PLAN DE CONTINGENCIA, SEGURIDAD DE LA INFORMACIÓN,

EN FOCADO AL CENTRO DE CÓMPUTO DEL INSTITUTO

TECNOLÓGICO DE PINOTEPA.
La protección de la información vital de una entidad ante la posible pérdida, destrucción,
robo y otras amenazas, es abarcar la preparación e implementación de un completo plan de
contingencia informático, para estar en constante alerta a los posibles eventos a suceder.

Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están

expuestos a riesgo y puede ser fuente de problemas.

El Hardware, el Software están expuestos a diversos Factores de Riesgo Humano y Físicos.

Estos problemas menores y mayores sirven para retroalimentar nuestros procedimientos y
planes de seguridad en la información. Pueden originarse pérdidas catastróficas a partir de
fallos de componentes críticos, el disco duro, bien por grandes desastres (incendios,
terremotos, sabotaje, etc.) o por fallas técnicas (errores humanos, virus informático, etc.)
que producen daño físico irreparable. Por lo anterior es importante contar con un Plan de
contingencia adecuado de forma que ayude a la Entidad a recobrar rápidamente el control y
capacidades para procesar la información y restablecer la marcha normal del negocio.

Introducción

para realizar el plan de contingencia de centro de cómputo del instituto tecnológico de

pinotepa, se tiene en cuenta la información como uno de los activos más importantes de la
organización, además que la infraestructura informática está conformada por el hardware,
software y elementos complementarios que soportan la información o datos críticos para la
función de la entidad. este plan implica realizar un análisis de los posibles riesgos a los
cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de información, de
forma que se puedan aplicar medidas de seguridad oportunas y así afrontar contingencias y
desastres de diversos tipos esto nos ayudara a salvaguardar nuestra información que es el
altivo más importante dentro de esta organización.

El Plan de Contingencia está orientado a establecer un adecuado sistema de seguridad física

y lógica en previsión de desastres, de tal manera de establecer medidas destinadas a
salvaguardar la información contra los daños producidos por hechos naturales o por el
hombre.

Objetivos

 Tener un buen servicio que nos proporcione en un alto porcentaje la seguridad de

nuestra información.
 Definir las actividades de planeamiento, preparación y ejecución de tareas
destinadas a proteger la Información contra los daños y perjuicios producidos por
corte de servicios, fenómenos naturales o humanos.
 Verificar que todos los dispositivos utilizados estén funcionando de manera correcta
dentro de la red.
 Garantizar la continuidad de las operaciones de los principales elementos que
componen los Sistemas de Información.
 Establecer actividades que permitan evaluar los resultados y retroalimentación del
plan general de contingencia.

Análisis de evaluación de riesgos y estrategias

 Grado de negatividad: Un evento se define con grado de negatividad (Leve,

moderada, grave y muy severo).
 Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periódico y continuo)
 Impacto: El impacto de un evento puede ser (Leve, moderado, grave y muy
severo).
 Plan de Contingencia: Son procedimientos que definen cómo una entidad
continuará o recuperará sus funciones críticas en caso de una interrupción no
planeada.
 Leves (Caídas de energía de corta duración, fallas en disco duro, etc.)
 Severas (Destrucción de equipos, incendios, etc.)
 Riesgo: Es la vulnerabilidad de un Activo o bien, ante un posible o potencial
perjuicio o daño. Existen distintos tipos de riesgo: Riesgos Naturales: tales como
mal tiempo, terremotos, etc.
 Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y
accidentes de transmisión y transporte.
 Riesgos Sociales: como actos terroristas y desordenes.
Activos susceptibles de daño

 Personal
 Hardware
 Software y utilitarios
 Datos e información
 Documentación
 Suministro de energía eléctrica
 Suministro de telecomunicaciones

Posibles Daños

 Imposibilidad de acceso a los recursos debido a problemas físicos en las

instalaciones, naturales o humanas.
 Imposibilidad de acceso a los recursos informáticos, sean estos por cambios
involuntarios o intencionales, tales como cambios de claves de acceso, eliminación
o borrado físico/lógico de información clave, proceso de información no deseado.
 Divulgación de información a instancias fuera de la institución y que afecte su
patrimonio estratégico, sea mediante Robo o Infidencia.

Fuentes de daño

 Acceso no autorizado
 Ruptura de las claves de acceso al sistema computacional.
 Desastres Naturales (Movimientos telúricos, Inundaciones, Fallas en los equipos de
soporte causadas por el ambiente, la red de energía eléctrica o el no
acondicionamiento atmosférico necesario.
 Fallas de Personal Clave (Enfermedad, Accidentes, Renuncias, Abandono de sus
puestos de trabajo y Otros).
 Fallas de Hardware (Falla en los Servidores o Falla en el hardware de Red Switches,
cableado de la Red, Reuter, Firewall).
Clases de Riesgos

 Incendio o Fuego
 Robo común de equipos y archivos
 Falla en los equipos
 Equivocaciones
 Acción virus informático
 Fenómenos naturales
 Accesos no autorizados
 Ausencia del personal de sistemas
Minimización del riesgo
Teniendo en cuenta lo anterior, corresponde al presente Plan de Contingencia minimizar
estos índices con medidas preventivas y correctivas sobre cada caso de Riesgo.

Es de tener en cuenta que en lo que respecta a Fenómenos naturales, nuestra región ha

registrado en estos últimos tiempos movimientos telúricos de poca intensidad, sin embargo,
las lluvias fuertes producen mayores estragos, originando filtraciones de agua en los
edificios, produciendo cortes de luz, cortos circuitos, que podrían desencadenar una
catástrofe si se encuentran personas dentro del edificio.
Incendio o Fuego

Grado de Negatividad: Muy Severo

Frecuencia de Evento: Aleatorio
Grado de Impacto: Alto
Situación Actual Acción Correctiva
La oficina donde están ubicados los Se cumple, sino ubicar alguno lo más seca en
servidores cuenta con un extintor cargado, caso de incendios.
ubicado muy cerca a esta oficina. De igual
forma cada piso cuenta con un extintor
debidamente cargado.
No se ha ejecutado un programa de Realizar capacitación para el manejo de
capacitación sobre el uso de elementos de extintores y primeros auxilios.
seguridad y primeros auxilios, a los
funcionarios nuevos, lo que no es eficaz para
enfrentar un incendio y sus efectos

El servidor realiza backups de la información Realizar backups del servidor de forma

diariamente, pero no existe ninguna otra copia mensual, almacenada en DVD y ubicarlos
de respaldo. estratégicamente cerca a la salida principal de
la entidad.

Robo Común de Equipos y Archivos

Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Moderado
Situación Actual Acción correctiva
Debido a que a la hora de salida de las Se requiere que cada funcionario en el
personas particulares que ingresan a la momento de retirarse de la oficina por un
entidad, no son registradas pues no se cuenta tiempo considerable, opte por guardar su
con vigilante. Cabe anotar que contamos con equipo dentro de algún cajón bajo llave.
sistema de seguridad.
Autorización escrita firmada por el Jefe de
área, Técnico de sistemas y funcionario
responsable, para la salida de equipos de la
Entidad
Por la ubicación del tecnológico de pinotepa
existe riesgo de hurto a mano armada
Se cumple por medio del formato establecido
para salida de equipos
Solicitar la colaboración del guardia de
seguridad para que realice rondas periódicas
por el sector donde se encuentra ubicadas las
instalaciones del itp.

Según antecedentes de otras entidades, es de conocer que el robo de accesorios y equipos

informáticos, llegaron a participar personal propio de la empresa en colusión con el
personal de vigilancia, es relativamente fácil remover un disco duro del CPU, una
disquetera, USB. tarjeta, etc. y no darse cuenta del faltante hasta días después. Estas
situaciones no se han presentado en nuestro Ente de control, pero se recomienda siempre
estar alerta.

Falla en los Equipos

Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación actual Acción correctiva
La falla en los equipos muchas veces se debe a Realizar mantenimiento preventivo de equipos
falta de mantenimiento y limpieza por lo menos dos veces al año.

La falla en el hardware de los equipos requiere Contar con proveedores en caso de requerir
de remplazo de repuestos de forma inmediata. remplazo de piezas y de ser posible contar

con repuestos de quipos que están para dar de

baja.
Cada área funcional se une a la Red a través Se cumple el administrador del centro de
Gabinetes, la falta de energía en éstos, origina cómputo lo supervisa para evitar errores en el
la ausencia de uso de los servicios de red. funcionamiento.
El daño de equipos por fallas en la energía No se cumple, solo en los equipos portátiles
eléctrica, requiere contar con dispositivos que propio del alucnado.
amplíen tiempo para apagar correctamente el
equipo.

Teniendo en cuenta la importancia del fluido eléctrico para el funcionamiento de la entidad,

puesto que los dispositivos en los que se trabaja dependen de la corriente eléctrica para su
desempeño. Si el corte eléctrico dura poco tiempo las operaciones no se ven afectadas
gravemente, pero si el corte se prolongara por tiempo indefinido provocaría un trastorno en
las operaciones del día, sin afectar los datos.

Tomas a Tierra o Puestas a Tierra para amortiguar el sobre carga del fluido eléctrico:

Se denomina así a la comunicación entre el circuito eléctrico y el suelo natural para dar
seguridad a las personas protegiéndolas de los peligros procedentes de una rotura del
aislamiento eléctrico. Estas conexiones a tierra se hacen frecuentemente por medio de
placas, varillas o tubos de cobre enterrados profundamente en tierra humedad, con o sin
agregados de ciertos componentes de carbón vegetal, sal elementos químicos, según
especificaciones técnicas indicadas para las instalaciones eléctricas.

Equivocaciones manejo del sistema

Grado de Negatividad: Moderado

Frecuencia de Evento: Periódico
Grado de Impacto: Moderado
Situación actual
Equivocaciones que se producen de forma
involuntaria, con respecto al manejo de
información, software y equipos.
Algunas veces el usuario que tiene
conocimiento en informática intenta navegar
por sistemas que no están dentro de su
función diaria
El daño de equipos por fallas en la energía
eléctrica, requiere contar con dispositivos que
amplíen tiempo para apagar correctamente el
equipo.
Acción de correctiva
Realizar instrucción inicial en el ambiente de
trabajo presentando las políticas informáticas
establecidas para manejo de sistemas.
El técnico de sistemas debe asignar permisos
y privilegios a cada usuario de acuerdo a sus
funciones.
No se cumple, solo algunos alumnos cuentan
con portátiles.
Se presentan equivocaciones en el manejo de Definir políticas de la informática clara y
información debido a que no existen políticas precisa, las cuales se deben comunicar a los
de informática clara y precisa o en otro caso funcionarios al igual que cualquier
no se tiene conocimiento de ella. modificación a las mismas.

Acción de Virus Informático

Grado de Negatividad: Muy Severo
Frecuencia de Evento: Continuo
Grado de Impacto: Grave
Situación actual Acción de correctiva
Se cuenta con un software antivirus para la Se debe evitar que las licencias de antivirus
entidad, pero su actualización no se realiza de expiren, se requiere renovación con
forma inmediata a su expiración. anterioridad del nuevo antivirus.
Únicamente el área de mantenimiento es la Se cumple.
encargada de realizar la instalación de
software en cada uno de los equipos de
acuerdo a su necesidad.
Por medio del correo electrónico se obtienen Crear un correo institucional para cada
virus constantemente. funcionario por medio de la página web, de
forma que únicamente se reciba información
de importancia para la entidad.
Los antivirus no se actualizan periódicamente O hacer uso de otras aplicaciones que nos
en cada equipo. mantengan libre de virus.

Los virus informáticos han evolucionado de tal manera que hoy en día todos conocemos la
importancia de tener un programa antivirus en el computador y aún más importante es su
actualización. Si tenemos un antivirus instalado pero no lo hemos actualizado, seguramente
será capaz de encontrar los virus que intenten entrar en nuestros sistemas pero no será
capaz de hacer nada con ellos, dado que esta información está contenida en las definiciones
de virus. La actualización del patrón de definiciones de virus es vital y debe de hacerse
como mínimo una vez a la semana. Otra de las piezas esenciales del antivirus, el motor,
también debe de actualizarse regularmente dado que los nuevos virus requieren en muchos
casos nuevos motores de escaneo para poder detectarlos, por lo que la actualización del
motor también es tarea obligada.
Fenómenos Naturales

Grado de Negatividad: Grave

Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación actual
En la los últimos años se ha registrado
urgencias por fenómenos naturales como
terremotos o inundaciones.
Por las grandes tormentas en tiempo de
lluvias la instalación es vulnerable a posibles
pérdidas de equipos.
Los servidores se encuentran libre de
filtraciones pero no cuenta con un área
restringida.
Acción de correctiva
Por la probabilidad de que esto fenómenos
ocurran es bastante alta ay que tener medidas
de seguridad en las instalaciones.
Tomar otras medidas de prevención para
evitar daños.
Poner seguridad al área de los servidores ya
que cualquier individuo con malas
intenciones puede tener acceso.

Eventos considerados para el plan de contingencia

Cuando se efectúa un riesgo, este puede producir un Evento, por tanto a continuación se
describen los eventos a considerar dentro del Plan de Contingencia.
Riesgo Evento
 Fallas Corte de Cable UTP. No existe comunicación entre cliente y
 Fallas Tarjeta de Red. servidor.
 Fallas IP asignado.
 Fallas Punto de Stich.
 Fallas Punto Pacht Panel.
 Fallas Punto de Red.
 Fallas de Componentes de Hardware Fallas en el equipo servidor.
del Servidor.
 Falla del UPS (Falta de Suministro
eléctrico). Virus.
 Sobrepasar el límite de
almacenamiento del Disco
 Computador de Escritorio funciona
como Servidor
Ausencia parcial o permanente del personal de
 Incapacidad tecnología de la información.
 Accidente
 Renuncia Intempestiva
 Corte General del Fluido eléctrico Interrupción del fluido eléctrico durante la
ejecución de los procesos.
 Falla de equipos de comunicación: Perdida de servicio de internet
SWITCH, Antenas.
 Fibra Óptica.
 Fallas en el software de Acceso a
Internet. Perdida de comunicación con
proveedores de Internet.
 Incendio Indisponibilidad del centro de cómputo
 Sabotaje (destrucción de la sala de servidores)
 Corto Circuito
 Terremoto
 Tsunami

Plan de recuperación y respaldo de la información.

El costo de la recuperación en caso de desastres severos, como los de un terremoto que
destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
informados oportunamente y actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de seguros. Este plan de restablecimiento
estratégico del sistema de red, software y equipos informáticos será abordado en la parte de
actividades posteriores al desastre.

El paso inicial en el desarrollo del plan contra desastres, es la identificación de las personas
que serán las responsables de la ejecución del plan de contingencia. Por tanto se definen los
siguientes responsables:

Técnico de sistemas: Será responsable de llevar a cabo las acciones correctivas definidas
anteriormente a fin de minimizar los riesgos establecidos.

Contralor auxiliar de control fiscal: verificara la labor realizada por el técnico de sistemas

Actividades previas al desastre

Se considera las actividades de actividades de resguardo de la información, en busca de un

proceso de recuperación con el menor costo posible para la Entidad. Se establece los
procedimientos relativos a:
Sistemas e Información Equipos de Cómputo Obtención y almacenamiento de los
Respaldos de Información (BACKUPS).

a. Sistemas de Información

La Entidad deberá tener una relación de los Sistemas de Información con los que cuenta,
tanto los de desarrollo propio, como los desarrollados por empresas externas.

b. Equipos de Cómputo

Se debe tener en cuenta el catastro de Hardware, impresoras, scanner, módem, fax y otros,
detallando su ubicación (software que usa, ubicación y nivel de uso institucional). Se debe
emplear los siguientes criterios sobre identificación y protección de equipos:

Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y

considerando una restitución por equipos de mayor potencia, teniendo en cuenta la
depreciación tecnológica.

Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su

contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por
ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información
importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o
sin uso).

Mantenimiento actualizado del inventario de los equipos de cómputo requerido como

mínimo para el funcionamiento permanente de cada sistema en la institución.

Obtención y almacenamiento de Copias de Seguridad (Backups)

Se debe contar con procedimientos para la obtención de las copias de seguridad de todos
los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en
la institución. Las copias de seguridad son las siguientes:

Backup del Sistema Operativo: Todas las versiones de sistema operativo instalados en la
Red. (Periodicidad – Semestral).

Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta
ejecución del software aplicativos de la institución)
 CUADRO CONCEPTUAL
GENERALIDADES DE LA AUDITORIA

Correcta
utlización de
los amplios
recursos

Análisis de la
efciencia de los
Sistemas
Informátcos
 CUADRO CONCEPTUAL
GENERALIDADES DE LA AUDITORIA
 Normas eticas
morales
que regulan la
ac t ua c i ó n de l
audito
r

Marco conceptual de la ética principios Doctrin ética

de
axiologiay valoreseticoscriteriosy a griega
responsabilidaddel auditornormas
profesionales del
auditor Etico
.
Estica
. Aristotélica,
Moral cristiana
. Sofismo
Social .
.

Hedonism
Objetividad o
Principio de Dios
axiologia
y valores .
eticos Hombre
.
Cristo
.
Dependencia Redención
.
CIBERPIRATAS ROBAN A LA GENERALITAT MILES DE DATOS
CONFIDENCIALES, INCLUIDO EL EMAIL OFICIAL

Ciberpiratas de Rusia y de la República Checa robaron miles de datos confidenciales

de la Generalitat de Cataluña durante varios meses

Ciberpiratas de Rusia y de la República Checa robaron miles de datos confidenciales de la

Generalitat de Cataluña durante varios meses a mediados del 2012. Estos consistían en los
nombres de usuarios y sus correspondientes contraseñas para acceder a información
confidencial del Gobierno catalán. Con ellos, se pueden obtener desde nóminas de los
funcionarios hasta a los historiales médicos de cualquier ciudadano, el registro de viajeros
de establecimientos de hospedaje de los Mossos d’Esquadra, acceder al correo corporativo
de la Generalitat, a la gestión de cursos de reeducación vial del Servicio Catalán de Tráfico
o al control de la Renta Básica de Emancipación de la comunidad.

El Confidencial ha podido comprobar que existe un listado con 3.417 nombres de usuarios
con sus respectivos passwords para acceder a muchas de las páginas confidenciales y
reservadas del Gobierno catalán. Y aunque algunas direcciones ya han sido cambiadas, ayer
por la tarde continuaban siendo válidos los nombres y contraseñas de una gran cantidad de
estas credenciales que pueden dar acceso, entre otras cosas, a nóminas o a registros
confidenciales, como el de extranjeros hospedados en establecimientos hosteleros. La
interceptación de estas comunicaciones se realizó entre el 7 de junio y el 14 de septiembre
del 2012. El agujero en seguridad que tiene el Gobierno catalán, pues, es de órdago.

La alerta sobre el robo de datos confidenciales la dio hace unos meses un ex asesor del
Centro de Seguridad de Tecnologías (Cesicat), Albert G., que se entrevistó con el consejero
de Empresa y Empleo, Felipe Puig, de quien depende aquel organismo. “Me enteré de que
había una lista de 2.500 credenciales de la Generalitat circulando por internet y lo puse en
conocimiento del consejero y, más tarde, de otros altos cargos del Gobierno. En el mes de
julio, también le hice llegar una copia de esta denuncia a todos los grupos parlamentarios,
aunque sólo me contestó el Grupo Mixto”, señala Albert G. a El Confidencial.
Alterar pensiones o historiales clínicos

No es una cosa baladí. Con la información robada se puede acceder a las ayudas que
concede, por ejemplo, la Consejería de Bienestar Social. “Alguien con mala fe, podría
alterar una pensión o incluso un historial clínico. No se entiende que mientras se dedican
desde el Cesicat a elaborar informes sobre alertas en Twitter no se haga nada para
solucionar un gravísimo problema de fuga de información que tiene el Gobierno. Lo
chocante es que, mientras tanto, el consejero Puig va diciendo en todos los foros que todo
funciona de una manera fantástica”, subraya Albert a este diario.

En el dossier que elaboró para el conseller, el ex asesor explica que en junio del 2012 se
detectó “la actividad de una botnet operada desde Rusia y la República Checa” que dejó
caer programas de malware (software dañino) en la red. Una botnet es una red de zombis
que infectan ordenadores. Su funcionamiento, según explica el ex asesor del Cesicat, es
similar a la pesca de cangrejos en el Atlántico: un barco va tirando canastas con cebo,
repartiéndolas por una amplia zona (en este caso, serían virus informáticos), esperan el
tiempo suficiente para que los cangrejos vayan entrando (en este caso serían los usuarios
los que introducirían en su ordenador el nombre de usuario y la contraseña, datos que son
capturados por el virus) y finalmente se retiran las cestas (los virus envían la información a
su ordenador nodriza).

El resultado fue que “más de 2.000 credenciales [nombres de usuarios con sus
correspondientes contraseñas] de la Generalitat de Cataluña se capturaron y están en manos
de cibercriminales y, hasta hoy, permiten acceder a ciertos recursos y aplicaciones,
comprometer datos personales y tener un nivel de acceso más elevado con lo que realizar
ciertos ataques”. Eso decía el informe que Albert G. le entregó a Puig y que le ratificó en
persona.
Las áreas comprometidas

Entre las páginas comprometidas por los ciberpiratas están el ATRI (portal del personal de
la Generalitat), la Agencia de la Vivienda, el correo corporativo, el Registro de Turismo de
Cataluña, la intranet de la Consejería de Enseñanza, la gestión de Seguros Deportivos, la
extranet para la creación de empresas, la selección de personal del Instituto Catalán de la
Salud (ICS), el sistema de gestión de recursos humanos de este, el registro de viajeros de
los Mossos d’Esquadra, las publicaciones oficiales de la Generalitat y la gestión de los
cursos de reeducación vial del Servicio Catalán de Tráfico, entre otras varias.

Además, acompañaba la explicación con las capturas de pantallas de varias páginas, en las
que podían verse varias nóminas, una página del registro de pacientes de la sanidad pública,
otra del sistema de gestión de recursos humanos del ICS, un expediente de la Agencia de la
Vivienda de Cataluña con la renta básica de emancipación de un ciudadano, datos del
Registro de Turismo de Cataluña (organismo que depende de Empresa y Empleo), etcétera.

“Lo que pincharon los cibercriminales es el navegador. No revientan un servidor, sino que
se les infecta el ordenador a los usuarios. En este caso, se metió un virus que robó sus
credenciales cuando se conectaban con una página web de la Generalitat y enviaba esos
datos a los ciberpiratas”, explica Albert G. a este diario.

Lo que no deja de resultar curioso es que, aunque una de las intenciones del Gobierno
catalán es crear la Agencia de Seguridad Nacional (popularmente conocida como el CNI
catalán), la Generalitat tiene suelo, paredes y techo de cristal, con un gravísimo fallo de
seguridad que pone en peligro no sólo su propia red de comunicaciones interna, sino
información altamente confidencial de todos los ciudadanos.