la gestión y
desempeño de las herramientas de seguridad informática existentes, y de ser
necesario, cambiarlas.
2.3.2.3 Notificación de incidentes de Software
a) Debe existir un formato o ficha de gestión de incidentes que registre todo el
seguimiento de los incidentes presentados hasta su solución.
b) Los usuarios de cada uno de los Sistemas de información son responsables de
solicitar soporte informático en caso de encontrar situaciones sospechosas en
los sistemas asignados o cualquier virus detectado en equipos de cómputo
asignados.
c) Todos los registros de detección de virus y otras vulnerabilidades, serán
revisados por el departamento de Tecnologías de la Información (TI) y de darse
el caso por el personal de Outsourcing contratado previa autorización y
supervisión de dicho departamento.
2.3.2.4 Tratamiento de vulnerabilidades de Software
a) Todas las configuraciones de los sistemas de seguridad, deben contemplar una
política de cuarentena, que garantice que las vulnerabilidades encontradas no
se difundan por las redes a otros equipos, hasta que se realice un análisis y
tratamiento por parte del departamento de Tecnologías de la Información (TI).
b) Cuando los virus no puedan ser eliminados a pesar de haber agotado los
mecanismos existentes para tal fin, el departamento de Tecnologías de la
Información (TI) deberá evaluar los aspectos de Seguridad de la Información.
2.4 Sistemas de Información
2.4.1 Sistemas operativos
Objetivo: Establecer políticas para la información que se maneja en los sistemas
operativos del Sindicato de Choferes Profesionales de Santo Domingo.
Alcance: Esta política aplica a todo el personal responsable de administrar los sistemas
operativos y plataformas institucionales del Sindicato de Choferes Profesionales de
Santo Domingo.
2.4.1.1 Gestión de Sistemas Operativos
a) La instalación y configuración de todos los sistemas operativos de la
organización, debe ser responsabilidad del Departamento de Tecnologías de la
Información o el Outsourcing informático, previa aprobación de dicho
departamento.
b) Debe existir una política centralizada, incluida en los protocolos de configuración
de equipos, que estandarice en todos los equipos de cómputo, la partición de
discos duros en 2 unidades virtuales:
Sistema operativo
Datos y copias de seguridad local.
c) Debe aplicarse una política centralizada de Escritorios limpios que minimicen el
riesgo de pérdida y confidencialidad de archivos, teniendo en cuenta que lo
contenido en el escritorio es susceptible de pérdidas en caso de fallas del
sistema operativo.
d) Debe aplicarse una política de equipos desatendidos que garanticen la
confidencialidad de la información, cuando el usuario no esté en su puesto de
trabajo.
e) El departamento de Tecnologías de la Información (TI), debe asignar a cada
usuario 4 cuentas:
Acceso a equipos de cómputo y red
Correo electrónico
Sistemas de Información que maneje la empresa
Herramientas de colaboración
2.4.1.2 Seguridad de los sistemas de información
a) El departamento de Tecnologías de la Información (TI) es el encargado de
establecer mecanismos de encriptación de Información en los Sistemas
Operativos y Redes.
b) Se deben habilitar todas las funcionalidades de los Sistemas Operativos de
Servidor, de tal forma que toda la información viaje por las redes (LAN o WAN)
en forma encriptado, con el fin de preservar su confidencialidad.
c) La encriptación de datos se debe realizar mediante Software y/o Hardware.
2.4.1.3 Directorio Activo
a) Se debe asignar una cuenta a todo usuario, que lo identificará y le dará acceso
a los recursos informáticos asignados.
b) Es responsabilidad del usuario, el buen uso y las actividades realizadas con la
cuenta asignada.
c) La asignación de cuentas y configuración de perfiles debe ser solicitada por el
Jefe del Área, y aprobada por la Dirección General (Secretaria General) de la
empresa, una vez aprobada el departamento de Tecnologías de la Información
(TI) autoriza la creación de cuentas y perfiles en los sistemas.
d) La estructura de creación de usuarios debe ser estandarizada y unificada para
todos los sistemas operativos, bases de datos y sistemas de información internos
y externos, y debe estar contemplada en el protocolo de creación de cuentas de
usuario.
e) La cuenta de usuario de red del Administrador de la Red y su contraseña, debe
ser conocida sólo por este, en caso de que otra persona requiera realizar
funciones propias del Administrador de la Red, por autorización expresa de éste,
debe utilizar una cuenta alterna que contenga exclusivamente los permisos para
realizar las actividades para la cual está autorizado.
f) Las claves deben ser cambiadas por lo menos 1 vez cada 6 meses.
2.4.1.4 Responsabilidades para administración de Sistemas operativos
a) Las cuentas de usuario de la red corporativa son personales e intransferibles.
Bajo ninguna circunstancia este tipo de cuentas deben ser conocidas por una
persona diferente a su propietario.
b) Está prohibida habilitar en algún sistema o aplicación la característica de
recordación de claves.
c) Toda novedad presentada por los empleados y contratistas del Sindicato de
Choferes Profesionales de Santo Domingo (ingresos, licencias, sanciones,
suspensiones, ascensos y/o retiros) debe ser reportada mensualmente por el
Jefe del Área Administrativa.
d) No se debe revelar, compartir, prestar o hablar de las claves, o formato de claves
a nadie, ya que las mismas son de uso exclusivo por los usuarios propietarios
de las mismas, en caso de violar esta política el usuario o contratista estar sujeto
a sanciones disciplinarias.
2.4.1.5 Control de accesos a sistemas operativos
a) No se deben asignar cuentas de usuario genéricas, es decir cuentas que son
utilizadas por varios usuarios de la empresa.
b) Está prohibido delegar o subministrar las calves en periodos de ausencia,
calamidad o vacaciones de los usuarios.
c) Todas las cuentas serán creadas con los permisos del grupo general, si el
usuario necesita permisos adicionales o necesita pertenecer a un grupo
específico para acceso a recursos propios de su trabajo debe hacer una solicitud
sustentada al departamento de Tecnologías de la Información (TI).
d) Las características de asignación de claves, debe estar acorde a lo contemplado
en la política correspondiente.
2.4.2 Gestión de sistemas propios
Objetivo: Establecer medidas las herramientas para el desarrollo (Bases de Datos y
Lenguajes de Programación) para realizar los cambios y mantenimiento de software.
Alcance: Esta Política aplica a todos los usuarios de las aplicaciones del Sindicato de
Choferes Profesionales de Santo Domingo, contratistas involucrados en el desarrollo,
actualización y pruebas de programas, así como en la seguridad a los mismos.
2.4.2.1 Proyectos para desarrollo de sistemas propios
a) Los proyectos de desarrollo de Software en la empresa, o para cumplimiento de
proyectos especiales que involucren aplicaciones o sistemas de información, el
departamento de Tecnologías de la Información (TI), debe diseñar los
parámetros necesarios que el desarrollador debe cumplir para documentar las
actividades que se describen a continuación:
Análisis de requerimientos internos, que debe ser revisado y aprobado por el
departamento de Tecnologías de la Información (TI).
Documento RFI – Requerimiento de Información, para entrega al proveedor
de la solución.
Análisis técnico de requerimientos, como respuesta por parte del proveedor
de la solución.
Documento RFP - Requerimiento de Propuesta, para entrega al proveedor
de la solución.
Documento de la Propuesta, que debe contemplar: análisis situacional,
propuesta económica, propuesta técnica, documentación legal y jurídica,
además soportes requeridos acordes al cada proyecto.
2.4.2.2 Ciclo de Vida del desarrollo de software
a) Debe definirse y aplicarse una metodología de desarrollo de aplicativos que
contemple las fases que se describen a continuación:
Análisis del negocio: Se debe exigir para todo desarrollo de Software, un
levantamiento de información, un análisis situacional y deben estar
claramente documentadas.
Planeación y diseño: debe contemplar un diseño de la solución, y un plan de
ejecución.
Desarrollo: debe especificar las herramientas de desarrollo, la estructura y
arquitectura de la solución, modelos entidad-relación y diccionarios de datos.
Prototipo y pruebas: Debe contemplar la presentación de prototipos de
evaluación y ajuste.
Instalación y estabilización: Debe contemplar plan de implementación,
migración y estabilización de la solución.
Soporte y mantenimiento: debe contemplar el plan de mantenimientos
correctivos, acuerdo de servicios y plan de continuidad, plan de respaldo,
plan de recuperación y plan de contingencia. Para cada solución se deben
entregar: Manual de Usuario, Manual de administración, Manual Técnico de
Instalación y configuración.
2.4.2.3 Plan de pruebas para implementación de sistemas propios
a) Debe definirse un plan de pruebas que especifique escenarios de pruebas,
niveles y tipos de pruebas que se deban realizar a los aplicativos.
b) El resultado de las pruebas debe documentarse por los desarrolladores en
conjunto con los usuarios del área solicitante.
2.4.2.4 Control de cambios
a) El departamento de Tecnologías de la Información (TI) debe Integrar y mantener
todas las actividades de cambio (documentación y formación de procedimientos
para usuarios y administradores) del Software / aplicaciones.
b) Se debe disponerse de un inventario de aplicativos actualmente existentes en el
Sindicato de Choferes Profesionales de Santo Domingo, especificando si se
encuentran en producción o desarrollo, si ha sido un desarrollo propio o
adquisición a terceros.
c) Para todos los cambios y ajustes autorizados, y en ejecución se debe conservar
un registro escrito de las modificaciones realizadas., para la cual se debe crear
un registro de control de cambios.
d) Los cambios de emergencia deben ser debidamente aprobados, auditados y
documentados.
e) Todo cambio a los aplicativos debe ser requerido por el Jefe del departamento
solicitante y aprobado por el departamento de Tecnologías de la Información
(TI).
f) La documentación de todas las aplicaciones del Sindicato de Choferes
Profesionales de Santo Domingo debe ser permanentemente actualizada por los
desarrolladores.
2.4.2.5 Seguridad en desarrollo de sistemas propios
a) El departamento de Tecnologías de la Información (TI) debe implementar los
mecanismos y herramientas necesarias para garantizar la seguridad en los
procedimientos y métodos de desarrollo, operaciones y gestión de cambios del
Software / aplicaciones, que se desarrollen interna o externamente para la
empresa.
b) Todos los sistemas de información deben contar con usuario y clave (Fuerte) la
clave debe estar encriptado.
c) Todos los Sistemas de Información deben permitir restringir el acceso a las
opciones de la aplicación utilizando para ello, los perfiles de acceso, los mismos
deben ser de acceso restringido, tan solo el administrador del sistema de
información debe tener acceso.
d) Todas las aplicaciones deben tener pistas o registros de auditoría (al menos para
los datos críticos), en el cual se pueda identificar quien ha realizado cambios,
borrados o inserción de datos no autorizados.
e) Las pistas de auditoría no deben permitir cambios de las mismas (son
únicamente de lectura).
f) El software debe permitir realizar Copias de Seguridad de las pistas para así,
borrar y reducir el tamaño de dicho archivo, de requerirse las pistas se restaurará
la Copia de Seguridad.
g) Todos los cambios a programas deben realizarse en el ambiente de desarrollo,
los desarrolladores no deben tener acceso a los ambientes de pruebas y
producción.
h) Deben existir los elementos y herramientas necesarias que restrinjan el acceso
a las bases de datos en las que se almacena la información institucional.
i) Los desarrolladores deben tener acceso únicamente al ambiente de desarrollo y
pruebas.
j) El Lenguaje en el cual se desarrolle el sistema de información debe garantizar la
fácil integración con los demás sistemas de la empresa.
2.5 Terceros
2.5.1 Gestión para terceras personas
Objetivo: Establecer las medidas y responsabilidades de gestión para terceros.
Alcance: Esta política aplica todas las terceras personas y contratistas que tengan un
vínculo con el Sindicato de Choferes Profesionales de Santo Domingo.
2.5.1.1 Gestión y procedimientos para terceros
a) Es necesario que exista un proceso y procedimientos que establezcan la
selección y contratación de proveedores de servicios, bienes, muebles e
inmuebles.
b) Se debe manejar un proceso y procedimientos que establezcan los elementos
de evaluación de la gestión y actividades de proveedores contratados por la
organización.
c) Se deben establecer ANS - Acuerdos de Nivel de Servicio con los proveedores
de servicios y productos de Tecnologías de Información y Comunicaciones, el
mismo deberá establecer entre las características más importantes: el tipo de
servicio, soporte a clientes y asistencia, provisiones para seguridad y datos,
garantías del sistema y tiempos de respuesta, disponibilidad del sistema,
conectividad, multas por caída del sistema. Este tipo de acuerdo se lo realiza
con el fin de garantizar la confiabilidad, integridad y disponibilidad de los servicios
y productos contratados.
d) Se deben establecer acuerdos de confidencialidad con los proveedores de
Tecnologías de Información y Comunicación, o cláusulas de confidencialidad en
los contratos establecidos, que garanticen la confidencialidad de la información
de la empresa.
e) Se deben establecer mecanismos de evaluación de proveedores de servicios y
productos, de forma periódica.
f) Deben existir elementos de valoración de los servicios y productos recibidos,
periódicamente.
g) Los proveedores de Servicios de Tecnologías de Información y Comunicaciones
son responsables por el buen uso y cuidado de todos los elementos y
componentes de la infraestructura y plataforma tecnológica de la empresa.
h) Los proveedores de Servicios de Tecnologías de Información y Comunicaciones,
podrán acordar horarios con el jefe responsable del departamento de
Tecnologías de la Información en los cuales brindaran servicios de soporte
técnico o mantenimiento a los equipos de cómputo, servidores, Sistemas de
Información, entre otros.
2.5.1.2 Manejo de Servicios para terceros
a) Se deben requerir a los proveedores de Tecnologías de Información y
Comunicaciones, las certificaciones de implementación de buenas prácticas,
estándares internacionales y modelos de madurez, tales como ISO-9001, ISO-
27001, ISO-20000 o ITIL, acorde a la prestación de sus servicios.
b) Cada uno de los proveedores de Servicios de Tecnologías de Información y
Comunicaciones, deben definir un mecanismo que permita realizar la adecuada
gestión de solicitudes, incidentes, eventos y problemas que se puedan presentar
con sus respectivas soluciones.
3 POLÍTICAS DE SEGURIDAD PARA REDES Y COMUNICACIONES
3.1 Redes
3.1.1 Gestión de redes
Objetivo: Establecer normativas para proteger la integridad de la información que es
transmitida interna y externamente, contra amenazas y vulnerabilidades.
Alcance: Esta política aplica a todo el personal responsable de administrar las redes
del Sindicato de Choferes Profesionales de Santo Domingo.
3.1.1.1 Control de redes
a) Se debe realizar el monitoreo permanente de la infraestructura de
comunicaciones como de los servidores, de manera que se detecten los
problemas que pueden llegar a causar fallas en la disponibilidad de los servicios
de las redes de la organización.
b) Los centros de cableado, Centros de Monitoreo/Vigilancia y Centros Eléctricos,
están catalogados como zonas restringidas, con control de acceso y restricción
a personal no autorizado.
c) El departamento de Tecnologías de la Información (TI) tiene la autoridad de
efectuar revisiones en los computadores de la empresa y eliminar aquellos
programas o software que no son parte de las funciones realizadas por el
usuario, presentando reporte a la Secretaría General.
a) La configuración de accesos a la información de las estaciones de trabajo desde
la red, deben tener acceso restringidos a los directorios que garanticen la
restricción de accesos no autorizados.
3.1.1.2 Controles y restricciones de acceso
a) El departamento de Tecnologías de la Información debe poseer documentos
técnicos que describan las configuraciones de red y su interacción con
componentes internos y externos.
b) Deben existir protocolos que detallen los controles de seguridad de las Redes
de Área Local – LAN y Redes de Área Global – WAN; e internos entre Redes de
Área Local LAN y Redes de Área Local WiFi – WLAN.
c) Los usuarios de la red interna de la empresa, no pueden efectuar acciones en la
red que sean exclusivas de los administradores de red.
d) Los usuarios y contratistas no deben llevar a cabo ningún tipo de instalación de
líneas telefónicas, canales de transmisión de datos, módems, ni cambiar su
configuración sin haber sido formalmente aprobados por el departamento de
Tecnologías de la Información (TI).
3.2 Comunicaciones
3.2.1 Administración de internet
Objetivo: Garantizar el correcto uso del servicio de internet como herramienta primordial
de información, comunicación e investigación del Sindicato de Choferes Profesionales
de Santo Domingo.
Alcance: Esta política aplica para todos los empleados y contratistas del Sindicato de
Choferes Profesionales de Santo Domingo.
3.2.1.1 Administración y uso de internet
a) El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las
funciones asignadas a los empleados y contratistas del Sindicato de Choferes
Profesionales de Santo Domingo.
b) Toda conexión entre las redes corporativas y redes externas de servicios
(Outsourcing), redes públicas e Internet, debe contar como mínimo con
mecanismos de control de acceso lógico (validación y autenticación de usuarios).
c) El departamento de Tecnologías de la Información (TI) es el responsable del
monitoreo y revisiones periódicas del uso apropiado de Internet.
d) Los usuarios son responsables de respetar y seguir las leyes para derechos de
reproducción, patentes, marcas registradas y todo lo relacionado con derechos
de autor las cuales aplican en Internet.
e) Para inscripciones y transacciones comerciales en Internet se debe entender que
esta clase de actuaciones no compromete en forma alguna los recursos
económicos ni implica responsabilidades por parte del Sindicato de Choferes
Profesionales de Santo Domingo. En caso de presentarse algún inconveniente
este comprometerá exclusivamente al empleado, y la empresa podrá tomar las
acciones del caso.
f) Se debe hacer un adecuado uso del servicio de Internet, y se considera como
uso indebido las siguientes conductas:
Quebrantar la integridad, veracidad y confidencialidad de la información del
Sindicato de Choferes Profesionales de Santo Domingo.
Atentar contra la integridad de los componentes de la plataforma tecnológica.
Disminuir la productividad de los empleados y contratistas.
Poner en riesgo la disponibilidad de los recursos informáticos del Sindicato
de Choferes Profesionales de Santo Domingo.
g) La asignación del servicio de internet, deberá solicitarse por escrito a la Dirección
General, señalando los motivos por los que se desea el servicio. Esta solicitud
deberá contar con el visto bueno del titular del área correspondiente para que el
Departamento de Tecnologías de la Información (TI) proceda a la instalación del
servicio.
3.2.1.2 Seguridad de internet
a) Deben existir las normativas correspondientes que garanticen el uso adecuado
del internet así como Firewall, Proxy, DNS, Filtro de Contenidos, Anti-virus, anti-
spam, anti-spyware, anti-phising, anti-malware y demás software para gestión
de vulnerabilidades de redes, aprobados por el departamento de Tecnologías de
la Información (TI) y avaladas por la empresa.
b) Los usuarios con acceso a Internet deben estar seguros de los sitios visitados,
identificando las advertencias de acceso a sitios desconocidos.
c) No se debe registrar en los sitios de Internet datos específicos de las
computadoras de la empresa como la dirección IP, nombre de la máquina,
nombres de usuarios, claves, nombre de redes institucionales entre otros, que
puedan exponer la confidencialidad de las redes y exponerse a la recepción no
deseada de mensajes o información.
d) Todos los accesos a internet tienen que ser realizados a través de los canales
de acceso provistos por el Sindicato de Choferes Profesionales de Santo
Domingo.
3.2.1.3 Restricciones para el uso de internet
a) Está totalmente prohibido el acceso a sitios de pornografía y de cualquier otra
índole que atente contra la integridad de los empleados y contratistas del
Sindicato de Choferes Profesionales de Santo Domingo.
b) Los empleados y contratistas deben reducir su acceso a páginas de
entretenimiento, distracción o correos en portales públicos, el Sindicato de
Choferes Profesionales de Santo Domingo podrá aplicar restricciones o
sanciones en casos que se encuentren excesos.
c) Se debe auto-regular el uso de herramientas de mensajería instantánea y chat
en horas laborales, evitando que se afecte la productividad.
d) No está permitido instalar y usar juegos en los computadores, debido que estos
se deben usar como una herramienta de trabajo y no como forma de distracción.
e) No está permitido descargar música de ningún sitio de Internet, entre otros: mp3,
mp4, wav, wma, midi, mpeg, jpeg,j pg, gif, o cualquier otro formato existente,
dado que ello constituye una violación al derecho de autor sobre ese tipo de
obras grabadas o descargadas libremente.
f) No está permitido descargar ni instalar software de Internet. El único personal
autorizado para instala cualquier tipo de software será el departamento de
Tecnologías de la Información (TI) acorde a las políticas existentes.
3.2.2 Administración de intranet
Objetivo: Garantizar el correcto uso de internet como herramienta primordial de
información, comunicación e investigación del Sindicato de Choferes Profesionales de
Santo Domingo.
Alcance: Esta política aplica para todos los empleados y contratistas del Sindicato de
Choferes Profesionales de Santo Domingo.
3.2.2.1 Administración y uso de la intranet
a) El servicio de Internet tiene que ser utilizado para facilitar el cumplimiento de las
funciones asignadas a los empleados y contratistas del Sindicato de Choferes
Profesionales de Santo Domingo.
b) Debe existir un procedimiento de administración de la intranet, en especial el
mantenimiento y depuración de la información publicada, que garantice el buen
uso de este y de las herramientas disponibles para su gestión.
c) La información de Intranet debe ser únicamente utilizada por personal
autorizado, los usuarios no deben re-direccionar información que aparezca en
Intranet a terceros sin autorización de la empresa.
d) Se debe hacer uso prudente del servicio de Internet, y se considerará como uso
inadecuado cuando:
Infringe contra la integridad, veracidad y confidencialidad de la información
del Sindicato de Choferes Profesionales de Santo Domingo.
Infringe contra la integridad de los componentes de la plataforma tecnológica.
Disminuye la productividad de los empleados y contratistas.
Pone en riesgo la disponibilidad de los recursos informáticos del Sindicato de
Choferes Profesionales de Santo Domingo.
3.2.2.2 Seguridad de la intranet
a) Se debe contar con los mecanismos de gestión y control apropiados para
garantizar el adecuado uso de la Intranet, tales como Firewall, Proxy, DNS, Filtro
de Contenidos, Anti-virus, antispam, anti-spyware, anti-phising, anti-malware y
demás software para gestión de vulnerabilidades de redes, aprobados por el
departamento de Tecnologías de la Información (TI) y avaladas por la empresa.
b) El material que se publique en la Intranet de la empresa debe ser revisado
previamente para confirmar la actualidad, oportunidad e importancia de la
información y evitar que los programas o archivos incluyan virus. Así mismo, se
debe evaluar posibles problemas operativos y de seguridad de acuerdo con las
políticas establecidas.
3.2.2.3 Restricciones de la intranet
a) Está prohibida la publicación de material de pornografía y de cualquier otra
índole que trasgreda contra la integridad de los usuarios de la empresa.
b) No está permitido publicar o usar juegos en redes internas de trabajo.
c) No está permitido publicar, transmitir, almacenar o copiar música desde ni hacia
componentes de redes o unidades internas de la empresa.
3.2.3 Administración de correo electrónico
Objetivo: Impedir la expansión de correo basura, o cualquier tipo de virus a través del
correo interno de la empresa, además de prevenir proyectar una mala imagen pública
de Sindicato de Choferes Profesionales de Santo Domingo, cuando se utilice el correo.
Alcance: Establecer las normativas que debe cumplir cualquier correo electrónico
enviado desde una cuenta de correo del Sindicato de Choferes Profesionales de Santo
Domingo.
3.2.3.1 Administración y uso de correo electrónico
a) Debe existir una normativa de gestión y asignación de correos electrónicos.
b) Todos los empleados y contratistas del Sindicato de Choferes Profesionales de
Santo Domingo, tendrán correo electrónico personalizado el cual se
implementará en la medida en que se disponga de computadores para tal fin.
c) Las direcciones de correo electrónico deben ser creadas usando el estándar
establecido por el Sindicato de Choferes Profesionales de Santo Domingo y
deben tener una cuota de almacenamiento máximo.
d) El correo del Sindicato de Choferes Profesionales de Santo Domingo, no se debe
usar para la creación o distribución de cualquier mensaje corrupto u ofensivo,
cualquier empleado y contratista que reciba mensajes de correo con este tipo de
contenido desde cualquier cuenta del Sindicato de Choferes Profesionales debe
reportar este asunto al Departamento de Tecnologías de la Información (TI).
e) Se debe eliminar todo el correo basura cartas cadena o similares
inmediatamente sin reenviarlo. Los empleados y contratistas del Sindicato de
Choferes Profesionales de Santo Domingo no deben contar con ningún tipo de
privacidad respecto de cualquier información que guarden, envíen o reciban en
el sistema de correo de la empresa.
f) Usar en cantidad sensata los recursos del Sindicato de Choferes Profesionales
de Santo Domingo para mensajes de correo personales es aceptable. Los
mensajes de correo que no sean relacionados con el trabajo se deben guardar
en una carpeta separada de los mensajes de oficina.
3.2.3.2 Seguridad de correo electrónico
a) Se bebe realizar un análisis de virus, con la herramienta asignada por el
departamento de Tecnologías de la Información (TI) para tal fin, de todos los
archivos adjuntos que son enviados o recibidos por el correo electrónico.
b) Todo incidente de seguridad o desempeño del correo electrónico, debe ser
notificado al departamento de Tecnologías de la Información (TI), empleando los
canales establecidos para ello.
3.2.3.3 Responsabilidades en el manejo de correo electrónico
a) Los usuarios son responsable del buzón deben dar una gestión ágil al correo
electrónico recibido es decir responder, eliminar, archivar mensajes en el disco
duro local.
b) El sistema de correo electrónico debe ser utilizado únicamente para la
transmisión de información relacionada con asuntos laborales del usuario y/o
asuntos de interés común que incidan en la buena marcha y en el mejoramiento
de la armonía laboral de la empresa.
c) Es responsabilidad de los usuarios de Correo Electrónico hacer limpieza /
depuración a su buzón de correo.
d) Los buzones de correo configurados son de uso exclusivo del usuario al que fue
asignado y serán de su responsabilidad todos aquellos mensajes enviados en
su nombre.
e) Todos los mensajes que se envíen a través del correo electrónico deben estar
enmarcados en normas mínimas de respeto.
f) El mantenimiento de la lista de contactos y del buzón de correo será
responsabilidad de los usuarios del servicio conservando únicamente los
mensajes necesarios, con el fin de no exceder el máximo tope de
almacenamiento.
3.2.3.4 Restricciones de correo electrónico
a) Está prohibido Enviar cartas, cadenas o mensajes con bromas desde un correo
de la empresa, así como correos masivos a menos que se tenga autorización
del departamento de Tecnologías de la Información (TI).
b) El correo electrónico no debe ser utilizado por terceros (clientes o proveedores)
sin previa autorización.
c) No está permitido que los mensajes a enviar, que contengan fondos, imágenes
o logos no corporativos.
d) Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario
de correo electrónico.
e) Los usuarios de la empresa no deben utilizar versiones escaneadas de firmas
hechas a mano para dar la impresión de que un mensaje de correo electrónico
o cualquier otro tipo de comunicación electrónica ha sido firmado por la persona
que la envía.
f) No se debe abrir o revisar correo que tenga procedencia de remitentes
desconocidos.
g) Como uso inapropiado del correo electrónico se considera:
Intentos de acceso y/o accesos no autorizados a otra cuenta de correo.
Transmisión de mensajes de correo con información sensible o confidencial
a personas u organizaciones externas sin autorización.
Cadenas de mensajes que congestionen la red.
Transmisión de mensajes obscenos.
Cualquier actividad no ética que afecte a la Organización.
4 POLÍTICAS DE SEGURIDAD PARA ACCESO FÍSICO
4.1 Seguridad física
4.1.1 Gestión de áreas seguras
Objetivo: Establecer controles de acceso a los diferentes departamentos o áreas
restringidas del Sindicato de Choferes Profesionales de Santo Domingo.
Alcance: Las políticas se aplican a para todas los departamentos o áreas restringidas
del Sindicato de Choferes Profesionales de Santo Domingo.
4.1.1.1 Áreas seguras
a) Se pueden considerar como áreas seguras: las oficinas de la Dirección
(Secretaria General), archivos administrativos, archivos operativos,
departamento contable, recaudación, centro de procesamiento de datos, centros
de cableado y centros eléctricos, centros de monitoreo / vigilancia, y demás que
determine la Dirección.
b) Las áreas seguras deben ser discretas y ofrecer un señalamiento mínimo de su
propósito, sin signos obvios, exteriores o interiores.
c) Se deben revisar y actualizar periódicamente los perfiles de acceso a las áreas
protegidas.
d) Los materiales peligrosos o combustibles deben ser almacenados en lugares
seguros a una distancia prudencial del área protegida
e) Debe existir un Plan de Evacuación en casos de siniestros de cualquier índole.
f) El ingreso para fines de aseo y mantenimiento de áreas seguras, se debe realizar
mediante la autorización del responsable del área o un delegado por el mismo.
4.1.1.2 Control de acceso
a) Deben existir procedimientos de accesos físicos a las instalaciones y
departamentos de la organización, debidamente documentado y soportado, que
garantice el registro de todo tipo de actividad de acceso hacia y desde las
instalaciones.
b) El acceso a las oficinas por parte de visitantes está permitido únicamente bajo
acompañamiento de los empleados y contratistas de la Oficina, con el fin de
reducir riesgo de hurto a equipos portátiles, dispositivos periféricos u otros.
c) El acceso de visitantes, o terceros en horarios no laborales debe estar
supervisado por el responsable del área implicada.
d) Los visitantes deben ser supervisados o inspeccionados y la fecha y horario de
su ingreso y egreso deben ser registrados.
e) Se deben registrar las actividades realizadas en las zonas restringidas por
personal externo, además se debe llenar una ficha en la cual conste el nombre,
fecha, hora entrada, hora salida y actividad a realizar.
f) Se debe registrar todo paquete, vehículo u otro, con el fin de garantizar la entrada
y salida de equipos de cómputo propios del Sindicato de Choferes Profesionales
de Santo Domingo.
g) Se debe requerir que el personal exhiba alguna identificación visible.
4.1.1.3 Acceso al Centro de Procesamiento de Datos
a) Ningún usuario ajeno al departamento de Tecnologías de la Información (TI),
debe ingresar al Centro de Procesamiento de Datos (CPD), únicamente podrán
acceder las personas autorizadas en caso obligatorio para efectos de
mantenimiento, previa autorización por parte del departamento de TI.
b) El centro de Procesamiento de Datos (CPD) debe permanecer cerrado y con
mecanismos de control de acceso apropiados (biométrico de acceso), debe
mantener un registro que permita auditar todos los accesos y estos deben estar
físicamente separadas de áreas administradas por terceros.
c) La configuración del centro de Procesamiento de Datos (CPD), debe cumplir con
los mínimos requerimientos de seguridad, adoptando políticas, estándares o
normas internacionales.
d) El equipamiento de sistemas o soporte deben estar situados a un sitio diferente
al centro de Procesamiento de Datos (CPD), para evitar daños ocasionados en
el equipamiento del CPD.
e) El equipamiento del centro de Procesamiento de Datos (CPD) debe estar
protegido de daños ambientales como agua, fuego, terremoto, entre otros.
f) El monitoreo del centro de Procesamiento de Datos (CPD), debe tener un
sistema autónomo de vigilancia, control de acceso, sistema de climatización y
sistema de detención de incendios acorde a las características que se debe
cumplir para el correcto mantenimiento y resguardo del equipamiento que en el
permanece.
5 POLÍTICAS DE SEGURIDAD PARA LA CONTINUIDAD DEL NEGOCIO
5.1 Copias de Seguridad
5.1.1 Gestión de copias de seguridad
Objetivo: Garantizar que toda la información almacenada en la plataforma o sistema
tecnológico para la administración del Sindicato de Choferes Profesionales de Santo
Domingo, se encuentren debidamente respaldada atenuando el riesgo de pérdida de la
información
Alcance: Esta política aplica a todos los usuarios del departamento de Tecnologías de
la Información (TI).
5.1.1.1 Gestión y responsabilidades de copias de seguridad
a) Debe existir un procedimiento que determine actividades, periodicidad,
responsables y mecanismos de almacenamiento de las copias de respaldo de
todos los sistemas de información del Sindicato de Choferes Profesionales de
Santo Domingo.
b) Debe existir una definición formal de las políticas y procedimientos de
generación, retención y rotación de copias de respaldo.
c) Debe existir un Plan de Copias de Respaldo, y debe contemplar la generación
de copias de respaldo de los sistemas operativos, los sistemas de información,
las aplicaciones empresariales, acorde con los procedimientos establecidos en
el Plan de contingencia y en los procedimientos diseñados para realizar dicha
actividad.
d) Cada vez que se cambien los servidores o el Software, los procedimientos para
realizar las copias de respaldo y el plan de contingencia deben ser actualizados.
e) Con el objetivo de garantizar la continuidad del negocio, se determina de carácter
obligatorio, la ejecución de políticas y procedimientos relacionados con copias
de respaldo definidas por el Sindicato de Choferes Profesionales de Santo
Domingo.
f) La gestión de las copias de respaldo es responsabilidad del departamento de
Tecnologías de la Información (TI) y la ejecución operativa del encargado de
dicho departamento o personal de soporte designado por el Outsourcing
Informático, con supervisión del departamento de TI.
g) La responsabilidad de verificar la realización de copias de respaldo de los
servidores y de las estaciones de trabajo es del departamento de Tecnologías
de la Información (TI).
h) El almacenamiento de las copias de respaldo es responsabilidad del
departamento de Tecnologías de la Información (TI) y el Outsourcing Informático.
i) El departamento de Tecnologías de la Información (TI) debe garantizar la
realización de las copias de respaldo acorde a la periodicidad y alcance
identificados en el Análisis de Riesgos de la información.
5.1.1.2 Generación de copias de seguridad
a) La generación de las copias de respaldo se debe realizar con base en el
resultado de los análisis de riesgos de la información existente y vigente en el
Sindicato de Choferes Profesionales de Santo Domingo.
5.1.1.3 Almacenamiento y custodia de copias de seguridad
a) Deben utilizarse medios que permitan almacenar la información
apropiadamente, no utilizar CD o DVD ya que dichos medios se degradan y la
información se puede perder.
b) Los medios deben ser almacenados en un lugar que tenga las condiciones
ambientales correctas (Temperatura y Humedad), el cual asegure el adecuado
funcionamiento de los mismos.
c) Los medios deben contar con un periodo de vida (registro de fecha de inicio del
uso de los mismos y una fecha de descarte).
d) Los medios descartados no se deben usar ya que existe el riesgo de pérdida de
la información en ellos almacenada.
e) Todos los medios se deben mantener en un área restringida y bajo llave.
f) El acceso a los medios será autorizado únicamente al departamento de
Tecnologías de la Información (TI) o al personal que sea autorizado por dicha
área.
g) Los medios deben estar apropiadamente etiquetados de tal forma que sean
fácilmente identificables.
h) Se debe tener un registro de los medios enviados a sitios externos, firmado por
el tercero que reciba dichos medios o su representante.
5.1.1.4 Seguridad de copas de seguridad
a) El acceso al registro de ubicación y contenido de los medios debe estar
restringido.
b) Se debe contar con un registro, el cual permita identificar la ubicación y el
contenido de cada medio (con un número o un código).
5.2 Contingencias y recuperación de desastres
5.2.1 Gestión de contingencias
Objetivo: Establecer las actividades a realizar ante situaciones de contingencia.
Alcance: Esta política aplica a todas las situaciones de contingencia que se puedan
presentar, tales como incendios, terremotos, inundaciones, tanto en el Centro de
Procesamiento de Datos (CPD), como en las diferentes áreas o departamentos donde
se resguardan equipos informáticos del Sindicato de Choferes Profesionales de Santo
Domingo.
5.2.2 Administración y control ante contingencias
a) Debe existir un Plan de Contingencias con un cronograma de ejecución, pruebas
y ajustes con el objetivo de garantizar la continuidad en el funcionamiento de los
activos tecnológicos del Sindicato de Choferes Profesionales de Santo Domingo
y es responsabilidad de su elaboración el departamento de Tecnologías de la
Información (TI) y de su aprobación la dirección general (Secretaría General).
b) Se entiende por Plan de Contingencia todas las acciones administrativas y
operacionales tendientes a superar fallas, incidentes y eventos en general que
interrumpan el normal funcionamiento de los activos tecnológicos del Sindicato
de Choferes Profesionales de Santo Domingo.
c) El plan de Contingencias debe permitir reaccionar ante eventos no esperados
sea por efectos de la naturaleza o humanos (robo, sabotaje, terremoto, incendio,
inundación, toma de las instalaciones, entre otros).
d) El departamento de Tecnologías de la Información (TI) es responsable de
establecer períodos de actualización, mantenimiento y pruebas del Plan de
Continuidad del Negocio.
GLOSARIO DE TÉRMINOS
Para efectos del presente manual se escribe un glosario de términos:
Tabla 2 Glosario de términos
TÉRMINO SIGNIFICADO
Seguridad Es la propiedad de algo o una situación donde no se
registran peligros, daños ni riesgos. Es decir seguro
es algo firme, cierto e indubitable.
Información Está formada por un conjunto de datos ya revisados
y ordenados, que sirven para construir un mensaje,
esta permite resolver problemas y tomar decisiones.
Política de Seguridad Son una serie de instrucciones documentadas que
muestran la forma en que se deben realizar
determinados procesos dentro de una empresa,
también detallan cómo se debe tratar un
determinado problema o situación.
Seguridad de la Información Es el conjunto de medidas protectoras que toman
las organizaciones y sistemas tecnológicos para
resguardar y proteger la información tratando de
mantener la confidencialidad, la disponibilidad e
integridad de datos y de la misma.
Seguridad Informática Es un método que se encarga de proteger la
integridad y la privacidad de la información
almacenada en un sistema informático.
Riesgo Se puede definir como aquella eventualidad que
imposibilita el cumplimiento de un objetivo.
Vulnerabilidad Es una debilidad de la seguridad la cual indica que
el activo es susceptible a recibir un daño a través de
un ataque, ya sea intencional o no.
Confidencialidad Es el acto de no divulgar información a personal no
autorizado para su conocimiento.
Integridad Garantía de la fidelidad de la información y los
métodos de su procesamiento.
Disponibilidad Se refiere a que los usuarios autorizados tengan
acceso a la información y que la misma esté
disponible en el momento que se necesite.
Hardware Características técnicas y físicas de los equipos de
cómputo.
Software Programas que permiten y facilitan el uso de la
computadora. El software controla la operación del
Hardware.
Fuente: Manual de Políticas de Seguridad Informática (2016). Investigación realizada por el
autor. Santo Domingo: Tabla donde consta el glosario de términos delas políticas de seguridad
del Sindicato de Choferes Profesionales de Santo Domingo. Elaborado por: Rodríguez, D.
ANEXOS
Anexo 1
Ficha modelo para la creación, excepción y/o actualización de políticas de seguridad
informática.
CONTROL DE CAMBIOS PARA POLÍTICAS DE SEGURIDAD INFORMÁTICA
VERSIÓN FECHA DE MODIFICACIÓN COMENTARIO
ELABORADO POR: FECHA:
REVISADO POR: FECHA:
APROBADO POR: FECHA:
POLÍTICA:
JUSTIFICACIÓN:
FIRMAS
JEFE DE TI JEFE DE RECURSOS
HUMANOS SECRETARIO
GENERAL
C.C. C.C. C.C.
Anexo 2
Ficha de registro de servicios o soporte técnico
SERVICIO TÉCNICO
FECHA / HORA
TÉCNICO DE TI USUARIO CAPACITACIÓN
OBSERVACIÓN NOMBRE CEDULA FIRMA ÁREA NOMBRE CEDULA FIRMA
SI NO
Anexo 3
Ficha de registro y actualización de licencias de software
REGISTRO DE LICENCIAS DE SOFTWARE
PRODUCTO NUMERO DE SERIE MODELO / VERSIÓN FECHA DE COMPRA FECHA DE RENOVACIÓN DURACIÓN DE LICENCIA
Anexo 4
Ficha para la gestión de incidentes de seguridad
REPORTE DE INCIDENTE
Fecha de notificación: Hora de notificación:
DATOS DE LA PERSONA QUE NOTIFICA
Apellido y Nombres:
Empresa: Área / Dependencia:
Correo electrónico:
Teléfono: Teléfono particular:
INFORMACIÓN SOBRE EL INCIDENTE
Fecha en que observó el incidente:
Hora en que observó el
incidente:
Marque con una cruz todas las opciones que considere aplicables.
Uso indebido de información crítica. Ingeniería social, fraude o phishing.
Uso prohibido de un recurso informático o de red del Sindicato de Choferes Profesionales.
Modificación no autorizada de un sitio o página web de la Secretaria del Sindicato
de Choferes Profesionales.
Divulgación no autorizada de información personal. Eliminación insegura de información.
Intrusión física. Modificación o eliminación no autorizada
de datos.
Destrucción no autorizada de información. Anomalía o vulnerabilidad técnica de
software.
Robo o pérdida de información. Amenaza o acoso por medio electrónico.
Interrupción prolongada en un sistema o servicio de red.
Ataque o infección por código malicioso (virus, gusanos, troyanos, entre otros).
Modificación, instalación o eliminación no autorizada de software.
Robo o pérdida de un recurso informático
del Sindicato de Choferes Profesionales
Acceso o intento de acceso no autorizado a un sistema informático.
Otro no contemplado. Describa:
INFORMACIÓN SOBRE EL INCIDENTE
Describa el incidente:
Marque una de las opciones si el incidente: [ ] Se trata de una infección por código malicioso, detalle en lo posible el nombre del virus detectado por el programa antivirus. [ ] Se trata de una anomalía o vulnerabilidad técnica, describa la naturaleza y efecto de la anomalía en términos generales, las condiciones en las cuales ocurrió la vulnerabilidad, los síntomas del problema y mensajes de error que aparezcan en pantalla. [ ] Se trata de un caso de fraude mediante correo electrónico (phishing), no elimine el mensaje de correo, contáctese en forma telefónica con el Depto. de TI. y reenvíe el mensaje como adjunto al correo de TI.
Describa brevemente cómo detectó el incidente:
El incidente aún está en progreso: [ ] SI [ ] NO
Tiempo estimado de duración del incidente:
Detalle las personas que han accedido al sistema afectado desde que se detectó el
incidente:
INFORMACIÓN SOBRE EL RECURSO AFECTADO
Sistema, computadora o red afectada:
Localización física:
Describa brevemente la información contenida en el sistema / computador:
¿Existe copia de respaldo de los datos o software afectado?
SI NO
¿El recurso afectado tiene conexión con la red de la Secretaria de Gestión de Riesgos?
SI NO
¿El recurso afectado tiene conexión a Internet? SI NO
Sistema operativo:
Anexo 5
Formato Acta de entrega y recepción
ACTA DE ENTREGA Y RECEPCIÓN DE EQUIPOS Y RECURSOS INFORMÁTICOS
ACTA NO: LP-00054
DE: DEPARTAMENTO DE TI
PARA: ………………………………………………………..
FECHA: ………………………………………………………..
Por medio de la presente hago constancia que en la ciudad de Santo Domingo el día
…………………….., se hace la entrega en el departamento de …………………..…. de los
equipos y recursos informáticos que se especifica a continuación:
ELEMENTO MARCA MODELO SERIE OBSERVACIÓN Y ESTADO
En el momento de recibir el equipo y recursos informáticos antes especificados se realizaron las
pruebas de funcionamiento pertinentes y se determina que se encuentran en buen estado y
funcionamiento.
Observaciones técnicas o adicionales sobre el equipo y/o Recursos Informáticos:
El monitor presenta una pequeña rapadura en la parte frontal del mismo.
La unidad de CD del CPU no funciona.
………………………………... ………………………………..
Jefe del departamento de TI Responsable del departamento
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO
Anexo 6
Ficha de gestión de garantías
GESTIÓN DE GARANTÍAS
No. Reporte: Fecha:
Proveedor de garantía:
Nombre del producto:
Cantidad: Marca: Serial:
Departamento:
Responsable:
Descripción de la falla o incidente:
Observaciones:
FIRMA DE QUIEN REALIZA EL REPORTE PARA LA GESTIÓN DE GARANTÍAS
Anexo 7
Ficha de mantenimiento físico a equipos y dispositivos de cómputo
FICHA DE MANTENIMIENTO FÍSICO A EQUIPOS Y DISPOSITIVOS DE COMPUTO
ENCARGADO MANTENIMIENTO:
FECHA:
FIRMA:
ENCARGADO DEL DEPARTAMENTO:
FECHA:
FIRMA:
RECEPCIÓN SI NO OBSERVACIONES
Acta de Entrega y Recepción de Equipo
Enciende el equipo
Recepción de equipo y dispositivos completos
DES ENSAMBLAJE
N° VARIABLES / INDICADORAS ACCIÓN
OBSERVACIONES SI NO
1 Retiro de Disco Duro
2 Retiro de tarjeta de red
3 Retiro de la Batería
4 Retiro de tarjeta Bluetooth
5 Retiro de unidad CD
6 Retiro de Memoria RAM
7 Retiro del sistema de disipación
8 Desconexión de teclado
9 Desconexión de Monitor
10 Desconexión de mouse
11 Desconexión de Impresora
ENSAMBLAJE Y LIMPIEZA SI NO OBSERVACIONES
12 Limpieza del CHASIS - CASE
13 Limpieza de la BOARD
14 Limpieza del sistema de disipación y procesador
15 Ensamblaje de sistema de Disipación
16 Ensamblaje e instalación de tarjeta de Red, Disco duro, Batería, Unidad de CD, Memoria RAM, entre otros.
17 Conexión cables
18 Conexión de monitor o pantalla
19 Conexión de mouse
20 Limpieza e instalación de teclado
21 Limpieza y conexión de Impresoras
22 Conexión de cables de Red
OTROS
DESCRIPCIÓN OBSERVACIÓN
OBSERVACIÓN GENERAL
FIRMAS
TÉCNICO DE TECNOLOGÍA CC.…………………………………………………..
USUARIO RESPONSABLE CC.………………………………………………………..
Anexo 8
Ficha de registro de control de cambios para sistemas de desarrollo
REGISTRO DE CONTROL DE CAMBIOS PARA SISTEMAS DE DESARROLLO
EMPRESA O PROVEEDOR: FECHA:
NOMBRE DEL DESARROLLADOR: CEDULA:
NOMBRE DEL SOFTWARE:
PLATAFORMA:
CAMBIO / AJUSTE: NUEVA ACTUALIZACIÓN:
DESCRIPCIÓN DE CAMBIOS O ACTUALIZACIÓN:
FIRMAS DE CONTROL DE CAMBIOS
TÉCNICO DESARROLLADOR CC.…………………………………………..
JEFE DE TECNOLOGÍA CC.…………………………………………..
Anexo 9
Ficha de campo para recolección de información de los equipos y recursos informáticos.
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO TARJETA DE REGISTRO Y CONTROL DE INVENTARIO DE EQUIPOS Y DISPOSITIVOS TECNOLÓGICOS
CÓDIGO:
FECHA LEVANTAMIENTO DEL INVENTARIO
D M A PÁGINA
CÓDIGO DEPENDENCIA
: NOMBRE DE LA DEPENDENCIA U OFICINA
RESPONSABLE (Nombre del funcionario de la dependencia u oficina)
Vida útil en años: Equipos de Cómputo y comunicación, Estado Actual: 1= Buen estado y Servicio, 2= En mal estado y servicio, 3= Obsoleto, 4= Dado de Baja
CÓDIGO NOMBRE O
DESCRIPCIÓN DEL EQUIPO O DISPOSITIVO
CANTIDAD MARCA MODELO SERIAL OBSERVACIÓN UBICACIÓN
FÍSICA
FECHA DE ADQUISICIÓN O PUESTA EN
SERVICIO
VIDA ÚTIL ESTADO ACTUAL
ACTA DE ENTREGA
D M A 3 5 10 1 2 3 4 SI NO Núm.
FIRMA RESPONSABLE DE LA DEPENDENCIA FIRMA RESPONSABLE DEL INVENTARIO FIRMA GERENTE DE LA EMPRESA
Anexo 10 Cronograma de mantenimiento anual
CRONOGRAMA DE MANTENIMIENTOS ANUAL DEPARTAMENTO:
RESPONSABLE 1: RESPONSABLE 2: RESPONSABLE 3:
AÑO:
DEPARTAMENTOS ENERO FEBRERO MARZO ABRIL MAYO JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
SECRETARÍA CATEGORÍA "D" Y "E"
SECRETARÍA DE ESCUELA DE CAPACITACIÓN
DEPARTAMENTO DE RECAUDACIÓN
DEPARTAMENTO DE CONTABILIDAD
SECRETARIA DE ARCHIVOS ESTADÍSTICA Y VIVIENDA
DEPARTAMENTO VIALIDAD, TRANSITO Y DEFENSA JURÍDICA
DEPARTAMENTO DE FISCALIZACIÓN SECRETARÍA DE ACTAS Y
COMUNICACIONES
SECRETARÍA GENERAL LABORATORIO
PSICOSENSOMÉTRICO
TECNOLOGÍA DE LA INFORMACIÓN Y COMUNICACIÓN
OTROS FIRMA DE RESPONSABLES
JEFE DEPARTAMENTO DE TI
C.C.……………………………………….. RESPONSABLE 1
CC. ……………………………………….. RESPONSABLE 2
C.C.……………………………………….. RESPONSABLE 3
C.C.………………………………………..
Anexo 11
Ficha registro de mantenimiento a servidores
REGISTRO DE MANTENIMIENTO DE SERVIDORES
ENCARGADO DE MANTENIMIENTO DESCRIPCIÓN DE SERVIDORES ENCARGADO DE TI
NOMBRE TÉCNICO CEDULA EMPRESA ÁREA O DEPARTAMENTO SERVIDOR MODELO OBSERVACIÓN NOMBRE FIRMA
Anexo 12
Ficha de registro de capacitaciones
REGISTRO DE CAPACITACIONES
TEMA FECHA LUGAR / DEPARTAMENTO HORARIO CAPACITADOR USUARIO
NOMBRE FIRMA NOMBRE FIRMA
Anexo 13
Ficha de registro de ingreso y salida de información.
REGISTRO DE INGRESO Y SALIDA DE INFORMACIÓN
ENCARGADO ÁREA O DEPARTAMENTO FIRMA
FECHA HORA
DESTINATARIO
OBSERVACIÓN NOMBRE
EMPRESA / DEPARTAMENT
O CEDULA FIRMA NOMBRE CEDULA FIRMA
DEPARTAMENTO / EMPRESA
Anexo 14
Cronograma de copias de seguridad anual
CRONOGRAMA DE COPIAS DE SEGURIDAD ANUAL
DEPARTAMENTO:
RESPONSABLE 1: RESPONSABLE 2: RESPONSABLE 3:
AÑO:
DEPARTAMENTOS ENERO FEBRERO MARZO ABRIL MAYO JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
SECRETARÍA CATEGORÍA "D" Y "E"
SECRETARÍA DE ESCUELA DE CAPACITACIÓN
DEPARTAMENTO DE RECAUDACIÓN
DEPARTAMENTO DE CONTABILIDAD
SECRETARIA DE ARCHIVOS ESTADÍSTICA Y VIVIENDA
DEPARTAMENTO VIALIDAD, TRANSITO Y DEFENSA JURÍDICA
DEPARTAMENTO DE FISCALIZACIÓN
SECRETARÍA DE ACTAS Y COMUNICACIONES
SECRETARÍA GENERAL
LABORATORIO PSICOSENSOMÉTRICO
TECNOLOGÍA DE LA INFORMACIÓN Y COMUNICACIÓN
CENTRO DE PROCESAMIENTO DE DATOS
OTROS
FIRMA DE RESPONSABLES
JEFE DEPARTAMENTO DE TI C.C.………………………………………..
RESPONSABLE 1 C.C.………………………………………..
RESPONSABLE 2 C.C.………………………………………..
RESPONSABLE 3 C.C.………………………………………..
Anexo 15
Cronograma de copias de seguridad mensual
CRONOGRAMA DE COPIAS DE SEGURIDAD MENSUAL
ÁREA O DEPARTAMENTO: JEFE DEL ÁREA O DEPARTAMENTO: FECHA:
ACTIVIDAD NOMBRE
DEL TÉCNICO
CRONOGRAMA DE RESPALDOS TURNO NOVEDADES
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 M T N
Diagnóstico del equipo Limpieza externa del equipo
de computo
respaldo de la información
Respaldo de controladores Liberar espacio de Disco
Duro
Eliminar Cuentas de usuario innecesarias
Limpieza interna del equipo de computo
Analizar Disco Duro con antivirus
Actualizar firmas de antivirus FIRMA DE RESPONSABLES
JEFE DEPARTAMENTO DE TI CC.……………………………………………...
TÉCNICO RESPONSABLE 1 CC.………………………………………………
TÉCNICO RESPONSABLE 2 CC.………………………………………………
TÉCNICO RESPONSABLE 3 CC.………………………………………………
Anexo 16
Formato para Inventario de software
INVENTARIO DE SOFTWARE
NOMBRE PRODUCTO
TIPO SOFTWARE / APLICACIÓN
PLATAFORMA
DESCRIPCIÓN PROVEEDOR DURACIÓN
DE LA LICENCIA
SERIAL DE LICENCIA
COSTO ORIGINAL
Nº FACTURA
OBSERVACIÓN FECHA
ULTIMO INVENTARIO
APORTE DE HERRAMIENTA AL
TRABAJO
Anexo 17
Ficha de registro de ingreso para áreas seguras
REGISTRO DE INGRESO - ÁREAS SEGURAS O RESTRINGIDAS
ÁREA O DEPARTAMENTO ENCARGADO DEL ÁREA O DEPARTAMENTO FIRMA
FECHA HORA NOMBRE CEDULA FIRMA EMPRESA OBSERVACIÓN
Anexo 18
Ficha de registro de entrada y salida de equipos de cómputo y recursos informáticos
REGISTRO DE ENTRADA Y SALIDA DE EQUIPOS DE COMPUTO Y RECURSOS INFORMÁTICOS
ENCARGADO:
MÉTODO ENTRADAS SALIDAS EXISTENCIAS
Nº FECHA
DETALLE CANTIDAD V. UNITARIO COSTO TOTAL CANTIDAD V. UNITARIO COSTO TOTAL CANTIDAD V. UNITARIO COSTO TOTAL D M A
Anexo 5 Plan de contingencia informático
PLAN DE CONTINGENCIA INFORMÁTICO
SANTO DOMINGO – ECUADOR 2017
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO
Av. Chone Km. 1 y calle Obispo Schumacher
SINDICATO DE CHOFERES
PROFESIONALES DE SANTO DOMINGO
ÍNDICE GENERAL
ÍNDICE GENERAL ....................................................................................................... 2
ÍNDICE DE TABLAS ..................................................................................................... 4
ÍNDICE DE GRÁFICOS ................................................................................................ 4
INTRODUCCIÓN .......................................................................................................... 5
OBJETIVO .................................................................................................................... 5
ALCANCE ..................................................................................................................... 5
PRESENTACIÓN DE LA EMPRESA ............................................................................ 6
ORGANIGRAMA EMPRESARIAL ................................................................................ 7
1 METODOLOGÍA DEL PLAN DE CONTINGENCIA INFORMÁTICO ...................... 8
1.1 Organización del plan de contingencia ........................................................... 8
1.1.1 Coordinación para ejecución del plan de contingencia ............................ 9
1.1.2 Comisión de contingencia y seguridad..................................................... 9
1.1.3 Control del plan de contingencia y seguridad ........................................ 10
1.2 Identificación de riegos ................................................................................. 11
1.2.1 Definición de eventos de contingencia ................................................... 12
1.2.2 Matriz de Riesgos .................................................................................. 12
1.3 Eventos susceptibles a contingencias........................................................... 14
1.4 Elaboración de plan de contingencia ............................................................ 15
1.5 Ejecución del plan de pruebas ...................................................................... 15
1.6 Implementación del plan de contingencia informático ................................... 16
2 DESARROLLO DEL PLAN DE CONTINGENCIA INFORMÁTICO ...................... 17
2.1 Etapas del plan de contingencia ................................................................... 17
2.1.1 Etapa de identificación de riesgos ......................................................... 17
2.1.2 Etapa eventos susceptibles a contingencias .......................................... 20
2.1.3 Etapa desarrollo del plan de contingencia informático ........................... 24
2.2 Actividades del plan de contingencia ............................................................ 27
2.2.1 Contingencias relacionadas a siniestros ................................................ 27
2.2.2 Contingencias relacionadas a sistemas de información ......................... 38
2.2.3 Contingencias relacionadas a recursos humanos .................................. 52
2.2.4 Contingencias relacionadas a seguridad física ...................................... 60
2.3 Estrategias del plan de contingencia ............................................................ 61
2.4 Políticas del plan de contingencia ................................................................. 62
3 RESPONSABLES DEL PLAN DE CONTINGENCIA ........................................... 63
4 RECURSOS DEL PLAN DE CONTINGENCIA .................................................... 63
5 PERIODOS Y PLAZOS DEL PLAN DE CONTINGENCIA ................................... 63
6 ANEXOS ............................................................................................................. 64
ÍNDICE DE TABLAS
Tabla 1 Nivel de impacto ............................................................................................ 12
Tabla 2 Probabilidad de ocurrencia de eventos adversos ........................................... 13
Tabla 3 Exposición al Riesgo ...................................................................................... 13
Tabla 4 Elementos susceptibles a eventos de contingencia........................................ 14
Tabla 5 Matriz de riegos de contingencia del Sindicato de Choferes Profesionales .... 17
Tabla 6 Eventos controlables ...................................................................................... 19
Tabla 7 Eventos no controlables ................................................................................. 19
Tabla 8 Elementos susceptibles a eventos de contingencia versus parámetros de
contingencia ............................................................................................................... 20
Tabla 9 Responsables de eventos de contingencias .................................................. 25
Tabla 10 Contingencias relacionadas a siniestros ...................................................... 27
Tabla 11 Plan de contingencia para eventos relacionados a incendios ....................... 29
Tabla 12 Plan de contingencia para eventos relacionados a sismos ........................... 32
Tabla 13 Plan de contingencia para eventos relacionados a interrupción de energía
eléctrica ...................................................................................................................... 35
Tabla 14 Contingencias relacionadas a sistemas de información ............................... 38
Tabla 15 Plan de contingencia para eventos relacionados a infección de equipos por
virus ............................................................................................................................ 40
Tabla 16 Plan de contingencia para eventos relacionados a sistemas centrales ........ 43
Tabla 17 Plan de contingencia para eventos relacionados a fallas del motor de base de
datos ........................................................................................................................... 46
Tabla 18 Plan de contingencia para eventos relacionados a fallas con el sistema
operativo ..................................................................................................................... 49
Tabla 19 Contingencias relacionadas a recursos humanos ........................................ 52
Tabla 20 Plan de contingencia para eventos relacionados a la ausencia imprevista del
personal de soporte técnico ........................................................................................ 54
Tabla 21 Plan de contingencia para eventos relacionados a la ausencia del personal
ejecutivo ..................................................................................................................... 57
Tabla 22 Contingencias relacionadas a seguridad física ............................................. 60
ÍNDICE DE GRÁFICOS
Gráfico 1 Organización administrativa del plan de contingencia informático ................. 8
Gráfico 2 Diagrama de ocurrencia de eventos adversos ............................................. 24
INTRODUCCIÓN
Actualmente los cambios de la tecnología evolucionan rápidamente y poseen mayor
protagonismo en las empresas y negocios, por lo cual se hace primordial contar con un
plan de contingencia informático basado en la metodología ITIL, que garantice el
restablecimiento de las funciones de los servicios en el menor tiempo posible, ante
cualquier evento adverso.
Las acciones del plan de continencia deben estar adecuados en un proceso crítico de
riesgos, es por ello que debe estar en constante prueba, actualización y mantenimiento,
ya que nada en el entorno es constante siempre se mantiene en permanente cambio.
El presente plan de contingencia no implica un reconocimiento de la ineficiencia sino
supone un valioso avance a la hora de superar los eventos adversos que pueden
provocar importantes pérdidas, no solo materiales sino también de la información de la
empresa y de todas las causantes que se deriven de las mismas.
El plan de contingencia informático procura ayudar a comprender mejor la problemática
del entorno de las tecnologías de la Información, ya que toda empresa debe estar
preparada para la ocurrencia de eventos adversos improvistos.
OBJETIVO
Garantizar la continuidad de las actividades del Sindicato de Choferes Profesionales de
Santo Domingo, ante eventos que adversos que pudiesen alterar el normal
funcionamiento de las tecnologías de la Información (TI), con el propósito de reducir el
riesgo no predecible y responder de manera inmediata a la recuperación de las
actividades laborales de la empresa.
ALCANCE
El presente plan de contingencia informático, incluye al equipamiento de cómputo,
recursos informáticos, infraestructura, sistemas de información, personal, servicios y
otros, el mismo esta direccionado a reducir los riesgos ante situaciones adversas que
infringen contra el normal funcionamiento de los servicios y actividades laborales de la
empresa.
PRESENTACIÓN DE LA EMPRESA
El Sindicato de Choferes de Santo Domingo nace en 1966 y alcanza su vida legal en
1968, es una institución que brinda servicios tales como adquisición de licencias tipo
“C”, “D” y “E” mediante sus escuelas de capacitación, gasolineras, centro médico y
cancha sintética del coliseo Héctor Ibarra Hernández.
La institución en cuestión, se sustenta en los principios de reconocimiento y ejercicio de
una servicio responsable ahora cuenta con más de 800 socios, con alrededor de 1000
estudiantes y unas 300 personas que directa e indirectamente colaboran diariamente
para engrandecer las paginas doradas de la institución.
MISIÓN.- Organización gremial que forma, capacita y perfecciona a conductores
profesionales y público en general de la provincia de Santo Domingo de los Tsáchilas
en base al cultivo de valores morales como la honestidad y el respeto. Con personal
capacitado, ofrece servicios de excelencia con calidez a través de software y hardware
acordes a las necesidades y exigencias modernas ofertando una variedad de productos
para el progreso de la sociedad, a través de la comercialización de combustibles,
prestación de servicios médicos, asesoría jurídica, alquiler de bienes inmuebles
recreativos, contribuyendo de esta manera al mejoramiento de la calidad de vida de la
población y la seguridad vial en el país.
VISIÓN.- Ser líder a nivel provincial; constituirse en una institución de renombre y
prestigio a nivel nacional, en la formación integral de los profesionales de la conducción,
mediante procesos innovadores con personal capacitado, metodología, software y
hardware acordes a las necesidades y exigencias modernas, priorizando los valores
humanos que permitan lograr verdaderos conocimientos en nuestros educandos con un
alto sentido de responsabilidad, siempre pensando en el desarrollo y bienestar de la
sociedad.
Las actividades del Sindicato de Choferes profesionales de Santo Domingo están
basadas en procesos administrativos divididos en diversos departamentos tales como:
Secretaría General, Departamento Contabilidad, Departamento de Tecnología (TI),
Departamento de Coordinación, Secretarías de escuelas de capacitación,
Departamento de actas y comunicaciones, Departamento de finanzas, viabilidad,
tránsito y defensa jurídica, Departamento de beneficencia y mortuoria, Departamento de
vivienda, archivo y estadística, Departamento de sindicalismo y capacitación,
Departamento de organización disciplina y propaganda (Recursos humanos),
Departamento de Fiscalización, Departamento de cultura y deportes.
ORGANIGRAMA EMPRESARIAL
Organigrama de trabajo del Sindicato de Choferes Profesionales
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1 METODOLOGÍA DEL PLAN DE CONTINGENCIA INFORMÁTICO
La metodología del plan de contingencia informático basado en ITIL es la que describe
los procedimientos y etapas para el proceso de ejecución del mismo en el Sindicato de
Choferes profesionales de Santo Domingo. Dicho así, a continuación se detallan las
etapas de desarrollo:
Etapa 1: Organización
Etapa 2: Identificación de riesgos
Etapa 3: Definición de eventos de contingencia
Etapa 4: Elaboración del Plan de Contingencia
Fase 5: Ejecución del Plan de Pruebas
Fase 6: Implementación del Plan de Contingencia
1.1 Organización del plan de contingencia
Entre los elementos fundamentales de una empresa debe considerarse la capacidad de
estar preparados para enfrentar cualquier tipo de eventualidad o dificultades que puedan
presentarse. Es por ello que la creación de un plan de contingencia informático debe
realizarse de manera responsable y organizada, siendo así, el mismo debe considerar
a todos los departamentos de la institución definiendo el grupo de personas
responsables para su elaboración, aprobación y mantenimiento, tanto en el plan de
prevención, ejecución y recuperación de contingencias.
A continuación se muestra un gráfico de la organización administrativa del plan de
contingencia del Sindicato de Choferes Profesionales de Santo Domingo:
Gráfico 1 Organización administrativa del plan de contingencia informático
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1.1.1 Coordinación para ejecución del plan de contingencia
La coordinación para la ejecución del plan de contingencia será la responsabilidad del
encargado o jefe del departamento de Tecnologías de la Información (TI), el mismo
deberá determinar las acciones y medidas que se deberán llevar a cabo durante un
evento de contingencia, también se encargará de que las actividades se efectúen de
acuerdo a lo planeado. La coordinación será apoyada por los diferentes departamentos,
direcciones y Secretarios del Sindicato de Choferes Profesionales de Santo Domingo.
Roles y funciones de la coordinación para ejecución del plan de contingencia:
Mantener constantemente actualizado el plan de contingencia informático.
Responsable de la ejecución del plan de contingencia informático, cuando se
susciten eventos adversos.
Medir el impacto de las contingencias que se puedan presentar.
Levantamiento de informes referidos al plan de contingencia informático.
Sugerir eventos para adherir en plan de contingencia informático a la comisión
de contingencia y seguridad.
Plantear la capacitación al personal del Sindicato de Choferes Profesionales,
sobre las actividades a efectuar cuando se presente una contingencia.
Asegurarse que el personal de la empresa se encuentre correctamente
capacitado para ejecutar el plan de contingencia informático.
1.1.2 Comisión de contingencia y seguridad
La comisión de contingencias es la encargada de coordinar y aprobar las actividades
que han sido planificadas y estarán listas para ejecutarse en caso de suscitar
contingencias en la institución. Dicha comisión tendrá que reunirse por lo mínimo
semestralmente para definir o actualizar los parámetros en los cuales se basará el plan
de contingencia informático.
La comisión de contingencias y seguridad está conformada por:
Dirección General (Secretaría General).
Departamento de Tecnologías de la Información (TI).
Otros departamentos que la comisión consideren apropiado incluir.
Roles y funciones de la comisión del plan de contingencia informático:
Ser partícipe de las reuniones periódicas planteadas por el coordinador del plan
de contingencia informático.
Plantear y aprobar la incorporación, reforma y/o actualización del plan de
contingencia informático propuestas por la comisión de contingencia y
seguridad.
Aprobar los informes presentados por la coordinación para la ejecución del plan
de contingencia acerca de cualquier evento relacionado con el mismo.
Comprobar que el personal se encuentre correctamente capacitado en la
ejecución del plan de contingencia informático.
Establecer las prioridades y tiempo de recuperación de los diferentes servicios
que se vieran afectados.
1.1.3 Control del plan de contingencia y seguridad
El departamento de fiscalización será quien supervise todos los equipos y recursos
informáticos a intervenir en una situación de contingencia, los mismos deben estar
disponibles y en buenas condiciones de tal forma que al suscitarse un evento de riesgo
funcionen correctamente.
Roles y funciones en el control del plan de contingencia informático:
Supervisar que el plan de contingencia informático se encuentre actualizado.
Revisar que el plan de contingencia informático encaje dentro del alcance
establecido.
Proporcionar los recursos necesarios para la ejecución del plan de contingencia
informático.
Verificar que el plan de contingencia se cumpla correctamente.
Presentar los informes del plan de contingencia informático a la comisión de
contingencia y seguridad del Sindicato de Choferes Profesionales.
Verificar que todos los recursos adscritos en el plan de contingencia informático
(materiales, humanos, externos, etc.) sean apropiados y se encuentren
disponibles para su utilización cuando se suscite un evento de contingencia.
Auditar los procesos que forman parte del plan de contingencia informático.
Estar presente en las pruebas de validación del plan de contingencia informático
e informar a la comisión de contingencia y seguridad cualquier anomalía que
pudiera suscitarse.
Plantear actividades que permitan reducir los riesgos de operación en la
empresa.
1.2 Identificación de riegos
En este punto se debe considerar que los incidentes son aquellos sucesos que se
pueden presentar en cualquier momento, bajo un grado de ocurrencia. En cambio el
riesgo es un suceso incierto que se puede presentar en un futuro dependiendo las
variables que lo rodeen sean estas internas o externas, es decir el riesgo es la magnitud
probable del daño ante una amenaza.
A continuación se presentan diferentes aspectos referentes a la priorización e
identificación de riesgos que se deben analizar para la conformación del presente plan
de contingencia:
Análisis de riesgo: Tiene como propósito determinar los elementos de un
sistema o ambiente que necesite protección, se basa en la información generada
de la fase de identificación, en esta fase se especifican la probabilidad, impacto
y exposición del riesgo.
Probabilidad del Riesgo: Es la condición de que se suscite en realidad esta
probabilidad debe ser superior a cero, ya que sino el riesgo no plantea una
amenaza al servicio. Así mismo la probabilidad debe ser menor al 100% o el
riesgo será una certeza.
Impacto del riesgo: El impacto del riesgo calcula o mide la gravedad de los
eventos adversos, dimensión de la pérdida causada por las consecuencias
suscitadas. En el presente plan de contingencia la escala será medida del 1 al
4, es decir cuanto mayor sea el número, mayor será el impacto.
Exposición del riesgo: La exposición del riesgo es el resultado de la
probabilidad por el impacto, por ejemplo, un riesgo puede tener alta probabilidad
o viceversa y en ambas situaciones se podía ignorar la criticidad de los eventos.
Los riesgos que poseen alto nivel de probabilidad e impacto son los que mayor
prioridad deben tener pues son los que producen mayores valores de exposición.
1.2.1 Definición de eventos de contingencia
La definición de eventos deben categorizarse en base a las acciones de prevención que
determine el Sindicato de Choferes Profesionales y cuya ocurrencia no pueda anunciar
con anticipación, estos eventos se clasifican de la siguiente manera:
Eventos controlables: Se considera eventos controlables si al identificarlos se
puede tomar acciones que reduzcan el impacto en el servicio prestado.
Eventos no controlables: Se considera eventos no controlables cuando su
ocurrencia es impredecible y solo se pueden realizar operaciones que permitan
reducir el impacto en el servicio.
1.2.2 Matriz de Riesgos
Al suscitarse un evento tiene impacto sobre las actividades operativas del servicio, es
por ello que resulta de suma importancia determinar la magnitud del evento cuando este
se presente. Dichos eventos deben ser cuantificados y el valor numérico asignado tiene
que ir acorde con su impacto y gravedad y se clasifica de la siguiente manera:
Tabla 1 Nivel de impacto
IMPACTO DESCRIPCIÓN VALOR
Poco impacto Pérdida de información, equipos y/o recursos
informáticos no sensitivos
1
Moderado impacto Pérdida de información sensible 2
Alto impacto Pérdida de información sensible, retraso o interrupción 3
Gran Impacto Pérdida de información crítica, daño serio y/o pérdida
de equipos, recursos informáticos, entre otros.
4
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la clasificación para determinar el nivel de impacto de contingencias. Elaborado por: Rodríguez, D.
Tabla 2 Probabilidad de ocurrencia de eventos adversos
PROBABILIDAD DE OCURRENCIA DESCRIPCIÓN
Frecuente Incidentes continuos
Probable Incidentes aislados
Ocasional Sucede alguna vez
Remoto Improbable que suceda
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la
clasificación para determinar la probabilidad de ocurrencia de eventos adversos. Elaborado por:
Rodríguez, D.
Mediante la probabilidad de ocurrencia y el nivel de impacto se puede determinar la
exposición del riesgo al cual se encuentra expuesta los eventos dentro del plan de
contingencia.
EXPOSICIÓN = Impacto X Probabilidad
Tabla 3 Exposición al Riesgo
Exposición de Riesgo
Poco Moderado Alto Gran
Frecuente
Probable
Ocasional
Remoto
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la
clasificación para determinar la exposición de riesgo. Elaborado por: Rodríguez, D.
Una vez se haya evaluado probabilidades de ocurrencia y los impactos asociados, se
determinaran las políticas a considerar para establecer cuáles son aquellos eventos que
formarán parte del Plan de Contingencia Informático, como las siguientes:
Cualquier evento cuya calificación sea de “Gran impacto - 4”, será considerado
dentro del plan de contingencia informático.
Cualquier evento cuya calificación sea mayor o igual a 0.15 será considerado en
el plan de contingencia informático.
Los puntos anteriormente mencionados servirán como guía para la elaboración de la
Matriz de Riesgos de Contingencia, en la misma se deben considerar todos los eventos
susceptibles que puedan ocasionar contingencias, tomando en cuenta su ponderación
y categorización (Controlable / No controlable) para el desarrollo del plan de
contingencia informático. De la misma manera se utilizarán los siguientes parámetros
para agrupar dichos eventos:
Contingencias relacionadas a Siniestros
Contingencias relacionadas a los Sistemas de Información
Contingencias relacionadas a los Recursos Humanos
Plan de Seguridad Física
1.3 Eventos susceptibles a contingencias
El plan de contingencias informático abarca todos los aspectos relacionados al servicio
de las tecnologías de la Información y comunicación, por lo cual se debe considerar
todos los elementos susceptibles que puedan provocar eventos de contingencia. Los
principales elementos que se deben considerar serán los siguientes:
Tabla 4 Elementos susceptibles a eventos de contingencia
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA
Hardware Comunicaciones
Servidores
Estaciones de trabajo (laptops y
computadores de escritorio PC’s).
Impresoras, fotocopiadoras, scanner.
Lectora de Códigos de Barra
Equipos de radiofrecuencia
Equipos multimedia
Equipos de comunicaciones Switch,
conectores RJ-45, etc.
Equipo de comunicaciones Routers y
LAN.
Equipo de Telefonía fija y telefonía IP
Enlaces de cobre y fibra óptica.
Cableado de Red de Datos.
Software Información de Sistemas Informáticos
Software de Base de Datos.
Aplicativos utilizados por el Sindicato
de Choferes Profesionales de Santo
Domingo.
Software de Aplicaciones Web
Base de datos utilizados por los
Aplicativos y sus respaldos.
Respaldo de información generada
con Software Base y de Ofimática.
Software Base (Sistemas operativos y
Ofimática).
Antivirus para protección de
servidores y estaciones de trabajo.
Respaldo de las Aplicaciones
utilizadas por el Sindicato de
Choferes Profesionales.
Respaldos de información y
configuración de los Servidores.
Equipos diversos Infraestructura Física
Equipos electrónicos
UPS
Aire Acondicionado
Oficinas del Sindicato de Choferes
Profesionales de Santo Domingo.
Centro de Procesamiento de Datos.
Operativos Servicios Públicos
Logística operativa (suministros
Informáticos).
Suministro de Energía Eléctrica.
Servicio de Telefonía Fija analógico /
digital y móvil.
Suministro de Agua.
Recursos Humanos
Disponibilidad de personal de dirección.
Disponibilidad de personal operativo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la
clasificación de elementos susceptibles a eventos de contingencia. Elaborado por: Rodríguez, D.
1.4 Elaboración de plan de contingencia
Dentro del plan de contingencia una de las etapas más importantes es la documentación
y revisión de la información que lo contendrá la cual debe ser de claro entendimiento
para la comprensión del personal del Sindicato de Choferes Profesionales de Santo
Domingo.
El contenido de los eventos del Sindicato de Choferes Profesionales tendrán un formato
de registro, el mismo será de lectura fácil para los usuarios de la empresa, dicho formato
se especifica en el Anexo 2 del presente documento.
1.5 Ejecución del plan de pruebas
Un evento que ocasione una contingencia puede presentarse en cualquier momento, es
por ello que se deben tomar las medidas necesarias para asegurar la pronta y eficaz
recuperación de los servicios que se vieran afectados en el Sindicato de Choferes
Profesionales de Santo Domingo. Es por ello que la garantía principal del éxito del plan
de contingencia informático se basa en la aprobación anticipada del mismo en cada uno
de sus procesos.
La información que se desarrollará como parte del Plan de Pruebas, tendrá el siguiente
esquema:
Objetivos de la prueba del plan de contingencia: Se refiere a la definición de
objetivos.
Alcances: se debe determinar las áreas afectadas y el personal involucrado.
Descripción de la prueba a efectuarse: Se debe definir la evaluación de la
situación de emergencia, medios disponibles para operar, fecha y hora.
Resultados esperados de las pruebas: Relación de posibles acciones.
Es importante recalcar que todas las actividades que forman parte del plan de pruebas
deben registrarse así como: observaciones, firmas y responsables; es por ello que en el
Anexo 3 del presente documento se muestra el formato de control y certificación de
pruebas de contingencia.
1.6 Implementación del plan de contingencia informático
La implementación del presente plan de contingencia informático lo pondrá en marcha
el coordinador de dicho plan, es decir el encargado del departamento de Tecnologías
de la Información (TI).
2 DESARROLLO DEL PLAN DE CONTINGENCIA INFORMÁTICO
2.1 Etapas del plan de contingencia
El desarrollo de las siguientes etapas se basa en la metodología expuesta
anteriormente.
2.1.1 Etapa de identificación de riesgos
Para la identificación de riesgos se utiliza la matriz de riegos de contingencia, con los
valores de riesgo e impacto en el servicio y su respectiva ponderación, el color rojo de
la alerta representa si el evento es altamente impactante en el servicio por lo tanto debe
ser obligatorio, por último en la columna categoría se especificara la identificación de
aquellos eventos Controlables (C), y No Controlables (NC).
Tabla 5 Matriz de riegos de contingencia del Sindicato de Choferes Profesionales
MATRIZ DE RIESGO DE CONTINGENCIA
ÍTEM DESCRIPCIÓN DEL
RIESGO PROBABILIDAD IMPACTO PONDERACIÓN ALERTA CATEGORÍA
EVENTOS RELACIONADOS A SINIESTROS
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFRAESTRUCTURA
1 Incendio 0,10 4 0,40 C
2 Sismo 0,05 4 0,20 NC
3 Inundación por avería de servicios sanitarios
0,10 1 0,10 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SERVICIOS PÚBLICOS
4 Interrupción de energía eléctrica
0,05 4 0,20 NC
5 Falta de suministro de agua
0,05 2 0,10 NC
6 Interrupción de servicios de telefonía
0,04 3 0,12 NC
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
EQUIPO
7 Falla de grupo electrónico
0,03 4 0,12 C
EVENTOS RELACIONADOS A SISTEMAS DE INFORMACIÓN
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFORMACIÓN
8 Pérdida de documentos
0,04 3 0,12 C
9 Robo de información
0,04 3 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SOFTWARE
10 Infección de equipos por virus
0,15 4 0,60 C
11 pérdida de los sistemas centrales
0,15 4 0,60 C
12 pérdida del servicio de correo electrónico
0,06 2 0,12 C
13 Falla del motor de base de datos
0,13 4 0,52 C
14 Falla del sistema operativo
0,13 4 0,52 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
COMUNICACIONES
15 Falla de la red de comunicaciones interna
0,03 4 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
HARDWARE
16 Falla de equipos de cómputo y recursos informáticos
0,04 3 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
RECURSOS OPERATIVOS Y LOGÍSTICOS
17
Falla de equipos multimedia, impresoras, scanner y otros
0,04 3 0,12 C
EVENTOS RELACIONADOS A RECURSOS HUMANOS
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
RECURSOS HUMANOS
18 Ausencia imprevista del personal de soporte técnico
0,08 3 0,24 C
19
Ausencia del personal administrativo para toma de decisiones ante situaciones de riesgo informático
0,08 3 0,24 C
20
Falta de capacidad del personal en la reserva de la información en la base de datos
0,02 4 0,08 NC
EVENTOS RELACIONADOS A PLAN DE SEGURIDAD FÍSICA
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFRAESTRUCTURA
21 Sustracción de equipos y software diversos
0,07 2 0,14 C
22 sabotaje 0,06 2 0,12 NC
23 vandalismo 0,04 3 0,12 NC
24
Actos terroristas
0,03
4
0,12
NC
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta la
matriz de riegos de contingencia de la empresa. Elaborado por: Rodríguez, D.
A continuación se detalla los eventos según la categorización de eventos controlables y
no controlables referentes a la matriz de riesgos especificada anteriormente:
Tabla 6 Eventos controlables
ÍTEM EVENTOS CONTROLABLES
1 Incendio
3 Inundación por avería de servicios sanitarios
7 Falla de grupo electrónico
8 Pérdida de documentos
9 Robo de información
10 Infección de equipos por virus
11 pérdida de los sistemas centrales
12 pérdida del servicio de correo electrónico
13 Falla del motor de base de datos
14 Falla del sistema operativo
15 Falla de la red de comunicaciones interna
16 Falla de equipos de cómputo y recursos informáticos
17 Falla de equipos multimedia, impresoras, scanner y otros
18 Ausencia imprevista del personal de soporte técnico
19 Ausencia del personal administrativo para toma de decisiones ante situaciones de riesgo informático
21
Sustracción de equipos y software diversos
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los eventos controlables de la matriz de riegos de contingencia de la empresa. Elaborado por: Rodríguez, D. Tabla 7 Eventos no controlables
ÍTEM EVENTOS NO CONTROLABLES
2 Sismo
4 Interrupción de energía eléctrica
5 Falta de suministro de agua
6 Interrupción de servicios de telefonía
20 Falta de capacidad del personal en la reserva de la información en la base de datos
22 sabotaje
23 vandalismo
24
Actos terroristas
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
eventos no controlables de la matriz de riegos de contingencia de la empresa. Elaborado por:
Rodríguez, D.
2.1.2 Etapa eventos susceptibles a contingencias
A continuación se presenta los elementos susceptibles a eventos de contingencia versus
los parámetros para la congregación de dichos eventos de la matriz de riesgos de
contingencia del Sindicato de Choferes Profesionales:
Tabla 8 Elementos susceptibles a eventos de contingencia versus parámetros de contingencia
PLAN DE CONTINGENCIA DESARROLLADO
ELEMENTOS CÓDIGO ALCANCE PARÁMETRO
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
HARDWARE
SERVIDORES
PCI-04 Servicios Públicos Contingencia Siniestros
PCI-09 Información Contingencia Sistemas de Información
PCI-10 Software Contingencia Sistemas de Información
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
PCI-22 Infraestructura Contingencia Seguridad Física
ESTACIONES DE TRABAJO (LAPTOPS Y COMPUTADORES
DE ESCRITORIO PC's)
PCI-04 Servicios Públicos Contingencia Siniestros
PCI-08 Información Contingencia Sistemas de Información
PCI-10 Software Contingencia Sistemas de Información
PCI-15 Comunicaciones Contingencia Sistemas de Información
PCI-23 Infraestructura Contingencia Seguridad Física
PCI-24 Infraestructura Contingencia Seguridad Física
IMPRESORAS, FOTOCOPIADORAS,
SCANNER PCI-17 Operativo
Contingencia Sistemas de Información
LECTORA DE CÓDIGOS DE
BARRA PCI-08 Información
Contingencia Sistemas de Información
EQUIPOS DE RADIOFRECUENCIA
PCI-06 Información Contingencia Sistemas de Información
EQUIPOS MULTIMEDIA
PCI-17 Operativo Contingencia Sistemas de Información
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
COMUNICACIONES
EQUIPOS DE COMUNICACIONES
SWITCH, CONECTORES RJ-
45
PCI-15 Comunicaciones Contingencia Sistemas de Información
EQUIPO DE COMUNICACIONES
ROUTERS Y LAN PCI-15 Comunicaciones
Contingencia Sistemas de Información
EQUIPO DE TELEFONÍA FIJA Y
TELEFONÍA IP PCI-15 Comunicaciones
Contingencia Sistemas de Información
ENLACES DE COBRE Y FIBRA
ÓPTICA. PCI-15 Comunicaciones
Contingencia Sistemas de Información
CABLEADO DE RED DE DATOS
PCI-15 Comunicaciones Contingencia Sistemas de Información
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SOFTWARE
SOFTWARE DE BASE DE DATOS
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
APLICATIVOS UTILIZADOS POR EL
SINDICATO DE CHOFERES
PROFESIONALES DE SANTO DOMINGO
PCI-08 Información Contingencia Sistemas de Información
PCI-09 Información Contingencia Sistemas de Información
PCI-10 Software Contingencia Sistemas de Información
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
PCI-15 Comunicaciones Contingencia Sistemas de Información
PCI-11 Software Contingencia Sistemas de Información
SOFTWARE DE APLICACIONES
WEB
PCI-13 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
PCI-15 Comunicaciones Contingencia Sistemas de Información
SOFTWARE BASE (SISTEMAS
OPERATIVOS Y OFIMÁTICA).
PCI-11 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
PCI-15 Software Contingencia Sistemas de Información
ANTIVIRUS PARA PROTECCIÓN DE SERVIDORES Y
ESTACIONES DE TRABAJO
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
PCI-11 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
PCI-15 Software Contingencia Sistemas de Información
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFORMACIÓN DE SISTEMAS INFORMÁTICOS
BASE DE DATOS UTILIZADOS POR LOS APLICATIVOS
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
RESPALDO DE INFORMACIÓN
GENERADA CON SOFTWARE BASE Y
DE OFIMÁTICA
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
RESPALDO DE LAS APLICACIONES
UTILIZADAS POR EL SINDICATO DE
CHOFERES PROFESIONALES.
PCI-11 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
RESPALDOS DE INFORMACIÓN Y CONFIGURACIÓN
DE LOS SERVIDORES
PCI-11 Software Contingencia Sistemas de Información
PCI-13 Software Contingencia Sistemas de Información
PCI-14 Software Contingencia Sistemas de Información
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
EQUIPOS DIVERSOS
EQUIPOS ELECTRÓNICOS
PCI-07 Operativo Contingencias Sistemas de Alumbrado
UPS PCI-04 Servicios Públicos Contingencia Siniestros
AIRE ACONDICIONADO
PCI-04 Servicios Públicos Contingencia Siniestros
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFRAESTRUCTURA FÍSICA
OFICINAS DEL SINDICATO DE
CHOFERES PROFESIONALES
DE SANTO DOMINGO
PCI-01 Infraestructura Contingencia Siniestros
PCI-02 Infraestructura Contingencia Siniestros
PCI-03 Infraestructura Contingencia Siniestros
PCI-23 Infraestructura Contingencia Seguridad Física
PCI-24 Infraestructura Contingencia Seguridad Física
CENTRO DE PROCESAMIENTO
DE DATOS
PCI-01 Infraestructura Contingencia Siniestros
PCI-02 Infraestructura Contingencia Siniestros
PCI-03 Infraestructura Contingencia Siniestros
PCI-23 Infraestructura Contingencia Seguridad Física
PCI-24 Infraestructura Contingencia Seguridad Física
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SERVICIOS PÚBLICOS
SUMINISTRO DE ENERGÍA
ELÉCTRICA PCI-04 Servicios Públicos Contingencia Siniestros
SERVICIO DE TELEFONÍA FIJA
ANALÓGICO / DIGITAL Y MÓVIL
PCI-06 Servicios Públicos Contingencia Siniestros
SUMINISTRO DE AGUA
PCI-05 Servicios Públicos Contingencia Siniestros
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
RECURSOS HUMANOS
DISPONIBILIDAD PERSONAL DE
DIRECCIÓN
PCI-19 Recursos Humanos Contingencia Recursos Humanos
PCI-20 Recursos Humanos Contingencia Recursos Humanos
PCI-22 Infraestructura Contingencia Seguridad Física
PCI-23 Infraestructura Contingencia Seguridad Física
DISPONIBILIDAD PERSONAL OPERATIVO
PCI-19 Recursos Humanos Contingencia Recursos Humanos
PCI-20 Recursos Humanos Contingencia Recursos Humanos
PCI-22 Infraestructura Contingencia Seguridad Física
PCI-23
Infraestructura
Contingencia Seguridad Física
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
elementos susceptibles a eventos de contingencia versus parámetros de contingencia de la
matriz de riesgos de la empresa. Elaborado por: Rodríguez, D.
2.1.3 Etapa desarrollo del plan de contingencia informático
Después de haber establecido e identificado los eventos susceptibles a contingencias y
los elementos afectados o causantes de los mismos, se puede desarrollar el plan de
contingencia informático agrupado por los parámetros de contingencia. A continuación
se presenta un diagrama general que sintetiza la forma de actuar ante la ocurrencia de
un evento adverso:
Gráfico 2 Diagrama de ocurrencia de eventos adversos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
A continuación se presenta la información de las personas responsables de cada evento
de contingencia:
Tabla 9 Responsables de eventos de contingencias
CONTINGENCIAS RELACIONADAS A SINIESTROS
Código Descripción del Evento
de Contingencia
Departamentos Responsables / Jefes
Titulares o sus Representantes
Teléfonos
PCI-01 Incendio Secretaría General, Departamento de
Coordinación, Departamento de Fiscalización, Departamento de Tecnologías de la Información (TI).
2-761-946 Ext. 11 Secretaría
General Ext. 25 Coordinación Ext. 25 Tecnologías
de la Información
PCI-02 Sismo
PCI-03 Inundación por avería de servicios sanitarios
PCI-04 Interrupción de energía eléctrica
Departamento de Coordinación, Departamento
de Tecnologías de la Información (TI).
2-761-946 Ext. 25 Coordinación Ext. 25 Tecnologías
de la Información
PCI-05 Falta de suministro de agua
PCI-06 Interrupción de servicios de telefonía
PCI-07 Falla de grupo electrónico
CONTINGENCIAS RELACIONADAS A SISTEMAS DE INFORMACIÓN
PCI-08 Pérdida de documentos Secretaría General, Departamento de
Coordinación
2-761-946 Ext. 11 Secretaría
General Ext. 25 Coordinación
PCI-09 Robo de información
PCI-10 Infección de equipos por virus
Departamento de Tecnologías de la Información (TI).
2-761-946 Ext. 25 Tecnologías
de la Información
PCI-11 pérdida de los sistemas centrales
PCI-12 pérdida del servicio de correo electrónico
PCI-13 Falla del motor de base de datos
PCI-14 Falla del sistema operativo
PCI-15 Falla de la red de comunicaciones interna
PCI-16 Falla de equipos de cómputo y recursos informáticos
PCI-17 Falla de equipos multimedia, impresoras, scanner y otros
CONTINGENCIAS RELACIONADAS A RECURSOS HUMANOS
PCI-18 Ausencia imprevista del personal de soporte técnico
Departamento de Recursos Humanos, Departamento
contable.
2-761-946 Ext. 11 Secretaría
General
PCI-19
Ausencia del personal administrativo para toma de decisiones ante situaciones de riesgo informático
Ext. 25 Tecnologías de la Información
PCI-20
Falta de capacidad del personal en la reserva de la información en la base de datos
Departamento de coordinación, Departamento
de Recursos, Humanos
2-761-946 Ext. 25 Coordinación
CONTINGENCIAS RELACIONADAS A SEGURIDAD FÍSICA
PCI-21 Sustracción de equipos y software diversos
Departamento de Tecnologías de la Información (TI), Departamento de
coordinación, Departamento de Recursos Humanos
2-761-946 Ext. 25 Coordinación Ext. 25 Tecnologías
de la Información
PCI-22 Sabotaje Departamento de coordinación, Departamento
de Recursos Humanos
2-761-946 Ext. 25 Coordinación
PCI-23 Vandalismo
PCI-24
Actos terroristas
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
responsables de los eventos de contingencia de la empresa. Elaborado por: Rodríguez, D.
2.2 Actividades del plan de contingencia
En las actividades del plan de contingencia se presentan los parámetros que agrupan
los eventos adversos desarrollados en la matriz de riesgos del Sindicato de Choferes
Profesionales de Santo Domingo, en los puntos a tratar a continuación se detalla la
descripción de cada evento con su respectivo plan de prevención, plan de ejecución y
plan de recuperación.
2.2.1 Contingencias relacionadas a siniestros
2.2.1.1 Objetivo
Añadir al plan de contingencia informático todos los eventos relacionados a siniestros
que permitan suministrar un conjunto de acciones orientadas a planificar, atenuar,
organizar y controlar una emergencia que se presente en las instalaciones del Sindicato
de Choferes Profesionales de Santo Domingo, con el fin de minimizar las consecuencias
humanas y operativas en las tecnologías de la información y comunicación derivadas
de dicho evento.
2.2.1.2 Alcance
El alcance barca los eventos de contingencias o emergencias que pudiesen afectar o
dañar las instalaciones, personal, equipo o recursos tecnológicos. Es importante incluir
las afectaciones que inhabiliten parcial o totalmente el Centro de Procesamiento de
Datos “CPD” del Sindicato de Choferes Profesionales de Santo Domingo.
La siguiente tabla es un resumen de la Matriz de Riesgos, referente a las contingencias
relacionadas a los Siniestros:
Tabla 10 Contingencias relacionadas a siniestros
MATRIZ DE RIESGO DE CONTINGENCIA
ÍTEM DESCRIPCIÓN DEL RIESGO
PROBABILIDAD IMPACTO PONDERACIÓN ALERTA CATEGORÍA
EVENTOS RELACIONADOS A SINIESTROS
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFRAESTRUCTURA
1 Incendio 0,10 4 0,40 C
2 Sismo 0,05 4 0,20 NC
3
Inundación por avería de servicios sanitarios
0,10 1 0,10 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SERVICIOS PÚBLICOS
4 Interrupción de energía eléctrica
0,05 4 0,20 NC
5 Falta de suministro de agua
0,05 2 0,10 NC
6 Interrupción de servicios de telefonía
0,04 3 0,12 NC
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
EQUIPO
7 Falla de grupo electrónico.
0,03 4 0,12 C
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan las
contingencias relacionadas a siniestros de la empresa. Elaborado por: Rodríguez, D.
2.2.1.3 Plan de Pruebas
El plan de pruebas corresponde a los eventos desarrollados como parte del parámetro
de siniestros y seguirá la metodología explicada en el ítem “1.5” del presente plan de
contingencia informático, el mismo se establecerá luego del análisis de los procesos
críticos de los servicios y de identificar los eventos adversos que pudiesen presentarse.
Además la aprobación del plan de pruebas será efectuada por la comisión de
contingencia y seguridad.
2.2.1.4 Descripción de planes
A continuación se detalla los planes de contingencia de los eventos de mayor impacto
según la matriz de riesgos de contingencia de la empresa:
Tabla 11 Plan de contingencia para eventos relacionados a incendios
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: INCENDIO
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-01
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Un incendio es un fuego de grandes proporciones que se desarrolla
sin control, el cual puede suscitarse de manera instantánea o
progresiva, pudiendo provocar daños materiales, interrupción de los
procesos de producción, pérdida de vidas humanas y afectación al
ambiente.
Infraestructura
Departamentos de la empresa (general)
Departamento de Tecnologías de la Información
Centro de Procesamiento de Datos
Recursos Humanos
Personal debidamente capacitado para afrontar el evento
2. OBJETIVO
Determinar las acciones que se ejecutaran ante un incendio a fin de
reducir el tiempo de interrupción de las operaciones del Sindicato
de Choferes Profesionales sin exponer la seguridad de las
personas.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento tiene un nivel de gran impacto en el servicio y se identifica
como crítico.
4. ENTORNO
Este evento se puede presentar en las instalaciones administrativas
y operativas del Sindicato de Choferes Profesionales de Santo
Domingo, ubicado en la Vía Chone Km.1 y calle Obispo
Schumacher.
5. PERSONAL ENCARGADO
El Jefe del área o departamento, es quien debe dar cumplimiento a
lo establecido en las condiciones de prevención de riesgo del
presente plan de contingencia informático.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Realizar inspecciones de seguridad habitualmente.
Conservar las conexiones eléctricas seguras en el nivel de su
vida útil.
Capacitaciones sobre la utilización de extintores de cada uno de
los tipos.
Acatar las indicaciones del plan de contingencias, en torno al
evento.
Contar con un registro de teléfonos de emergencia que incluya
a los bomberos, ambulancias, y personal del Sindicato de
Choferes Profesionales responsable de las acciones de
prevención y ejecución de la contingencia.
De la misma manera se debe contar con los siguientes elementos
para la detección y extinción de un posible incendio, los cuales
cubrirán los ambientes del Centro de Procesamiento de Datos
“CPD” y departamentos afines al de Tecnologías de la Información.
Implementar detectores de humo en el “Centro de Datos”
Considerar la Implementación de la Central de detección de
incendios
Mantener renovados los extintores.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
La Contingencia se activará al suceder un incendio.
El proceso de contingencia se activará inmediatamente después
de suceder el evento.
2. PROCESOS ANTES DEL EVENTO
Reconocer la ubicación de las estaciones manuales de alarma
contra incendio y ubicación de los extintores.
Conocer el número de las entidades de emergencia (Bomberos,
Policía Nacional, Sistema Integrado de Seguridad ECU-911,
entre otros).
Tener número de teléfono del personal responsable en
seguridad Informática y contingencia del Sindicato de Choferes
Profesionales.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefes Titulares o representantes de los departamentos Dirección
General (Secretaría General), Departamento de Coordinación,
Departamento de Fiscalización, Departamento de TI.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Tratar de apagar el incendio con extintores.
Comunicar al personal responsable del Sindicato de Choferes
Profesionales.
Evacuar el área.
En todo momento se coordinará con la comisión de
Contingencia y Seguridad, para las acciones que deban ser
efectuadas por ellos.
Luego de extinguido el incendio, se deberán realizar las siguientes
actividades:
Evaluación de los daños ocasionados al personal, equipos y
recursos informáticos, bienes e instalaciones.
En caso de perjuicios del personal prestar asistencia médica
inmediata
Inventario general de la documentación, personal, equipos,
recursos informáticos y/o recursos afectados, indicando el
estado de operatividad de los mismos.
En caso se haya detectado bienes afectados por el evento, se
evaluará el caso para determinar la reposición o restauración.
La comisión de contingencia y seguridad del Sindicato de Choferes
Profesionales deberá coordinar en caso se requiera la habilitación
de ambientes provisionales o alternos para restablecer la función de
los departamentos o áreas afectadas.
5. DURACIÓN
La duración de la contingencia dependerá del tiempo que demande
controlar el incendio.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El personal encargado del plan de recuperación es la comisión de
contingencia y seguridad y el equipo del área o departamento
afectado, cuyo rol principal es asegurar el normal desarrollo de las
operaciones del Sindicato de Choferes Profesionales
2. DESCRIPCIÓN
El plan de recuperación estará orientado a recuperar en el menor
tiempo posible las actividades afectadas durante la interrupción del
servicio.
3. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento afectado presentará un informe a la
Coordinación para la ejecución del Plan explicando qué parte de las
actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
4. MECANISMOS DE RECUPERACIÓN
Se efectuara de acuerdo a las instrucciones impartidas que se
menciona en el literal “1” del plan de recuperación.
5. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
La comisión de contingencia y seguridad una vez que se haya
tomado las acciones definidas en la descripción del presente plan
de recuperación podrá desactivar el plan de contingencia
informático.
6. PROCESO DE ACTUALIZACIÓN
El proceso de actualización será en base al informe presentado por
el jefe de cada departamento luego de lo cual se determinará las
acciones a tomar.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a incendios. Elaborado por: Rodríguez, D.
Tabla 12 Plan de contingencia para eventos relacionados a sismos
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: SISMO
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-02
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Un sismo o terremoto es la vibración de la tierra producida por una
rápida liberación de energía a causa del deslizamiento de la corteza
terrestre a lo largo de una falla.
Infraestructura
Departamentos de la empresa (general)
Departamento de Tecnologías de la Información
Centro de Procesamiento de Datos
Recursos Humanos
Personal debidamente capacitado para afrontar el evento
2. OBJETIVO
Determinar las acciones que se ejecutaran ante un sismo a fin de
reducir el tiempo de interrupción de las operaciones del Sindicato
de Choferes Profesionales sin exponer la seguridad de las
personas.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento tiene un nivel de gran impacto en el servicio y se identifica
como crítico.
4. ENTORNO
Este evento se puede presentar en las instalaciones administrativas
y operativas del Sindicato de Choferes Profesionales de Santo
Domingo, ubicado en la Vía Chone Km.1 y calle Obispo
Schumacher.
5. PERSONAL ENCARGADO
El Jefe del área o departamento, es quien debe dar cumplimiento a
lo establecido en las condiciones de prevención de riesgo del
presente plan de contingencia informático.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Contar con un plan de evacuación de las instalaciones del
Sindicato de Choferes Profesionales, el mismo que debe ser de
conocimiento de todo el personal que labora.
Realizar simulacros de evacuación con la participación de todo
el personal del Sindicato de Choferes Profesionales
Mantener las salidas libres de obstáculos.
Señalizar todas las salidas.
Señalizar las zonas seguras
Definir los puntos de reunión en caso de evacuación
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
La Contingencia se activará al suceder el sismo.
El proceso de contingencia se activará inmediatamente
después de suceder el evento.
2. PROCESOS ANTES DEL EVENTO
Tener la lista de los empleados por departamentos u Oficinas
actualizada.
Mantenimiento del orden y limpieza.
Inspecciones periódica de seguridad interna.
Inspecciones trimestrales de seguridad externa.
Realización de simulacros internos en horarios que no afecten
las actividades.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefes Titulares o representantes de los departamentos Dirección
General (Secretaría General), Departamento de Coordinación,
Departamento de Fiscalización, Departamento de Tecnologías de
la Información (TI).
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Desconectar el fluido eléctrico y cerrar las llaves de gas u otros
líquidos inflamables si corresponde.
Evacuar las oficinas de acuerdo a las disposiciones de la
comisión de contingencia y seguridad, utilizando las rutas
establecidas durante los simulacros. Considerar las escaleras
de emergencia, señalización de rutas, zonas de agrupamiento
del personal, por ningún motivo utilizar los ascensores.
Verificar que todo el personal del Sindicato de Choferes
Profesionales que labora en el área o departamento afectado
se encuentre bien.
Brindar los primeros auxilios al personal afectado si fuese
necesario en caso se presente una emergencia médica.
Alejarse de las ventanas para evitar sufrir cortes por roturas y/o
desprendimiento de trozos de vidrio.
Evaluación de los daños ocasionados por el sismo sobre las
instalaciones físicas, ambientes de trabajo, estanterías,
instalaciones eléctricas, documentos, entre otros.
Inventario general de documentación, personal, equipos,
recursos informáticos y demás bienes, indicando el estado de
operatividad de los mismos.
Limpieza de las áreas y departamentos afectados por el sismo.
La comisión de contingencia y seguridad del Sindicato de
Choferes Profesionales deberá coordinar en caso se requiera la
habilitación de ambientes provisionales o alternos para
restablecer la función de los departamentos o áreas afectadas.
5. DURACIÓN
Los procesos de evacuación del personal del Sindicato de
Choferes Profesionales serán aplacados y demorará 5 minutos
como máximo.
El tiempo de duración total del evento dependerá del grado del
sismo, la probabilidad de réplicas y los daños a la
infraestructura.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El personal encargado del plan de recuperación es la comisión de
contingencia y seguridad y el equipo del área o departamento
afectado, cuyo rol principal es asegurar el normal desarrollo de las
operaciones del Sindicato de Choferes Profesionales.
2. DESCRIPCIÓN
El plan de recuperación estará orientado a recuperar en el menor
tiempo posible las actividades afectadas durante la interrupción del
servicio.
3. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento afectado presentará un informe a la
Coordinación para la ejecución del Plan explicando qué parte de las
actividades u operaciones ha sido afectada y cuáles son las
acciones tomadas.
4. MECANISMOS DE RECUPERACIÓN
El Jefe del área o departamento afectado presentará un informe a
la comisión de contingencia y seguridad explicando qué parte del
Servicio u operaciones ha sido afectada y cuáles son las acciones
a tomar.
5. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
La comisión de contingencia y seguridad una vez que se haya
tomado las acciones y evaluaciones definidas en la descripción del
presente plan de recuperación podrá desactivar el plan de
contingencia informático.
6. PROCESO DE ACTUALIZACIÓN
El proceso de actualización será en base al informe presentado por
el jefe de cada departamento luego de lo cual se determinará las
acciones a tomar.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a sismos. Elaborado por: Rodríguez, D.
Tabla 13 Plan de contingencia para eventos relacionados a interrupción de energía eléctrica
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: INTERRUPCIÓN DE ENERGÍA ELÉCTRICA
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-04
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
El suministro de energía eléctrica está conformado de medios y
elementos útiles para la distribución de la misma. En este caso
representa las fallas en general del abastecimiento de energía
eléctrica en la empresa.
Servicios Públicos
Suministro de Energía Eléctrica
Hardware
Servidores
Estaciones de Trabajo
Equipos Diversos
UPS
2. OBJETIVO
Restaurar las funciones consideradas como críticas por el servicio
de energía electica del Sindicato de Choferes Profesionales.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento se identifica como crítico.
4. ENTORNO
Este evento se puede presentar durante la operatividad, afectando
el fluido eléctrico de las instalaciones del Sindicato de Choferes
Profesionales de Santo Domingo.
5. PERSONAL ENCARGADO
El Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales, es quien debe realizar las
tareas y coordinaciones para reestablecer el suministro de energía
eléctrica.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
La Contingencia se activará al suceder el sismo.
Durante las rutinas diarias del servicio u operaciones del
Sindicato de Choferes Profesionales se contará con los UPS
necesarios para asegurar el suministro eléctrico en las
estaciones de trabajo consideradas como críticas.
Asegurar que los equipos UPS cuenten con el mantenimiento
debido y con suficiente energía para soportar una operación
continua de 30 a 45 minutos como máximo. El tiempo variará
de acuerdo a las características que cumplan los equipos UPS.
Realizar pruebas periódicas de los equipos UPS para asegurar
su correcto funcionamiento.
Contar con UPS para proteger los servidores de la empresa,
previniendo la pérdida de datos durante las labores. La
autonomía del equipo UPS no deberá ser menor a 30 minutos.
Contar con UPS para proteger los equipos de vigilancia
(cámaras, sistemas de grabación) y de control de acceso a las
instalaciones del Sindicato de Choferes Profesionales.
Contar con instrucciones operativas alternas para los casos de falta
de sistemas, de tal forma que no se afecten considerablemente las
operaciones en curso.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Corte de suministro de energía eléctrica en los diferentes
departamentos y áreas del Sindicato de Choferes Profesionales
de Santo Domingo.
2. PROCESOS ANTES DEL EVENTO
Cualquier actividad de servicio dentro de las instalaciones del
Sindicato de Choferes Profesionales de Santo Domingo.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe de Coordinación, jefe o encargado del departamento de
Tecnologías de la Información (TI).
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Informar al Jefe de Tecnologías de la Información (TI) del
problema presentado.
Dar aviso del corte de energía eléctrica en forma oportuna a
todas las áreas del Sindicato de Choferes Profesionales y
coordinar las acciones necesarias.
Las actividades afectadas por la falta de uso de aplicaciones,
deberán iniciar sus procesos de contingencia a fin de no afectar
las operaciones en curso.
Los equipos que entren en funcionamiento automático con los
UPS´s, deberán se monitoreados en el tiempo de autonomía del
equipo y no exceder el tiempo de capacidad de dicho UPS.
En caso que la interrupción de energía sea mayor a quince
minutos, se deberán apagar los servidores de la empresa hasta
que regrese el fluido eléctrico.
5. DURACIÓN
El tiempo máximo de duración de la contingencia dependerá del
proveedor externo de energía eléctrica.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El personal encargado del plan de recuperación es el jefe del
departamento de Tecnologías de la Información (TI) o Coordinación
quienes se encargarán de realizar las actividades de
recuperaciones necesarias.
2. DESCRIPCIÓN
El evento de contingencia será evaluado y registrado de ser
necesario en el formato de ocurrencia de eventos.
Se informará a la coordinación de ejecución del plan de
contingencia y seguridad el procedimiento usado para atender
el problema, en función a esto, se tomarán las medidas
preventivas del caso.
3. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento de Tecnologías de la Información (TI) o
Coordinación debe presentará un informe a la coordinación para la
ejecución del Plan explicando qué parte de las actividades u
operaciones ha sido afectada y cuáles son las acciones tomadas.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe del departamento de Tecnologías de la Información (TI) o
Coordinación desactivará el plan de contingencia una vez se
recupere la funcionabilidad del trabajo con los equipos, recursos
informáticos y sistemas.
5. PROCESO DE ACTUALIZACIÓN
El proceso de actualización será en base al informe que descríbelos
problemas presentados, luego de lo cual se determinará las
acciones a tomar.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a interrupción de energía eléctrica. Elaborado
por: Rodríguez, D.
2.2.2 Contingencias relacionadas a sistemas de información
2.2.2.1 Objetivo
Dotar de alternativas de solución frete a problemas a todos los eventos referentes a
Sistemas de Información en el plan de contingencia Informático, que permitan la normal
operación tanto en hardware, software como en cualquier elemento interno o externo
relacionado a los mismos, con el fin de asegurar la operación del servicio y minimizar el
tiempo de interrupción.
2.2.2.2 Alcance
El alcance de los planes de contingencia se circunscribe a las actividades de uso de
sistemas y/o aplicaciones, así como a las operaciones del servicio que son afectadas
durante la operatividad del Sindicato de Choferes Profesionales.
La siguiente tabla es un resumen de la Matriz de Riesgos, referente a las contingencias
relacionadas a los Sistemas de Información:
Tabla 14 Contingencias relacionadas a sistemas de información
MATRIZ DE RIESGO DE CONTINGENCIA
ÍTEM DESCRIPCIÓN DEL RIESGO
PROBABILIDAD IMPACTO PONDERACIÓN ALERTA CATEGORÍA
EVENTOS RELACIONADOS A SISTEMAS DE INFORMACIÓN
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFORMACIÓN
8 Pérdida de documentos
0,04 3 0,12 C
9 Robo de información
0,04 3 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
SOFTWARE
10 Infección de equipos por virus
0,15 4 0,60 C
11 pérdida de los sistemas centrales
0,15 4 0,60 C
12
pérdida del servicio de correo electrónico
0,06 2 0,12 C
13 Falla del motor de base de datos
0,13 4 0,52 C
14 Falla del sistema operativo
0,13 4 0,52 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
COMUNICACIONES
15
Falla de la red de comunicaciones interna
0,03 4 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
HARDWARE
16
Falla de equipos de cómputo y recursos informáticos
0,04 3 0,12 C
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
RECURSOS OPERATIVOS Y LOGÍSTICOS
17
Falla de equipos multimedia, impresoras, scanner y otros.
0,04 3 0,12 C
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan las
contingencias relacionadas a sistemas de información de la empresa. Elaborado por: Rodríguez,
D.
2.2.2.3 Plan de Pruebas
El plan de pruebas corresponde a los eventos desarrollados como parte del parámetro
de siniestros y seguirá la metodología explicada en el ítem “1.5” del presente plan de
contingencia informático, el mismo se establecerá luego del análisis de los procesos
críticos de los servicios y de identificar los eventos adversos que pudiesen presentarse.
Además la aprobación del plan de pruebas será efectuada por la comisión de
contingencia y seguridad.
2.2.2.4 Descripción de planes
A continuación se detalla los planes de contingencia de los eventos de mayor impacto
según la matriz de riesgos de contingencia de la empresa:
Tabla 15 Plan de contingencia para eventos relacionados a infección de equipos por virus
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: INFECCIÓN DE EQUIPOS POR VIRUS
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-10
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Los virus son programas informáticos que tienen como misión
afectar el funcionamiento del computador, estos por lo general
infectan otros archivos del sistema con la intensión de modificarlos
para destruir de manera intencionada archivos o datos
almacenados en el computador.
Hardware
Servidores
Estaciones de Trabajo
Software
Software y Aplicativos utilizados por el Sindicato de Choferes
Profesionales.
2. OBJETIVO
Restaurar la operatividad de los computadores después de eliminar
los virus informáticos o reinstalar las aplicaciones dañadas.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento se identifica como crítico.
4. ENTORNO
Este evento se puede presentar en los equipos de cómputo PC’s
del Sindicato de Choferes Profesionales de Santo Domingo,
ubicado en la Vía Chone Km.1 y calle Obispo Schumacher.
5. PERSONAL ENCARGADO
El Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales, es el responsable de la
supervisión del correcto funcionamiento de los equipos de cómputo
PC´s.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Establecer de políticas de seguridad para prevenir el uso de
aplicaciones no autorizadas en las estaciones de trabajo.
Restringir el acceso a Internet en las estaciones de trabajo que
por su uso no lo requieran.
Deshabilitar los puertos de comunicación USB en las
estaciones de trabajo que no los requieran habilitados, para
prevenir la conexión de unidades de almacenamiento externo.
Aplicar filtros para restricción de correo entrante, y revisión de
archivos adjuntos en los correos y así prevenir la infección de
los computadores por virus.
Contar con antivirus instalados en cada estación de trabajo, el
mismo que debe estar actualizado permanentemente.
Contar con respaldo de la información de los computadores ante
posibles fallas, para su reemplazo provisional hasta la desinfección
y habilitación de los mismos.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Mensajes de error durante la ejecución de programas.
Lentitud en el acceso a las aplicaciones.
Falla general en el equipo (sistema operativo, aplicaciones).
2. PROCESOS ANTES DEL EVENTO
Cualquier proceso relacionado con el uso de las aplicaciones en los
computadores del Sindicato de Choferes Profesionales.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe y técnico del departamento de Tecnologías de la Información.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Desconectar el equipo de la red del Sindicato de Choferes
Profesionales.
Verificar si el equipo de cómputo se encuentra infectado,
utilizando un antivirus actualizado.
Rastrear de ser necesario el origen de la infección (archivo
infectado, correo electrónico, etc.)
Eliminar el agente causante de la infección.
Remover el virus del sistema.
En caso de no poder solucionarse el problema de deberá:
Formatear el equipo, personalizar el equipo PC para el usuario.
Conectar el equipo de cómputo a la red de la empresa.
Realizar las pruebas necesarias con el usuario.
Solicitar conformidad del servicio.
5. DURACIÓN
La duración del evento no deberá ser mayor a 3 horas en caso se
confirme la presencia de un virus. Esperar la indicación del personal
de soporte del departamento de Tecnologías de la Información (TI)
para reanudar el trabajo.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El Técnico de Soporte de Sistemas del departamento de
Tecnologías de la Información, luego de restaurar la funcionabilidad
del equipo de cómputo (PC), coordinará con el usuario responsable
y Jefe del área para reanudar las labores de trabajo.
2. DESCRIPCIÓN
Se informará al Jefe del departamento de tecnologías de la
Información (TI) el tipo de virus encontrado y el procedimiento
usado para removerlo. Acorde a esto, se tomarán las medidas
preventivas del caso enviando una alerta vía correo al personal
del Sindicato de Choferes Profesionales.
El evento será evaluado y registrado de ser necesario en el
formato de ocurrencia de eventos.
3. MECANISMOS DE COMPROBACIÓN
Se debe llenar el formato de ocurrencia de eventos y enviar a la
Coordinación para ejecución del Plan para su revisión.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe o técnico del departamento de Tecnologías de la
Información (TI) desactivará el plan cuando se haya tomado las
acciones y evaluaciones definidas en el plan de recuperación.
5. PROCESO DE ACTUALIZACIÓN
El problema de infección suscitado en los equipos de cómputo
(PC’s), no deben detener la aplicación de actualización de datos en
las Aplicaciones del Sindicato de Choferes Profesionales.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a infección de equipos por virus. Elaborado por:
Rodríguez, D.
Tabla 16 Plan de contingencia para eventos relacionados a sistemas centrales
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: PÉRDIDA DE LOS SISTEMAS CENTRALES
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-11
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes Profesionales
de Santo Domingo
Sindicato de Choferes
Profesionales de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Es la ausencia de interacción entre el Software y el Hardware
haciendo inoperativa la máquina, es decir, el Software no envía
instrucciones al Hardware impidiendo su funcionamiento.
Software
Software base
Software de base de datos
Aplicativos utilizados por el Sindicato de Choferes
Profesionales.
Hardware
Servidores
Información
Respaldo de base de datos
Respaldo de las aplicaciones utilizadas por el Sindicato de
Choferes Profesionales.
Respaldo de Software Base
2. OBJETIVO
Mantener operativo los servidores donde se ejecutan las
aplicaciones del Sindicato de Choferes Profesionales.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento se identifica como crítico.
4. ENTORNO
Los servidores están situados en el Centro de Procesamiento de
Datos (CPD) del Sindicato de Choferes Profesionales de Santo
Domingo.
5. PERSONAL ENCARGADO
El Jefe del departamento de Tecnologías de la Información (TI)
es el responsable de asegurar el correcto funcionamiento de los
servidores durante los servicios. Se coordinarán las acciones
necesarias para restablecer el servicio en caso se produzca el
evento.
El Jefe del departamento de tecnologías de la Información (TI)
del Sindicato de Choferes Profesionales es el encargado de
coordinar las acciones necesarias con el outsourcing
informático para prestar el mantenimiento a los servidores y el
personal de las áreas usuarias, para asegurar un servicio
continuo de los servidores y sus aplicaciones, de tal forma que
no afecten el servicio brindado por la empresa.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Se debe considerar las siguientes acciones preventivas que debe
implementar el departamento de Tecnologías de la Información (TI)
del Sindicato de Choferes Profesionales para asegurar el servicio
de las aplicaciones:
Poseer con equipos de respaldo ante posibles fallas de los
servidores.
Contar con mantenimiento preventivo para dichos equipos.
Contar con las copias de seguridad o backup de información
necesarios para restablecer las aplicaciones.
Contar con copias de seguridad de las aplicaciones y de las
bases de datos.
Almacenar en un lugar seguro las copias de seguridad referidas
a aplicaciones y datos.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Falla de Acceso a Aplicaciones.
Mensaje de pérdida de conexión de la base de datos.
2. PROCESOS ANTES DEL EVENTO
Cualquier proceso relacionado con el uso de las aplicaciones en los
servidores del Sindicato de Choferes Profesionales.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales de Santo Domingo.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Remitirse a los procedimientos de recuperación de sistemas del
Sindicato de Choferes Profesionales de Santo Domingo.
5. DURACIÓN
La duración del evento dependerá de la complejidad del
problema encontrado.
Esperar la indicación del jefe del departamento de Tecnologías
de la Información (TI) de la empresa para reanudar la operación
normal con las aplicaciones.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales, luego de verificar la
corrección del problema de acceso a los servidores, coordinará con
los jefes de áreas para la reanudación de los trabajos operativos
con las aplicaciones de la empresa.
2. DESCRIPCIÓN
Se informará a la Dirección General la causa que motivó la
paralización del servicio, dependiendo de aquello se tomarán las
medidas preventivas del caso y se revisará el plan de contingencia
para actualizarlo si fuese necesario.
3. MECANISMOS DE COMPROBACIÓN
Se debe llenar el formato de ocurrencia de eventos y enviar a la
Coordinación para ejecución del Plan para su revisión.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe del departamento de Tecnologías de la Información (TI)
desactivará el plan de contingencia cuando se haya tomado las
acciones y evaluaciones definidas en el plan de recuperación
5. PROCESO DE ACTUALIZACIÓN
Si se extendiera la información pendiente de actualización, debido
a la falla de los sistemas centrales, se coordinará con los jefes de
las distintas áreas, para iniciar las labores de actualización de los
sistemas.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a pérdida de los sistemas centrales. Elaborado
por: Rodríguez, D.
Tabla 17 Plan de contingencia para eventos relacionados a fallas del motor de base de datos
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: FALLA DEL MOTOR DE BASE DE DATOS
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-14
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes Profesionales
de Santo Domingo
Sindicato de Choferes
Profesionales de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Falla en el control de computadoras, en el interfaz hombre-
máquina, recursos hardware y software del Sindicato de Choferes
Profesionales de Santo Domingo.
Software
Aplicativos utilizados por el Sindicato de Choferes
Profesionales,
Hardware
Servidores
Información
Respaldo de Base de Datos
Respaldo de las Aplicaciones utilizadas por el Sindicato de
Choferes Profesionales.
2. OBJETIVO
Garantizar la continuidad de las operaciones, con los medios de
respaldo adecuados para restaurar las funciones de los elementos
identificados.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento se identifica como crítico.
4. ENTORNO
Se puede suscitar durante la operatividad, afectando a los equipos
de cómputo y servidores utilizados para dar soporte a las
operaciones.
5. PERSONAL ENCARGADO
El Jefe de Tecnologías de la Información (TI) es el responsable de
coordinar las acciones necesarias para asegurar el correcto
funcionamiento de las aplicaciones.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Revisión periódica de los logs de la base de datos para prevenir
mal funcionamiento de la Base de Datos.
Contar con los copias de seguridad de datos de las aplicaciones
en desarrollo/producción en la Institución. Se realizan copias de
la información o de los registros con la finalidad de asegurar la
información mantenida en la base de datos.
La copia de seguridad de la información es un proceso diario,
en donde se busca asegurar la integridad de la información.
También se obtienen copias de seguridad de la base de datos
de acuerdo a requerimientos antes o después de un
determinado proceso.
Mantener actualizado el software de gestión de base de datos,
con todos los parches del producto según el fabricante del
producto.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Fallas en la conexión. Indisponibilidad del sistema aplicativo.
Identificación de falla en la pantalla de los equipos de cómputo
y/o servidores de aplicaciones.
2. PROCESOS ANTES DEL EVENTO
Respaldo disponible para el uso de las aplicaciones en los
servidores del Sindicato de Choferes Profesionales.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales es quien considera activar la
contingencia.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Si se produce una falla en los sistemas de proveedores al
momento de la operación de estos sistemas por efecto del
programa ejecutable (cliente) o base de datos, deberá ser
comunicado y coordinado inmediatamente con el proveedor,
para su corrección.
Si se produce una falla en los sistemas desarrollados por el
Sindicato de Choferes Profesionales al momento de la
operación, el Jefe del departamento de Tecnologías de la
Información asumirá, delegará o coordinará los trabajos de
corrección o modificación.
5. DURACIÓN
El tiempo máximo de la contingencia no debe sobrepasar las cuatro
horas.
1. PERSONAL ENCARGADO
El personal encargado del plan de recuperación para las
operaciones del Sindicato de Choferes Profesionales es el Jefe del
departamento de Tecnologías de la Información (TI).
PLAN DE RECUPERACIÓN
2. DESCRIPCIÓN
Se comunicará al Jefe del departamento de Tecnologías de la
Información del Sindicato de Choferes Profesionales la causa
del problema presentado y el procedimiento usado para atender
el problema.
En función a esto, se tomarán las medidas preventivas del caso
enviando una alerta vía correo al personal del Sindicato de
Choferes Profesionales.
El evento será evaluado y registrado de ser necesario en el
formato de ocurrencia de eventos.
3. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento de Tecnologías de la Información del
Sindicato de Choferes Profesionales presentará un informe a la
Coordinación Ejecutora del Plan explicando que parte del servicio
ha fallado y cuáles son las acciones correctivas y/o preventivas a
realizar.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe del departamento de Tecnologías de la Información (TI)
desactivará el plan de contingencia una vez que se recupere la
funcionalidad de trabajo con la base de datos de las aplicaciones.
5. PROCESO DE ACTUALIZACIÓN
En base al informe presentado que identifica las causas de la
pérdida del sistema operativo en las estaciones de trabajo y/o
servidores, se establecerá las acciones preventivas necesarias
que deberán incluirse en el presente plan.
En caso existiese información pendiente de actualización,
debido a la falla de los sistemas centrales, se coordinará con
los directores y/o jefes de reas, para iniciar las labores de
actualización de los sistemas.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a fallas del motor de base de datos. Elaborado
por: Rodríguez, D.
Tabla 18 Plan de contingencia para eventos relacionados a fallas con el sistema operativo
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: FALLA DEL SISTEMA OPERATIVO
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-14
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes Profesionales
de Santo Domingo
Sindicato de Choferes
Profesionales de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Ausencia del servicio principal para almacenar, procesar y proteger
los datos, para acceso controlado y procesamiento de
transacciones rápidos para cumplir con los requisitos de las
aplicaciones consumidoras de datos más exigentes del Sindicato
de Choferes Profesionales.
Software
Aplicativos utilizados por el Sindicato de Choferes
Profesionales.
Hardware
Servidores
Información
Respaldo de Base de Datos
Respaldo del Software Base
2. OBJETIVO
Garantizar la continuidad de las operaciones, con los medios de
respaldo adecuados para restaurar los datos de las aplicaciones
ejecutadas en los servidores del Sindicato de Choferes
Profesionales.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento se identifica como crítico.
4. ENTORNO
Se puede suscitar durante la operatividad, afectando a os equipos
de cómputo y servidores usados para dar soporte a las operaciones
del Sindicato de Choferes Profesionales de Santo Domingo.
5. PERSONAL ENCARGADO
El Jefe de Tecnologías de la Información (TI) es el responsable de
coordinar las acciones necesarias para asegurar el correcto
funcionamiento de las aplicaciones.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
Se debe asegurar de cumplir los siguientes puntos:
Contar con las copias de seguridad de datos de las aplicaciones
de la empresa.
El Sindicato de Choferes Profesionales debe asegurarse de
mantener acuerdos con sus proveedores de Servicio.
Revisión constante de los logs de actividad de los servidores
para advertir su mal funcionamiento.
Equipos de cómputo y servidores deberán contar con antivirus
actualizados.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Detención de las funciones de trabajo en los equipos de
cómputo y/o servidores de aplicaciones.
Reconocimiento de falla en el monitor de los servidores de
aplicaciones y/o equipos de cómputo.
2. PROCESOS ANTES DEL EVENTO
Respaldo disponible de los sistemas operativos para la ejecución
de las aplicaciones en los servidores.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales es quien considera activar la
contingencia.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
En el caso de los equipos de cómputo:
Revisión de los equipos para determinar la causa de la falla.
Constatar si el equipo se encuentra infectado, utilizando un
detector de virus actualizado.
Averiguar de ser necesario el origen de la infección (archivo
infectado, correo electrónico, etc.)
Remover el virus del sistema.
Probar el sistema.
En caso no solucionarse el problema:
Formatear el equipo.
Personalizar el equipo de cómputo del usuario.
Conectar el equipo de cómputo a la red del Archivo.
Efectuar las pruebas necesarias con el usuario.
Solicitar conformidad del servicio.
En el caso de los servidores:
Los diferentes departamentos o áreas deben reportar el
problema al departamento de tecnologías de la Información (TI).
Coordinar las acciones a realizarse y el tiempo aproximado de
interrupción del servicio.
5. DURACIÓN
El tiempo de la contingencia no debe sobrepasar las seis horas.
PLAN DE RECUPERACIÓN
6. PERSONAL ENCARGADO
El personal encargado del plan de recuperación para las
operaciones del Sindicato de Choferes Profesionales es el Jefe del
departamento de Tecnologías de la Información (TI).
7. DESCRIPCIÓN
Se comunicará al Jefe del departamento de Tecnologías de la
Información del Sindicato de Choferes Profesionales la causa
del problema presentado y el procedimiento usado para atender
el problema.
En función a esto, se tomarán las medidas preventivas del caso
enviando una alerta vía correo al personal de la empresa.
El evento será evaluado y registrado de ser necesario en el
formato de ocurrencia de eventos.
8. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento de Tecnologías de la Información del
Sindicato de Choferes Profesionales presentará un informe a la
Coordinación Ejecutora del Plan explicando que parte del servicio
fallo y cuáles son las acciones correctivas y preventivas a realizar.
9. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe del departamento de Tecnologías de la Información (TI)
desactivará el plan de contingencia una vez que se recupere la
funcionalidad de trabajo con los sistemas.
10. PROCESO DE ACTUALIZACIÓN
En base al informe presentado que identifica las causas de la
pérdida del sistema operativo en las estaciones de trabajo y/o
servidores, se establecerá las acciones preventivas necesarias
que deberán incluirse en el presente plan.
En caso existiese información pendiente de actualización,
debido a la falla de los sistemas centrales, se coordinará con
los directores y/o jefes de reas, para iniciar las labores de
actualización de los sistemas.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a fallas del sistema operativo. Elaborado por:
Rodríguez, D
2.2.3 Contingencias relacionadas a recursos humanos
2.2.3.1 Objetivo
El tratamiento de este tipo de contingencias está relacionado con todos los elementos y
factores que pueden afectar o ser afectados por el personal del Sindicato de Choferes
Profesionales de Santo Domingo.
2.2.3.2 Alcance
La seguridad referente al personal se contemplará desde las etapas de selección del
mismo e incluirá en los contratos y definiciones de puestos de trabajo para poder cumplir
el objetivo de reducir los riesgos de:
Actuaciones humanas
Indisponibilidad por enfermedades
Emergencias médicas
Incapacidad temporal o permanente por accidentes
Renuncias o ceses
Se deberá comprobar que las funciones de puestos de trabajo contemplan todo
lo necesario en cuanto las responsabilidades encomendadas.
La siguiente tabla es un resumen de la Matriz de Riesgos, referente a las contingencias
relacionadas a los Siniestros:
Tabla 19 Contingencias relacionadas a recursos humanos
MATRIZ DE RIESGO DE CONTINGENCIA
ÍTEM DESCRIPCIÓN DEL RIESGO
PROBABILIDAD IMPACTO PONDERACIÓN ALERTA CATEGORÍA
EVENTOS RELACIONADOS A RECURSOS HUMANOS
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
RECURSOS HUMANOS
18
Ausencia imprevista del personal de soporte técnico
0,08 3 0,24 C
19
Ausencia del personal administrativo para toma de decisiones ante situaciones de riesgo informático
0,08 3 0,24 C
20
Falta de capacidad del personal en la reserva de la información en la base de datos
0,02 4 0,08 NC
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a recursos humanos. Elaborado por: Rodríguez,
D.
2.2.3.3 Plan de Pruebas
El plan de pruebas corresponde a los eventos desarrollados como parte del parámetro
de siniestros y seguirá la metodología explicada en el ítem “1.5” del presente plan de
contingencia informático, el mismo se establecerá luego del análisis de los procesos
críticos de los servicios y de identificar los eventos adversos que pudiesen presentarse.
Además la aprobación del plan de pruebas será efectuada por la comisión de
contingencia y seguridad.
2.2.3.4 Descripción de planes
A continuación se detalla los planes de contingencia de los eventos de mayor impacto
según la matriz de riesgos de contingencia de la empresa:
Tabla 20 Plan de contingencia para eventos relacionados a la ausencia imprevista del personal de soporte técnico
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: AUSENCIA IMPREVISTA DEL PERSONAL DE
SOPORTE TÉCNICO
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-18
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Este evento describe la ausencias del personal del departamento
de tecnologías – Soporte técnico de la información relevante
(enfermedad, renuncias, ceses), en toma decisiones claves que
garantice el normal funcionamiento de servidores y redes de la
institución.
Recursos Humanos
Personal.
2. OBJETIVO
Garantizar la continuidad del servicio Informático del Sindicato de
Choferes Profesionales de Santo Domingo.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento tiene un nivel de gran impacto.
4. ENTORNO
Este evento se puede presentar las instalaciones del Sindicato de
Choferes Profesionales de Santo Domingo, ubicado en la Vía
Chone Km.1 y calle Obispo Schumacher.
5. PERSONAL ENCARGADO
El Jefe del departamento de Tecnologías de la Información (TI) del
Sindicato de Choferes Profesionales, es quien debe asegurarse
que se cumplan las condiciones de prevención de riesgos del
presente plan.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
La existencia del presente evento se puede presentar en
cualquier momento, dependiendo de las circunstancias
personales, por lo que se considera lo siguiente:
El Jefe del departamento de Tecnologías de la Información, se
asegurará en capacitar a los a el personal de dicha con el fin
que cumpla el perfil, conocimiento y capacidad para reemplazar
la ausencia ante la presencia de este evento.
El Jefe del departamento de Tecnologías de la Información se
asegurara en tener profesionales técnicos en el área de soporte
técnico.
Incluir como parte de las funciones del personal, comunicar
anticipadamente la inasistencia a su centro de labores.
Para el control del personal se cuenta con un software de
control de asistencia, de donde se proveerá información al el
Jefe del departamento de Tecnologías de la Información para
que tome las acciones preventivas correspondientes.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Reporte de inasistencia del personal del departamento de
Tecnologías de la Información (TI).
El proceso de contingencia se activa durante las dos horas
iniciales del día.
2. PROCESOS ANTES DEL EVENTO
Se podría presentar por:
Conocimiento del Jefe del departamento de Tecnologías de la
Información por parte del reporte de inasistencia del
departamento de recursos humanos.
Conocimiento del Jefe del departamento de Tecnologías de la
Información por comunicación telefónica por parte del personal
de Soporte Técnico ausente o algún familiar.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
Jefe del departamento de Tecnologías de la Información (TI).
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Confirmado la inasistencia del personal de soporte Técnico, el Jefe
del departamento de Tecnologías de la Información, asumirá o
delegara la responsabilidad para reemplazar en las funciones que
el personal no asistente cumplía.
5. DURACIÓN
La duración del evento será de ocho horas. El fin del presente
evento es la presencia del reemplazo que asume la
responsabilidad; hasta que se confirme la presencia del personal
de Soporte Técnico en caso de renuncia u otras por fuerza mayor.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El Técnico de Soporte de Sistemas del departamento de
Tecnologías de la Información (TI), cuyo rol principal es asegurar el
normal funcionamiento del servicio Informático.
2. DESCRIPCIÓN
Regularización en los servicios pendiente durante la ausencia.
Revisión de los servicios atendidos si fuera el caso.
Definir los ajustes para asegurar rápida y mejora en la acción y
prevención del presente evento.
3. MECANISMOS DE COMPROBACIÓN
El Jefe del departamento de tecnologías de la Información debe
presentar un informe a la Coordinación para ejecución del plan
explicando que parte del servicio Informático ha sido afectado y cual
son las acciones tomadas.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Jefe del departamento de Tecnologías de la Información (TI)
desactivará el plan de contingencia cuando se haya tomado las
acciones y evaluaciones definidas en el plan de recuperación
5. PROCESO DE ACTUALIZACIÓN
En base al informe presentado por el Jefe del departamento de
Tecnologías de la Información (TI) y las causas identificadas en el
servicio informático se determinará las acciones a tomar
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a ausencia imprevista del personal de soporte
técnico. Elaborado por: Rodríguez, D.
Tabla 21 Plan de contingencia para eventos relacionados a la ausencia del personal ejecutivo
SINDICATO DE CHOFERES PROFESIONALES DE SANTO
DOMINGO
EVENTO: AUSENCIA DEL PERSONAL EJECUTIVO PARA LA
TOMA DE DECISIONES ANTE SITUACIONES DE RIESGO
INFORMÁTICO
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: PCI-19
VERSIÓN
0.01 16/03/2017 Sindicato de Choferes
Profesionales de Santo Domingo
Sindicato de Choferes Profesionales
de Santo Domingo
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
Este evento describe la ausencia del personal de la dirección
general y administrativo (enfermedad, renuncias, ceses), en toma
decisiones claves que garantice el normal funcionamiento de las
actividades.
Recursos Humanos
Personal.
2. OBJETIVO
Garantizar la continuidad de las operaciones en las diferentes áreas
y departamentos del Sindicato de Choferes Profesionales de Santo
Domingo.
3. CRITICIDAD
El Sindicato de Choferes Profesionales determina que el presente
evento tiene un nivel de gran impacto.
4. ENTORNO
Este evento se puede presentar las instalaciones del Sindicato de
Choferes Profesionales de Santo Domingo, ubicado en la Vía
Chone Km.1 y calle Obispo Schumacher.
5. PERSONAL ENCARGADO
El departamento de coordinación y de recursos humanos, es quién
debe de asegurarse de que se cumpla lo descrito en las condiciones
de previsión de riesgo del presente plan.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
El presente evento se suscitar en cualquier momento,
dependiendo de las circunstancias personales que se presente
a personal por lo que se considera lo siguiente:
Como primera prevención, la Dirección General asegurará en
capacitar a un empleado con más de 5 años de experiencia en
la Institución que cumpla el perfil, conocimiento y capacidad
para reemplazar ante el evento.
Incluir como parte de las funciones del personal en comunicar
anticipadamente la inasistencia a su centro de labores, siempre
y cuando se trate de ocasiones premeditadas.
PLAN DE EJECUCIÓN
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
Reporte de inasistencia del personal de la Dirección General o
diferentes áreas o departamentos de la empresa.
El proceso de contingencia se activa durante las dos horas
iniciales del día.
2. PROCESOS ANTES DEL EVENTO
Se podría presentar por:
Falta de decisión del Gerente General (Secretario General) o
Jefe de las diferentes áreas o departamentos para aplicar
soluciones ante algún inconveniente en las actividades u
operaciones de su competencia, donde se detecte la ausencia.
Reporte de Control de Asistencia referente a inasistencias.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
El encargado de autorizar el proceso de contingencia es la
Dirección General, departamento de Coordinación y departamento
de Recursos Humanos.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
Una vez se confirme la inasistencia del personal, se coordinará el
reemplazo.
5. DURACIÓN
La duración del evento será de cuatro horas. El fin del presente
evento es la presencia del reemplazo, o el empleado más antiguo
que esté capacitado para que asuma la responsabilidad; hasta que
se confirme la presencia del personal ausente en caso de renuncia
u otras por fuerza mayor
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
El personal encargado del plan de Recuperación es el jefe del
departamento, cuyo rol principal es asegurar el normal
funcionamiento de las operaciones del Sindicato de Choferes
Profesionales de Santo Domingo.
2. DESCRIPCIÓN
Regular la coordinación pendiente durante la ausencia.
Definir los ajustes para asegurar la rápida y mejora acción en la
prevención del presente evento.
3. MECANISMOS DE COMPROBACIÓN
El jefe del área presentará un informe a la coordinación para
ejecución del plan explicando que parte del servicio Informático ha
sido afectado y cual son las acciones tomadas.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
El Director general (Secretario general) o jefe de administración
desactivará el plan de contingencia una vez que se haya tomado
las acciones definidas en la descripción del presente plan de
recuperación, mediante una comunicación electrónica a la
Coordinación para la ejecución del plan.
5. PROCESO DE ACTUALIZACIÓN
En base al informe presentado por el Jefe del departamento y las
causas identificadas en la operatividad, se determinará las acciones
a tomar.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta el
plan de contingencia para eventos relacionados a ausencia del personal ejecutivo para la toma
de decisiones ante situaciones de riesgo informático. Elaborado por: Rodríguez, D.
2.2.4 Contingencias relacionadas a seguridad física
2.2.4.1 Objetivo
Definir los procesos de prevención a fin de mitigar riesgos de seguridad física tanto de
las instalaciones como de todos los elementos que operan en su interior (equipos,
documentación, mobiliario, etc.) a causa de incidentes provocados de manera
intencional, eventual o natural y que puedan afectar las operaciones normales del
servicio.
2.2.4.2 Alcance
Para el alcance del plan de contingencia referente a la seguridad física serán tomados
en cuenta lo siguientes elementos:
Ubicación y disposición física.
Elementos de seguridad de los ambientes de trabajo.
Control de accesos de personal interno y externo al servicio
Actos terroristas o de vandalismo que pudieran afectar.
Infraestructura, personal o documentación.
La siguiente tabla es un resumen de la Matriz de Riesgos, referente a las contingencias
relacionadas a los Siniestros:
Tabla 22 Contingencias relacionadas a seguridad física
MATRIZ DE RIESGO DE CONTINGENCIA
ÍTEM DESCRIPCIÓN DEL RIESGO
PROBABILIDAD IMPACTO PONDERACIÓN ALERTA CATEGORÍA
EVENTOS RELACIONADOS A PLAN DE SEGURIDAD FÍSICA
ELEMENTOS SUSCEPTIBLES A EVENTOS DE CONTINGENCIA:
INFRAESTRUCTURA
21
Sustracción de equipos y software diversos
0,07 2 0,14 C
22 sabotaje 0,06 2 0,12 NC
23 vandalismo 0,04 3 0,12 NC
24 Actos terroristas
0,03 4 0,12 NC
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta el plan de contingencia para eventos
relacionados a seguridad física. Elaborado por: Rodríguez, D.
2.2.4.3 Plan de Prueba
El plan de pruebas corresponde a los eventos desarrollados como parte del parámetro
de siniestros y seguirá la metodología explicada en el ítem “1.5” del presente plan de
contingencia informático, el mismo se establecerá luego del análisis de los procesos
críticos de los servicios y de identificar los eventos adversos que pudiesen presentarse.
Además la aprobación del plan de pruebas será efectuada por la comisión de
contingencia y seguridad
.
2.2.4.4 Descripción de planes
Los eventos de contingencia pertenecientes a este parámetro de contingencia son
menores a 0.15 según la matriz de riesgo de la empresa elaborada.
2.3 Estrategias del plan de contingencia
La estrategia aplicada para el presente plan de contingencia es contar con:
Plan de Prevención, Plan de Ejecución, Plan de Recuperación y Plan de
Pruebas, desarrollados en el presente plan de contingencia.
Se plantea una organización para la gestión del plan de contingencia, el mismo
que está desarrollado en el presente Plan en el punto “1.1 Organización del plan
de contingencia”.
Poseer documentado los principales eventos susceptibles planteados en el
presente plan de contingencia tal como se lo platea en el punto “5.2 Actividades
del plan de contingencia”.
2.4 Políticas del plan de contingencia
El Plan de Contingencia será actualizado con una periodicidad anual y entregado
a la Dirección General (Secretaría General) del Sindicato de Choferes
Profesionales de Santo Domingo para su validación y aprobación.
La actualización del plan de contingencia (a partir de la segunda versión en
adelante) incluirá un capítulo donde se especificará las altas y bajas de los
planes específicos de contingencia, así como aquellos que por uno u otro motivo
fueron modificados respecto a su versión original.
Se debe mantener 2 copias vigentes de respaldo y se distribuirá una copia a
todas las áreas involucradas en los planes.
La implementación del plan de contingencia está programado en el bimestre de
su aprobación.
3 RESPONSABLES DEL PLAN DE CONTINGENCIA
En el punto “2.1.3 - Etapa desarrollo del plan de contingencia informático” del presente
Plan; se ha considerado a los responsables de la ejecución de los diferentes eventos
adversos de contingencia. Para la delegación de los mismos se a utilizando el formato
Anexo 2: “Formato Registro Plan de Contingencia” tanto para el Plan de Prevención,
Plan de Ejecución, Plan de Recuperación y Plan de Pruebas.
4 RECURSOS DEL PLAN DE CONTINGENCIA
En el punto “2.1.3 - Etapa desarrollo del plan de contingencia informático” del presente
Plan; se ha considerado los recursos a emplear durante la ejecución de los diferentes
eventos susceptibles de contingencia. Para la delegación de los mismos se a utilizando
el formato Anexo 2: “Formato Registro Plan de Contingencia” tanto para el Plan de
Prevención, Plan de Ejecución, Plan de Recuperación y Plan de Pruebas.
5 PERIODOS Y PLAZOS DEL PLAN DE CONTINGENCIA
En el punto “2.1.3 - Etapa desarrollo del plan de contingencia informático” del presente
Plan; se ha considerado los plazos a emplear durante la ejecución de los diferentes
eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato
Anexo 2: “Formato Registro Plan de Contingencia” tanto para el Plan de Prevención,
Plan de Ejecución, Plan de Recuperación y Plan de Pruebas.
6 ANEXOS
ANEXO 1
A continuación se muestra el formato de ocurrencia de eventos que se debe llenar para
evaluar el impacto de ciertos eventos adversos que se pueden presentar y adherir al
presente plan de contingencia.
FORMATO DE OCURRENCIA DE EVENTOS
CÓDIGO DEL EVENTO: FECHA: / /
DESCRIPCIÓN DE LA OCURRENCIA:
ANOTACIONES DEL PLAN DE PREVENCIÓN:
ANOTACIONES DEL PLAN DE EJECUCIÓN:
ANOTACIONES DEL PLAN DE RECUPERACIÓN:
OBSERVACIONES:
FIRMAS DE RESPONSABILIDAD
CONTINGENCIA AUTORIZADA POR:
------------------------------------------- CC.……………………………………..
CONTINGENCIA DESACTIVADA POR:
------------------------------------------- CC.……………………………………..
Anexo 2
A continuación se detalla la funcionabilidad de cada uno de los puntos del formato de
registro del plan de contingencia.
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO
EVENTO:
FECHA: ENTIDAD
RESPONSABLE:
ENTIDAD
INVOLUCRADA: CÓDIGO
VERSIÓN / /
PLAN DE
PREVENCIÓN
1. DESCRIPCIÓN DEL EVENTO
En este punto se describe el evento suscitado.
2. OBJETIVO
En este punto se detalla el objetivo y funciones principales de un proceso.
3. CRITICIDAD
En este punto se establece cuan crítico es un proceso, así como el nivel
de impacto del mismo dentro del servicio como se clasifica a continuación:
Crítico: El proceso o actividad es altamente crítico, no puede
detenerse nunca y no deber ser interrumpido.
Importante: El proceso o actividad puede ser suspendido por un breve
lapso de tiempo no mayor a las 2 horas.
Menos Importante: El proceso o actividad puede ser suspendido por
un lapso de tiempo no mayor a 24 horas.
4. ENTORNO
En este punto se detalla la ubicación, los ambientes, equipos informáticos,
equipos diversos (automáticos, mecánicos o manuales) donde se ejecuta
el proceso en forma normal, así como las condiciones básicas para su
operación.
5. PERSONAL ENCARGADO
Aquí se especificará el nombre y cargo del personal del servicio,
encargado de ejecutar el proceso en forma normal, así como sus roles
dentro del mismo.
6. CONDICIONES DE PREVENCIÓN DE RIESGO
En este punto se debe describir detalladamente las acciones que se
ejecutan durante el proceso normal y los puntos de control implementados,
a efectos de prevenir que se presente el evento que genere la activación
de un estado de contingencia.
1. EVENTOS QUE ACTIVEN LA CONTINGENCIA
En este punto se describen los eventos que deciden la activación de la
contingencia. De la misma manera, se especifica el lapso de tiempo en el
cual se empieza a ejecutar el proceso de contingencia.
2. PROCESOS ANTES DEL EVENTO
En este punto se establecerán en forma secuencial todos los procesos o
actividades que se tengan que elaborar con anterioridad al ingreso al
proceso de contingencia.
3. PERSONAL QUE AUTORIZA LA CONTINGENCIA
PLAN DE EJECUCIÓN
En este punto se especificará los cargos del personal que autorizará
el inicio del proceso de contingencia.
Se especificará los cargos del personal que iniciará el proceso de
contingencia.
Se especificará el nivel de coordinación con funcionarios o
responsables del Sindicato de Choferes Profesionales.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DESPUÉS DE
ACTIVAR EL PLAN DE CONTINGENCIA INFORMÁTICO
En este punto se describe en forma detallada y secuencial los pasos a
realizar para poner en marcha el proceso de contingencia.
5. DURACIÓN
En este punto se especificará, de ser posible, el lapso de tiempo por el
cual estará activada la contingencia, así como el evento que determine el
término del mismo.
PLAN DE RECUPERACIÓN
1. PERSONAL ENCARGADO
En este punto se especificará el nombre y cargo del personal del servicio,
encargado del proceso de Recuperación, así como roles dentro del mismo.
2. DESCRIPCIÓN
Se presentará en forma detallada y secuencial los pasos a ejecutar
para retornar al proceso normal, debiendo indicar lo necesario para
asegurar la recuperación efectiva del mismo.
Se deberá tener en cuenta aquellas actividades que permiten
actualizar los procesos con la nueva información generada en la
contingencia, en caso sea necesario.
3. MECANISMOS DE COMPROBACIÓN
En este punto se detallan todas aquellas actividades a realizar y que
permitan asegurar que el proceso recuperado opere en condiciones
normales y sin volver a presentar la falla que origino la ocurrencia del
evento.
Mientras esta etapa se realiza, aún sigue activado el Plan de Contingencia.
4. DESACTIVACIÓN DEL PLAN DE CONTINGENCIA
En este punto se especifica en forma secuencial y lógica cual es el
procedimiento a seguir para desactivar el proceso de contingencia.
5. PROCESO DE ACTUALIZACIÓN
Se especificará en forma detallada y secuencial las actividades a ejecutar
para actualizar el proceso normal recientemente recuperado.
Anexo 3
A continuación se presenta el formato para el control y certificación de pruebas de
contingencia.
CONTROL Y CERTIFICACIÓN DE PRUEBAS DE CONTINGENCIA
PROCESO EN PRUEBA (Nombre del proceso a aprobar o certificar)
ÁREA DEL RESPONSABLE
(Área del responsable del proceso a aprobar o certificar)
FECHA: / / HORA INICIO: HORA FIN:
INFORMACIÓN DEL PROCESO
METODOLOGÍA Y ALCANCE
(Que se va a hacer en la prueba y hasta donde va a abarcar la misma)
CONDICIONES DE EJECUCIÓN
EQUIPO: (Nombre del servidor / pc / maquina en proceso
de prueba o certificación)
APLICACIÓN / SOFTWARE:
VERSIÓN:
FECHA DE BACKUP: / /
PRUEBA / CERTIFICACIÓN
RESULTADO DE LA PRUEBA
Satisfactorio
Satisfactorio con observaciones
Deficiente
OBSERVACIONES (en el caso de haber observaciones o que la prueba haya sido
deficiente se iniciaran los motivos de dichas deficiencias, así como resultados de las pruebas en todos los casos)
ACTUALIZACIÓN DEL PLAN DE CONTINGENCIA
CAMBIOS O ACTUALIZACIONES DEL
PLAN DE CONTINGENCIA
PARTICIPANTES DEL PLAN DE CONTINGENCIA
PARTICIPANTE CARGO FIRMA
Anexo 6 Manual de procesos y procedimientos para el departamento de
Tecnologías de la Información
MANUAL DE PROCESOS Y PROCEDIMIENTOS PARA EL
DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN
SANTO DOMINGO – ECUADOR 2017
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO Av. Chone Km. 1 y calle Obispo Schumacher
SINDICATO DE CHOFERES
PROFESIONALES DE SANTO DOMINGO
ÍNDICE GENERAL
ÍNDICE GENERAL ....................................................................................................... 2
ÍNDICE DE TABLAS ..................................................................................................... 5
ÍNDICE DE GRÁFICOS ................................................................................................ 6
INTRODUCCIÓN .......................................................................................................... 8
OBJETIVO .................................................................................................................... 8
PRESENTACIÓN DE LA EMPRESA ............................................................................ 8
ORGANIGRAMA EMPRESARIAL .............................................................................. 10
1 PROCESOS PARA TELECOMUNICACIONES y redes ...................................... 11
1.1 Configuración de dispositivos de red ............................................................ 11
1.2 Configuración de Central telefónica .............................................................. 13
1.3 Configuración de red de voz y datos ............................................................. 15
1.4 Configuración de VPN .................................................................................. 17
1.5 Configuración de firewall............................................................................... 19
2 PROCESOS PARA HARDWARE ....................................................................... 20
2.1 Renovación o adquisición de nuevos equipos .............................................. 20
2.2 Gestión de garantías .................................................................................... 22
2.3 Mantenimiento de equipos ............................................................................ 24
2.4 Dar de baja a equipos y recursos informáticos ............................................. 26
2.5 Reemplazo temporal de equipos y recursos informáticos ............................. 28
2.6 Asignación de equipos o recursos informáticos ............................................ 30
2.7 Ingreso y configuración de nuevos equipos .................................................. 33
2.8 Soporte técnico ............................................................................................. 35
3 PROCESOS PARA SOFTWARE ........................................................................ 37
3.1 Actualización de Licencias ............................................................................ 37
3.2 Reporte de Incidentes ................................................................................... 39
3.3 Desarrollo de aplicaciones y sistemas de información .................................. 41
3.3.1 Desarrollo de sistemas propios .............................................................. 41
3.3.2 Configuración, Instalación y solución de problemas de sistemas de
información. ........................................................................................................ 43
3.4 Configuración y publicaciones en sitio web institucional ............................... 45
3.4.1 Publicaciones página web institucional .................................................. 45
4 PROCESOS PARA GESTIÓN DE INFORMACIÓN ............................................ 47
4.1 Almacenamiento de información ................................................................... 47
4.2 Ingreso y/o salida de la información. ............................................................. 49
4.3 Manejo de Información sensible ................................................................... 51
4.4 Copias de seguridad ..................................................................................... 52
5 PROCESOS CONFIGURACIÓN DE CUENTAS DE USUARIO .......................... 54
5.1 Creación de nuevos usuarios y/o perfiles de usuarios .................................. 54
5.2 Cambio o recuperación de contraseñas ........................................................ 56
5.3 Configuración de cuentas de correo electrónico ........................................... 58
5.4 Configuración de cuentas SACI .................................................................... 60
5.5 Inactivación de cuentas ................................................................................ 62
6 PROCESOS PARA LA GESTIÓN DE POLÍTICAS DE SEGURIDAD
INFORMÁTICA ........................................................................................................... 64
6.1 Creación, excepción o actualización de políticas de seguridad ..................... 64
7 PROCESOS PARA LA CONTRATACIÓN DE PROVEEDORES ........................ 66
7.1 Contratación de Proveedores ....................................................................... 66
8 FICHAS DE GESTIÓN SERVICIOS BRINDADOS POR EL DEPARTAMENTO DE
TECNOLOGÍAS DE LA INFORMACIÓN ..................................................................... 68
8.1 Ficha de registro de servicios o soporte técnico ........................................... 68
8.2 Ficha de registro y actualización de licencias de software ............................ 69
8.3 Ficha gestión de incidentes de seguridad ..................................................... 70
8.4 Ficha de registro de control de cambios para sistemas de desarrollo ........... 74
8.5 Ficha de recolección de información para Inventario tecnológico ................. 75
8.6 Modelo de Inventario tecnológico ................................................................. 76
8.7 Modelo de Inventario de software ................................................................. 78
8.8 Cronograma de copias de seguridad anual .................................................. 80
8.9 Cronograma de copias de seguridad mensual .............................................. 81
8.10 Cronograma mantenimiento anual ............................................................ 82
8.11 Ficha de mantenimiento físico a equipos y dispositivos de computo ......... 82
8.12 Ficha de registro de mantenimiento de servidores .................................... 84
8.13 Ficha de gestión de garantías ................................................................... 85
8.14 Ficha de registro de capacitaciones .......................................................... 87
8.15 Ficha de control de cambios para políticas de seguridad Informática ........ 88
8.16 Ficha de registro de entrada y salida de equipos de cómputo y recursos
informáticos ............................................................................................................ 89
8.17 Ficha de registro de ingreso y salida de información. ................................ 90
8.18 Ficha de registro de ingreso para áreas seguras ....................................... 91
8.19 Acta de entrega y recepción ...................................................................... 92
ÍNDICE DE TABLAS
Tabla 1 Procesos configuración de dispositivos de red ............................................... 11
Tabla 2 Procesos configuración de central telefónica ................................................. 13
Tabla 3 Procesos configuración de red de voz y datos ............................................... 15
Tabla 4 Procesos configuración de VPN ..................................................................... 17
Tabla 5 Procesos configuración de firewall ................................................................. 19
Tabla 6 Procesos renovación o adquisición de nuevos equipos ................................. 20
Tabla 7 Procesos gestión de garantías ....................................................................... 22
Tabla 8 Procesos mantenimiento de equipos ............................................................. 24
Tabla 9 Procesos para dar de baja a equipos y recursos informáticos ........................ 26
Tabla 10 Procesos para reemplazo temporal de equipos y recursos informáticos ...... 28
Tabla 11 Procesos asignación de equipos y recursos informáticos ............................. 30
Tabla 12 Procesos ingreso y configuración de equipos .............................................. 33
Tabla 13 Procesos soporte técnico ............................................................................. 35
Tabla 14 Procesos actualización de licencias ............................................................. 37
Tabla 15 Procesos reporte de incidentes .................................................................... 39
Tabla 16 Procesos configuración de sistemas propios ................................................ 41
Tabla 17 Procesos configuración, instalación y solución de problemas de sistemas de
información ................................................................................................................. 43
Tabla 18 Procesos para las publicaciones en la página web institucional ................... 45
Tabla 19 Procesos para el almacenamiento de la información ................................... 47
Tabla 20 Procesos para el ingreso y salida de la información ..................................... 49
Tabla 21 Procesos para el manejo de información sensible........................................ 51
Tabla 22 Procesos para copias de seguridad ............................................................. 52
Tabla 23 Procesos para la creación de nuevos usuarios y/o perfiles de usuarios ....... 54
Tabla 24 Procesos para cambio o recuperación de contraseñas ................................ 56
Tabla 25 Procesos para la configuración de cuentas de correo electrónico ................ 58
Tabla 26 Procesos para la configuración de cuentas SACI ......................................... 60
Tabla 27 Procesos para la inactivación de cuentas .................................................... 62
Tabla 28 Procesos para la creación, excepción o actualización de políticas de seguridad
................................................................................................................................... 64
Tabla 29 Procesos para la contratación de proveedores ............................................ 66
ÍNDICE DE GRÁFICOS
Gráfico 1 Organigrama de trabajo del Sindicato de Choferes Profesionales ............... 10
Gráfico 2 Gráfico 2 Diagrama de procesos Configuración de dispositivos de red ....... 12
Gráfico 3 Diagrama de procesos Central Telefónica ................................................... 14
Gráfico 4 Diagrama de procesos Red de voz y datos ................................................. 16
Gráfico 5 Diagrama de procesos Configuración de VPN ............................................. 18
Gráfico 6 Diagrama de Procesos configuración de Firewall ........................................ 19
Gráfico 7 Diagrama de procesos Renovación de equipos ........................................... 21
Gráfico 8 Diagrama de procesos Gestión de garantías ............................................... 23
Gráfico 9 Diagrama de procesos Mantenimiento de equipos ...................................... 25
Gráfico 10 Diagrama de procesos para dar de baja equipos y recursos informáticos . 27
Gráfico 11 Diagrama de procesos para el reemplazo temporal de equipos y recursos
informáticos ................................................................................................................ 29
Gráfico 12 Diagrama de procesos Asignación de equipos o recursos informáticos ..... 32
Gráfico 13 Diagrama de procesos Ingreso de nuevo equipo ....................................... 34
Gráfico 14 Diagrama de procesos Soporte Técnico .................................................... 36
Gráfico 15 Diagrama de procesos Actualización de licencias ..................................... 38
Gráfico 16 Diagrama de procesos Reporte de Incidentes ........................................... 40
Gráfico 17 Diagrama de procesos Desarrollo de sistemas propios ............................. 42
Gráfico 18 Diagrama de procesos Desarrollo de aplicaciones .................................... 44
Gráfico 19 Diagrama de procesos Publicación en página web institucional ................ 46
Gráfico 20 Estructuración almacenamiento de la información ..................................... 48
Gráfico 21 Diagrama de procesos Almacenamiento de la información ....................... 48
Gráfico 22 Diagrama de procesos Ingreso o salida de información............................. 50
Gráfico 23 Diagrama de procesos Manejo de información sensible ............................ 51
Gráfico 24 Diagrama de procesos Copias de seguridad ............................................. 53
Gráfico 25 Diagrama de procesos Creación de usuarios y/o perfiles de usuarios ....... 55
Gráfico 26 Diagrama de procesos Cambio o recuperación de contraseñas ................ 57
Gráfico 27 Diagrama de procesos Configuración de cuentas de correo electrónico .... 59
Gráfico 28 Diagrama de procesos Configuración de cuentas de usuario para sistema
SACI ........................................................................................................................... 61
Gráfico 29 Diagrama de procesos Inactivación de cuentas de usuario ....................... 63
Gráfico 30 Diagrama de procesos Validación de políticas de seguridad informática ... 65
Gráfico 31 Diagrama de procesos Contratación de proveedores ................................ 67
Gráfico 32 Ficha registro de servicio ........................................................................... 68
Gráfico 33 Ficha de registro de licencias de software ................................................. 69
Gráfico 34 Ficha de reporte de incidentes ................................................................... 71
Gráfico 35 Ficha de registro de control de cambios para sistemas de desarrollo ........ 74
Gráfico 36 Ficha de recolección de información para inventario tecnológico .............. 75
Gráfico 37 Modelo de inventario tecnológico .............................................................. 77
Gráfico 38 Ejemplo de Código de Objeto .................................................................... 77
Gráfico 39 Modelo inventario de software ................................................................... 79
Gráfico 40 Cronograma de copias de seguridad anual ............................................... 80
Gráfico 41 Cronograma de copias de seguridad mensual ........................................... 81
Gráfico 42 Cronograma de mantenimiento anual ........................................................ 82
Gráfico 43 Ficha de mantenimiento físico a equipos y dispositivos de cómputo.......... 83
Gráfico 44 Ficha de registro de mantenimiento de servidores ..................................... 84
Gráfico 45 Ficha de gestión de garantías .................................................................... 85
Gráfico 46 Ficha de registro de capacitaciones ........................................................... 87
Gráfico 47 Ficha de control de cambios para políticas de seguridad Informática ........ 88
Gráfico 48 Ficha de registro de entrada y salida de equipos de cómputo y recursos
informáticos ................................................................................................................ 89
Gráfico 49 Ficha de registro de ingreso y salida de información ................................. 90
Gráfico 50 Ficha de registro de ingreso para áreas seguras ....................................... 91
INTRODUCCIÓN
En las diversas funciones que debe cumplir cada uno de los departamentos que
conforman una empresa, se adoptan reglas, normativas de servicios, instrucciones,
políticas, entre otras, que los empleados deben cumplir para realizar de manera
satisfactoria su trabajo. Es por ello que la implementación de un manual de procesos y
procedimientos para el departamento de tecnologías de la información es de gran ayuda
en la consigna de ejercer con todas las tareas y servicios que brinda dicho departamento
en específico.
Las instrucciones de un manual de procesos y procedimientos son comunicadas a las
personas en el momento oportuno, y su objetivo es precisar las funciones asignadas en
un área específica, además de evitar la duplicidad del trabajo, proporcionar uniformidad
de las tareas a realizar para su correcta ejecución. Ahorrar tiempo y esfuerzos en las
labores designadas, agilitar las actividades en la institución y prestación de servicios,
promover el buen uso de los recursos humanos, materiales, económicos y tecnológicos
disponibles, establecer responsabilidades de nivel jerárquico y sistematizar la
aprobación, publicación y ejecución de los cambios requeridos en las diversas áreas de
la organización.
OBJETIVO
Establecer los procesos y procedimientos para levantar solicitudes de servicio, reportes
de fallas, delegación de funciones, logros y alcances que presta el departamento de
Tecnologías de la Información (TI).
PRESENTACIÓN DE LA EMPRESA
El Sindicato de Choferes de Santo Domingo nace en 1966 y alcanza su vida legal en
1968, es una institución que brinda servicios tales como adquisición de licencias tipo
“C”, “D” y “E” mediante sus escuelas de capacitación, gasolineras, centro médico y
cancha sintética del coliseo Héctor Ibarra Hernández.
La institución en cuestión, se sustenta en los principios de reconocimiento y ejercicio de
una servicio responsable ahora cuenta con más de 800 socios, con alrededor de 1000
estudiantes y unas 300 personas que directa e indirectamente colaboran diariamente
para engrandecer las paginas doradas de la institución.
MISIÓN.- Organización gremial que forma, capacita y perfecciona a conductores
profesionales y público en general de la provincia de Santo Domingo de los Tsáchilas
en base al cultivo de valores morales como la honestidad y el respeto. Con personal
capacitado, ofrece servicios de excelencia con calidez a través de software y hardware
acordes a las necesidades y exigencias modernas ofertando una variedad de productos
para el progreso de la sociedad, a través de la comercialización de combustibles,
prestación de servicios médicos, asesoría jurídica, alquiler de bienes inmuebles
recreativos, contribuyendo de esta manera al mejoramiento de la calidad de vida de la
población y la seguridad vial en el país.
VISIÓN.- Ser líder a nivel provincial; constituirse en una institución de renombre y
prestigio a nivel nacional, en la formación integral de los profesionales de la conducción,
mediante procesos innovadores con personal capacitado, metodología, software y
hardware acordes a las necesidades y exigencias modernas, priorizando los valores
humanos que permitan lograr verdaderos conocimientos en nuestros educandos con un
alto sentido de responsabilidad, siempre pensando en el desarrollo y bienestar de la
sociedad.
Las actividades del Sindicato de Choferes profesionales de Santo Domingo están
basadas en procesos administrativos divididos en diversos departamentos tales como:
Secretaría General, Departamento Contabilidad, Departamento de Tecnología (TI),
Departamento de Coordinación, Secretarías de escuelas de capacitación,
Departamento de actas y comunicaciones, Departamento de finanzas, viabilidad,
tránsito y defensa jurídica, Departamento de beneficencia y mortuoria, Departamento de
vivienda, archivo y estadística, Departamento de sindicalismo y capacitación,
Departamento de organización disciplina y propaganda (Recursos humanos),
Departamento de Fiscalización, Departamento de cultura y deportes.
ORGANIGRAMA EMPRESARIAL
Gráfico 1 Organigrama de trabajo del Sindicato de Choferes Profesionales
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1 PROCESOS PARA TELECOMUNICACIONES Y REDES
1.1 Configuración de dispositivos de red
Objetivo: Configurar los diferentes dispositivos de red del Sindicato de Choferes
Profesionales.
Alcance: Departamento de Tecnologías de la Información (TI), Administración,
Contabilidad.
Tabla 1 Procesos configuración de dispositivos de red
Nº Actividades Responsable
1 Emite Solicitud autorizada por el
jefe del área para instalación de
dispositivo de red.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
2 Recibe requerimiento por escrito
por el encargado de la unidad para
la instalación de Dispositivo de red.
Departamento de Tecnologías de la
Información (TI).
3 Realiza requerimiento a la
Dirección General (Secretaría
General), para adquisición de
materiales según especificaciones
indicadas por el departamento de
TI.
Departamento de Tecnologías de la
Información (TI).
4 Emite autorización al Departamento
Contable para la compra de los
materiales solicitados.
Secretaría General
5 Emisión de Dinero para compra de
materiales solicitados para
instalación de dispositivo de red.
Departamento Contable.
6 Configuración e instalación de
dispositivo de red.
Departamento de Tecnologías de la
Información (TI).
7 Capacitación a usuarios sobre la
utilización de dispositivo de red y/o
acceso a la red inalámbrica.
Departamento de Tecnologías de la
Información (TI).
8 Firma de Ficha de servicio brindado
por el Departamento de
Tecnologías de la Información (TI).
Fin del Proceso
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para configuración de dispositivo de red. Elaborado por: Rodríguez, D.
Gráfico 2 Gráfico 2 Diagrama de procesos Configuración de dispositivos de red
CONFIGURACIÓN DE DISPOSITIVOS DE RED
DEPARTAMENTO DE TIUSUARIODEPARTAMENTO
CONTABLESECRETARÍA GENERAL
Inicio
Solicitar requerimiento por escrito para la instalación de una nuevo dispositivo de red.
Recepta la solicitud para instalación de dispositivo
de red.
Fin
Requerimiento para adquisición de materiales
según especificaciones indicadas por el
departamento de TI.
Emisión de dinero para compra
Existen materiales
Autorización
Compra de Materiales o contrataciones para
requerimiento
Capacitación a usuarios sobre la utilización de
dispositivo de red y/o acceso a la red inalámbrica
Firma de Ficha de servicio brindado
NOSI
SINO
Emitir Negación de solicitud
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1.2 Configuración de Central telefónica
Objetivo: Instalación de una central telefónica para mantener una efectiva
comunicación por voz.
Alcance: Departamento de Tecnologías de la Información (TI), Administración,
Contabilidad.
Tabla 2 Procesos configuración de central telefónica
Nº Actividades Responsable
1 Emite Solicitud autorizada por el
jefe del área para instalación de
nueva central telefónica.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
2 Recibe requerimiento por escrito
por el encargado de la unidad para
la instalación de central telefónica
Departamento de Tecnologías de la
Información (TI).
3 Realiza requerimiento a la
Secretaría General para
adquisición de materiales según
especificaciones indicadas por el
departamento de TI.
Departamento de Tecnologías de la
Información (TI).
4 Emite autorización al Departamento
Contable para la compra de los
materiales solicitados.
Secretaría General
5 Emisión de Dinero para compra de
materiales solicitados para
instalación de central telefónica.
Departamento Contable.
6 Instalación y Configuración de
restricciones de la línea y/o
extensión telefónica.
Departamento de Tecnologías de la
Información (TI).
7 Firma de Ficha de servicio brindado
por el Departamento de (TI). Fin del
Proceso
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para configuración de central telefónica. Elaborado por: Rodríguez, D.
Gráfico 3 Diagrama de procesos Central Telefónica
CONFIGURACIÓN DE CENTRAL TELEFÓNICA
DEPARTAMENTO DE TIUSUARIODEPARTAMENTO
CONTABLESECRETARÍA GENERAL
Inicio
Solicitar requerimiento por escrito para la instalación de una nueva central telefónica previa autorización del jefe
de área.
Recepta la solicitud para instalación de
nueva central telefónica Recepción de
requerimiento
Fin
Existen materiales
Autorización
Compra de Materiales o contrataciones para
requerimiento
Instalación y Configuración de restricciones de la línea y/
o extensión telefónica.
Firma de Ficha de servicio brindado
NOSI
SINO
Emitir Negación de Solicitud
Emisión de dinero para compra
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1.3 Configuración de red de voz y datos
Objetivo: Instalación o modificación de estructuras de red para voz y datos.
Alcance: Departamento de Tecnologías de la Información (TI), Administración,
Contabilidad.
Tabla 3 Procesos configuración de red de voz y datos
Nº Actividades Responsable
1 Emite Solicitud autorizada por el
jefe del área para instalación de
Red de voz y datos previa
autorización del jefe de área.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
2 Recibe requerimiento por escrito
por el encargado de la unidad para
la instalación de red de voz y datos.
Departamento de Tecnologías de la
Información (TI).
3 Realiza requerimiento a la
Secretaría General para
adquisición de materiales según
especificaciones indicadas por el
departamento de TI.
Departamento de Tecnologías de la
Información (TI).
4 Emite autorización al Departamento
Contable para la compra de los
materiales solicitados.
Secretaría General
5 Emisión de Dinero para compra de
materiales solicitados para
instalación de red de voz y datos.
Departamento Contable.
6 Configuración de conectividad de
acceso a la red
Departamento de Tecnologías de la
Información (TI).
7 Entrega de instalación de red a
encargado del área y/o usuario
correspondiente
Departamento de Tecnologías de la
Información (TI).
8 Firma de Ficha de servicio brindado
por el Departamento de
Tecnologías de la Información (TI).
Fin del Proceso
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para configuración de central telefónica. Elaborado por: Rodríguez, D.
Gráfico 4 Diagrama de procesos Red de voz y datos
CONFIGURACIÓN DE RED DE VOZ Y DATOS
DEPARTAMENTO DE TIUSUARIODEPARTAMENTO
CONTABLESECRETARÍA GENERAL
Inicio
Solicitar requerimiento por escrito para la instalación de
Red de voz y datos previa autorización del jefe de área.
Recepta la solicitud para instalación de Red de voz y datos
Recepción de requerimiento
Fin
Existen materiales
Autorización
Compra de Materiales o contrataciones para
requerimiento
Instalación de cableado independiente por punto
Firma de Ficha de servicio brindado
NOSI
SINO
Emitir Negación de Solicitud
Emisión de dinero para compra
Configuración de conectividad de acceso a la
red
Entrega de instalación de red a encargado del área y/o usuario correspondiente.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1.4 Configuración de VPN
Objetivo: Proteger la Red de usuarios, servidores y sistemas de ataques externos
(Hackers) del Data Center.
Alcance: Departamento de Tecnologías de la Información.
Tabla 4 Procesos configuración de VPN
Nº Actividades Responsable
1 Verificar enlaces. Encargado del departamento de
Tecnologías de la Información (TI).
2 Crear nodo en firewall principal y
remoto.
Departamento de Tecnologías de la
Información (TI).
3 Crear rutas en firewall principal y
remoto.
Departamento de Tecnologías de la
Información (TI).
4 Activar VPN. Departamento de Tecnologías de la
Información (TI).
5 Verificar conectividad entre firewall
principal y remoto. Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la configuración de VPN. Elaborado por: Rodríguez, D.
Gráfico 5 Diagrama de procesos Configuración de VPN
CONFIGURACIÓN VPN
DEPARTAMENTO DE TI
Verificar enlaces
Inicio
Fin
Crear nodo en firewall principal y remoto
Crear nodo en firewall principal y remoto
Crear rutas en firewall principal y remoto
Activar VPN
Verificar conectividad entre firewall principal y remoto
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
1.5 Configuración de firewall
Objetivo: Proteger la Red de usuarios, servidores y sistemas de ataques externos
(Hackers) del Data Center.
Alcance: Departamento de Tecnologías de la Información.
Tabla 5 Procesos configuración de firewall
Nº Actividades Responsable
1 Instalar Firewall en el cuarto de
servidores o Data Center.
Encargado del departamento de
Tecnologías de la Información (TI).
2 Configurar Firewall principal y
remoto de acuerdo al manual
técnico que posea el departamento
de tecnologías de la Información
(TI). Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la configuración del firewall. Elaborado por: Rodríguez, D.
Gráfico 6 Diagrama de Procesos configuración de Firewall
FIREWALL PRINCIPAL Y REMOTO
DEPARTAMENTO DE TI
Instalar Firewall en el cuarto de servidores o Data Center
Inicio
Fin
Configurar el Firewall de acuerdo al manual técnico
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2 PROCESOS PARA HARDWARE
2.1 Renovación o adquisición de nuevos equipos
Objetivo: Renovación de equipos para los diferentes departamentos o áreas de la
empresa.
Alcance: Departamento de Tecnologías de la Información (TI), Administración,
Contabilidad.
Tabla 6 Procesos renovación o adquisición de nuevos equipos
Nº Actividades Responsable
1 Solicitar por escrito renovación o
adquisición de nuevo equipo con
las especificaciones oportunas.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
2 Recibe requerimiento por escrito
por el encargado de la unidad para
renovación o adquisición de nuevo
equipo.
Departamento de Tecnologías de la
Información (TI).
3 Realiza requerimiento a la
Secretaría General para renovación
o adquisición de nuevo equipo
según especificaciones indicadas
por el departamento de TI.
Departamento de Tecnologías de la
Información (TI).
4 Emite autorización al Departamento
Contable para la compra de nuevo
equipo
Secretaría General
5 Emisión de Dinero para compra de
nuevo equipo según
especificaciones solicitadas.
Departamento Contable.
6 Instalación y configuración de
equipo
Departamento de Tecnologías de la
Información (TI).
7 Entrega de equipo a usuario
correspondiente
Departamento de Tecnologías de la
Información (TI).
8 Firma de acta de entrega y
recepción de equipo. Fin del
Proceso
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para renovación o adquisición de nuevo equipo. Elaborado por: Rodríguez, D.
Gráfico 7 Diagrama de procesos Renovación de equipos
CONFIGURACIÓN DE RED DE VOZ Y DATOS
DEPARTAMENTO DE TIUSUARIODEPARTAMENTO
CONTABLESECRETARÍA GENERAL
Inicio
Solicitar por escrito renovación o adquisición de
nuevo equipo con las especificaciones oportunas.
Recepta la solicitud para renovación o
adquisición de equipo
Solicitar presupuesto para
adquisición de nuevo equipo
Fin
Existen equipo
Autorización
Compra de equipo según especificaciones
solicitadas y analizadas
Instalación y configuración de equipo
Firma de Acta de entrega y recepción de equipo.
NOSI
SINO
Emitir Negación de Solicitud
Emisión de dinero para compra
Entrega de equipo al usuario correspondiente.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.2 Gestión de garantías
Objetivo: Crear los procedimientos entre el proveedor y la institución para el reclamo
de garantías y/o reparaciones de dispositivos de tecnología.
Alcance: Departamento de Tecnologías de la Información (TI), Proveedor.
Tabla 7 Procesos gestión de garantías
Nº Actividades Responsable
1 Recibe solicitud de revisión por
desperfecto de algún dispositivo o
equipo (Ficha Reporte de fallas).
Encargado del departamento de
Tecnologías de la Información (TI).
2 Revisión el dispositivo o equipo
para verificar defecto.
Encargado del departamento de
Tecnologías de la Información (TI).
3 Recepción de equipo para
reparación
Proveedor.
4 Envío de equipo y/o dispositivo
reparado con especificaciones
correspondientes.
Proveedor.
5 Recibe equipo o dispositivo
reparado para su revisión.
Encargado del departamento de
Tecnologías de la Información (TI).
6 Envió de equipo previamente
revisado a usuario correspondiente.
Fin del Proceso.
Encargado del departamento de
Tecnologías de la Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para gestión de garantías. Elaborado por: Rodríguez, D.
Gráfico 8 Diagrama de procesos Gestión de garantías
GESTIÓN DE GARANTÍAS
USUARIODEPARTAMENTO DE TI
Recibe solicitud de revisión por desperfecto de algún dispositivo
o equipo (Ficha reporte de fallas).
Inicio
Fin
Recepción de equipo para reparación
Envió de equipo previamente revisado a usuario correspondiente
Revisa el dispositivo o equipo para verificar defecto
Contactarse con proveedor para solicitar garantía o reparación.
Recibe equipo o dispositivo reparado para su revisión.
Envío de equipo y/o dispositivo reparado con
especificaciones correspondientes.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.3 Mantenimiento de equipos
Objetivo: Prevenir problemas en los equipos causados por la acumulación de suciedad
y factores ambientales.
Alcance: Departamento de Tecnologías de la Información (TI), Administración.
Tabla 8 Procesos mantenimiento de equipos
Nº Actividades Responsable
1 Planificar mantenimiento de tipo
preventivo para realizar durante el
año.
Departamento de Tecnologías de la
Información (TI).
2 Notifica a los usuarios de la
planificación de los mantenimientos
Departamento de Tecnologías de la
Información (TI).
3 Realiza mantenimiento preventivo
y/o correctivo si es el caso según
planificación.
Departamento de Tecnologías de la
Información (TI).
4 En caso de existir desperfecto se
solicita a la Secretaria General
autorización de compra de repuesto
Departamento de Tecnologías de la
Información (TI).
5 Emisión de Dinero para compra de
repuesto
Departamento Contable.
6 Compra de repuesto e instalación Departamento de Tecnologías de la
Información (TI).
7 Firma de ficha de mantenimiento
preventivo y correctivo realizado.
Fin del Proceso
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para realizar el mantenimiento preventivo y correctivo de los equipos de la
organización. Elaborado por: Rodríguez, D.
Gráfico 9 Diagrama de procesos Mantenimiento de equipos
MANTENIMIENTO DE EQUIPOS
USUARIOSDEPARTAMENTO DE TIDEPARTAMENTO
CONTABLESECRETARÍA
GENERAL
Solicitar presupuesto para compra de
repuestoNO
Emisión de dinero para compra
Planificar mantenimiento de tipo preventivo para realizar durante el
año.
Inicio
Fin
Recibe notificación del departamento de TI de la
planificación de los mantenimientos
Recepción de ficha
Realiza mantenimiento planificado
Solicita llenado y firma de ficha de mantenimiento
recibido
Existe desperfecto
SI
Compra de repuesto e instalación
Autorización
SI
NO
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.4 Dar de baja a equipos y recursos informáticos
Objetivo: Dar de baja a los equipos de cómputo y recursos informáticos del Sindicato
de Choferes Profesionales de Santo Domingo.
Alcance: Departamento de Tecnologías de la Información.
Tabla 9 Procesos para dar de baja a equipos y recursos informáticos
Nº Actividades Responsable
1 Si se recibe solicitud de revisión por
desperfecto o problemas con el
equipo por parte del usuario o por
visualización del pernal de TI, se
procede a verificar el estado del
equipo o recurso informático
Departamento de Tecnologías de la
Información (TI).
2 Si el problema persiste se debe
verificar reportes de soporte técnico
del equipo y vida útil del mismo.
Caso contrario el proceso
continuará en el literal 5.
Departamento de Tecnologías de la
Información (TI).
3 Dar de baja al equipo y actualizar
inventario tecnológico.
Departamento de Tecnologías de la
Información (TI).
4 El técnico de TI procede a realizar el
préstamo temporal o nueva
asignación de equipo a usuario
Departamento de Tecnologías de la
Información (TI).
5 Recepción de equipo al usuario
correspondiente.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
6 Firma de Acta de entrega y
recepción de equipo si no se pose.
Fin del proceso.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para dar de baja a equipos y recursos informáticos de la organización. Elaborado por:
Rodríguez, D.
Gráfico 10 Diagrama de procesos para dar de baja equipos y recursos informáticos
BAJA A EQUIPOS Y RECURSOS INFORMÁTICOS
USUARIO DEPARTAMENTO DE TI
Inicio
Fin
Firma de Acta de entrega y recepción de equipo
temporal
Recepción de equipo al usuario correspondiente.
Comunicar acerca del desperfecto del equipo o
recurso informático
Recepción y revisión de equipo o recursos informático.
La reparación o asignación de nuevo
equipo es prolongado
Si se cuneta con un equipo o recurso informático
temporal se lo asignará en reemplazo del original
Instalación de programas necesarios y/o copias de los
respaldos para continuar con el trabajo.
NO
SI
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.5 Reemplazo temporal de equipos y recursos informáticos
Objetivo: Reemplazar de manera temporal equipos o recursos informáticos, mientras
se repara el equipo original o asigna nuevos equipos.
Alcance: Departamento de Tecnologías de la Información.
Tabla 10 Procesos para reemplazo temporal de equipos y recursos informáticos
Nº Actividades Responsable
1 Comunicar acerca del desperfecto
del equipo o recurso informático
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
2 Recepción y revisión de equipo o
recursos informáticos.
Departamento de Tecnologías de la
Información (TI).
3 Si la reparación o asignación de
nuevo equipo es prolongado y se
cuenta con un equipo o recurso
informático temporal se lo asignará
en reemplazo del original. Caso
contrario el proceso continuará en el
literal 5.
Departamento de Tecnologías de la
Información (TI).
4 Instalación de programas
necesarios y/o copias de los
respaldos para continuar con el
trabajo.
Departamento de Tecnologías de la
Información (TI).
5 Recepción de equipo al usuario
correspondiente.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
6 Firma de Acta de entrega y
recepción de equipo temporal. Fin
del proceso.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para reemplazo temporal de equipos y recursos informáticos de la organización.
Elaborado por: Rodríguez, D.
Gráfico 11 Diagrama de procesos para el reemplazo temporal de equipos y recursos informáticos
REEMPLAZO TEMPORAL DE EQUIPOS Y RECURSOS INFORMÁTICOS
USUARIO DEPARTAMENTO DE TI
Inicio
Fin
Firma de Acta de entrega y recepción de equipo
temporal
Recepción de equipo al usuario correspondiente.
Comunicar acerca del desperfecto del equipo o
recurso informático
Recepción y revisión de equipo o recursos informáticos.
La reparación o asignación de nuevo
equipo es prolongado
Si se cuenta con un equipo o recurso informático
temporal se lo asignará en reemplazo del original
Instalación de programas necesarios y/o copias de los
respaldos para continuar con el trabajo.
NO
SI
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.6 Asignación de equipos o recursos informáticos
Objetivo: Asignación de equipos o recursos informáticos a los usuarios del Sindicato de
Choferes Profesionales de Santo Domingo.
Alcance: Departamento de Tecnologías de la Información, Administración,
Departamento de Recursos Humanos.
Tabla 11 Procesos asignación de equipos y recursos informáticos
Nº Actividades Responsable
1 Si un usuario requiere la asignación
de un equipo debe realizar solicitud
al Departamento de Recursos
Humanos para su trámite
correspondiente.
Usuario del Sindicato de Choferes
Profesionales.
2 Si el empleado es nuevo o posee
nuevo cargo se realiza solicitud de
asignación de equipo a usuario
indicando el departamento o área
de contratación, cargo y datos del
mismo.
Departamento de Recursos Humanos.
3 Revisa y aprueba la solicitud de
asignación de equipos a usuarios.
Dirección General (Secretaría General).
4 Si la solicitud fue emitida por el
Departamento de Recursos
Humanos, Aprobada por la
Secretaria General y existe el
equipo o recurso informático en
stock se aprueba el trámite. Caso
contrario se informa a la Dirección
general y Departamento de
Recursos Humanos.
Departamento de Tecnologías de la
Información (TI).
5 Realiza la configuración del equipo
y creación de usuarios y perfiles
según las políticas de seguridad y
Departamento de Tecnologías de la
Información (TI).
manuela de procesos de la
empresa.
6 Entrega de equipo y Acta de
Entrega y recepción.
Departamento de Tecnologías de la
Información (TI).
7 Recepción de equipo y firma de
Acta de entrega y recepción. Fin del
proceso.
Usuario del Sindicato de Choferes
Profesionales de Santo Domingo.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para asignación de equipos y recursos informáticos de la organización. Elaborado por:
Rodríguez, D.
Gráfico 12 Diagrama de procesos Asignación de equipos o recursos informáticos
ASIGNACIÓN DE EQUIPOS O RECURSOS INFORMÁTICOS
DEPARTAMENTO DE TIDEPARTAMENTO DE
RECURSOS HUMANOSSECRETARIA GENERALUSUARIO
INICIO
Asignación de equipos
Realiza solicitud de asignación de equipo a
usuario indicando el departamento o área de
contratación, cargo y datos del mismo
Revisa y aprueba la solicitud de asignación de equipos a usuarios.
¿La solicitud fue Emitida por el Dep. de Recursos Humanos y
Aprobada por Secretaria General?
Configuración de equipo correspondiente.
NO SI
FINEntrega de equipo y Acta de Entrega y recepción
Recepción de equipo y firma de Acta de entrega
y recepción
¿Nuevo empleado o
cargo?Creación de
usuarios y perfiles de usuarios de acuerdo a las
políticas y procesos establecidos
Realiza solicitud para nueva
asignación de equipo al Dep. de
Recursos Humanos para su tramite
correspondiente
¿Existen equipos en stock?
SI
Informe de aviso a Dirección General y Dep- de Recursos
Humanos
FIN
NO
NO SI
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.7 Ingreso y configuración de nuevos equipos
Objetivo: Preparar equipo nuevo con la configuración y especificaciones de red de la
empresa.
Alcance: Departamento de Tecnologías de la Información.
Tabla 12 Procesos ingreso y configuración de equipos
Nº Actividades Responsable
1 Formatear equipo en dos
particiones e instalar Sistema
Operativo.
Encargado del departamento de
Tecnologías de la Información (TI).
2 Instalar los controladores del
equipo.
Departamento de Tecnologías de la
Información (TI).
3 Agregar el equipo al dominio. Departamento de Tecnologías de la
Información (TI).
4 Instalación de antivirus y programas
preestablecidos.
Departamento de Tecnologías de la
Información (TI).
5 Configuración de usuario y
contraseña que tendrá el equipo.
Departamento Contable.
6 Configuración de correo electrónico
y accesos de usuario
Departamento de Tecnologías de la
Información (TI).
7 Capacitación a usuarios para el
ingreso y manejo del equipo.
Departamento de Tecnologías de la
Información (TI).
8 Firma de acta de entrega y
recepción y ficha de capacitación.
Fin del Proceso.
Usuario del Sindicato de Choferes
Profesionales.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para ingreso de nuevo equipo en la organización. Elaborado por: Rodríguez, D.
Gráfico 13 Diagrama de procesos Ingreso de nuevo equipo
INGRESO Y CONFIGURACIÓN NUEVOS EQUIPOS
USUARIODEPARTAMENTO DE TI
Formatear equipo en dos particiones e instalar Sistema
Operativo.
Inicio
Fin
Recibe capacitación para el ingreso y manejo del equipo.
Configuración de usuario y contraseña que tendrá el equipo
Instalar los controladores del equipo
Agregar el equipo al dominio
Instalar programas preestablecidos y antivirus.
Configuración de correo electrónico y accesos de usuario
Firma de acta de entrega y recepción y ficha de
capacitación.
Recepción de acta de entrega y ficha de capacitación
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
2.8 Soporte técnico
Objetivo: Realizar el soporte técnico de los equipos de cómputo del Sindicato de
Choferes Profesionales de Santo Domingo.
Alcance: Departamento de Tecnologías de la Información.
Tabla 13 Procesos soporte técnico
Nº Actividades Responsable
1 Solicitar soporte de manera
evidenciada (escrito o correo
electrónico institucional).
Usuario del Sindicato de Choferes
Profesionales.
2 Recepción de solicitud de soporte. Departamento de Tecnologías de la
Información (TI).
3 Revisión del equipo y ejecución de
soporte técnico por personal
autorizado.
Departamento de Tecnologías de la
Información (TI).
4 Llenado de ficha de soporte. Departamento de Tecnologías de la
Información (TI).
5 Revisión del equipo o problema por
el usuario.
Usuario del Sindicato de Choferes
Profesionales.
6 Firma de ficha de mantenimiento.
Fin del proceso.
Usuario del Sindicato de Choferes
Profesionales.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para prestación de soporte técnico a los usuarios de la organización. Elaborado por:
Rodríguez, D.
Gráfico 14 Diagrama de procesos Soporte Técnico
SOPORTE TÉCNICO
DEPARTAMENTO DE TIUSUARIO
Inicio
Solicitar soporte de manera evidenciada (escrito o
correo electrónico institucional)
Recepción de solicitud de soporte
Revisión del equipo y ejecución de soporte técnico por personal
autorizado
Llenado de ficha de soporte
Revisión del equipo o problema por el usuario
Fin
Firma de ficha de mantenimiento
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
3 PROCESOS PARA SOFTWARE
3.1 Actualización de Licencias
Objetivo: Conservar todos los equipos con sus licencias activas y al día, para que su
funcionamiento sea óptimo.
Alcance: Departamento de Tecnologías de la Información (TI), Administración,
Contabilidad.
Tabla 14 Procesos actualización de licencias
Nº Actividades Responsable
1 Verificar si se requiere la
adquisición de nuevas licencias o
caducidad de licencias existentes.
Departamento de Tecnologías de la
Información (TI).
2 Recibe requerimiento por el
encargado del departamento de
Tecnologías de la Información (TI),
para adquisición o renovación de
licencias.
Secretaría General.
3 Emite autorización al Departamento
Contable para la compra de los
materiales solicitados.
Secretaría General.
4 Emisión de Dinero para compra de
materiales solicitados para
instalación de central telefónica.
Departamento Contable.
5 Compra de licencias Departamento de Tecnologías de la
Información (TI).
6 Instalación y/o actualización de
licencias en equipos
Departamento de Tecnologías de la
Información (TI).
7 Llenado y/o actualización de
inventario de licencias. Fin del
Proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para adquisición de nuevas licencias o caducidad de licencias existentes. Elaborado
por: Rodríguez, D.
Gráfico 15 Diagrama de procesos Actualización de licencias
ACTUALIZACIÓN DE LICENCIAS
DEPARTAMENTO DE TIDEPARTAMENTO
CONTABLESECRETARÍA GENERAL
Verificar adquisición de nuevas licencias o caducidad de licencias
existentes
Inicio
Fin
Requerimiento para adquisición o renovación de
nuevas licencias
Emisión de dinero para compra
Autorización
Compra de licencias
Llenado y/o actualización de inventario de licencias
SINO
Instalación y/o actualización de licencias en equipos
Se necesita adquisición de
nuevas licencias
SINO
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
3.2 Reporte de Incidentes
Objetivo: Realizar el reporte de incidentes suscitados con el equipo de cómputo o
demás recursos informáticos.
Alcance: Departamento de Tecnologías de la Información (TI).
Tabla 15 Procesos reporte de incidentes
Nº Actividades Responsable
1 Reportar de Incidente Usuario del Sindicato de Choferes
Profesionales.
2 Recepción de Reporte de Incidente Departamento de Tecnologías de la
Información (TI).
3 Análisis de problema y solución de
incidente
Departamento de Tecnologías de la
Información (TI).
4 Creación de Ficha de atención de
Requerimiento
Departamento de Tecnologías de la
Información (TI).
5 Revisión y firma de ficha de
atención de requerimiento. Fin del
Proceso.
Usuario del Sindicato de Choferes
Profesionales.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para el reporte de incidentes con los equipos de cómputo y recursos informáticos de la
empresa. Elaborado por: Rodríguez, D.
Gráfico 16 Diagrama de procesos Reporte de Incidentes
REPORTE DE INCIDENTES
DEPARTAMENTO DE TIUSUARIO
Inicio
Incidente
Reporte de Incidente al
Departamento de TI
Recepción de Reporte de Incidente
Análisis de problema y solución
de incidente
Creación de Ficha de atención de Requerimiento
Revisión y firma de ficha de atención de
requerimiento.
Fin
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
3.3 Desarrollo de aplicaciones y sistemas de información
Objetivo: Realizar actividades para el desarrollo, instalación, configuración y solución
de problemas con las aplicaciones de desarrollo dentro de la institución.
Alcance: Departamento de Tecnologías de la Información, Técnico de Desarrollo,
Administración.
3.3.1 Desarrollo de sistemas propios
Tabla 16 Procesos configuración de sistemas propios
Nº Actividades Responsable
1 Solicita aplicación o sistema de
información que requiera la
empresa a la dirección general.
Departamento de Tecnologías de la
Información (TI).
2 Revisa la petición y autoriza la
contratación para desarrollo de
aplicación o nuevo sistema de
información para la empresa.
Dirección General (Secretaría General)
3 Recibe autorización para
contratación del sistema o
aplicación requerida.
Departamento de Tecnologías de la
Información (TI).
4 Análisis de la problemática y
propuesta para el desarrollo del
sistema.
Técnico Desarrollador.
5 Desarrollo del Sistema según las
etapas definidas: Análisis del
negocio, Planeación y diseño,
Desarrollo, Prototipo y pruebas,
Instalación y estabilización, Soporte
y mantenimiento
Técnico Desarrollador.
6 Entrega de sistema y cumplimiento
de parámetros que el desarrollador
debe cumplir para documentar las
actividades realizadas, las mismas
Técnico Desarrollador.
están establecidas en las políticas
de seguridad (Proyectos para
desarrollo de sistemas propios –
literal a).
7 Aprobación del Sistema y revisión
de parámetros y documentación por
parte del desarrollador. Fin del
proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para el desarrollo de sistemas propios. Elaborado por: Rodríguez, D.
Gráfico 17 Diagrama de procesos Desarrollo de sistemas propios
DESARROLLO DE SISTEMAS PROPIOS
TÉCNICO DESARROLLADORDEPARTAMENTO DE TI SECRETARÍA GENERALTÉCNICO DESARROLLADORDEPARTAMENTO DE TI SECRETARÍA GENERAL
Solicita aplicación o sistema de información que requiera la
empresa
Inicio
Fin
Análisis de la problemática y propuesta para el
desarrollo del sistema.
Recibe autorización para contratación del sistema o
aplicación requerida.
Revisa la solicitud y Autoriza la contratación para desarrollo de aplicación o nuevo sistema de información para la empresa.
Entrega de sistema y cumplimiento de parámetros que el desarrollador debe cumplir para documentar las actividades realizadas, las mismas están establecidas en las políticas
de seguridad.Aprobación del Sistema y revisión de parámetros y
documentación por parte del desarrollador.
Solicita aplicación o sistema de información que requiera la
empresa
Inicio
Fin
Análisis de la problemática y propuesta para el
desarrollo del sistema.
Recibe autorización para contratación del sistema o
aplicación requerida.
Revisa la petición y autoriza la contratación para desarrollo de aplicación o nuevo sistema de información para la empresa.
Análisis del negocioPlaneación y diseño
DesarrolloPrototipo y pruebas
Instalación y estabilizaciónSoporte y mantenimiento
Entrega de sistema y cumplimiento de parámetros que el desarrollador debe cumplir para documentar las actividades realizadas, las mismas están establecidas en las políticas
de seguridad.Aprobación del Sistema y revisión de parámetros y
documentación por parte del desarrollador.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
3.3.2 Configuración, Instalación y solución de problemas de sistemas de
información.
Tabla 17 Procesos configuración, instalación y solución de problemas de sistemas de información
Nº Actividades Responsable
1 Solicitar instalación, configuración o
reporte de errores con aplicación,
previa autorización por jefe del
área.
Usuario del Sindicato de Choferes.
2 Recepta solicitud para solución de
errores, instalación o configuración
de aplicación.
Técnico de Desarrollo de Aplicaciones.
3 Firma de ficha de servicio brindado
por técnico de desarrollo.
Usuario del Sindicato de Choferes.
4 Recepción de fichas de servicios
brindados por técnico de
Desarrollo. Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente:. Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la configuración, instalación y solución de errores de aplicaciones de desarrollo.
Elaborado por: Rodríguez, D.
Gráfico 18 Diagrama de procesos Desarrollo de aplicaciones
CONFIGURACIÓN, INSTALACIÓN Y SOLUCIÓN DE PROBLEMAS
DESARROLLO DE APLICACIONES
TÉCNICO DE DESARROLLOUSUARIO DEPARTAMENTO DE TI
Solicita instalación, configuración o reporte de errores con
aplicación.
Inicio
Fin
Recepta solicitud para solución de errores, instalación o
configuración de aplicación.
Firma de ficha de servicio brindado.
Recepción de fichas de servicios brindados por técnico de
Desarrollo
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
3.4 Configuración y publicaciones en sitio web institucional
Objetivo: Publicar información en el sitio Web de la institución con diseño y
diagramación institucional.
Alcance: Departamento de Tecnologías de la Información, Administración.
3.4.1 Publicaciones página web institucional
Tabla 18 Procesos para las publicaciones en la página web institucional
Nº Actividades Responsable
1 Solicita publicación de información,
previa autorización del jefe del área
en la página web institucional.
Usuario del Sindicato de Choferes.
2 Revisión de la información a
publicar.
Departamento de Tecnologías de la
Información (TI).
3 Aprobación o negación publicación
de información.
Departamento de Tecnologías de la
Información (TI).
4 En caso de aprobarse la
publicación se notificará al usuario
correspondiente vía correo
electrónico o por escrito. Fin
proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la publicación de información en la página web institucional. Elaborado por:
Rodríguez, D.
Gráfico 19 Diagrama de procesos Publicación en página web institucional
PUBLICACIONES PÁGINA WEB
USUARIO DEPARTAMENTO DE TI
Solicita publicación de información, previa autorización del jefe del área en la página web
institucional.
Inicio
Fin
Revisión de la información a publicar.
Aprobación
Enviar correcciones o negación de publicación.
Publicar información
Enviar notificación de publicación vía correo electrónico o por
escrito.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
4 PROCESOS PARA GESTIÓN DE INFORMACIÓN
4.1 Almacenamiento de información
Objetivo: Determinar los procedimientos para la administración de la información en los
equipos informáticos de la empresa.
Alcance: Departamento de Tecnologías de la Información (TI), Administración.
Tabla 19 Procesos para el almacenamiento de la información
Nº Actividades Responsable
1 Crear una unidad de disco virtual o
partición en los equipos
informáticos
Departamento de Tecnologías de la
Información (TI).
2 Realizar la estructuración de
guardado de la información tipo
árbol, según los lineamientos
estipulados por el departamento de
Tecnologías de la Información.
Departamento de Tecnologías de la
Información (TI).
3 Informar y/o capacitar a los usuarios
acerca de la administración y
guardado de la información. Fin del
proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para la administración y guardado de la información. Elaborado por: Rodríguez, D.
Gráfico 20 Estructuración almacenamiento de la información
Nombre de usuario
Unidad de disco para almacenamiento de
información
Datos Empresa Clientes Varios
Documentos del departaemnto
Copias de seguridad de
correo electrónico
Documentos Varios
Documentos Varios
Documentos Personales
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
Gráfico 21 Diagrama de procesos Almacenamiento de la información
ALMACENAMIENTO DE INFORMACIÓN
DEPARTAMENTO DE TI
Inicio
Almacenamiento de información
Crear una unidad de disco virtual o partición en los equipos informáticos
Realizar la estructuración de guardado de la información tipo
árbol
Fin
Informar y/o capacitar a los usuarios acerca de la administración y guardado de la información.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
4.2 Ingreso y/o salida de la información.
Objetivo: Determinar los procedimientos para el ingreso y salida de la información de
la institución.
Alcance: Departamento de Tecnologías de la Información (TI), Administración.
Tabla 20 Procesos para el ingreso y salida de la información
Nº Actividades Responsable
1 Verificar Políticas de Seguridad
Informática (Confidencialidad de
Archivos).
Usuario de los diferentes
departamentos del Sindicato de
Choferes Profesionales.
2 Pedir autorización a la Dirección
general (Secretaría General) para
salida o entrega de información a
terceros.
Usuario de los diferentes
departamentos del Sindicato de
Choferes Profesionales.
3 Evaluar la información que saldrá
de la empresa o será entregada a
terceras personas y con qué fin.
Secretaría General.
4 Emitir autorización para salida o
entrega de información, Si es
necesario solicitar ayuda al
departamento de TI para extracción
de información.
Secretaría General.
5 Garantizar que la información que
ingrese o salga a través de la
recepción o forma directa en los
departamentos debe ser registrada,
controlada y tramitada
adecuadamente. Fin del proceso.
Usuario de los diferentes
departamentos del Sindicato de
Choferes Profesionales.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para el ingreso y/o salida de información. Elaborado por: Rodríguez, D.
Gráfico 22 Diagrama de procesos Ingreso o salida de información
INGRESO O SALIDA DE INFORMACIÓN A TERCEROS
SECRETARÍA GENERALUSUARIO
INICIO
Verificar Políticas de Seguridad Informática (Confidencialidad de
Archivos).
Emitir autorización para salida o entrega de información, Si es
necesario solicitar ayuda de departamento al TI para
extracción de información.
Evaluar la información que saldrá de la empresa o será
entregada a terceras personas y con que fin
Fin
Ingreso o Salida
Salida
Garantizar que la información que ingrese o salga a través de
la recepción o forma directa en los departamentos debe ser registrada, controlada y tramitada adecuadamente
Ingreso
Pedir autorización para salida o entrega
de información a terceros
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
4.3 Manejo de Información sensible
Objetivo: Determinar los procedimientos para la administración de la información en los
equipos informáticos de la empresa.
Alcance: Departamento de Tecnologías de la Información (TI), Administración.
Tabla 21 Procesos para el manejo de información sensible
Nº Actividades Responsable
1 Solicitar autorización para copiar o
compartir información sensible al
departamento de TI.
Usuario del Sindicato de Choferes
Profesionales.
2 Analizar la información para la
actividad solicitada
Departamento de Tecnologías de la
Información (TI).
3 Autoriza el copiado o compartición
de la información. Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para el manejo de información sensible. Elaborado por: Rodríguez, D.
Gráfico 23 Diagrama de procesos Manejo de información sensible
MANEJO DE INFORMACIÓN SENSIBLE
DEPARTAMENTO DE TIUSUARIO
INICIO
Fin
Solicitar autorización para copiar o compartir
información sensible
Analizar la información para la actividad solicitada
Autoriza el copiado o compartición de la
información
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
4.4 Copias de seguridad
Objetivo: Determinar los procedimientos de periodicidad, responsables y mecanismos
de las copias de seguridad o respaldo de todos los sistemas de información,
computadores y servidores de la empresa.
Alcance: Departamento de Tecnologías de la Información (TI).
Tabla 22 Procesos para copias de seguridad
Nº Actividades Responsable
1 Establecer el cronograma de copias
de seguridad de los computadores
y servidores de la empresa
Usuario del Sindicato de Choferes
Profesionales.
2 Establecer responsables para la
generación de copias de seguridad
en computadoras y servidores de la
empresa.
Departamento de Tecnologías de la
Información (TI).
3 Dar aviso a los usuarios las fechas
que se dispondrá hacer las copias
de seguridad de los computadores
asignados.
4 Ejecución de copias de seguridad
según el cronograma establecido.
Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde consta los
procesos para la creación de copias de seguridad. Elaborado por: Rodríguez, D.
Gráfico 24 Diagrama de procesos Copias de seguridad
COPIAS DE SEGURIDAD
DEPARTAMENTO DE TI
Inicio
Dar aviso a los usuarios las fechas que se dispondrá hacer las copias de seguridad de los
computadores asignados.
Ejecución de copias de seguridad según el
cronograma establecido
Inicio
Establecer el cronograma de copias de seguridad de los
computadores y servidores de la empresa
Establecer responsables para la generación de copias de
seguridad en computadoras y servidores de la empresa.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
5 PROCESOS CONFIGURACIÓN DE CUENTAS DE USUARIO
5.1 Creación de nuevos usuarios y/o perfiles de usuarios
Objetivo: crear usuarios y perfiles de usuarios para el uso de los equipos y sistemas
informáticos.
Alcance: Departamento de Tecnologías de la Información, Administración,
Departamento de Recursos Humanos.
Tabla 23 Procesos para la creación de nuevos usuarios y/o perfiles de usuarios
Nº Actividades Responsable
1 Realiza solicitud de asignación de
usuarios indicando el departamento
o área de contratación, cargo y
datos del mismo
Departamento de Recursos Humanos.
2 Revisar y aprobar la solicitud de
creación de usuarios y/o perfiles de
usuarios.
Secretaría General.
3 Si la solicitud fue emitida por el
Departamento de Recursos
Humanos y Aprobada por
Secretaria General se procede a la
creación de usuarios y perfiles de
usuarios de acuerdo a las políticas
establecidas
Departamento de Tecnologías de la
Información (TI).
4 Realizar asignación de contraseñas
acorde a los parámetros
establecidos en el manual de
políticas de seguridad
Departamento de Tecnologías de la
Información (TI).
5 Entrega de cuantas y/o perfiles de
usuarios correspondientes. Fin del
proceso.
Usuario del Sindicato de Choferes.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la creación de usuarios y/o perfiles de usuarios. Elaborado por: Rodríguez, D.
Gráfico 25 Diagrama de procesos Creación de usuarios y/o perfiles de usuarios
CREACIÓN DE USUARIOS Y PERFILES DE USUARIOS
DEPARTAMENTO DE TIDEPARTAMENTO DE
RECURSOS HUMANOSSECRETARIA GENERALUSUARIO
INICIO
Nueva asignación de usuarios
y perfiles de usuario.
Realiza solicitud de asignación de usuarios
indicando el departamento o área de contratación, cargo y
datos del mismo
Debera revisar y aprobar la solicitud de creación de
usuarios y/o perfiles de usuarios
¿La solicitud fue Emitida por el Dep. de Recursos Humanos y
Aprobada por Secretaria General?
Realizar creación de usuarios y perfiles de
usuarios de acuerdo a las políticas establecidas
NO
SI
FIN
Realizar asignación de contraseñas acorde a los parámetros establecidos en el manual de políticas
de seguridad
Entrega de cuantas y/o perfiles de usuarios correspondientes
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
5.2 Cambio o recuperación de contraseñas
Objetivo: Realizar cambios o recuperación de contraseñas de equipos o sistemas
informáticos a cargo de los usuarios de la empresa.
Alcance: Departamento de Tecnologías de la Información.
Tabla 24 Procesos para cambio o recuperación de contraseñas
Nº Actividades Responsable
1 Solicitar el cambio o recuperación
de contraseña.
Usuario del Sindicato de Choferes.
2 Definir motivos cambio o
recuperación de contraseña
Usuario del Sindicato de Choferes.
3 Cambio o recuperación de
contraseñas con los parámetros y
estandarización establecida en las
políticas de seguridad
Departamento de Tecnologías de la
Información (TI).
4 Entrega de contraseñas al dueño
de la cuenta de usuario
Departamento de Tecnologías de la
Información (TI).
5 Recepción de contraseña
establecida. Fin del proceso.
Usuario del Sindicato de Choferes.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para el cambio o recuperación de contraseñas. Elaborado por: Rodríguez, D.
Gráfico 26 Diagrama de procesos Cambio o recuperación de contraseñas
CAMBIO O RECUPERACIÓN DE CONTRASEÑAS
DEPARTAMENTO DE TIUSUARIO
INICIO
Cambio o recuperación de contraseñas con los parámetros y estandarización establecida en las
políticas de seguridad
Entrega de contraseñas al dueño de la cuenta de usuario
Recepción de contraseña establecida
FIN
Solicitar el cambio o recuperación de contraseña.
Definir motivos cambio o recuperación de contraseña
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
5.3 Configuración de cuentas de correo electrónico
Objetivo: Establecer comunicación vía correo electrónico con todos los empleados del
Sindicato de Choferes Profesionales de Santo Domingo.
Alcance: Departamento de Tecnologías de la Información, Administración.
Tabla 25 Procesos para la configuración de cuentas de correo electrónico
Nº Actividades Responsable
1 Solicita creación de correo
electrónico previa autorización del
jefe del área.
Usuario del Sindicato de Choferes.
2 Recepción de solicitud vía correo u
oficio de jefe del área para la
creación de correo.
Departamento de Tecnologías de la
Información (TI).
3 Creación de correo de acuerdo con
los parámetros de Establecimiento
de contraseñas estipulados en las
Políticas de Seguridad.
Departamento de Tecnologías de la
Información (TI).
4 Configuración y verificación de
envío y recepción de correos
electrónicos.
Departamento de Tecnologías de la
Información (TI).
5 Entrega de contraseñas y firma de
ficha de servicio brindado. Fin de
proceso.
Usuario del Sindicato de Choferes.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la publicación de información en la página web institucional. Elaborado por:
Rodríguez, D.
Gráfico 27 Diagrama de procesos Configuración de cuentas de correo electrónico
CONFIGURACIÓN DE CUENTAS DE CORREO
ELECTRÓNICO
USUARIO DEPARTAMENTO DE TI
Solicita creación de correo electrónico previa autorización
del jefe del área.
Inicio
Fin
Recibe solicitud por correo u oficio de jefe del área para la
creación de correo.
Entrega de contraseñas y firma de ficha de servicio brindado.
Creación de correo de acuerdo con los parámetros de
Establecimiento de contraseñas estipulados en las Políticas de
Seguridad.
Configuración y verificación de envío y recepción de correos
electrónicos.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
5.4 Configuración de cuentas SACI
Objetivo: Establecer cuentas de usuario para la administración del sistema contable
que maneja la organización.
Alcance: Departamento de Tecnologías de la Información, Administración.
Tabla 26 Procesos para la configuración de cuentas SACI
Nº Actividades Responsable
1 Recibe solicitud por medio de Oficio
por parte del jefe de área para
nuevo usuario, nombre, puesto y
funciones para el sistema.
Departamento de Tecnologías de la
Información (TI).
2 Creación y activación de usuario
SACI.
Departamento de Tecnologías de la
Información (TI).
3 Configuración y verificación de
funcionamiento del sistema y
cuenta de usuario.
Departamento de Tecnologías de la
Información (TI).
4 Recepción de contraseña y
capacitación sobre manejo del
Sistema.
Usuario del Sindicato de Choferes.
5 Firma de ficha de servicio brindado. Usuario del Sindicato de Choferes.
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde constan los procesos para creación de
usuarios para la administración del sistema contable empresarial. Elaborado por: Rodríguez, D.
Gráfico 28 Diagrama de procesos Configuración de cuentas de usuario para sistema SACI
CONFIGURACIÓN DE CUENTAS DE USUARIO PARA
SISTEMA SACI
USUARIODEPARTAMENTO DE TI
Inicio
Fin
Recibe solicitud por medio de Oficio por parte del jefe de área
para nuevo usuario, nombre, puesto y funciones para
el sistema.
Firma de ficha de servicio brindado.
Creación y activación de usuario SACI
Recepción de contraseña y capacitación sobre manejo del
Sistema.
Configuración y verificación de funcionamiento del sistema y
cuenta de usuario.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
5.5 Inactivación de cuentas
Objetivo: Realizar la inactivación de cuentas de usuario, por la salida del personal de
la empresa.
Alcance: Departamento de Tecnologías de la Información, Departamento de Recursos
Humanos.
Tabla 27 Procesos para la inactivación de cuentas
Nº Actividades Responsable
1 Realiza solicitud al Departamento
de Tecnologías de la información,
indicando que un usuario dejo de
tener vínculo laboral con la
empresa.
Departamento de Recursos Humanos
2 Recepción de solicitud la misma
puede ser emitida vía correo
electrónico o por documento escrito
por el responsable del
departamento de Recursos
Humanos.
Departamento de Tecnologías de la
Información (TI).
3 Realizar inactivación de las cuentas
de usuario, accesos, equipos y
recursos informáticos asignados a
dicho empleado. Fin del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la inactivación de cuentas y recursos asignados a los usuarios que han salido de
la empresa. Elaborado por: Rodríguez, D.
Gráfico 29 Diagrama de procesos Inactivación de cuentas de usuario
INACTIVACIÓN DE CUENTAS DE USUARIO
DEPARTAMENTO DE TIDEPARTAMENTO DE
RECURSOS HUMANOS
INICIO
Salida de
empleados
de la
empresa
Realiza solicitud indicando que un usuario dejo de
tener vínculo laboral con la empresa.
¿La solicitud fue Emitida por el Dep. de Recursos Humanos?
Realizar inactivación de las cuentas de usuario, accesos, equipos y
recursos informáticos
asignados a dicho
empleado.
NO SI
FIN
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
6 PROCESOS PARA LA GESTIÓN DE POLÍTICAS DE SEGURIDAD
INFORMÁTICA
6.1 Creación, excepción o actualización de políticas de seguridad
Objetivo: Determinar los procedimientos para la creación, excepción o actualización de
las políticas de seguridad informática de la empresa.
Alcance: Departamento de Tecnologías de la Información, Departamento de Recursos
Humanos, Administración.
Tabla 28 Procesos para la creación, excepción o actualización de políticas de seguridad
Nº Actividades Responsable
1 Llenada de ficha para creación,
excepción o actualización de
políticas de seguridad.
Departamento de Tecnologías de la
Información (TI).
2 Revisión y aprobación de políticas
de seguridad por el Departamento
de Recursos Humanos.
Departamento de Recursos Humanos.
3 Revisión y aprobación de políticas
de seguridad por la Dirección
General (Secretaría General).
Secretaría General.
4 Supervisar si las políticas fueron
revisadas y aprobadas por la
Dirección General y el
departamento de Recursos
Humanos.
Departamento de Tecnologías de la
Información (TI).
5 Si se cumplió los procesos
anteriores las políticas serán
aprobadas y difundidas al personal
para su debido cumplimiento. Fin
del proceso.
Departamento de Tecnologías de la
Información (TI).
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la creación, excepción o actualización de las políticas de seguridad informática de
la empresa. Elaborado por: Rodríguez, D.
Gráfico 30 Diagrama de procesos Validación de políticas de seguridad informática
VALIDACIÓN DE POLÍTICAS DE SEGURIDAD
DEPARTAMENTO DE RECURSOS HUMANOS
SECRETARIA GENERALDEPARTAMENTO DE TI
INICIO
Políticas de Seguridad
Informática
Revisión políticas de seguridad por el
Departamento de Recursos Humanos
Aprobación de Políticas de Seguridad
Revisión políticas de seguridad por la Dirección
General (Secretaría General)
Aprobación de Políticas de Seguridad
¿Las políticas fueron revisadas y aprobadas por la
Direc. General y Dep. Recursos Humanos bajo supervisión del
Dep. de TI?
Las políticas serán aprobadas y difundidas al personal para su debido
cumplimiento
Fin
SINO
Llenada de ficha para creación, excepción o
actualización de políticas de seguridad.
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo.
7 PROCESOS PARA LA CONTRATACIÓN DE PROVEEDORES
7.1 Contratación de Proveedores
Objetivo: Determinar los procedimientos para la contratación de proveedores de
servicios de la empresa.
Alcance: Departamento de Recursos Humanos.
Tabla 29 Procesos para la contratación de proveedores
Nº Actividades Responsable
1 Evaluar sugerencias por alguna
área de la empresa
Departamento de Recursos Humanos.
2 Evaluar a varios candidatos
Recopilación de información del
proveedor como: experiencia,
precio y calidad, reputación
dentro del mercado, etc.
Ubicación del proveedor
Garantía de calidad
Estabilidad en el servicio,
reparto y abastecimiento
Formas de pago
Departamento de Recursos Humanos.
3 Recibe la solicitud de cotización
que consta de información de sus
compañías, oferta en el mercado,
precios de referencia, capacidades
y experiencia
Proveedor.
4 Elección de proveedor y
elaboración de contratos.
Departamento de Recursos Humanos.
5 Firma de contratos. Proveedor.
6 Prestación de servicios o
productos. Fin del proceso.
Departamento de Recursos Humanos.
Fuente: Investigación de campo realizada por el autor. Santo Domingo: Tabla donde constan los
procesos para la contratación de proveedores en la empresa. Elaborado por: Rodríguez, D.
Gráfico 31 Diagrama de procesos Contratación de proveedores
CONTRATACIÓN DE PROVEEDORES
PROVEEDORDEPARTAMENTO DE
RECURSOS HUMANOS
Evalúa a varios candidatos Recopilación de información del
proveedor como: experiencia, precio y calidad, reputación dentro del mercado, etc.
Ubicación del proveedor Garantía de calidad Estabilidad en el servicio, reparto
y abastecimiento Formas de pago
Inicio
Recibe la solicitud de cotización que consta de información de
sus compañías, oferta en el mercado, precios de referencia,
capacidades y experiencia
Elección de proveedor
Elaboración de contratos de proveedores
Firma de contrato
Prestación de servicios o productos
Inicio
Evaluar sugerencias por alguna área de la empresa
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
8 FICHAS DE GESTIÓN SERVICIOS BRINDADOS POR EL DEPARTAMENTO DE
TECNOLOGÍAS DE LA INFORMACIÓN
8.1 Ficha de registro de servicios o soporte técnico
La ficha de registro de servicios es utilizada para el control de los servicios de soporte
técnico que presta el departamento de Tecnologías de la Información, es decir la
responsabilidad del llenado de la misma es realizada por el técnico o responsable de
proporcionar algún tipo de servicio a los usuarios del Sindicato de Choferes
Profesionales.
Gráfico 32 Ficha registro de servicio
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de servicio son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Fecha y Hora: Se especifica la hora y fecha en el que se presta el servicio
técnico a los usuarios.
4. Datos del técnico de TI: Se especifica el nombre, cédula y forma del técnico o
personal de Tecnología que brinda el servicio técnico.
5. Datos del usuario: Se registra el área o departamento al cual se presta el
servicio, además del nombre, cedula y firma del usuario.
6. Capacitación: en esta opción se registras si se brindado o no capacitación al
usuario del servicio brindado si es requerido.
7. Observación: En esta opción se coloca algún dato de importancia referente al
servicio brindado.
8.2 Ficha de registro y actualización de licencias de software
La ficha de registro y actualización de licencias de software es un mecanismo de control
que debe poseer el departamento de Tecnologías de la Información, con el fin de
mantener de manera ordenada y actualizada las licencias de software y aplicaciones
informáticas del Sindicato de Choferes Profesionales.
Gráfico 33 Ficha de registro de licencias de software
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo Los campos que conforman la ficha de registro y actualización de licencias de software
son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Producto: Se especifica el nombre del sistema, software o aplicación
informática.
4. Número de serie: En este espacio se ubica la serie del sistema, software o
aplicación informática.
5. Modelo: Aquí se coloca el modelo o versión del sistema, software o aplicación
informática.
6. Fecha de compra: En este campo se especifica la fecha que se adquirió del
sistema, software o aplicación informática.
7. Fecha de renovación: En este campo se especifica la fecha de renovación del
sistema, software o aplicación informática.
8. Duración de licencia: En este campo se especifica el tiempo de duración del
sistema, software o aplicación informática.
8.3 Ficha gestión de incidentes de seguridad
La ficha de gestión de incidentes de seguridad es utilizada para que el departamento de
Tecnologías de la Información pueda determinar cualquier hecho o causantes que
afecte la seguridad de la empresa, es decir los diferentes tipos de eventualidades como
ataques, riesgos, vulnerabilidades y amenazas que pueden suscitarse con los equipos
y servicios informáticos del Sindicato de Choferes Profesionales.
Gráfico 34 Ficha de reporte de incidentes
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de gestión de incidentes de seguridad son los
siguientes:
1. Reporte de incidente: En esta sección se registra la hora y fecha de notificación
de incidentes.
2. Datos de la persona que notifica: Aquí se coloca el nombre, empresa,
departamento, correo y teléfono del usuario que notifica el incidente.
3. Información sobre el incidente: En esta sección se especifica la fecha y hora
en la que se observó el incidente, además se debe seleccionar la opción que se
crea da lugar al incidente suscitado:
Uso indebido de información crítica: Esta opción se refiere al mal uso de
información relevante de la empresa.
Uso prohibido de un recurso informático o de red del Sindicato de
Choferes Profesionales.
Divulgación no autorizada de información personal: La empresa debe
mantener los datos del personal de manera confidencial según las
políticas de seguridad establecidas.
Intrusión física: Se refiere a cualquier tipo de acceso no autorizado a la
información de un equipo de cómputo o servidor de la empresa (hacker,
cracker, etc.).
Destrucción no autorizada de información: Se refiere al borrado o
eliminación de información sin la debida autorización.
Robo o pérdida de información.
Interrupción prolongada en un sistema o servicio de red.
Modificación, instalación o eliminación no autorizada de software.
Acceso o intento de acceso no autorizado a un sistema informático.
Ingeniería social, fraude o phishing: La ingeniería social se trata de
manipular psicológicamente a las personas para que compartan
información confidencial o hagan acciones inseguras, mientras que el
phishing se trata de enviar correos electrónicos que parecen proceder
de fuentes confiables con el objetivo de influenciar o robar información
personal.
Modificación no autorizada de un sitio o página web del Sindicato de
Choferes Profesionales.
Eliminación insegura de información.
Modificación o eliminación no autorizada de datos.
Anomalía o vulnerabilidad técnica de software.
Amenaza o acoso por medio electrónico.
Ataque o infección por código malicioso (virus, gusanos, troyanos,
ENTRE OTROS ODEFINIR TODOS.)
Robo o pérdida de un recurso informático del Sindicato de Choferes
Profesionales.
Otro no contemplado: Se debe describir si existe algún otro tipo de
incidente no contemplado en las opciones anteriores.
4. Información sobre el incidente: En esta sección se debe describir el incidente
suscitado, además si dicho incidente da lugar a una de las siguientes opciones
se deberá marcar:
[ ] Se trata de una infección por código malicioso, detalle en lo posible
el nombre del virus detectado por el programa antivirus.
[ ] Se trata de una anomalía o vulnerabilidad técnica, describa la
naturaleza y efecto de la anomalía en términos generales, las condiciones
en las cuales ocurrió la vulnerabilidad, los síntomas del problema y
mensajes de error que aparezcan en pantalla.
[ ] Se trata de un caso de fraude mediante correo electrónico (phishing),
no elimine el mensaje de correo, contáctese en forma telefónica con el
Depto. de TI. Y reenvíe el mensaje como adjunto al correo de TI.
Se trata de una infección por código malicioso, detalle en lo posible el
nombre del virus detectado por el programa antivirus.
En esta sección también se debe indicar como se detectó el incidente y si esta está o
no aun en progreso, el tiempo estimado de duración del incidente y el detalle de las
personas que han accedido al sistema afectado desde que se detectó el incidente.
5. Información sobre el recurso afectado: En esta sección se define cual es el
Sistema, computadora o red afectada, su localización física, la descripción breve
de la información contenida en el sistema o computador y sistema operativo. Se
deben marcar las siguientes opciones según el caso del incidente suscitado:
[ ] SI [ ] NO ¿Existe copia de respaldo de los datos o software afectado?
[ ] SI [ ] NO ¿El recurso afectado tiene conexión con la red de la Secretaria
de Gestión de Riesgos?
[ ] SI [ ] NO ¿El recurso afectado tiene conexión a Internet?
8.4 Ficha de registro de control de cambios para sistemas de desarrollo
La ejecución de esta ficha tiene como fin que el departamento de Tecnologías de la
Información tenga un mecanismo de registro referente a las tareas de actualización o
cambios realizados en los sistemas de desarrollo, así como saber las causas del
cambio, fechas, entre otros datos de importancia.
Gráfico 35 Ficha de registro de control de cambios para sistemas de desarrollo
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de control de cambios para sistemas de
desarrollo son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Empresa o proveedor: Se especifica el proveedor del software.
4. Fecha: Se debe ubicar la fecha en la cual se realiza el cambio o actualización.
5. Nombre del desarrollador: Nombre del técnico desarrollador.
6. Cédula: Cedula del técnico desarrollador.
7. Nombre del software: Se especifica el nombre del software.
8. Plataforma: Se especifica la plataforma en la cual fue desarrollado el software
en cuestión.
9. Cambio o ajuste / Nueva actualización: Se debe elegir entre las dos opciones
según corresponda, ya sea que la actividad a realizar es un cambio o ajuste del
software como una nueva actualización del mismo.
10. Descripción de cambios o actualización: Se debe especificar una descripción
referente a la actividad realizada.
11. Firmas de control de cambios: El encargado del departamento de Tecnologías
de la Información (TI), como el técnico desarrollador deben firmar la ficha como
constancia de la actividad realizada.
8.5 Ficha de recolección de información para Inventario tecnológico
Esta ficha es creada para la recolección de información para el inventario tecnológico,
se deberá seguir un orden cronológico de los departamentos de la empresa, en cuento
al registro de la información de los equipos, recursos informáticos, etcétera.
Gráfico 36 Ficha de recolección de información para inventario tecnológico
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de recolección de información para el inventario
tecnológico son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Código departamento: En este punto se establecerá las siglas representativas
del departamento a inventariar.
4. Fecha: Se colocará la fecha actual en la que se realice el inventario.
5. Código de la dependencia: En este punto se establecerá las siglas
representativas del departamento a inventariar.
6. Nombre de la dependencia u oficina: En este punto se refiere al nombre del
departamento o dependencia que será inventariado.
7. Usuario responsable: Se escribirá el usuario actual a cargo de los equipos y/o
recursos informáticos.
8. Cuerpo ficha de inventario: el cuerpo del inventario posee la información que
se tomará de cada uno de los equipos a inventariar de los respectivos
departamentos de la empresa, los datos a obtener son los siguientes, Código
del objeto, Nombre o Descripción, Cantidad, Marca, Modelo, Serial,
Observación, Ubicación actual, Fecha de adquisición o puesta en servicio, Vida
útil, Estado actual y Acta de entrega.
9. Firmas de responsabilidad: En este punto se encuentran la firma de las
personas responsables, es decir la firma del usuario a cargo de los equipos
inventariados, responsable de TI, y responsable de la empresa o gerente.
8.6 Modelo de Inventario tecnológico
El siguiente modelo fue creado para que el departamento de Tecnologías de la
Información y la empresa en general pueda mantener un registro de los equipos y
recursos informáticos existentes.
Gráfico 37 Modelo de inventario tecnológico
Fuente: Rodrígues, D. (2016). Modelo de inventario empresarial para el Sindicato de Choferes
Profesionales de Santo Domingo.
En la imagen anterior se muestra el modelo de inventario el mismo está dividido en los
siguientes puntos:
1. Grupo: Este punto se refiere a la categoría en la cual está dividido el inventario
por ejemplo: Útiles de Oficina, Herramientas, Servidores, etc.
2. Código: Este punto se refiere al código del recurso o equipo informático a
inventariar, este se lo estructurara dela siguiente manera, las 3 primeras letras
con las siglas del Sindicato de Choferes Profesionales “SCP”, las siguientes
siglas dependerán del departamento al cual pertenezca el objeto, a continuación
ira el número correspondiente a la secuencia de objetos de cada área y por
último a la categoría de inventario que pertenece.
Gráfico 38 Ejemplo de Código de Objeto
Fuente: Rodrígues, D. (2016). Modelo de codigo de objetos inventariados del Sindicato de
Choferes Profesionales de Santo Domingo.
3. Descripción: En este punto se escribirá el nombre del objeto ejemplo, Teclado,
Mouse, Cámara Web, etc.
4. Cantidad: Este punto se ubicara la cantidad del objeto a inventariar.
5. Marca: Se detallara la marca del objeto a inventariar.
6. Modelo / Tipo: En este punto se colocará el modelo del objeto a inventariar.
7. Serie: En este punto se colocara la serie del objeto.
8. IP / Mac: Este punto solo aparecerá en la categoría PC, y se lo colocara a los
CPU ya que es importante el reconocimiento de su dirección IP y Dirección Física
o también llamada MAC.
9. Observación: Se detallara alguna observación o característica relevante del
objeto a inventariar que ayude a determinar su localización y estado.
10. Usuario actual: Se indicará el usuario responsable del objeto, equipo o recurso
informático.
11. Ubicación actual: Se indicará la ubicación o departamento actual en el cual se
encuentra actualmente el objeto, equipo o recurso informático inventariado.
12. Fecha de levantamiento de inventario: Se colocará la fecha en el que se hizo
el levantamiento de la información.
13. Fecha de adquisición o puesta en servicio: En este punto se indicará la fecha
en la cual se adquirió o utilizó el equipo.
14. Vida útil: Aquí se indicara la vida útil del equipo o recurso informático el cual
estará clasificado en las opciones de 3, 5 y 10 años.
15. Estado actual: Esta opción permite determinar el estado actual del objeto de la
siguiente manera, 1= Buen estado y Servicio, 2= En mal estado y servicio, 3=
Obsoleto, 4= Dado de Baja.
16. Acta de entrega: Esta opción permitirá determinar si existe alguna acta de
entrega como constancia al usuario que tendrá a cargo el o los equipos o
recursos informáticos, en ella se establecen las opciones de SI, NO y el número
del Acta.
8.7 Modelo de Inventario de software
El departamento de Tecnologías de la Información debe mantener el inventario de
software existente en la empresa, de esta manera se podrá llevar un registro de las
aplicaciones y sistemas informáticos que posee el Sindicato de Choferes Profesionales.
Gráfico 39 Modelo inventario de software
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman el inventario de software son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Nombre del producto: En este punto se establecerá el nombre del software,
sistema o aplicación.
4. Tipo Software / Aplicación: Se colocará el tipo de software o aplicación.
5. Plataforma: Se debe establecer en que plataforma fue desarrollado el software
en cuestión.
6. Descripción: En este punto se estable un descripción general referente al
software, sistema o aplicación en cuestión.
7. Proveedor: Se debe establecer cuál es el proveedor del software, sistema o
aplicación.
8. Duración de la licencia: En este punto se establecerá el periodo de tiempo que
de la licencia del software.
9. Serial de la licencia: Se debe colocar el serial de la licencia del software en
cuestión.
10. Costo original: Se debe establecer el valor original del software, sistema o
aplicación.
11. Número de la factura: Si se posee el número de factura de compra del software
se lo ubicara en esta opción.
12. Observación: Se debe establecer alguna observación general referente al
software, sistema o aplicación
13. Fecha de último inventario: Se refiere a la fecha del último inventario realizado
referente a este software.
14. Aporte de herramienta al trabajo: Se debe establecer la contribución en el
trabajo que se logra con la implementación de este software, sistema o
aplicación en la empresa.
8.8 Cronograma de copias de seguridad anual
El cronograma de copias de seguridad es un mecanismo de control para establecer
fechas y responsabilidades referentes a las labores de backup o copias de seguridad
anuales que realizara el personal del departamento de Tecnología del Sindicato de
Choferes Profesionales.
Gráfico 40 Cronograma de copias de seguridad anual
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de cronograma de copias de seguridad anual son
los siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha,
nombre del departamento, nombres de los responsables que se encuentran
definidos por colores y año actual.
2. Cuerpo de la Ficha: Aquí se coloca el nombre de los departamentos, meses y
semanas. Se deben marcar los casilleros con el color de la persona responsable
según se haya establecido en el encabezado.
3. Firmas de responsabilidad: En este punto los participantes del cronograma
según las responsabilidades deberán firmar a ficha.
8.9 Cronograma de copias de seguridad mensual
El cronograma de copias de seguridad mensual es un mecanismo de control para
establecer fechas y responsabilidades referentes a las labores de backup o copias de
seguridad mensuales que realizara el personal del departamento de Tecnología del
Sindicato de Choferes Profesionales.
Gráfico 41 Cronograma de copias de seguridad mensual
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de cronograma de copias de seguridad mensual
son los siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha,
área o departamento, jefe del área o departamento, fecha.
2. Cuerpo de la Ficha: Aquí se coloca el nombre de los departamentos, técnico
responsable, meses y semanas. Se deben marcar los casilleros según la
responsabilidad del técnico.
3. Firmas de responsabilidad: En este punto los participantes del cronograma
según las responsabilidades deberán firmar a ficha.
8.10 Cronograma mantenimiento anual
El cronograma de mantenimiento es un mecanismo de control para establecer fechas y
responsabilidades referentes a las labores de mantenimientos anuales que realizara el
personal del departamento de Tecnología del Sindicato de Choferes Profesionales.
Gráfico 42 Cronograma de mantenimiento anual
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de cronograma de mantenimiento anual son los
siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha,
nombre del departamento, nombres de los responsables que se encuentran
definidos por colores y año actual.
2. Cuerpo de la Ficha: Aquí se coloca el nombre de los departamentos, meses y
semanas. Se deben marcar los casilleros con el color de la persona responsable
según se haya establecido en el encabezado.
3. Firmas de responsabilidad: En este punto los participantes del cronograma
según las responsabilidades deberán firmar a ficha.
8.11 Ficha de mantenimiento físico a equipos y dispositivos de computo
La ficha de mantenimiento es un mecanismo de control que debe mantener el
departamento de Tecnologías de la Información, con el fin de poder tener un registro del
mantenimiento brindado a los diferentes equipos y recursos informáticos del Sindicato
de Choferes Profesionales.
Gráfico 43 Ficha de mantenimiento físico a equipos y dispositivos de cómputo
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de mantenimiento a equipos informáticos son los
siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha,
nombre del departamento, nombres de los responsables que se encuentran
definidos por colores y año actual. Además se establece los datos de quien es
el encargado del mantenimiento y el encargado del departamento, fecha y firma
respectivamente.
2. Recepción: Esta sección se debe establecer si se cumple o no con estos
aspectos importantes:
Acta de Entrega y Recepción de Equipo
Enciende el equipo
Recepción de equipo y dispositivos completos
3. Des ensamblaje: En esta sección se debe establecer si se cumple o no con las
variables indicadoras para la realización del des ensamblaje de las piezas del
equipo informático para la realización del respectivo mantenimiento.
4. Ensamblaje y limpieza: Al igual que el punto anterior se debe establecer si se
cumple o no las variables indicadoras para el ensamblaje y limpieza del equipo
informático respectivo.
5. Otros: Esta sección se establece para determinar alguna opción extra a realizar
referente al ensamblaje y limpieza del equipo informático.
6. Observación general: Esta opción se establece para la descripción de laguna
observación global referente al equipo o mantenimiento realizado.
7. Firmas de responsabilidad: En este punto el técnico de Tecnología encargado
del mantenimiento y el usuario responsable del equipo deben firmar como
verificación del trabajo realizado.
8.12 Ficha de registro de mantenimiento de servidores
La ficha de registro de mantenimiento de servidores es un mecanismo de control que
debe mantener el departamento de Tecnologías de la Información, con el fin de poder
tener un registro del mantenimiento brindado a los servidores del Sindicato de Choferes
Profesionales.
Gráfico 44 Ficha de registro de mantenimiento de servidores
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de mantenimiento se servidores son los
siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Encargado de mantenimiento: En este punto se establecerá los datos del
técnico responsable del mantenimiento de los servidores de la empresa, ya sea
del departamento de Tecnologías de la Información (TI) o del Outsourcing
informático contratado.
4. Descripción de servidores: En este punto se establece el área en el que se
encuentra el servidor, nombre del servidor, modelo y una observación general
referente al mantenimiento realizado.
5. Encargado de TI: En este punto se establece los datos del encargado del
departamento de Tecnologías de la Información (TI).
8.13 Ficha de gestión de garantías
La ficha de gestión de garantías es un mecanismo de control que debe mantener y
registrar el departamento de Tecnologías de la Información, con el fin de tramitar las
garantías con los proveedores de los diferentes equipos y servicios del Sindicato de
Choferes Profesionales.
Gráfico 45 Ficha de gestión de garantías
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de gestión de garantías son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Número de reporte: Se especifica el número de reporte para gestión de
garantías.
4. Fecha: En este espacio se ubica la fecha en el cual se hace la ficha para la
gestión de garantías.
5. Proveedor de garantía: Aquí se coloca el proveedor que brindará la garantía.
6. Nombre del producto: Se especifica el nombre equipo, recurso informático o
servicio que requiere la garantía.
7. Cantidad: En este espacio se ubica la cantidad de equipos que recibirán la
garantía.
8. Marca: Aquí se coloca el modelo y marca del equipo o recurso informático que
recibirá la garantía.
9. Serial: Se especifica la serie del equipo o recurso informático que recibirá la
garantía.
10. Departamento: Aquí se coloca el departamento área donde se encuentra
ubicado el equipo o recurso informático en la empresa.
11. Responsable: Se especifica el nombre del usuario responsable del equipo o
recurso informático en la empresa.
12. Descripción de la falla o incidente: Se especifica cuando y como se suscitó el
incidente con el equipo, recurso informático o servicio.
13. Observación: En este espacio se ubica alguna observación general acerca del
equipo o la gestión de la garantía.
14. Firma de quien realiza el reporte para gestión de garantías: en este espacio
firmará la persona responsable de realizar el reporte.
8.14 Ficha de registro de capacitaciones
La ficha de registro de capacitaciones es un mecanismo de control que debe mantener
el departamento de Tecnologías de la Información, con el fin de saber las capacitaciones
programadas y brindadas al personal del Sindicato de Choferes Profesionales.
Gráfico 46 Ficha de registro de capacitaciones
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha para de registro de capacitaciones son los
siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Tema: Se especifica el tema de la capacitación.
4. Fecha: En este espacio se ubica la fecha en el cual se hace la ficha para la
gestión de garantías.
5. Lugar / departamento: En este punto se establecerá el departamento en el cual
labora el usuario a capacitar.
6. Horario: Se debe ubicar la hora en el cual se realiza la capacitación.
7. Capacitador: Se debe ubicar el nombre y forma del usuario capacitado
8. Usuario: Se debe ubicar el nombre y ficha del capacitador.
8.15 Ficha de control de cambios para políticas de seguridad Informática
La ficha de control de cambios para políticas de seguridad Informática es un
procedimiento que se debe utilizar para la creación, excepción y/o actualización de
políticas de seguridad, el mismo deberá seguir las guías establecidas para su
aprobación.
Gráfico 47 Ficha de control de cambios para políticas de seguridad Informática
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de control de cambios para políticas de seguridad
Informática son los siguientes:
1. Logo: En este espacio se ubica logo de la empresa.
2. Nombre de la ficha: Aquí se coloca el nombre de la ficha en cuestión.
3. Versión: Se especifica la versión o número del cambio a realizar
4. Fecha de modificación: Se debe ubicar la fecha en la cual se realiza el cambio
o actualización.´
5. Comentario: Se debe establecer un comentario general referente al cambio a
realizar.
6. Opciones de aprobación: En esta opción se debe especificar los datos de las
persona que elabora la ficha de control de cambios para políticas de seguridad,
los datos de quien revisa y los datos de quien aprueba dichos cambios.
7. Política: En este punto se escribe la política que se desea crear, eliminar y/o
actualizar.
8. Justificación: En este punto se especifica las razones por la cual se crea,
modifica o elimina las políticas de seguridad informática.
9. Firmas: En este punto para la aprobación de la ficha de control de cambios para
políticas de seguridad firmaran los responsables de los departamentos de
Tecnologías de la Información, Recursos Humanos y Secretaría General.
8.16 Ficha de registro de entrada y salida de equipos de cómputo y recursos
informáticos
La ficha de registro de entrada y salida de equipos de cómputo y recursos informáticos
es un mecanismo de control que debe mantener el departamento de Tecnologías de la
Información, con el fin de saber cuáles son los equipos que ingresan y salen de la
empresa o de los diferentes departamentos del Sindicato de Choferes Profesionales.
Gráfico 48 Ficha de registro de entrada y salida de equipos de cómputo y recursos informáticos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de entrada y salida de equipos de
cómputo y recursos informáticos son los siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha
y nombre del encargado del área o departamento.
2. Cuerpo de la Ficha: Esta sección se establecen los siguientes puntos:
Número de registro
Fecha y Hora
Entradas: Se establece la cantidad, valor unitario y el costo total del
equipo o recurso informático adquirido y las devoluciones.
Salidas: Se establece la cantidad, valor unitario y el costo total del equipo
o recurso informático salientes de la empresa o diversas áreas de la
misma.
Existencias: se establece la cantidad y el costo de los equipos y recursos
en existencia.
8.17 Ficha de registro de ingreso y salida de información.
La ficha de registro ingreso y salida de información es un mecanismo de control que
debe mantener el departamento de Tecnologías de la Información y los diferentes
departamentos o áreas de la empresa, con el fin de saber cuál es la información entrante
y saliente del Sindicato de Choferes Profesionales.
Gráfico 49 Ficha de registro de ingreso y salida de información
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de ingreso y salida de información son
los siguientes:
1. Encabezado: En este espacio se ubica logo de la empresa, nombre de la ficha,
nombre del departamento, nombres del jefe o responsable del departamento y
su firma correspondiente.
2. Cuerpo de la Ficha: Esta sección se establecen los siguientes puntos:
Fecha y Hora
Emisor: Se establecen los datos de la persona que emite la información,
nombre, empresa o departamento, cedula y firma.
Destinatario: Se establecen los datos de la persona a la cual está
destinada la información, nombre, cedula, firma y departamento o
empresa.
Observación: se estable una observación general referente al registro de
ingreso o salida de la información.
8.18 Ficha de registro de ingreso para áreas seguras
La ficha de registro de ingreso para áreas seguras es un mecanismo de control que
debe mantener el departamento de Tecnologías de la Información, con el fin de poder
controlar el acceso del personal en áreas restringidas del Sindicato de Choferes
Profesionales.
Gráfico 50 Ficha de registro de ingreso para áreas seguras
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los campos que conforman la ficha de registro de ingreso para áreas seguras son los
siguientes:
1. Encabezado: En este espacio se ubica el logo de la empresa, nombre de la
ficha, Área o departamento, nombre del encargado del área o departamento,
firma de responsabilidad.
2. Cuerpo de la Ficha: Aquí se coloca la fecha y hora del ingreso, nombre del
usuario, cedula, firma, empresa y una observación general referente al acceso o
el usuario.
8.19 Acta de entrega y recepción
El acta de entrega y recepción es un documento de control que debe mantener el
departamento de Tecnologías de la Información para tener una constancia de los
equipos y recursos informáticos que son entregados y puesto a cargo de los usuarios
del Sindicato de Choferes Profesionales de Santo Domingo.
A continuación se presenta un formato modelo para la creación de las actas de entrega
y recepción:
ACTA DE ENTREGA Y RECEPCIÓN DE EQUIPOS Y RECURSOS INFORMÁTICOS
ACTA NO: LP-00054
DE: DEPARTAMENTO DE TI
PARA: ………………………………………………………..
FECHA: ………………………………………………………..
Por medio de la presente hago constancia que en la ciudad de Santo Domingo el día
…………………….., se hace la entrega en el departamento de …………………..…. de los
equipos y recursos informáticos que se especifica a continuación:
ELEMENTO MARCA MODELO SERIE OBSERVACIÓN Y ESTADO
En el momento de recibir el equipo y recursos informáticos antes especificados se realizaron las
pruebas de funcionamiento pertinentes y se determina que se encuentran en buen estado y
funcionamiento.
Observaciones técnicas o adicionales sobre el equipo y/o Recursos Informáticos:
El monitor presenta una pequeña rapadura en la parte frontal del mismo.
La unidad de CD del CPU no funciona.
………………………………... ………………………………..
Jefe del departamento de TI Responsable del departamento
SINDICATO DE CHOFERES PROFESIONALES DE
SANTO DOMINGO
Anexo 7 Propuesta de mejora en infraestructura tecnológica
PROPUESTA DE MEJORA EN INFRAESTRUCTURA TECNOLÓGICA
SANTO DOMINGO – ECUADOR
2016
SINDICATO DE CHOFERES PROFESIONALES DE SANTO DOMINGO Av. Chone Km. 1 y Obispo Schumacher
SINDICATO DE CHOFERES
PROFESIONALES DE SANTO DOMINGO
ÍNDICE GENERAL
1 ÍNDICE GENERAL ................................................................................................ 2
2 ÍNDICE DE TABLAS .............................................................................................. 3
3 ÍNDICE DE GRÁFICOS ......................................................................................... 3
4 INTRODUCCIÓN ................................................................................................... 5
5 SITUACIÓN ACTUAL DE LA EMPRESA ............................................................... 6
6 DISEÑO FÍSICO Y MEJORA DE LA INFRAESTRUCTURA ................................ 11
6.1 Empresa u Organización .............................................................................. 11
6.2 Centro de Procesamiento de Datos .............................................................. 14
6.2.1 Ubicación o espacio físico del CPD ...................................................... 15
6.2.2 Energía .................................................................................................. 17
6.2.2.1 Red eléctrica .................................................................................. 17
6.2.2.2 Sistemas de Alimentación Ininterrumpida (SAI) .............................. 18
6.2.3 Transmisión ........................................................................................... 18
6.2.3.1 Cableado del CPD .......................................................................... 18
6.2.4 Seguridades .......................................................................................... 20
6.2.5 Piso de acceso elevado o piso técnico .................................................. 20
6.2.5.1 Puerta de Seguridad ....................................................................... 21
6.2.5.2 Sistemas de detención de incendios ............................................... 23
6.2.5.3 Pintura Antiestática ......................................................................... 25
6.2.5.4 Sistemas de climatización .............................................................. 26
6.2.5.5 Control de acceso (Biométrico) ....................................................... 29
6.2.5.6 Sistema de vigilancia ...................................................................... 30
6.2.6 Ubicación del equipamiento electrónico, informático y de comunicaciones
del CPD 32
6.3 Departamento de Tecnologías de la Información .......................................... 35
6.4 Presupuesto o análisis de costos .................................................................. 37
7 BIBLIOGRAFÍA ....................................................... ¡Error! Marcador no definido.
8 BIBLIOGRAFÍA WEB .............................................. ¡Error! Marcador no definido.
ÍNDICE DE TABLAS
Tabla 1 Trabajo de puesta a tierra. ............................................................................. 17
Tabla 2 Trabajo de sistema eléctrico. ......................................................................... 17
Tabla 3 Sistema de Alimentación Ininterrumpida. ....................................................... 18
Tabla 4 Descripción puntos de red. ............................................................................. 19
Tabla 5 Descripción instalación piso de acceso elevado ............................................. 21
Tabla 6 Descripción puerta de seguridad para Centro de Procesamiento de Datos .... 22
Tabla 7 Descripción de sistema de detención de incendios ........................................ 24
Tabla 8 Descripción pintura antiestática...................................................................... 26
Tabla 9 Descripción Sistema de Climatización ............................................................ 27
Tabla 10 Descripción control de acceso (Biométrico). ................................................. 29
Tabla 11 Descripción sistema de vigilancia. ................................................................ 31
Tabla 12 Descripción del equipamiento de racks del Centro de Procesamiento de Datos
................................................................................................................................... 33
Tabla 13 Descripción equipamiento Departamento de Tecnologías de la Información (TI)
................................................................................................................................... 37
Tabla 14 Primer análisis de costos del equipamiento para mejora de la Infraestructura
del CPD ...................................................................................................................... 37
Tabla 15 Segundo análisis de costos del equipamiento para mejora de la Infraestructura
del CPD ...................................................................................................................... 39
Tabla 16 Análisis de costos del equipamiento para mejora de la Infraestructura del
departamento de TI .................................................................................................... 41
ÍNDICE DE GRÁFICOS
Gráfico 1 Edificios Sindicato de Choferes Profesionales de Santo Domingo ............... 12
Gráfico 2 Edificio Sindicato de Choferes Profesionales de Santo Domingo - Parte
Trasera ....................................................................................................................... 13
Gráfico 3 Mejora de la Infraestructura del Centro de Procesamiento de Datos ........... 14
Gráfico 4Ubicación Física del Centro de Procesamiento de Datos ............................. 16
Gráfico 5 Piso Falso.................................................................................................... 20
Gráfico 6 Puerta de Seguridad y Acceso al CPD ........... ¡Error! Marcador no definido.
Gráfico 7 Extintores de Gas contra incendios ............................................................. 23
Gráfico 8 Instalación Sistema de Detención de Incendios ........................................... 24
Gráfico 9 Ubicación de Extintores en el Centro de Procesamiento de Datos .............. 25
Gráfico 10 Sistema de Refrigeración .......................................................................... 27
Gráfico 11 Funcionamiento del Sistema de Climatización en el CPD .......................... 28
Gráfico 12 Funcionamiento de climatización del CPD (Aire Acondicionado) ............... 28
Gráfico 13 Instalación de Control de Acceso (Biométrico) .......................................... 30
Gráfico 14 Cámaras de Vigilancia ............................................................................... 30
Gráfico 15 Ubicación Sistema de Vigilancia (Cámaras de Seguridad) ........................ 31
Gráfico 16 Rack principal del Centro de Procesamiento de Datos .............................. 32
Gráfico 17 Rack aéreo (Equipamiento para el sistema de video vigilancia) ................ 34
Gráfico 18 Mejora de la Infraestructura - Primera planta ............................................. 35
Gráfico 19 Mejora infraestructura de tecnología .......................................................... 36
Gráfico 20 Departamento de Tecnologías de la Información (TI) ................................ 36
1 INTRODUCCIÓN
El proceso de Diseño del Servicio de ITIL se encuentra englobado de una serie de
subprocesos como la gestión de la capacidad y de la disponibilidad, para la mejora de
la calidad de los servicios se debe asegurar que la capacidad de los mismos y de la
infraestructura de las tecnologías de la información sean capaces de cumplir con los
objetivos acordados de capacidad y desempeño de manera económicamente efectiva y
puntual, es decir la gestión de la capacidad toma en cuenta todos los recursos
necesarios para llevar a cabo los servicios de TI, y prevé las necesidades de la empresa
a corto, medio y largo plazo. Por otro lado la gestión de la disponibilidad busca definir,
analizar, planificar, medir y mejorar la disponibilidad de servicios de TI en todos los
aspectos, es decir se encarga de asegurar que la infraestructura, los procesos, las
herramientas y las funciones de tecnología sean adecuados.
La inversión en una adecuada infraestructura tecnológica en las empresas es de gran
importancia, todos los días estas generan una gran cantidad de datos que son claves
para sus procesos internos y externos, la capacidad de administrar, analizar y gestionar
gran números de datos se ha convertido en la prioridad de algunas empresas, es por tal
que los Centros de Procesamiento de Datos (CPD) se ha convertido en un eje
fundamental en las compañías que apuesta por los avances tecnológicos, así como por
la innovación y fiabilidad para dar respuestas y proteger la información de los negocios.
Todos los centros de datos son únicos, pero comparten una misión u objetivo en común
que es proteger la información más relevante e importante de una empresa. En sus
inicios los CPD eran utilizados por universidades, centros de investigación y aquellas
empresas que los poseían eran grandes organizaciones, actualmente las PYMES
(Pequeñas y Medianas Empresas) se han ido inmiscuyendo en el proceso de
adquisición de CPDs ya sean internos o externos tomando en cuenta el entorno o
infraestructura donde se van a mantener y alojar los equipos pues se deben determinar
las mejores condiciones físicas y ambientales para su preservación.
Este documento tiene como finalidad convertirse en una propuesta guía para analizar y
diseñar correctamente el Centro de Datos y departamento de tecnologías de la
información del Sindicato de Choferes Profesionales de Santo Domingo, teniendo en
cuenta factores como la seguridad, disponibilidad, manejabilidad, entre otros, todo esto
contemplado bajo normas y estándares de calidad como lo es el estándar ANSI/TIA-942
el cual se clasifica mediante 4 categorías denominadas TIER según el nivel de
redundancia de los componentes que soportan el CPD. Para el desarrollo de la
propuesta de mejora de la infraestructura se utiliza las características relacionadas a la
categoría “TIER I”, las cuales se muestran a continuación:
Sensible a las interrupciones, planificadas o no.
Es una instalación que no tiene redundadas sus componentes vitales
(climatización, suministro eléctrico) y que por tanto perderá su capacidad de
operación ante el fallo de cualquiera de ellas.
Sin exigencias de piso elevado
Posee generador independiente.
No es obligatorio contar con un UPS o fuente alternativa de electricidad en caso
de emergencia.
Las operaciones de mantenimiento se derivarán en tiempo de no disponibilidad
de la infraestructura.
Debe cerrarse completamente para realizar mantenimiento preventivo.
Plazo de implementación: 3 meses.
Tiempo de inactividad anual: 28,82 horas.
Disponibilidad del 99.671%.
.
2 SITUACIÓN ACTUAL DE LA EMPRESA
Previo al desarrollo de la propuesta de mejora en la infraestructura tecnológica del
Sindicato de Choferes Profesionales de Santo Domingo se ejecuta un estudio de la
situación actual de la empresa enfocado al departamento de Tecnologías de la
Información (TI) y el Centro de Procesamiento de Datos (CPD), para esto se realiza una
investigación de campo la misma que ayudará a verificar los problemas existentes y de
esta manera encontrar las mejores posibilidades de solución.
El departamento de TI de la empresa en cuestión es un área fundamental, ya que en él
se encuentran los dispositivos, recursos informáticos, software y toda la infraestructura
tecnológica que hace posible brindar los servicios informáticos a toda la organización,
por esta razón se requiere que la información y la seguridad sea tratada de manera más
organizada. De la misma manera el centro de procesamiento de datos debe mantener
un alto grado fiabilidad ya que las empresas no se pueden permitir el lujo de que se
caiga su sistema de información y gestión de datos, así mismo se debe controlar los
gastos energéticos que en él se generen, por lo tanto una buena elección de CPD e
inversión tecnológica supone un factor clave para el éxito en una empresa.
A continuación se detalla algunos aspectos importantes analizados como situación
actual de la empresa referente a las áreas de Tecnología de la Información (TI) y Centro
de Procesamiento de Datos (CPD):
El departamento de Tecnologías de la Información no posee una correcta organización
y distribución de las herramientas, equipos y recursos informáticas. No cuenta con
vitrinas, perchas, organizadores, etc., que permitan colocar y clasificar el equipamiento
anteriormente mencionado sea este, electrónico, informático y/o de comunicaciones, por
lo cual se los coloca en el piso o cartones.
Fotografía 1 Departamento de TI
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Los equipos y recursos del área se los guarda en diferente departamentos por el grado
de desorden, además existe una gran acumulación de basura y polvo. Esto sucede ya
que la empresa no posee una bodega en la cual se pueda distribuir los equipos o
recursos informáticos para su resguardo y organización.
Fotografía 2 Almacenamiento de Recursos en el Departamento de TI
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Actualmente en el departamento de TI no existe un sistema contra incendios, dentro del
área ni cercano al lugar, además la señalética del edificio está mal diseñada y en los
sitios para ubicación de implementos contra incendios se encuentran vacíos, los
extintores no están compuestos de material químico adecuado para resguardo de los
equipos informáticos.
Fotografía 3 Sistemas de Prevención de Incendios
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El Departamento de TI no posee el control y monitoreo principal de las cámaras de
seguridad que competan al área, por lo cual se dificulta uno de los aspectos de
seguridad informática de la empresa ante cualquier eventualidad.
Fotografía 4 Monitoreo de Cámaras de Seguridad
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El Centro de Procesamiento de Datos (CPD), posee una mala infraestructura física, se
encuentra ubicado en la misma área o espacio del departamento de TI y su separación
se realiza mediante una puerta deslizable, además no cuenta con una adecuada
instalación y seguridades es por ello que se recalcan las siguientes características:
No cuenta con una adecuada organización.
No posee señalización de emergencia.
Carece de un sistema de control de acceso (Biométrico).
Las instalaciones eléctricas no están bien adecuadas
No existe una correcta temperatura ambiental y acondicionamiento de aire en el
Centro de Procesamiento de Datos.
La iluminación no es adecuada.
En las canalizaciones no se impide la posible entrada de insectos.
No existe sistema de video vigilancia.
No cumple con los requisitos de seguridad física y lógica.
No cuenta con un sistema de detención de incendios o al menos un extintor que
resguarde la seguridad de los equipos en caso de un incidente tanto en el CPD
como departamento de TI.
Fotografía 5 Rack del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
En la misma área o lugar que se encuentra ubicado físicamente el Rack que posee los
servidores principales de la institución se encuentran cartones con basura, polvo y
recursos informáticos en mal estado, lo que puede ocasionar daños o inconvenientes
en el equipamiento del Centro de Procesamiento de Datos.
Fotografía 6 Recursos Informáticos en mal estado en el CPD
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El Centro de Procesamiento de Datos no posee una puerta de seguridad contra fuego,
ni pintura que disipe la electricidad estática del lugar como una alternativa valedera de
alta seguridad en el área.
Fotografía 7 Departamento de TI - Puerta de Ingreso
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3 DISEÑO FÍSICO Y MEJORA DE LA INFRAESTRUCTURA
La infraestructura de Tecnologías sea esta de hardware o aplicaciones de software, de
toda empresa tiene un solo propósito que es brindar el soporte necesario para poder
adquirir beneficios concretos y visibles, basados en la información. Es por ello que los
servicios de dicha infraestructura debe prometer tanto a los empleados de la
organización como a los clientes externos de la misma, prestarse de la manera más
eficiente posible, en términos de velocidad, calidad y disponibilidad; por ejemplo, las
aplicaciones que posea la empresa por los diferentes departamento o áreas de la
organización deben estar disponibles cuando estas se necesiten y de no ser así, el
problema debe resolverse lo más rápido posible para minimizar las consecuencias de
dicho problema.
Generalmente varías empresas no poseen una adecuada gestión de los servicios de TI,
y se manejan de una manera desorganizada, sin un esquema de trabajo, políticas ni
metas específicas, sin seguridades y sin una adecuada implementación de servicios y
recursos tecnológicos dentro de la organización. La inversión tecnológica es necesaria
para el crecimiento organizacional es por ello importante invertir en la infraestructura de
TI, por ejemplo el Centro de Procesamiento de Datos es una pieza clave en la prestación
de los servicios de tratamiento de la información, puesto que es necesario tener una
metodología de trabajo, clara, precisa y sobre todo, perfectamente documentada, para
poder emprender con éxito los trabajos de gestión de los Sistemas de Información.
La falta de conocimiento de los modelos de gestión de servicios es un factor importante
en la manera como estos servicios se gestionan de manera improvisada. Esto junto con
la reducida visión proactiva y a futuro de la comunidad de los servicios de Tecnologías
de la Información puede convertir a la Gestión de servicios de TI en un componente de
diferencias dentro de la empresa. Cabe recalcar que cada inconveniente, caída o error
de alguno de los servicios de TI que no sea atendida debidamente genera
incomodidades en los empleados y/o usuarios externos, disminuyendo la confiabilidad
y satisfacción no solo externa sino también interna de la empresa.
3.1 Empresa u Organización
El Sindicato de Choferes Profesionales de Santo Domingo está ubicado en la Provincia
de Santo Domingo de los Tsáchilas, cantón Santo Domingo, en la vía Chone km 1 y
calle Obispo Schumacher, cuenta con dos edificios para su planta principal, en las
mismas funcionan los departamento administrativos y operativos para el funcionamiento
de la empresa.
Fotografía 8 Edificio del Sindicato de Choferes Profesionales de Santo Domingo
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El primer edificio está conformado por cuatro plantas principales las cueles se detallan
a continuación:
Gráfico 1 Edificios Sindicato de Choferes Profesionales de Santo Domingo
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Planta Baja: En ella se encuentra la entrada principal al edificio y cancha
sintética, entrada al salón auditorio y 2 locales comerciales.
Primer Piso: departamentos Administrativos.
Segundo Piso: Departamentos Administrativos
Tercer Piso: Salón Auditorio.
Terraza
El segundo edificio se encuentra conformado por una planta distribuida en dos bloques
principales y un garaje, a continuación su detalle:
Primer Bloque: Recaudación, Consultorio Médico.
Segundo Bloque: Secretaría de escuela de conducción “D” y “E”
Garaje: ubicado en la parte trasera del edificio.
Gráfico 2 Edificio Sindicato de Choferes Profesionales de Santo Domingo - Parte Trasera
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2 Centro de Procesamiento de Datos
El centro de Procesamiento de Datos, es un departamento clave en la empresa pues en
él se mantienen los servidores y demás equipamiento clave que contiene el factor más
importante de toda organización que es la información. Es por ello que una correcta
adecuación e implantación de la infraestructura física de un CPD que vaya de la mano
con el establecimiento de seguridades y controles mejora sin duda la gestión de los
servicios de TI.
Como mejora a la infraestructura en el Sindicato de Choferes se propone la mejora física
del Centro de Procesamiento de Datos, adecuándolo según los requerimientos que debe
tener un cuarto frio, además guiándose a las necesidades que presenta actualmente la
empresa y considerando su crecimiento a largo plazo para la adaptación de nuevos
equipos.
A continuación se muestra una imagen ilustrada de cómo quedaría la adaptación de la
propuesta de mejora en el CPD:
Gráfico 3 Mejora de la Infraestructura del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.1 Ubicación o espacio físico del CPD
Es un tema crucial y muy técnico se debe tomar en cuenta la selección de un lugar
adecuado para la ubicación del CPD, que minimice los máximos riesgos que se puedan
suscitar. Actualmente ya existen normativas de construcción que consideren y evalúen
los parámetros para el alojamiento de los sistemas de información de una empresa.
En este punto se deben considerar la cantidad de equipamiento electrónico que posea
la empresa, los tipos de riesgos que puedan existir sean estos naturales tales como
terremotos, inundaciones, tormentas, huracanes etcétera, o provocados por el hombre
tales como incendios o cualquier ataque mal intencionado que provocase daños o
perdidas irremediables. Es importante mencionar que la ubicación de un Centro de
Procesamiento de Datos en plantas intermedias o altas de una empresa reduce el riesgo
de inundaciones e incendios, además el CPD debe estar aislado es decir no debe tener
ventanas que lo expongan al exterior.
El autor (Albacete, 2015) manifiesta la relación de la ubicación de un CPD en las normas
ISO 27002 en el capítulo 9, control 9.2.1:
(9.2.1) Se deberían ubicar los equipos para reducir amenazas, peligros
ambientales y oportunidades de acceso no autorizados:
Ubicarlos minimizando el acceso innecesario a áreas de trabajo.
Controlar la ubicación de equipos que manejen información confidencial,
de manera que se restrinja el ángulo de visión a personas; así como
asegurar que los medios de almacenamiento eviten el acceso no
autorizado.
Aislar los equipos que requieren protección especial del conjunto de
equipos que requieren menos protección.
Controles que minimicen el riesgos de robo, fuego, humo, agua, o su
falta, explosiones, vibración, polvo, contaminación química, interferencias
en las comunicaciones, vandalismo y radiación electromagnética.
Controles para evitar comer, beber y fumar en la proximidad de los
medios de procesamiento.
Monitorización de temperatura y humedad.
Protección contra caída de rayos, así como filtros de protección en líneas
de entrada de energía y de comunicaciones.
Protecciones para os equipos en ambientes industriales.
Proteger equipos confidenciales de emisión de radiación
electromagnética capturable.
Actualmente el Data Center o cuarto frío del Sindicato de Choferes Profesionales de
Santo Domingo se encuentra en la segunda planta del edificio principal de la empresa,
en el plan de mejora de la infraestructura se considera mantener el lugar de ubicación
el cual consta de una dimensión de 16 metros cuadrados realizando los cambios
pertinentes en cuanto seguridades físicas y lógicas. Es importante recalcar que el
departamento de Tecnologías de la Información (TI), es removida de su actual lugar
para una mejor administración del área considerando el espacio disponible para la
reubicación.
Gráfico 4Ubicación Física del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.2 Energía
3.2.2.1 Red eléctrica
Para obtener un buen servicio de los procesos de control y comunicación de la empresa
se necesita de un buen suministro de energía eléctrica, el mismo debe abarcar todos
los servicios de información comprobando la calidad de tierra, es decir descargas altas
y de bajas de voltaje y proyectándolo para un posible crecimiento. Todos los materiales
sean interruptores o de cualquier otro tipo se deben instalar tomando en cuenta las
últimas tecnologías, las líneas de canalización para el cable normalmente se lo realiza
bajo el piso falso, además para cortos de energía eventuales se recomienda la
instalación de SAI (Sistemas de Alimentación Ininterrumpida).
Para la mejora del Centro de Procesamiento de Datos de la empresa se propone una
correcta instalación eléctrica para ello será necesario la adquisición e instalación de los
siguientes materiales:
Tabla 1 Trabajo de puesta a tierra.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-RE-001 MALLA DE ALTA
FRECUENCIA
Malla de construcción en láminas de
cobre con sección trasversal.
16 𝑚2
IT-RE-002 BARRA
PRINCIPAL PARA
DESCARGA DE
TIERRA
Barra de cobre con conductividad en la
parte externa para descarga de picos
de voltaje.
1 Unidad
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde constan los materiales para instalación de
Red eléctrica en el Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
Tabla 2 Trabajo de sistema eléctrico.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-RE-003 TABLERO DE
TRASFORMACIÓN
Tablero de transformación manual
monofásica con sistema de control
visual de voltaje integrada
1 Unidad
IT-RE-004 SISTEMA DE
ENERGÍA
AUTÓNOMA
Equipo conversor de voltaje alterno a
continuo.
1 Unidad
IT-RE-005 SISTEMA DE
SOPORTE
AUTÓNOMO
Baterías de 12 voltios y 128 amp
/hora para soporte de servidores por
cuatro horas
4 Unidades
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde constan los materiales para instalación de
Red eléctrica en el Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
3.2.2.2 Sistemas de Alimentación Ininterrumpida (SAI)
Los SAI (Sistemas de Alimentación Ininterrumpida) o también conocidos por sus siglas
en inglés como UPS (Uninterruptible Power Supply), son de gran importancia ya que
protege a los equipos del sistema informático al presentarse cualquier eventualidad en
el subministro eléctrico. Es decir su instalación preverá el resguardo de la información
de los computadores o servidores ante un apagón y protegerá la vida útil de los equipos
ante las subidas y bajadas de tensión.
El Centro de Procesamiento de Datos cuenta con un Sistema de Alimentación
Ininterrumpida SAI o también conocido con UPS, pero debido al manejo e importancia
que tiene mantener la productividad de la empresa ante cualquier eventualidad en el
abastecimiento eléctrico se propone la adaptación de un SAI de mayor capacidad.
Tabla 3 Sistema de Alimentación Ininterrumpida.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-SA-001
SISTEMA DE
ALIMENTACIÓN
ININTERRUMPIDA
Equipo de soporte para alimentación
(SAI) de 3 kva (kilovoltiamperio) con
entrada monofásica y soporte para
conexión de baterías externas.
1 Unidad
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de un Sistema de
Alimentación Ininterrumpida para el Centro de Procesamiento de Datos. Elaborado por:
Rodríguez, D.
3.2.3 Transmisión
3.2.3.1 Cableado del CPD
Según el autor (Albacete, 2015), manifiesta que en la norma ISO 27002 en el capítulo
nueve se definen las siguientes consideraciones:
El cableado de energía y comunicaciones deberá protegerse, según los
siguientes criterios:
Los cables deberían ser subterráneos, o estar sujetos a una forma de
protección adecuada.
El cableado de datos debería protegerse frete a intercepciones, por
ejemplo, canalizándolo o evitando recorridos públicos.
Se deben separar los cables de datos de los cables de energía, para
reducir interferencias.
Se deben identificar los cables los equipos, para evitar una manipulación
incorrecta.
Se debe mantener una lista de conexiones, para reducir las posibilidades
de error.
Para sistemas críticos, se puede emplear tubos blindados, cajas con llave
en los extremos, uso de rutas alternativas, uso de fibra óptica, uso de
apantallamiento electromagnético, revisiones físicas en busca de equipos
cercanos no identificados, y acceso no controlado a paneles de
conexiones, y/o recintos de cableado.
Es importante mencionar que el cableado dentro de un CPD, en especial el cableado
estructurado es un conjunto de elementos que incluye conectores, módulos, cable,
etcétera, instalados y configurados para proporcionar la conectividad en especial de
datos a los diferentes puntos que dan los servicios en el CPD. Es por ello que en al plan
de mejoras de la infraestructura del Sindicato de Choferes Profesionales de Santo
Domingo se propone la adquisición de los siguientes elementos:
Tabla 4 Descripción puntos de red.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-CE-001
PUNTOS DE
RED EN
COBRE CAT 6ª
Cable UTP cat 6a con 4 pares de cobre,
características: Capacitancia 5.6 nF/100
mt, 9,38 Ohmios / 100 mt temperatura de
trabajo 20C -60C 23 awg cooper peso 42
bs/mft soporta estándar IEEE 802.3 AF /
TIA 568 - C2 / ISO/IEC 11801
10 Puntos
de Red
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de los puntos de red
Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
3.2.4 Seguridades
3.2.4.1 Piso de acceso elevado o piso técnico
(Andreu, 2011), estable su concepto referente a los pisos de acceso elevado:
Son pisos técnicos que se elevan sobre uno existente y proporcionan un espacio
accesible. Se usan frecuentemente en el CPD, cuartos de equipos o en oficinas
donde el mobiliario es modular, estos pisos consisten en baldosas cuadradas,
con alturas mínimas de 15 cm (se recomienda un mínimo de 20 cm para oficinas
y 30 cm para CPD). Bajo el suelo se usa tubería de PVC o canaletas, las
baldosas se insertan en travesaños situados verticalmente y horizontalmente
cada 46,4 cm sus uniones descansan sobre pedestales de fijación que a su vez
hacen sobre unos pies de acero.
En sí se puede decir que un piso de acceso elevado, piso falso o piso técnico es una
construcción necesaria para aislar y proteger los cables de conexión de diferentes
factores, asimismo facilita la conducción de aire acondicionado. Este suelo no deberá
ser conductor de electricidad ni de vibraciones, cabe recalcar que debe ser firme,
resistente a la humedad y a al exceso de peso, además está conformado por baldosas
independientes, removibles y separadas para su fácil operación de mantenimiento.
Gráfico 5 Piso Falso
Fuente: Andreu, J. (2011). Identificación de elementos y espacios (Redes locales)
Como mejora a la infraestructura tecnológica en el Sindicato de Choferes Profesionales
de Santo Domingo se propone la implementación de piso elevado en el CPD, para la
instalación del mismo se toma en consideración la dimensión de la sala, por lo cual se
necesita los siguientes elementos:
Tabla 5 Descripción instalación piso de acceso elevado
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-AE-001 PANELES DE
ACCESO
ELEVADO
Panel sellado tipo FS con medida
600mm x 600mm
16 mts2
IT-AE-002 PANELES
PERFORADOS
Panel perforado para mayor flujo de
aire , estructura de soporte metálica
propiedades anti fuego y antiestática
1 Unidad
IT-AE-003 RAMPA PARA
PISO DE ACCESO
ELEVADO
Rampa de accesibilidad para piso
elevado.
1 Unidad
IT-AE-004 VENTOSA Copa de succión con agarradera que
activa y desactiva el mecanismo. Es la
única herramienta adecuada para
levantar los paneles de acceso
elevado y permitir el acceso al interior
del sistema.
1 Unidad
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de los materiales para
la instalación del piso de acceso levado para el Centro de Procesamiento de Datos. Elaborado
por: Rodríguez, D.
3.2.4.2 Puerta de Seguridad
Las puertas cortafuegos son de gran robustez, derivada de una construcción con chapas
de acero zincadas, ofrecen un gran nivel de comportamiento frente al fuego, su
fabricación y precio depende del tamaño y requerimientos. Es por lo anteriormente
mencionado que en el plan de mejoras de la infraestructura del Sindicato de Choferes
Profesionales se propone la instalación de una puerta cortafuegos con chapa de acero
que permita el resguardo y acceso automático mediante un sistema de control de
acceso.
Gráfico 6 Puerta de seguridad para Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Tabla 6 Descripción puerta de seguridad para Centro de Procesamiento de Datos.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-PS-001
PUERTA DE
SEGURIDAD
Puerta Cortafuego Medidas Alto - Ancho: 2.05 X 0.90 Medidas Boquete: 2.08 X 0.91. Características De Puertas Cortafuego: • Puerta corta fuego con marco reversible de alta resistencia, acabado color beige RAL 1013 epoxi polimerizado al horno. • Hoja de chapa galvanizada tipo skinpass pre pintada con film de protección, acabado color beige RAL 1013. • La puerta posee dos bisagras, la superior con un resorte para permitir un cierre automático de la puerta. • Aislamiento de Poliestireno. • De 6-8 garras de anclaje en obra 115 x 30 x 1.5mm, 1-2 puntos anti palanca. •Cerradura homologada CE y Cilindro Llave Patent, manilla cortafuego, en poliamida ignífuga con alma de acero (en plástico para puerta multiuso). • Placa de identificación con homologación EI2.ACCESORIOS: • Manillón antipático de un punto de cierre por dentro color rojo. • Cilindro con llave y pomo.
1 Unidad
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de puerta de seguridad
para el Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
3.2.4.3 Sistemas de detención de incendios
Los centros de procesamiento de datos necesitan un sistema propio de detección contra
incendios preventivo y de extinción, hay diferentes tipos de gases que a medida que ha
pasado el tiempo y se han estudiado han ido cambiando viniendo desde el Halon, el
CO2 hasta gases usados hoy en día como FE-13 o FM200, el HFC223, entre otros,
cada uno con sus diferentes diseños. Como bien se mencionó existen diversos tipos de
sistemas de extinción sean estos automáticos o los que son más frecuentes en las
instalaciones y que no deben faltar son los extintores manuales contra fuego, estos
últimos deben ser de dióxido de carbono u otros gases con agentes de extinción ya que
preservan mejor los equipos informáticos.
Básicamente la instalación de los sistemas de extinción consiste en efectuar una
descarga de un gas inerte en un recinto y que en 10 segundos cualquier incendio quede
extinguido de manera automática. Para esto se usan unos cilindros en los cuales está
alojado a presión el agente extintor, estos tienen una válvula de apertura normalmente
electromagnética aunque hay más tipos y se encuentran conectados a un sistema de
detección de incendios que cuando le dan la orden a la válvula, esta se abre dando paso
a todo el contenido de los cilindros y efectuando una inundación total del recinto a
proteger.
Gráfico 7 Extintores de Gas contra incendios
Fuente: UNITEL (2016). Soluciones e infraestructuras tecnológicas. Recuperado de:
http://unitel-tc.com/elementos-de-un-cpd/
Como mejora a la infraestructura del CPD se propone la instalación de un sistema de
extinción con el fin de proteger la información que contienen los servidores y evitar
propagaciones de fuego si fuese el caso. Cabe recalcar que la instalación de un sistema
de extinción es primordial al momento de establecer las seguridades correspondientes
a un centro de datos.
Tabla 7 Descripción de sistema de detención de incendios
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-EI-001 SISTEMA DE
CONTROL Y
PREVENCIÓN DE
INCENDIOS
Equipo con 3 sensores de humo y 2
botones para descarga de gas
1
IT-EI-002 GAS ESPECIAL
PARA INCENDIOS
Gas seco, inerte para sitios de baja
humedad y bajas temperaturas
1
IT-EI-003 Extintores para CPD Bombonas de 25 libras de CO2
resurizada
2
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de materiales para la
instalación de un sistema de detención de incendios para el Centro de Procesamiento de Datos.
Elaborado por: Rodríguez, D.
Gráfico 8 Instalación Sistema de Detención de Incendios
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Es importante mencionar que un sistema de extinción siempre es la mejor opción,
aunque existen diferentes opciones como son los extintores de CO2 con agentes
propios para liquidar el fuego y proteger los equipos electrónicos e informáticos. A
continuación se detalla cómo se ubicarían los extintores en el Centro de Procesamiento
de Datos:
Gráfico 9 Ubicación de Extintores en el Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.4.4 Pintura Antiestática
Las pinturas no propagadoras son barnices caracterizados por no propagar el fuego.
Están especialmente indicadas en zonas de alto riesgo de incendios, salidas de
emergencia o zonas de evacuación y tal como lo es el caso su implementación también
está inmersa en los Centro de Procesamiento de Datos, dichas pinturas son resistentes
al calor o también son llamadas pinturas intumescentes, pueden resistir hasta 600ºC y
se emplean en cuerpos amónicos que por la acción del calor desprenden amoníaco
gaseoso, formando una capa aislante y ácido bórico, fosfatos y silicatos, que le otorgan
una costra incombustible.
Es importante considerar implementar pintura antiestática en el CPD del Sindicato de
Choferes Profesionales de Santo Domingo, como medida de seguridad y prevención
antincendios, su implantación conjuntamente con el sistema de detención de incendios
prestan los índices más altos de reguardo del equipamiento del área en el que se los
instale.
Tabla 8 Descripción pintura antiestática
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-PA-001
PINTURA
ANTIESTÁTICA
Electroguard E30 es una pintura
epoxídica de dos componentes
soluble en agua que disipa la
electricidad estática.
Es una solución económica, aunque
de muy alta calidad, que protege a las
zonas de producción expuestas a la
acumulación de electricidad estática
de los costosos efectos de la misma,
además de servir para aislar
estáticamente al personal.
1 Galón
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de pintura antiestática
para el Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
3.2.4.5 Sistemas de climatización
Los CPD tienen requerimientos y claras especificaciones de funcionamiento entre ellas
están la climatización, es decir la temperatura y humedad, los autores Alegre Ramos &
García-Cervigón Hurtado (2011) indican que “Una temperatura demasiada baja o
elevada o un nivel de humedad demasiado alto pueden causar que los equipos no
funcionen adecuadamente o incluso producir que estos lleguen a no funcionar por causa
de un deterioro del hardware.”
Se puede considerar que la temperatura óptima para el correcto funcionamiento de los
ordenadores o equipos informáticos debería oscilar entre los 15 y 21 º C, pues si tiene
un alto grado de temperatura los procesadores de los mismos pueden empezar a
funcionar mal y dañar sus circuitos. Por otro lado la humedad que se debe mantener es
de alrededor un 40% a 50 %, aproximadamente ya que si es demasiada elevada al igual
que en la temperatura puede causar un mal funcionamiento de los equipos y
condensación es decir pequeñas gotas de agua.
Gráfico 10 Sistema de Refrigeración
Fuente: UNITEL (2016). Soluciones e infraestructuras tecnológicas. Recuperado de:
http://unitel-tc.com/elementos-de-un-cpd/
Como consideración para mejora de la infraestructura del CPD del Sindicato de
Choferes profesionales de Santo Domingo se propone la instalación de un sistema de
climatización, el mismo se lo realizara mediante el suelo falso, es decir el aire refrigerado
será distribuido a través del suelo técnico donde se insufla mediante rejillas de suelo
instaladas en la parte delantera de los equipamientos informáticos. Este aire pasa por
los compartimientos, recibe el calor de los equipamientos y regresa al ambiente por la
parte trasera de los mismos, el aire caliente entra por la parte superior de la máquina de
climatización para efectuar un nuevo ciclo.
Tabla 9 Descripción Sistema de Climatización
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-SC-001 SISTEMA DE
CLIMATIZACIÓN
Equipo de 24000 btu con capacidad
para mantener sensor de control
remoto, temperatura software
inteligente, programación avanzada.
1
IT-SC-002
AIRE
ACONDICIONADO
TIPO SPLIP 24000 btu con
condensador monofásico externo
1
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de materiales para la
instalación de un sistema de climatización para el Centro de Procesamiento de Datos. Elaborado
por: Rodríguez, D
A continuación se encuentra una imagen ilustrada indicando como se realizara la
climatización del Centro de Procesamiento de Datos, mediante una máquina de
climatización, recalcando que este método es el más adecuado debido a las
características que ofrece dicho sistema:
Gráfico 11 Funcionamiento del Sistema de Climatización en el CPD
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
Es importante recalcar que la climatización de un Centro de Procesamiento de Datos se
la puede realizar por diferentes sistemas, claro está unos mejores que otros, es por ello
que en la siguiente imagen se muestra como se realizaría la climatización del área
mediante un aire acondicionado con condensador tipo Split:
Gráfico 12 Funcionamiento de climatización del CPD (Aire Acondicionado)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.4.6 Control de acceso (Biométrico)
El control de acceso es un punto fundamental ya que este tema proviene de la seguridad
física que se quiera brindar a un área determinada, es por tal que uno de los controles
más óptimos para ello es el uso de los biométricos, estos usan la tecnología de
identificación de personas basado en mediciones de características biológicas como
manos, ojos, huellas digitales y voz. En sí lo que hace un biométrico es una seria de
medidas de características específicas que permiten identificar a una persona utilizando
dispositivos electrónicos que las almacena, una de las ventajas de usarlos es que
elimina la utilización de tarjetas acceso reduciendo costos.
Para la mejora en la infraestructura del Sindicato de Choferes profesionales de Santo
Domingo y como medida de seguridad se propone la adquisición de un sistema de
control de acceso mediante la instalación de un biométrico, el mismo será colocado a
lado de la puerta de ingreso permitiendo que las personas que deseen acceder al CPD
tengan que registrarse o identificarse y de esta manera tener un registro y control del
lugar, aumentando l nivel de seguridad de la empresa.
Tabla 10 Descripción control de acceso (Biométrico).
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-CA-001
CONTROL DE
ACCESO
Sistema de identificación multi-
biométrico para control de acceso &
asistencia, diseño ergonómico,
reconocimiento de rostro, huella
dactilar, tarjeta y password,
capacidad de huellas 3.000 huellas,
capacidad de registros 10.000
configuración vía tc-ip, comunicación
wifi (opcional) funcionamiento
autónomo hasta 4 horas, permite
envió de mensajes de texto
1 Unidad
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de un control de acceso
(Biométrico) para el Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
Gráfico 13 Instalación de Control de Acceso (Biométrico)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.4.7 Sistema de vigilancia
La instalación de cámaras de red representa una manera sencilla de capturar y distribuir
imágenes y video de gran calidad, permiten mantener un control y vigilancia no solo de
la delincuencia sino también de cualquier situación incorrecta que pueda suceder dentro
de un área específica. El control de vigilancia que proporcionan las misas en un Centro
de Procesamiento de Datos es de suma importancia ya que es un medio útil para
verificar el comportamiento de diversas situaciones en la sala, además su administración
y monitoreo se lo realiza mediante un software.
Gráfico 14 Cámaras de Vigilancia
Fuente: UNITEL (2016). Soluciones e infraestructuras tecnológicas. Recuperado de:
http://unitel-tc.com/elementos-de-un-cpd/
En el plan de mejoras de la Infraestructura tecnológica para el CPD se propone la
instalación de un sistema de vigilancia autónomo del resto de cámaras de la empresa,
ya que cualquier individuo de manera maliciosa puede desconectar o alterar el
monitoreo dela sala causando graves daños, el control del mismo será instalado en la
sala del Centro de Procesamiento de Datos, mediante una pantalla para el monitoreo
de cámaras IP y un NVR (Network Video Recorder), este sistema ofrece una mayor
calidad, con menos ruido y más resolución; su conexión se la puede realizar con cable
UTP (Par trenzado no blindado) que es más económico que el RG59 o también llamado
cable coaxial.
Tabla 11 Descripción sistema de vigilancia.
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-SV-001 SISTEMA DE
VIDEO VIGILANCIA
IP
NVR con capacidad de un tera de
almacenamiento puertos WAN/LAN
con 8 canales de transmisión y
sistema P2P para control insitu
1
IT-SV-002 SISTEMA DE
VIDEO VIGILANCIA
Cámara IP de 2 megapíxeles con
auto focus y Leds para día y noche
con estándar POE con fuente de
poder de 12 voltios
3
IT-SV-003 PANTALLA Pantalla de 42 pulgadas LCD 1
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción de materiales para la
instalación de un sistema de vigilancia para el Centro de Procesamiento de Datos. Elaborado
por: Rodríguez, D.
Gráfico 15 Ubicación Sistema de Vigilancia (Cámaras de Seguridad)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
3.2.5 Ubicación del equipamiento electrónico, informático y de comunicaciones
del CPD
El equipamiento, electrónico, informático y de comunicaciones se ubicará en los Racks
del Centro de Procesamiento de Datos. Como se vio en el punto de la situación actual
de la empresa en el presente documento, el racks de piso como aéreo se encuentran
desorganizados por lo cual se plantea realizar la reacomodación de los dispositivos y
cables del rack aéreo al rack de piso para de esta manera tener una mejor organización
y distribución de los mimos.
A continuación se presenta una imagen de cómo quedaría el equipamiento del Centro
de Procesamiento de Datos reubicado en un solo Rack de piso:
Gráfico 16 Rack principal del Centro de Procesamiento de Datos
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
En la siguiente tabla se especifica la descripción y detalle del equipamiento
perteneciente al Rack principal del Centro de Procesamiento de Datos:
Tabla 12 Descripción del equipamiento de racks del Centro de Procesamiento de Datos
CÓDIGO DESCRIPCIÓN MARCA MODELO
/TIPO
SERIE DETALLE
1 SWITCH NEXT
SOLUTION
S
AJBEL16
4U
BEL16
4V1203
00208
Switch de 16
puertos
2 PATCH PANEL NEXXT NEXT-24 S/N Patch Panel de 24
puertos categoría 6a
3 SWITCH QPCOM
QUALITY
PRICE
QP-
1240R+
E10760
113400
00015
Switch de 24
puertos
4 SWITCH QPCOM
QUALITY
PRICE
QP-
1240R+
S/N
Switch de 24
puertos
5 SWITCH QPCOM
QUALITY
PRICE
QP-
1660R+
E10560
113400
00240
Switch de 16
puertos
6 PATCH PANEL QPCOM QP-P24 S/N Patch Panel de 24
puertos categoría 6a
7 PATCH PANEL QPCOM QP-P24 S/N Patch Panel de 24
puertos categoría 6a
8
SERVIDOR
HP
PROLIA
NT
MICROS
ERVER
SC730
SP1H5
Servidor CPD
9
KIT DE
COMUTADOR
KUM USB DE 4
PUERTOS
TRENDNET
TK407
S/N
Conmutador KVM
de 4 puertos con
conexiones VGA y
USB a PC.
10 MONITOR BENQ GL950 ET5BC
O1321
019
Monitor LCD,
Dispositivo de salida
11 MOUSE
S/N
MO-
9211U
IMJ50B
060700
915
Dispositivo de
entrada
12 TECLADO GENIUS
070006/
U
YB471
1UO47
93
Dispositivo de
entrada
13 SERVIDOR HP
PROLIANT
ILO
NETWOR
SETTING
DL320e
Gen8
MX232
9012K
Servidor CPD
14 SERVIDOR HP
PROLIANT
ILO
NETWOR
SETTING
DL320e
Gen8
S/N Servidor CPD
15
REGLETA
ELÉCTRICA DE
RACK
BEAUCOU
P
F6FMDA
DCTG
2,09E+
12
Regleta eléctrica de
8 tomas
16 UPS FORZA
FX1500
LCD
621305
300064 UPS FORZA
17 SISTEMA DE
ALIMENTACIÓN
ININTERRUMPID
A
CHICAGO
DIGITAL
POWER
UP011-1
RT
141111
144047
5
SAI
18 RACK DE PISO S/N QP-
CO312A
S/N Rack CPD
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción del equipamiento del
Centro de Procesamiento de Datos. Elaborado por: Rodríguez, D.
El segundo Rack que se instalara corresponde a un rack aéreo el cual contendrá el
equipamiento para el sistema de video vigilancia IP. A continuación se presenta una
imagen del equipamiento que lo contendrá:
Gráfico 17 Rack aéreo (Equipamiento para el sistema de video vigilancia)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
1. Pantalla LCD
2. Rack aéreo: El Rack es reutilizado ya que el equipamiento que en él se ubicaba fue
removido al rack principal del CPD para una mejor organización.
3. NVR: Grabador de video de red.
3.3 Departamento de Tecnologías de la Información
El departamento de Tecnologías de la Información, como se ha venido mencionando se
encuentra ubicado en el mismo lugar que el Centro de Procesamiento de datos, por tal
que se realiza el estudio de su reubicación como mejora de la infraestructura tomando
en cuenta el espacio con el que cuenta la empresa. En la siguiente imagen se muestra
la reubicación del departamento de TI, creando una bodega para el almacenamiento de
equipos y demás recursos, extensión del departamento de TI moviendo la gerencia a la
siguiente oficina la cual se encuentra desocupada y posee un mayor tamaño.
Gráfico 18 Mejora de la Infraestructura - Primera planta
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
A continuación se muestra una vista exclusiva de cómo quedaría la mejora en la
infraestructura física del departamento de Tecnologías de la Información, Centro de
Procesamiento de Datos, y Bodega del Sindicato de Choferes Profesionales de Santo
Domingo:
Gráfico 19 Mejora infraestructura de tecnología
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
El departamento de TI estará conformado por dos áreas específicas, la primera por el
área de oficina y atención a los usuarios en la cual se encontrará también las pantallas
de monitoreo y/o vigilancia de las cámaras que competan al área de tecnología, la
segunda área se la plantea para realizar el mantenimiento de los equipos y demás
recursos informáticos que lo requieran de esta manera no estarán expuestas y a la vista
de las personas ajenas a dicho departamento.
Gráfico 20 Departamento de Tecnologías de la Información (TI)
Fuente: Rodríguez, D. (2016). Sindicato de Choferes Profesionales de Santo Domingo
En la siguiente tabla se especifica la descripción y detalle del equipamiento y recursos
tecnológicos que se utilizarán para la mejora de la infraestructura tecnológica en el
departamento de Tecnologías de la Información (TI):
Tabla 13 Descripción equipamiento Departamento de Tecnologías de la Información (TI)
ÍTEM DESCRIPCIÓN DETALLE CANTIDAD
IT-DT-001 PANTALLA LCD 42 pulgadas LCD 2
IT-DT-002
AIRE
ACONDICIONADO
Aire acondicionado tipo Split de 12
BTU con condensador monofásico
externo
1
IT-DT-004 ESTANTE Estante metálico con soportes armable,
de 5 niveles.
1
IT-DT-005 MESA Mesa metálica 1
IT-DT-006 LÁMPARA Lámpara de mesa 1
IT-DT-007 SISTEMA DE
VIDEO VIGILANCIA
Cámara IP de 2 megapíxeles con auto
focus y Leds para día y noche con
estándar POE con fuente de poder de
12 voltios
1
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde consta la descripción del equipamiento para
mejorar el departamento de Tecnologías de la Información. Elaborado por: Rodríguez, D.
3.4 Presupuesto o análisis de costos
Se realiza un análisis de costos el mismo fue establecido vía expertos para analizar los
materiales y equipamiento correcto para la mejora en la infraestructura tecnológica tanto
en el departamento de Tecnologías de la Información como en el Centro de
Procesamiento de Datos.
Tabla 14 Primer análisis de costos del equipamiento para mejora de la Infraestructura del
CPD
ÍTEM DESCRIPCIÓN MARCA GARANTÍA PRECIO CANTIDAD
IT-RE-
001
Malla De Alta
Frecuencia
-
1 Año $ 200 m 16 𝑚2
IT-RE-
002
Barra principal para
descarga de tierra
-
1 Año $ 200 1 Unidad
IT-RE-
001
Tablero de
trasformación
-
2 Años
$ 1200 1 Unidad
IT-RE-
002
Sistema de energía
autónoma
-
2 Años $ 450 1 Unidad
IT-RE-
003
Sistema de soporte
autónomo
-
2 Años $ 800 4
Unidade
s
IT-SA-
001
Sistema de
Alimentación
Ininterrumpida
Power line
3kva
2 Años $2400 1 Unidad
IT-CE-
001
Puntos de red en
cobre CAT 6ª
FURUKAH
UA
2 Años $ 180 10
Puntos
de Red
IT-AE-
001
Paneles de Acceso
Elevado
Kingspan 3 Años $240 el
metro
16 mts2
IT-AE-
002
Paneles Perforados Kingspan 3 Años $ 180 1 Unidad
IT-AE-
003
Rampa para Piso
de Acceso Elevado
Kingspan 3 Años $ 200 1 Unidad
IT-AE-
004
Ventosa Kingspan 3 Años $ 50 1 Unidad
IT-PS-
001
Puerta de
Seguridad
-
10 años $1200 1 Unidad
IT-EI-
001
Sistema de Control
y Prevención de
Incendios
ECARO 5 Años $ 15000 1 Unidad
IT-EI-
002
Gas Especial para
Incendios
ECARO 1 Año
$ 7000 1 Unidad
IT-PA-
001
Pintura Antiestática LASER 10 Años $ 360 1 Galón
IT-SC-
001
Sistema de
Climatización
AIR
CLEANER
3 Años $ 22000
1 Unidad
IT-CE-
001
Control de Acceso ZK software 1 Año $ 480 1 unidad
IT-CV-
001
Sistema de Video
Vigilancia IP
DAHUA 2 Años $ 700 1 Unidad
IT-CV-
002
Sistema de Video
Vigilancia
DAHUA 2 Años
$ 260 3
Unidade
s
IT-CV-
003
Pantalla LCD LG 1 Año $900 1 Unidad
TOTAL 65140,00
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde refleja el análisis de costos del equipamiento
para mejorar el Centro de Procesamiento de Datos de la empresa. Elaborado por: Rodríguez, D.
Es importante indicar que el objetivo principal de la mejora de la infraestructura del
Centro de Procesamiento de Datos es que se realice, por lo cual se analizó diferentes
costos y equipamiento que puede menorar el valor económico, estableciendo desde los
mejores elementos que se puede adoptar y hasta cuales se podría llegar sin descuidar
el nivel de seguridad que se desea establecer en la empresa y principalmente en esta
área.
En la siguiente tabla se detalla los costos del equipamiento para mejora de la
infraestructura, reemplazando el sistema de climatización y extinción por otros sistemas
y/o alternativas para de esta manera lograr economizar valores, esto no quiere decir que
el equipamiento anteriormente analizado no sea el mejor, por lo contrario lo es, sin
embargo se debe considerar varias opciones con el fin de que la organización pueda
medir la inversión en seguridad informática y logre implementarla.
Tabla 15 Segundo análisis de costos del equipamiento para mejora de la Infraestructura
del CPD
ÍTEM DESCRIPCIÓN MARCA GARANTÍA PRECIO CANTIDAD
IT-RE-
001
Malla De Alta
Frecuencia
-
1 Año $ 200 m 16 𝑚2
IT-RE-
002
Barra principal para
descarga de tierra
-
1 Año
$ 200 1
IT-RE-
001
Tablero de
trasformación
-
2 Años
$ 1200 1
IT-RE-
002
Sistema de energía
autónoma
-
2 Años $ 450 1
IT-RE-
003
Sistema de soporte
autónomo
-
2 Años $ 800 4
IT-SA-
001
Sistema de
Alimentación
Ininterrumpida
Power line
3kva
2 Años $2400 1
IT-CE-
001
Puntos de red en
cobre CAT 6ª
FURUKAH
UA
2 Años $ 180 10 Puntos
de Red
IT-AE-
001
Paneles de Acceso
Elevado
Kingspan 3 Años $240 el
metro
16 mts2
IT-AE-
002
Paneles Perforados Kingspan 3 Años $ 180 1 Unidad
IT-AE-
003
Rampa para Piso
de Acceso Elevado
Kingspan 3 Años $ 200 1 Unidad
IT-AE-
004
Ventosa Kingspan 3 Años $ 50 1 Unidad
IT-PS-
001
Puerta de
Seguridad
-
10 años $1200 1 Unidad
IT-EI-
003
Extintores para
CPD
-
2 años
$ 140 2
IT-PA-
001
Pintura Antiestática LASER 10 Años $ 360 GALONES
1
IT-SC-
002
Aire Acondicionado Over lite 2 Años $ 2400 1
IT-CE-
001
Control de Acceso ZK software 1 Año $ 480 1 unidad
IT-CV-
001
Sistema de Video
Vigilancia IP
DAHUA 2 Años $ 700 1
IT-CV-
002
Sistema de Video
Vigilancia
DAHUA 2 Años
$ 260 3
IT-CV-
003
Pantalla LCD LG 1 Año $900 1
TOTAL 21280,00
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde refleja el análisis de costos del equipamiento
para mejorar el Centro de Procesamiento de Datos de la empresa. Elaborado por: Rodríguez, D.
De la misma manera que la mejora de la infraestructura del Centro de Procesamiento
de Datos, se realiza un análisis de costos para la mejora de la infraestructura del
departamento de TI, con el fin de logara establecer medidas de seguridad en esta área.
En la siguiente tabla se encuentra la descripción y precio del equipamiento que se desea
implementar:
Tabla 16 Análisis de costos del equipamiento para mejora de la Infraestructura del
departamento de TI
ÍTEM DESCRIPCIÓN MARCA GARANTÍA PRECIO CANTIDAD
IT-DT-
001
Pantalla LCD LG 1 Año $900 2
IT-DT-
002
Aire Acondicionado
-
2 Años $1800 1
IT-DT-
004
Estante
-
2 Años $ 110 1
IT-DT-
005
Mesa
-
2 Años $ 80 1
IT-DT-
006
Lámpara
-
1 Año $ 40 1
IT-DT-
007
Extintores para
CPD
-
2 años
$ 140 1
IT-DT-
008
Sistema de Video
Vigilancia
DAHUA 2 Años $ 260 1
TOTAL 4230,00
Fuente: Sindicato de Choferes Profesionales de Santo Domingo (2016). Investigación de campo
realizada por el autor. Santo Domingo: Tabla donde refleja el análisis de costos del equipamiento
para mejorar el departamento de Tecnologías de la Información de la empresa. Elaborado por:
Rodríguez, D.