21 MOMENTO_3_CONSOLIDADO_MODIFICADO_SGSI

Vista previa del material en texto

D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 1 
 
SISTEMA DE GESTION DE SEGURIDAD INFORMÁTICA MOMENTO 3 
GUÍA DE ACTIVIDADES UNIDAD NO.2 
 
 
 
 
 
 
 
PRESENTADO POR: 
GILBERT JAIR SANCHEZ AVILA 
 
GRUPO 233003_7 
 
 
 
PRESENTADO A: 
MSC. ALEXANDER LARRAHONDO N. 
 
 
 
 
 
 
 
 
 
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD 
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGIA E INGENIERIA 
ESPECIALIZACION EN SEGURIDAD INFORMATICA 
OCTUBRE 2015 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 2 
 
CONTENIDO 
Página: 
 
1.INTRODUCCION ................................................................................................................... 3 
2.OBJETIVOS ........................................................................................................................... 4 
3. NORMA ISO 27001: 2013 .................................................................................................... 5 
4. DECLARACIÓN DE APLICABILIDAD ................................................................................. 8 
5. PLAN DE CONTINGENCIA EMPRESA XXX S.A ................................................................. 9 
 
6.PLAN DE CONTINUIDAD DEL NEGOCIO EMPRESA XXX S.A ....................................... 15 
7. APLICACIÓN FASES PLAN DE CONTINUIDAD DE NEGOCIO EMPRESA XXX S.A .... 23 
8.CONCLUSIONES . .............................................................................................................. 30 
9.REFERENCIAS . ................................................................................................................. 31 
Anexo 1:DECLARACION DE APLICABILIDAD (SOA) .......................................................... 33 
Anexo 2:FORMATOS AUTOEVULUACION GRUPAL........................................................... 52 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 3 
 
1. INTRODUCCION 
Las organizaciones consideran su información como un factor vital o podría definirse como su activo 
más importante. Sin embargo y aunque la organización tuviera a su alcance recursos ilimitados 
procurando garantizar un nivel de protección total de la información, esta es una tarea virtualmente 
imposible, puesto que la información se encuentra expuesta a innumerables amenazas que atentan 
contra su integridad. Por tal razón y a través del conocimiento y experiencia de muchas 
organizaciones y personas a través del tiempo se han documentado todos los procesos que han 
surgido al interior de las organizaciones a través de diversas situaciones y se han propuesto 
normativas internacionales que permiten unificar los procedimientos de construcción, manejo, 
almacenamiento y transmisión de la información, para reducir los riesgos y proponer las medidas 
necesarias contra los mismos. 
 
La empresa XXXX S.A. es una mediana empresa de capital privado, dedicada al desarrollo, 
comercialización y mantenimiento de aplicaciones bancarias, que se basa en tecnologías Web y 
Criptográficas. 
 
La arquitectura de las aplicaciones ofrecidas a los clientes está basada en tecnologías web y siguen 
la estructura de aplicaciones de 3 capas. 
 
 
La empresa XXXX S.A. requiere la implantación de un sistema de gestión de la seguridad de la 
información que permita gestionar sus riesgos preservando los tres pilares de la información: su 
integridad, confidencialidad y disponibilidad. 
 
 
La norma ISO 27001proporciona una metodología que permite implementar la gestión de la seguridad 
de la información en cualquier tipo de empresa u organización. La revisión más reciente de la 
normativa fue publicada en 2013 bajo el nombre de ISO/IEC 27001:2013. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 4 
 
 
2. OBJETIVOS 
 
 
Objetivo general: 
 
Aplicar la norma ISO/EIC 27001:2013 y plan de continuidad del negocio profundizando en los 
temas propios de SGSI en la empresa ficticia xxxx.S.A. 
 
 
Objetivos específicos: 
 
➢ Reconocer la norma ISO/EIC 27001:2013 para implementarla en el SGSI. 
 
➢ Identificar los capítulos que contiene la norma ISO/EIC 27001:2013 
 
 
➢ Aplicar la declaración de aplicabilidad (SOA Statement Of Applicability) 
 
 
➢ Realizar el plan de continuidad del negocio 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 5 
 
 
3. NORMA ISO 27001: 2013 
 
 
La norma ISO 27001: 2013 aplica una estructura de alto nivel ISO/IEC esto implica que se 
manejan los mismos apartados y términos comunes. Los numerales o capítulos en los cuales 
se divide la norma son los siguientes: 
 
0. Introducción 
1. Alcance 
2. Referencias normativas 
3. Términos y definiciones 
4. Contexto de la organización 
5. Liderazgo 
6. Planeación 
7. Soporte 
8. Operación 
9. Evaluación del desempeño 
10. Mejora 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 6 
 
 
Figura 1. Norma ISO/EIC 27001:2013 
 
Fuente. http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-
%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 7 
 
Dominios ISO 27001 
 
La siguiente tabla muestra la diferencia entre la norma ISO 27001:2005 y la norma ISO 
27001:2013 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 8 
 
4. DECLARACIÓN DE APLICABILIDAD 
 
¿Qué es una Declaración de Aplicabilidad? 
 
SoA se trata de un documento que enlista los controles de seguridad establecidos en el 
Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 
objetivos de control, en la versión de 2013 de esta norma de seguridad).1 
Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el 
Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los 
controles necesarios? Estos son los motivos: 
•Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían 
implementarse porque primero identificó los riesgos que era necesario disminuir. Sin 
embargo, en la DdA usted también identificó los controles necesarios por otras razones; por 
ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. 
•Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas 
organizaciones pueden identificar algunos miles de riesgos (aveces, aún más); por eso, un 
documento de estas características no resulta realmente útil en el uso operativo diario. En 
cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una 
representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda 
ser actualizada. 
•Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está 
implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, 
también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo 
referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o 
detallando brevemente el procedimiento vigente o el equipo que se utiliza2 
 
 
 
 
Veamos la Declaración de Aplicabilidad empresa XXX S.A (Anexo No.1) 
 
 
 
 
 
 
 
 
 
 
 
 
1Miguel Ángel Mendoza. Que es una declaración de aplicabilidad.[en 
linea]<http://www.welivesecurity.com/laes/2015/04/01/que-es-declaracion-de-aplicabilidad-soa />[citado 7 octubre del 
2015] 
2 Dejan Kosutic. La importancia de la Declaración de aplicabilidad para la norma ISO 27001. [en linea]: 
<http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-
norma-iso-27001 /> [citado 7 octubre del 2015] 
http://www.welivesecurity.com/laes/2015/04/01/que-es-declaracion-de-aplicabilidad-soa%20/
http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001%20/
http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001%20/
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 9 
 
 
5. PLAN DE CONTINGENCIA EMPRESA XXX S.A 
 
Sirve para dar respuesta de manera planificada y organizada a eventos en este caso los 
riesgos, amenazas y fallas en las tecnologías de información que puedan interrumpir o 
perjudicar el normal funcionamiento de una organización, dotándola de capacidad para 
restablecer operaciones en el ámbito de las tecnologías de la información y del negocio , 
para esto se usan medidas técnicas , administrativas y de personal para garantizar la 
continuidad de un negocio , es un componente más del plan de negocio de una 
organización. 
Podemos establecer medidas preventivas resumiéndolas para los riesgos más comunes, 
vamos a ver algunos ejemplos: 
 
MEDIDAS PREVENTIVAS 
 
1. SEGURIDAD CONTRA INCENDIOS 
 
RIESGO: Incendio o fuego 
RESPONSABLE: departamento de cómputo 
MEDIDAS TECNICAS: En los centros de datos y lugares donde se cuentan con equipos de 
Computación, deberán usar archivadores de material ignifugo para proteger los equipos y 
documentación crítica. También Realizar un mantenimiento periódico a las instalaciones 
eléctricas, de por lo menos dos veces al año, que permitan prevenir cortos circuitos, tener los 
equipos ventiladores en especial los servidores ,configurar la BIOS de los equipos para que 
funcionen a una temperatura adecuada. 
.MEDIDAS ADMINISTRATIVAS: Prohibir fumar dentro del centro de cómputo, también 
contar con los números de emergencia de los bomberos, tener copias de seguridad a la 
mano, contar con salidas de emergencia. 
MEDIDAS HUMANAS: capacitar al personal en el uso extintor. 
 
2. SEGURIDAD DESASTRES NATURALES 
 
RIESGO: desastres naturales como terremoto o inundación 
RESPONSABLE: departamento de cómputo 
MEDIDAS TECNICAS: usar discos duros hotswap de extracción en caliente, estos discos se 
pueden quitar si el computador esta prendido, esto en caso de algún movimiento anormal, 
tener copias de seguridad o backup en un sitio seguro y realizar constantemente esta labor 
de copias de seguridad. 
MEDIDAS ADMINISTRATIVAS: etiquetar los computadores con una cinta de colores según 
su prioridad a la hora de ser movidos de un sitio a otro en un eventual plan de evacuación, 
por ejemplo etiqueta roja los que tiene la información más crítica de la empresa como los 
servidores, amarilla a las CPU donde esta almacenada información contable, corporativa o 
de BD y verde a los equipos con contenido normal 
MEDIDAS HUMANAS: capacitar al personal en primeros auxilios, contar con salidas de 
emergencia y explicarles o hacer un simulacro de evacuación de instalaciones. 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 10 
 
 
3. SEGURIDAD FISICA 
 
RIESGO: Acceso no autorizado y Manipulación de la configuración (A.11, A.4)y Robo (A.25) 
RESPONSABLE: Departamento de computo 
MEDIDAS TECNICAS: en el caso del software realizar un inventario de este y en que 
equipos se ha instalado, configurado y cuando ha sido dado de baja , tener un inventarios de 
los códigos fuentes de los aplicativos almacenado en un sitio seguro, también usar 
materiales ignifugo para almacenar la documentación ,software y medios electrónicos 
importantes ,en el caso del hardware contar con un sistema de alarmas de detección de 
apertura de puertas y roturas ventanas que funcione autónomamente, también realizar un 
inventario de activos hardware cada 3 meses. 
MEDIDAS ADMINISTRATIVAS: contar con una póliza de seguro para este tipo de incidente, 
establecer políticas de acceso a las instalaciones y políticas en el uso de los equipos 
MEDIDAS HUMANAS: que el personal cuente con sus tarjetas de identificación a todo 
momento, capacitar al personal en el uso de los equipos informáticos 
 
4. GESTION DE CAMBIO EN LOS SISTEMAS DE INFORMACION 
 
RIESGO: Errores en la configuración, Errores del administrador (E.4, E.2), Acceso no 
autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y 
actualización (E.23), Uso no previsto (A.7). 
 
RESPONSABLE: Departamento de computo 
 
MEDIDAS TECNICAS: Tener un log de auditoría para verificar que personas acceden a los 
sistema de manera no autorizada, establecer privilegios de acceso a los aplicativos , también 
establecer mecanismos de contraseñas. 
 
MEDIDAS ADMINISTRATIVAS: Tener un registro de las características del software que 
tienen y sus actualizaciones registrando fecha, hora y responsable, también solo el personal 
autorizado podrá hacer modificaciones al software 
 
MEDIDAS HUMANAS: capacitar al usuario en el uso de aplicativos y sistema operativo, 
capacitar al usuario en aspectos de seguridad informática. 
 
5. OPERABILIDAD SISTEMAS DE INFORMACION 
 
RIESGO: Avería de Origen físico o lógico de los equipos (I.5), Caída del sistema por 
agotamiento de recursos informáticos (E.24), Difusión de software dañino (E.8), Errores en la 
configuración, Errores del administrador (E.4, E.2),Acceso no autorizado y Manipulación de la 
configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto 
(A.7). 
 
 
RESPONSABLE: Departamento de cómputo 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 11 
 
MEDIDAS TECNICAS: El software deberá tener algún mecanismo de rollback para volver a 
su estado original en caso de que las modificaciones adicionales le produzcan daños en su 
configuración y parámetros, tener versiones previas de este en caso de que las nuevas 
versiones no funcionen adecuadamente, disponer de un mecanismo que monitoree los 
cambios y problemas en los sistemas de información. 
MEDIDAS ADMINISTRATIVAS: Disponer de procedimientos documentados de los sistemas 
críticos de la empresa como: bases de datos, servidor de aplicaciones, servidor de correo, 
servidor web, copias de seguridad y respaldo de datos e información, también tener a la 
mano los números de teléfono del personal de soporte esto en caso deuna emergencia. 
 
MEDIDAS HUMANAS: solamente el personal autorizado realizará las modificaciones 
pertinentes al software 
 
6. SEPARACION DE AMBIENTES DE DESARROLLO Y AMBIENTE DE PRODUCCION 
 
RIESGO: Errores en la configuración, Errores del administrador (E.4, E.2), Acceso no 
autorizado y Manipulación de la configuración (A.11, A.4), Errores de Mantenimiento y 
actualización (E.23), Uso no previsto (A.7). 
 
RESPONSABLE: Departamento de computo 
 
MEDIDAS TECNICAS: realizar pruebas al software antes de pasarlo a producción , 
revisando su código fuente , revisando que tenga medidas de seguridad como contraseñas , 
revisando si aparece algún bug o error de máquina , probarlo con datos ficticios y si ejecuta 
el resultado según lo planeado. 
 
MEDIDAS ADMINISTRATIVAS: se deben crear políticas y documentación de los códigos 
fuentes, establecer procedimientos de control para que todos los movimientos o 
transacciones rechazados por el sistema que ayuden a comprobar que 
los datos erróneos para el sistema sean registrados, corregidos, alimentados correctamente 
y actualizados). 
 
MEDIDAS HUMANAS: el personal informático calificado aprobara y realizara la transferencia 
al entorno de producción en caso de que el software pase las determinadas pruebas 
 
 
 
7. DISPONIBLIDAD DE ACCESO A LA RED DE DATOS 
 
RIESGO: Avería de Origen físico o lógico de los equipos (I.5), Caída del sistema por 
agotamiento de recursos informáticos (E.24), Difusión de software dañino (E.8), Errores en la 
configuración, Errores del administrador (E.4, E.2),Acceso no autorizado y Manipulación de la 
configuración (A.11, A.4), Errores de Mantenimiento y actualización (E.23), Uso no previsto 
(A.7). 
 
RESPONSABLE: Departamento de computo 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 12 
 
MEDIDAS TECNICAS: Los puertos de diagnóstico y configuración remotos, deberán estar 
normalmente desactivados y solo se los activa cuando se requiere realizar alguna tarea de 
mantenimiento en el equipo, mediante un proceso de autorización entre el responsable y el 
personal de soporte, tener mecanismos de redundancia en el caso de los routers , switches 
servidores, firewall entre otros , si hay puntos de red libres que no están siendo usados por 
algún equipo lo mejor es desconectarlos , lo mismo con los puertos de los switches que están 
libres se recomienda deshabilitarlos. 
 
MEDIDAS ADMINISTRATIVAS: establecer políticas para acceso a usuarios remoto 
establecer políticas para saber quién tiene acceso a la red, tener un diagrama de la 
estructura de la red para saber cómo está conformada y en caso de algún problema saber 
qué punto específico lo tiene y poder solucionarlo más rápidamente y acertadamente. 
MEDIDAS HUMANAS: Solo el usuario debidamente autorizado podrá acceder a la red. 
 
 
EQUIPOS PARA UN PLAN DE CONTIGENCIA 
 
Algunos de sus deberes son: 
 
✓ Probar que las comunicaciones se hayan establecido adecuadamente 
✓ Desarrollar y documentar las configuraciones de las comunicaciones de datos. 
✓ Determinar el daño en la red de comunicaciones y asegurar la provisión del equipo de 
reemplazo. 
✓ Coordinar la instalación del software del sistema operativo que permita la restauración 
de las comunicaciones. 
✓ Ordenar e instalar el hardware necesario para establecer comunicaciones con las 
oficinas. 
✓ Coordinar con entes externos por ejemplo con los ISPs para restaurar el servicio y 
ordenar las comunicaciones. 
✓ Asegurar la disponibilidad de los respaldos necesarios en la recuperación. 
✓ Restaurar archivos y sistema operativo en el sitio de recuperación. 
✓ Elaborar calendarios de operaciones en el sitio de recuperación. 
✓ En caso necesario, coordinar actividades necesarias para restaurar las facilidades en 
el sitio principal o en la nueva ubicación. 
✓ Ordenar e instalar el hardware necesario para el procesamiento normal en el sitio 
permanente.3 
 
 
 
 
 
 
 
 
 
3 Ing Andrea Granda.Diseño de un plan de contingencias deTICS para la empresa empresa eléctrica Centrosur. 
[en linea]<http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf>[citado 27 octubre del 2015] 
 
http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 13 
 
NOTIFICACION DE UN PLAN DE CONTIGENCIA 
 
Podemos basarnos en este proceso en caso de que se de una contingencia, incluso se 
puede plasmar un formulario con estos campos: 
 
 
Nombre: 
Cargo: 
Descripción del evento: 
Reporte preliminar de daños: 
Número telefónico: 
Email: 
Ubicación: 
 
La respuesta se le puede dar vía telefónica, vía email o personalmente hablar con el 
implicado en el problema informático. 
 
 
Para verificar el desastre podemos tener en cuenta lo siguiente: 
 
Si el acceso a su área de trabajo está disponible, realice una inspección para evaluar el daño 
de los aspectos siguientes: 
✓ Equipo electrónico (Estado: destruido, fácil de recuperar, disponibilidad de uso). 
✓ Registros vitales: copias de archivos, manuales, documentación, etc. y datos en otros 
medios (computadoras personales, microfilm, etc.). Esto ayuda en determinar un plan 
de restauración o salvamento de recursos. 
✓ Equipo de oficina, trabajo en proceso, formulario, misceláneos. Analice el estado de 
operación en el momento del desastre e identifique la pérdida de datos críticos. Evalúe 
el impacto en las operaciones si los datos deben ser restaurados desde respaldos. 
✓ Obtenga una evaluación de daños en relación con lo siguiente: 
✓ Tiempos de recuperación del equipo electrónico (computadoras personales, 
terminales y equipo de comunicaciones) 
✓ Instalaciones físicas (condiciones ambientales, integridad de la estructura física, etc.)4 
 
 
 
 
 
 
 
 
 
 
 
 
4 Ing Andrea Granda.Diseño de un plan de contingencias deTICS para la empresa empresa eléctrica Centrosur 
.[en linea] <http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf>[citado 27 octubre del 2015] 
 
http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 14 
 
EJEMPLO DE MEDIDAS DE MITIGACION O RECUPERACION 
 
Una vez hechas las medidas preventivas podemos guiarnos por este formato: 
 
 
 
Figura 2.ejemplo de formato para establecer medidas de mitigación o de recuperación 
 
 
Fuente:http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 15 
 
 
6. PLAN DE CONTINUIDAD DEL NEGOCIO EMPRESA XXX S.A 
 
 
La gestión de continuidad del negocio es el control 14, que estipula la norma ISO 27001 y en 
la guía práctica la ISO 27002; es importante tener en cuenta que actualmente la 
competitividad entre las organizaciones exige cada vez más la eficiencia en sus servicios; así 
como también la necesidad de asegurar la continuidad de sus operaciones, y de hacer frente 
de forma proactiva a incidentes graves de seguridad; brindando confianza a los funcionarios 
de las organizaciones y los grupos de interesados del entorno de la empresa tales como 
accionistas, las asociaciones de vecinos afectadas o ligadas, los sindicatos, las 
organizaciones civiles y gubernamentales que se encuentren vinculadas, etc. 
 
Entre las diferentes amenazas reales que se pueden presentar están las fallas de energía 
eléctrica,una inundación, un incendio o un robo, las cuales deben ser tratadas de forma 
preventiva para evitar, en caso de que éstas sucedan, que las pérdidas sean tan graves que 
afecten a la viabilidad del negocio, muchas organizaciones independientemente de su 
tamaño, fracasan o incluso desaparecen por la falta de procesos, mecanismos y técnicas que 
mitiguen los riesgos a los que están expuestas y garanticen una alta disponibilidad en las 
operaciones de su negocio. De este modo, es necesario que las organizaciones establezcan 
una serie de medidas técnicas, organizativas y procedimentales que garanticen la 
continuidad de las actividades o procesos de negocio en caso de tener que afrontar una 
contingencia grave. 
 
Entre alguna de los beneficios de un plan de continuidad del negocio están: 
✓ Ventaja competitiva frente a otras organizaciones. 
✓ Gestión preventiva de los riesgos 
✓ Previene o minimiza las pérdidas 
✓ Asegura la “resiliencia” de las actividades de negocio ante interrupciones. 
✓ Menor riesgo de sufrir sanciones económicas al adaptarse a requerimientos 
regulatorios 
✓ Asignación más eficiente de las inversiones en materia de seguridad: 
 
 Objetivos. 
 
General: Definir un conjunto de procedimientos y estrategias para asegurar la reanudación 
oportuna y ordenada de los procesos de negocio u/o servicios informáticos críticos de la 
EMPRESA XXXX S.A., generando un impacto minio en caso de un incidente. 
 
Específicos: 
 
✓ Proteger al personal y los activos de la EMPRESA XXXX S.A. 
✓ Asegurar la continuidad de las operaciones de la EMPRESA XXXXS.A. 
✓ Minimizar el proceso de toma de decisiones para los directivos de la EMPRESA 
XXXXS.A., durante un estado de contingencia. 
http://es.wikipedia.org/wiki/Asociaciones_de_vecinos
http://es.wikipedia.org/wiki/Sindicato
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 16 
 
✓ Garantizar la reanudación de los procesos críticos de la EMPRESA XXXXS.A.,dentro 
de las márgenes de tiempo tolerables. 
✓ Reducir los efectos negativos producidos por el caos. 
✓ Minimizar la posibilidad de pérdida de información valiosa para la EMPRESA 
XXXXS.A. 
 
 Evaluación y análisis de los Riesgos 
 
Es importante conocer y entender cuáles son los procesos de negocio que son esenciales 
dentro de la Empresa XXXX S.A. para la cual se va a desarrollar el Plan. 
 
El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales 
que por su situación o su importancia pueden poner en marcha, antes de lo deseable, el Plan 
de Recuperación de Negocio, este análisis debe centrarse en los procesos/actividades del 
negocio que se han considerado críticos. 
 
Tabla 1. Riesgos Empresa XXXX S.A 
 
Riesgo 
 
Nivel de 
Riesgo 
inaceptabl
e en C, I o 
D 
Control 
Asociad
o 
Alternativas 
de 
tratamiento 
seleccionad
a 
Actividades a realizar por la 
organización y miembros 
No se tiene documento 
De la política de seguridad de la 
información 
 
C I D 
 
A5 
Eliminar 
A.5.1.1 
Declarar la política de seguridad de 
la información. 
No hay coordinación de las 
actividades de seguridad de la 
información 
 
C I D 
 
A6 
Eliminar 
A.6.1.1 
A.6.1.2 
 
Elaborar un cronograma de 
actividades de seguridad de la 
información que involucre a todos 
los miembros de la organización 
No se realiza auditoría interna 
 
C I D 
 
A12 
Eliminar 
A.12.7.1 
Planificación de las auditorías 
internas de la organización 
No hay aproximación a la 
seguridad al tratar con los clientes 
 
C I D 
 
A18 
Mitigar 
A.18.2.1 
A.18.2.3 
Revisar los requerimientos de 
seguridad de los activos 
No hay reglas sobre el uso 
aceptable de la información 
 
C I D 
 
A8 
Eliminar 
A.8.1.3 
Comenzar el proceso de 
documentación de las reglas sobre 
el uso aceptable de la información 
No existen perímetros de seguridad 
física ni controles físicos de entrada 
 
C I D 
 
A11 
Mitigar 
A.11.1.1 
A.11.1.2 
Proveer a la organización de los 
controles necesarios de seguridad 
física 
No existe protección contra 
amenazas externas y ambientales 
 
C I D 
 
A11 
Mitigar 
 
Proveer a la organización con las 
medidas de seguridad ante 
amenazas externas y ambientales 
No existe seguridad en el 
suministro de electricidad y 
servicios 
 
C I D 
 
A11 
 
Mitigar 
A.11.1.4 
Asegurar a la organización ante el 
suministro de electricidad y 
servicios 
 
No existe documentación de los 
procesos operativos 
 
C I D 
 
A12 
Eliminar 
A.12.1.1 
 
Comenzar proceso de 
documentación 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 17 
 
No existe un control de cambios de 
las instalaciones para el 
procesamiento de la información y 
de los sistemas 
 
C I D 
 
A14 
Mitigar 
A.14.2.2 
 
 
Llevar un registro del control de 
cambios realizados a las 
instalaciones 
No existen criterios de aceptación 
para sistemas de información 
nuevos, actualizaciones y nuevas 
versiones antes de la puesta en 
producción. 
 
C I D 
 
A14 
Mitigar 
A.14.2.3 
A.14.2.8 
A.14.2.9 
Establecer los criterios de 
aceptación y realizar el proceso de 
pruebas 
No hay seguridad en los servicios 
de red 
 
C I D 
 
A13 
Mitigar 
A.13.1.1 
A.13.1.2 
Establecer los acuerdos sobre los 
servicios de la Red. 
No existe una adecuada 
manipulación de los medios 
removibles 
 
C I D 
 
A11 
Mitigar 
A.11.2.7 
Documentación de los 
procedimientos de manipulación de 
los medios removibles y 
capacitación a los usuarios 
No existe una revisión periódica de 
los permisos asignados a los 
usuarios 
 
C I D 
 
A13 
Mitigar 
A.13.1.1 
A.13.1.2 
Establecer el procedimiento de 
revisión periódica de los permisos 
asignados a los usuarios. 
No existe un diagnóstico remoto ni 
protección de la configuración de 
puertos 
 
C I D 
 
A13 
Mitigar 
A.13.1.2 
Establecer los controles de 
protección de los puertos 
No existe una separación 
adecuada de las redes 
 
C I D 
 
A13 
Mitigar 
A.13.1.1 
A.13.1.2 
A.13.1.3 
Separa los grupos de servicios, 
grupos de usuarios 
No existen procedimientos para 
inicio de sesión de las estaciones 
de trabajo 
 
C I D 
 
A9 
Mitigar 
A.9.4.2 
Establecer el procedimiento de 
inicio seguro 
No existen controles para la 
auditoria del sistema ni la 
protección de herramientas de 
auditoria 
 
C I D 
 
A18 
Mitigar 
A.12.7.1 
Planificar las actividades de 
verificación y establecer los 
mecanismos de protección de las 
herramientas de auditoría. 
 
 
 
 
 Impacto de las Amenazas 
 
Tomando como base el listado de amenazas propuesto por la metodología Magerit del anterior 
trabajo , se lista la valoración de amenazas a cada uno de los activos de la EMPRESA XXXX, S.A., 
La Escala de rango porcentual de impactos en los activospara cada dimensión de seguridad 
(Autenticidad (A), confiabilidad (C), integridad (I), disponibilidad (D) y la trazabilidad del servicio (T) 
que indica, el aseguramiento de que en todo momento se podrá determinar quién usó qué y en qué 
momento.) 
 
Activo/Amenazas Frecuenci
a de la 
Amenaza 
[A] [C] [I] [D] 
[T] 
Activo de información 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 18 
 
Bases de datos de S.I. 
[E.1] Errores de los usuarios 50 50% 100% 
 
[E.2] Errores del administrador 50 50% 100% 
 
[E.4] Errores de configuración 10 100% 
 
[E.14] Fugas de información 5 100% 
 
[E.16] Introducción de falsa información 5 100% 
 
[E.24] Caída del sistema por agotamiento de recursos 5 100% 
 
[A.4] Manipulación de la configuración 50 100% 50% 
 
[A.6] Abuso de privilegios de acceso 50 100% 
[A.17] Corrupción de lainformación 5 100% 
 
Software o aplicación 
Licencias S.O. 
[E.1] Errores de los usuarios 50 
 
20% 75% 75% 
 
[E.4] Errores de configuración 50 50% 50% 50% 100% 
 
[E.18] Destrucción de la información 10 100% 
 
Sistema de Gestión de Proyectos 
E.2] Errores del administrador 50 
 
[E.20] Vulnerabilidades de los programas (software) 10 50% 50% 50% 100% 
 
[E.21] Errores de mantenimiento / actualización de programas 
(software) 
10 50% 
 
[A.11] Acceso no autorizado 10 
 
Hardware 
Servidores (WEB, DNS, Aplicaciones, BD, ficheros, etc) 
[E.1] Errores de los usuarios 
50 
 20% 75% 75% 
 
[E.2] Errores del administrador 10 50% 50% 50% 
100% 
 
[E.4] Errores de configuración 10 50% 50% 50% 
100% 
 
[E.18] Destrucción de la información 
5 
 100% 
[I.6] Corte de suministro electrónico 
70 
 100% 
[I.8] Fallo de servicios de comunicaciones 
70 
 100% 
N.*] Desastres naturales 
5 
 100% 
[I.7] Condiciones inadecuadas de temperatura o humedad 
5 
 100% 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 19 
 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 
 100% 
A.6] Abuso de privilegios de acceso 
5 
100% 
Computadores y portátiles 
E.1] Errores de los usuarios 
70 
 20% 75% 75% 
[E.4] Errores de configuración 50 50% 50% 50% 
100% 
 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 100% 
 
[A.6] Abuso de privilegios de acceso 10 100% 
 
Red 
Firewall 
[E.2] Errores del administrador 50 50% 50% 50% 
100% 
 
[E.21] Errores de mantenimiento / actualización de programas 
(software) 
10 100% 
 
[A.11] Acceso no autorizado 5 100% 
 
[I.7] Condiciones inadecuadas de temperatura o humedad 10 100% 
 
Swicth, Acces Point 
[I.6] Corte de suministro electrónico 50 
 100% 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 
 100% 
[A.6] Abuso de privilegios de acceso 5 
100% 
Equipamiento auxiliar 
UPS 
[I.7] Condiciones inadecuadas de temperatura o humedad 10 
 100% 
[N.*] Desastres naturales 5 
 100% 
[E.24] Caída del sistema por agotamiento de recursos 5 
 100% 
Aire acondicionado 
[I.7] Condiciones inadecuadas de temperatura o humedad 10 
 100% 
[N.*] Desastres naturales 5 
 100% 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 
 100% 
Instalación 
Cableado estructurado 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 
 100% 
[I.7] Condiciones inadecuadas de temperatura o humedad 50 
 100% 
Servicios 
Servicio de Conectividad a internet 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 20 
 
[I.8] Fallo de servicios de comunicaciones 50 
 50% 100% 
Servicios de mantenimiento 
[E.23] Errores de mantenimiento / actualización de equipos 
(hardware) 
10 
 50% 100% 
Servicios de desarrollo 
[E.10] Errores de secuencia 50 
 100% 20% 50% 
[E.14] Fugas de información 
10 
50% 100% 
[E.15] Alteración de la información 
5 
 100% 
Personal 
Administradores de infraestructura tecnología 
[N.*] Desastres naturales 5 100% 
[E.3] Errores de monitorización (log) 10 100% 
[E.14] Fugas de información 5 50% 100% 
[A.4] Manipulación de la configuración 10 50% 100% 
[A.28] Indisponibilidad del personal 50 100% 
Desarrolladores 
[N.*] Desastres naturales 5 100% 
[E.14] Fugas de información 10 50% 100% 
[E.19] Divulgación de información 10 50% 100% 
[A.4] Manipulación de la configuración 5 50% 100% 
[A.28] Indisponibilidad del personal 10 100% 
Empleados de la empresa 
[N.*] Desastres naturales 5 100% 
[E.1] Errores de los usuarios 50 20% 75% 75% 
[A.25] Robo de equipos 10 100% 
Usuarios finales 
[E.1] Errores de los usuarios 70 20% 75% 75% 
Fuente: Los autores 
 
 
 Estrategias de Continuidad 
 
Se deberían desarrollar e implementar planes de mantenimiento o recuperación de las operaciones 
del negocio para asegurar la disponibilidad de la información en el grado y en las escalas de tiempos 
requeridos, tras la interrupción o fallo de los procesos críticos de negocio. 
 
Recurso humano: 
✓ Mantener habilidades y conocimiento 
✓ Identificación de actividades criticas 
✓ Sitios alternos 
✓ Acceso remoto 
 
Conformación de equipos del recurso humano: 
• Equipo Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y 
recuperación. 
• Equipo de Recuperación: Encargado de restablecer todos los sistemas necesarios (voz, datos, 
comunicaciones, etc.) 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 21 
 
• Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación 
• Equipo de Atención a clientes: Encargados de concentrar la información y de la comunicación a 
los clientes 
• Equipo de Unidades del Negocio: Personas que trabajan con las aplicaciones críticas. 
 
Tecnología: Se deben considerar elementos como: hardware, software telecomunicaciones, copias 
de seguridad y recuperación. 
 
✓ Disponibilidad: Para este componente vamos a identificar la disponibilidad del recurso físico 
tales como servidores, equipos de cómputo, etc. 
• Tolerancia a fallos (fault tolerance): Un sistema tolerante a fallos puede continuar brindado 
servicios a pesar de fallas de hardware. 
• Balanceo de carga (load balancing): Sistemas que comparten la carga de trabajo para evitar 
recursos ociosos y bajo desempeño. 
• Alta Disponibilidad (high availability): Sistema que es continuamente operacional, mediante la 
implementación de controles preventivos, detectivos y correctivos. 
• Virtualización: Abstracción de recursos computacionales 
 
✓ Centros de cómputo: Es importarte definir características como la Distancia, Número, Acceso 
remoto, Comunicación redundante, Acuerdos de servicio (SLA), y Seguridad de los centros de 
computo de la Empresa. 
 
✓ Alternativas de recuperación: 
• Sitios de recuperación externos (hot site, cold site, warm site) 
• Recuperación interna 
• Acuerdos recíprocos 
• Procedimientos manuales 
• Suspensión de servicios 
 
✓ Información vital: 
• Almacenamiento y recuperación 
• Confidencialidad 
• Integridad 
• Disponibilidad 
• Actualizada 
• Físico/Digital 
 
✓ Proveedores/Socios de Negocios 
• Dependencias 
• Coordinación 
• Verificación del plan 
• Pruebas 
• Políticas 
 
 Implementación de Respuestas 
✓ Implementación de planes de continuidad: se debe definir elementos importantes como el 
Equipos de trabajo (Reanudación-Recuperación), Controles, Seguridad, Inventarios y los Recursos 
necesarios (humanos y financieros). 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 22 
 
✓ Respuesta a la emergencia: Salvamento de vidas, sistema de prevención y atención de 
emergencias y los Sistemas de protección, Autoridades locales y Simulacros. 
 
 
Prueba, mantenimiento y reevaluación de planes de continuidad 
 
Se deben realizar pruebas regularmente del plan de continuidad del negocio para garantizar su 
actualización y eficacia, la siguiente es una metodología adoptada para la EMPRESA XXXX S.A. 
 
Complejidad Prueba Objetivo Variantes Frecuencia 
Simple 
Escritorio -
simulación 
Revisión contenido del Plan de 
Continuidad del negocio de la 
EMPRESA XXXXS.A. 
Act./Validar 
Auditoría 
Verificación 
Involucrar roles 
Trimestral 
Semestral Anual 
Media 
Ejercicio 
parcial 
Situación controladaque no 
impacte la operación normal 
Operaciones críticas en 
sitio alterno 
(anunciadas-sorpresa) 
Semestral 
Alta 
Ejercicio de 
todo el plan 
Evacuación 
Activación de contingencias 
tecnológicas y operativas 
Involucrar proveedores 
(anunciadas-sorpresa) 
Semestral 
 
Tipos de pruebas: Horarios nohábiles, Horarios hábiles con todos los clientes, Día ->Semana -
>Varias semanas, Alternar producción & contingencia. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 23 
 
 
7. APLICACIÓN FASES PLAN DE CONTINUIDAD DE NEGOCIO EMPRESA XXX S.A 
Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un 
análisis de los procesos que componen la organización. Este análisis servirá para priorizar 
qué procesos son críticos para el negocio y establecer una política de recuperación ante un 
desastre. Por cada proceso se identifican los impactos potenciales que amenazan la 
organización, estableciendo un plan que permita continuar con la actividad empresarial en 
caso de una interrupción. 
FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS: 
Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se 
consideran críticos para el funcionamiento de la compañía. Una vez identificados los 
procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para 
identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio. 
CON QUE CUENTA LA INSTITUCION: 
La EMPRESA XXX S.A cuenta con El Sistema de Gestión de Proyectos que es empleado 
para controlar todas las fases de los proyectos así como para el archivo de los productos 
resultantes (código fuente, documentación del proyecto como: diseños, planes de pruebas, 
material de documentación del producto, etc), Para la prueba de las aplicaciones se dispone 
de un entorno para desarrollo simulado en los puestos de trabajo de los desarrolladores y 
para las pruebas de integración se dispone de un entorno similar al de los clientes: 
Servidores web, Servidores de bases de datos, Servidores de aplicación, puestos de trabajo 
de los desarrolladores (unos 60 puestos fijos) están conectados a una red de área local 
802.1X, servidores de directorio, 
RIESGOS: 
Unos de los riesgos más relevantes y que pueden causar gran daño a la empresa son los 
siguientes. Pérdida de datos y servicios, daños de software y hardware, desastre natural e 
inasistencia de energía. El impacto que pueden causar estos riesgos son grandes pues una 
pérdida total de información y datos en los servidores principales de la empresa provocarían 
que el trabajo de los desarrolladores se perdiera y tocara empezar desde cero, la información 
confidencial de los cliente quedara expuesta, las entidades financieras quedan sin servicio 
por un tiempo prolongado. 
La inasistencia eléctrica provocara que los desarrolladores no puedan hacer uso de las 
herramientas tecnológicas de desarrollo. 
DAÑOS DE SOFTWARE Y HARDWARE: 
Este riesgo implicaría más gastos económicos, pues si algún dispositivo activo llegase a 
dañarse, quemarse entre otros, ocasionaría un gasto económico para remplazar rápidamente 
el dispositivo, la empresa cuenta con centros CPD de telecomunicaciones donde se 
encuentra alojados la mayoría de estos dispositivos y algo peligroso que llegase a pasar 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 24 
 
podría causar un daño múltiple y al mismo tiempo causaría un daño enorme a todo la 
infraestructura de red física y lógicamente. 
PERDIDA DE DATOS Y SERVICIOS: 
Las bases de datos en las que todos los desarrolladores están registrados pueden ser 
eliminadas por diferentes causas como desastres naturales, incendios toda esa información 
se podría perder y causaría gran impacto a los clientes. 
Para hallar un periodo máximo de Interrupción, tendríamos que hacer un conjunto de daños 
que se presentaron, obtener una cifra concreta de las pérdidas, cantidad de personal a cargo 
de este proyecto. Pero si los daños fueron mínimos posiblemente solo tome un día o 2 
solucionarlo. 
DESASTRE NATURAL: 
Un Desastre natural puede ser totalmente fatal, podría acabar con toda la empresa y la 
perdida monetaria seria grandísima, pero por supuesto la vida humana es totalmente 
prioridad. 
CLASIFICACION DE LOS DESASTRES. 
Podemos plantear la siguiente clasificación de los desastres de la siguiente manera: 
• DESASTRES NATURALES 
 a. Terremotos 
b. Inundaciones 
c. Fallas de potencia prologadas 
ACCIDENTALES 
a. Falla en la base de datos 
b. Falla de la estructura física 
INTENCIONALES 
Externas 
a. Terrorismo 
 b. Hackers 
Internas 
a. Huelga 
b. Sabotaje 
c. borrado de datos 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 25 
 
ELEMENTOS A CONSIDERAR: 
a. Servidores. 
b. Base de datos. 
c. Sistemas telefónicos. 
d. Redes locales. 
e. Recuperación de los data centers. 
f. Personal. 
g. Edificios y oficinas. 
 
INASISTENCIA DE ENERGIA: 
¿POR QUÉ DEBEMOS PREOCUPARNOS POR LOS PROBLEMAS DEL SUMINISTRO 
ELÉCTRICO? Una pequeña interrupción en la energía eléctrica puede significar un daño a 
una computadora, un sistema en red, u otro equipo electrónico sensibles. 
¿CUÁN FRECUENTES SON LOS PROBLEMAS ELÉCTRICOS? Se puede concluir que 
cada semana ocurren casos con la energía eléctrica algunas veces, daños simples otras 
veces daños más graves que necesitan de personal capacitado. 
¿Cuáles son las consecuencias de los problemas energéticos? Aun los problemas de índole 
menor pueden costarle dinero. Cada vez que una interrupción en el suministro retarda un 
trabajo en proceso, se pierde un tiempo, y esa pérdida significa dinero. Mucho más serio y 
costoso es el hecho que los problemas de energía no sólo pueden corromper archivos 
críticos de datos, también pueden dañar permanentemente a computadoras y equipos 
electrónicos. 
¿Cómo pueden ser prevenidos los problemas de energía? Siempre debemos conectar 
nuestros equipos electrónicos a Reguladores de voltaje, que además incorporen protectores 
de sobretensión, picos transitorios, y filtros de ruidos eléctricos otra opción para una 
protección aún más completa a una UPS con las mismas protecciones. 
FASE II. ESTRATEGIA DE RESPALDO. 
En esta fase se seleccionarán los métodos operativos alternativos que se van a utilizar en el 
caso de que ocurra un incidente que provoque una interrupción en la empresa. El método 
seleccionado deberá garantizar la restauración de los procesos afectados en los tiempos 
determinados por el Análisis de Impacto. 
IDENTIFIQUE SUS NECESIDADES DE RESPALDO DE DATOS: Debemos Identificar los 
datos más preciados e importantes para la empresa, que permitan luego de que se 
materialice una amenaza la empresa pueda seguir operando con normalidad. 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 26 
 
CONSIDERE EL RESPALDO DE DATOS INTERNO: Se debe considerar como 1 opción 
tener copias de respaldo en discos duros externos, esto depende de la necesidad y la 
importación de ello. 
EXPLORE EL RESPALDO DE DATOS EN LÍNEA: El respaldo en "nube", o el 
almacenamiento de archivos en servicios remotos a los que se accede por Internet, puede 
ofrecer una alternativa atractiva a la compra y el mantenimiento de equipos de 
almacenamiento interno. Decenas de proveedores de serviciosofrecen respaldo de datos en 
línea, por lo tanto, explore las opciones si elige esta estrategia y mantenga constante 
comunicación son sus proveedores. 
ESTABLEZCA PROCESOS PARA TODA LA COMPAÑÍA: Una vez instalados los sistemas 
de respaldo, cree una política formal que establezca cuáles serán los datos a respaldarse y 
con qué frecuencia, y el responsable de administrar los respaldos. 
SELECCIÓN DE ESTRATEGIAS. 
Se debe actuar rápidamente si llega a materializarse una amenaza. 
a. la empresa cuenta con dispositivos activos de respaldo. 
b. Servicios virtualizados listo para ser usados. 
c. Cuenta con gran personal capacitados para montar cualquier servicio que se halla dañado. 
d. La empresa debe contar con personal encargados para tener copias de seguridad, backup 
de toda su información, puntos de restauración, base de datos entre otros, alojados en un 
lugar fuera de esta sede donde pueda estar segura en caso de pérdida total de la sede. 
f. Estar totalmente en contacto con las diferentes empresas que prestan servicios a la 
empresa por ejemplo Internet, por si es necesario que les traslade el servicio a otro lugar. 
g. Realizar una y otra vez simulacros de evacuación del personal y si es posible evacuación 
de sistemas de información prioritarios. 
h. Mantener contacto con centros de salud que puedan actuar rápidamente. 
FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD. 
a. Hasta este punto hemos recopilado la siguiente información: 
b. Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el 
funcionamiento del negocio. 
c. Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de 
Continuidad de Negocio. 
d. Estrategia de Continuidad más adecuada para el negocio. 
¿QUE NECESITAMOS PARA DESARROLLAR NUESTRO PLAN? 
GRUPOS DE TRABAJO. 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 27 
 
GRUPO DE DIRECTORES. 
Se encarguen de administrar y dirigir el plan de continuidad. 
* Analizar la situación. 
 * Organizar los diferentes grupos y personal que se encargaran de llevar a cabo el plan. 
* Seguimiento en el proceso y responsable de notificar lo ocurrido. 
* Estimar tiempo de recuperación. 
GRUPO DE INSTRUCTORES O PERSONAL CAPACITADO: 
Se encarguen de tener un respaldo de los servicios que se implementan en la institución. 
* Restauración de los servicios. 
 * Recuperación de datos. 
 * Recuperación de software. 
GRUPO DE LOGÍSTICA: 
Encargado de contabilizar y mantener disponible en lo más posible dispositivos que puedan 
en algún momento remplazar otros. 
* Disponibilidad de dispositivos activos. 
* Encargados de hacer la petición en caso de que el Sena no cuente con el dispositivo. 
 
GRUPO DE VERIFICACIÓN: 
 Encargado de chequear el funcionamiento de toda la infraestructura de red. 
 * Aprobar funcionamiento de los diferentes servicios que prestar la empresa. 
 * Aprobar la recuperación de los datos. 
* Aprobar el buen funcionamiento de las plataformas de desarrollo de la empresa. 
GRUPO DE COMUNICACIÓN: 
Encargado de estar al tanto con empresas externas, por ejemplo el proveedor de servicios de 
internet. 
* Mantener la comunicación con los clientes 
* Contacto con los proveedores de servicios. 
* Comunicación con los trabajadores de la empresa. 
FASE IV. PRUEBAS Y MANTENIMIENTO. 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 28 
 
OBJETIVO: 
Realizar pruebas lo más reales posibles que aseguren la viabilidad de las soluciones 
adoptadas. Para su desarrollo tendremos lo siguiente en cuenta. 
* Probar la reacción de respuesta del plan para comprobar que tan claro se sigue el diseño. 
* Identificar las áreas de mejora en el diseño y ejecución del Plan. 
* Comprobar si los procedimientos desarrollados son adecuados para soportar la 
recuperación de las operaciones de negocio. 
* Evaluar si cada grupo cumple con sus respetivas funciones. 
TIPOS DE PRUEBAS: 
Las pruebas de un Plan de Continuidad deben tener dos características principales: 
REALISMO: Es primordial poner esto en práctica en escenarios lo mayor posible reales que 
den un grado más de efectividad. 
EXPOSICIÓN MÍNIMA: Las pruebas deben diseñarse de forma que impacten lo menos 
posible en el negocio, es decir, que si se programa una prueba que suponga una parada de 
los sistemas de información, debe realizarse una ventana de tiempo que impacte lo menos 
posible para el negocio. 
La prueba debe tener en cuenta absolutamente todos los detalles, los grupos de personal 
deben cumplir su función y deben actuar rápidamente. 
EJERCICIOS TECNICOS: 
Los ejercicios técnicos requerirán el uso de equipos de hardware, software y posibles centros 
y métodos alternativos para asegurar un rendimiento adecuado. 
Ejemplos de elementos verificados durante un ejercicio de simulación son: 
- Procedimientos de emergencia. 
- Métodos alternativos. 
- Desplazamiento de personal, estudiantes instructores entre otros. 
- Realización de backup y restauración. 
- Capacidad y rendimiento del hardware. 
- Portabilidad del software. 
- Accesibilidad al centro de respaldo. 
- Movilización de los equipos de trabajo. 
- Recuperación de ficheros y documentación almacenados en lugar externo. 
- Recuperación de datos. 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 29 
 
TEST COMPLETO: 
Esto implica la restauración real en otro centro alternativo, con el fin que el proceso no sea 
interrumpido y se pueda proseguir con la Formaciones de igual manera. Este tipo de prueba 
requiere la participación de toda la organización de continuidad del negocio, incluyendo a 
todos los grupos de trabajo y aprendices entre otros. 
MANTENIMIENTO DEL PLAN DE CONTINUIDAD: 
Cada vez se implementan más soluciones para aplicar a nuestro plan de continuidad o 
posiblemente hallan fallos y debamos corregirlo así que este plan de continuidad debe ser 
constantemente modifica o actualizado para un mejor éxito. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 30 
 
 
8. CONCLUSIONES 
 
Un sistema de Gestión de seguridad de la Información es un proceso sistemático, 
documentado y debe ser conocido por toda la organización. Le gustaría garantizar un nivel 
de protección total pero es imposible ya que los riesgos y amenazas van cambiando y 
perfeccionándose con el tiempo pero garantizara que los riesgos de la seguridad sean 
conocidos, asumidos y minimizados por la organización de una manera documentada, 
sistemática, estructurada, y adaptable a los cambios que se produzcan. 
En este mundo que es cada vez más competitivo y globalizado, en donde a las empresas les 
corresponde buscar nuevas vías que les permita tener y mejorar sus ventajas, gracias a la 
Norma ISO 27001:2013 tienen a la mano una herramienta que les permite convertirse en 
empresas más versátiles mejorando su seguridad protegiendo los activos de mayor valor, 
implementando controles para la gestión de las amenazas presentes y futuras. 
Las organizaciones son dependientes actualmente de la tecnología informática y un 
problema que les afecte así sea mínimo, puede comprometer las operaciones y productividad 
del negocio, que se traducen en pérdidas económicas, retrasos y crisis de confianza por 
parte de los usuarios. 
La seguridad de la información tanto desde el punto de vista físico quese refiere a la 
seguridad del hardware y la seguridad lógica se refiere a la seguridad de la información de 
los programas almacenados en un equipo como por ejemplo una base de datos los cuales 
estos a su vez circulan por una red de comunicaciones dándole diversos usos a la 
información según las necesidades de una organización. 
 
La información confidencial de una institución o entidad es un requisito, por tanto la 
seguridad debe ser un proceso continuo de mejora, donde las políticas y controles deben 
estar actualizados revisados periódicamente. 
De allí la importancia de analizar y evaluar los riesgos a los cuales estos pueden estar 
sometidos y así minimizar los efectos 
También debemos tener en cuenta lo siguiente para establecer un plan de negocios: 
a. El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios 
menores queden cubiertos también. 
b. El planteo de escenarios de desastre servirá de base al momento de determinar las 
alternativas viables para la recuperación. 
c. La diferencia entre tener y no tener un plan de continuidad es enorme, siempre que 
estamos advertido por algo que va o puede pasar podemos corregir muchos errores a tiempo 
en cambio si algo nos coge totalmente desprevenidos sin saber cómo actuar al respecto o 
tomando medidas que pueden llegar a causar a un más daño. 
d. Esta cuestión no es de unos pocos es de todas aquellas personas que pertenezcan a la 
empresa para así lograr un mayor éxito. 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 31 
 
 
9. REFERENCIAS 
 
[1]Miguel Ángel Mendoza. Que es una declaración de aplicabilidad. Disponible 
en:http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/ 
 
[2]Dejan Kosutic.La importancia de la Declaración de aplicabilidad para la norma ISO 27001. 
Disponible en: http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-
declaracion-de-aplicabilidad-para-la-norma-iso-27001/ 
 
[3]Juliana Andrea Santamaría Ramírez. Manual de Seguridad de información para un 
organismo del estado Colombiano. Disponible en: 
http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANT
AMARIA%20RAMIREZ1.pdf 
 
[4]Inteco y Deloitte..Guía práctica para pymes en español de cómo implantar un plan de 
Continuidad de negocio .Disponible 
en:https://www.incibe.es/file/t2sHW92KsAV506ZWcHTKRg 
 
[5]Ing. Lorena Patricia Suárez Sierra, Ing. Carlos Alberto Amaya Tarazona.Módulo de Sistema de 
Gestión de Seguridad de la Información. Disponible en: 
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf 
 
 
[6]Ing. Andrea Granda. Diseño de unPlan de Contingencias para TICs para la empresa 
eléctrica CENTROSUR. Disponible en: 
http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf 
 
[7]Plan de Continuidad de Negocios o Business Continuity Plan (BCP), junio 25, 
2010http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-
negocios-o.html 
[8]POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP), 
http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGO
CIO.pdf 
 
 
 
 
http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/
http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001/
http://advisera.com/27001academy/es/blog/2011/04/18/la-importancia-de-la-declaracion-de-aplicabilidad-para-la-norma-iso-27001/
http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANTAMARIA%20RAMIREZ1.pdf
http://repository.unimilitar.edu.co/bitstream/10654/11730/1/JULIANA%20ANDREA%20SANTAMARIA%20RAMIREZ1.pdf
https://www.incibe.es/file/t2sHW92KsAV506ZWcHTKRg
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf
http://dspace.ucuenca.edu.ec/bitstream/123456789/2556/1/tm4534.pdf
http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html
http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html
http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGOCIO.pdf
http://www.sisteseg.com/files/Microsoft_Word__POL_TICA_DE_CONTINUIDAD_DEL_NEGOCIO.pdf
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n 
c o n t i n u i d a d d e l n e g o c i o E m p r e s a X X X S . A P á g i n a | 32 
 
 
 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 33 
 
ANEXO No.1 DECLARACION DE APLICABILIDAD (SOA) 
 
 
Sección 
 
ControlesISO27001:2013 
Aplicabilidad Justificación 
Razonespara 
laselecciónde los Controles 
R
e
q
u
e
r
im
ie
n
to
 
R
e
g
u
la
to
r
io
 
O
b
li
g
a
ci
ó
n
 
c
o
n
tr
a
c
tu
a
l 
R
eq
u
e
r
im
ie
n
to
d
e
ln
eg
o
c
io
 
A
n
á
li
si
sd
e
r
ie
sg
o
s 
5 Política de seguridad 
5.1 Políticadeseguridaddelainformación 
5.1.1 La Dirección debería aprobar y publicar 
un documento de la política de seguridad 
de la información y comunicarla política 
a todos los empleados y las partes 
externas relevantes. 
1 La organización ha identificado los riesgos de 
información, en tal sentido es necesario establecer 
una política de seguridad de la información para 
informar y concientizar a todos los colaboradores y 
partes interesadas sobre los riesgos a los que están 
expuestos, así como los controles implementados para 
evitar la materialización de estos riesgos. 
Igualmente la política de seguridad de la información 
deberá definir claramente responsables de su 
desarrollo e implementación. 
La política de seguridad de la información de la compañía 
deberá ser frecuentemente revisada para asegurar su 
idoneidad con respecto a los riesgos de información. Está 
política debe ser comunicada a todas las partes interesadas. 
 x 
5.1.2 La política de seguridad de la información 
se debería revisara intervalos planificados 
(o en caso que se produzcan cambios 
significativos)para garantizar que es 
adecuada, eficaz y suficiente. 
2 x 
6 Organización de laseguridad dela 
Información 
 
6.1 Estructura para la seguridad de la 
información 
 La organización mediante su política de seguridad de la 
información debe establecer el compromiso, organización y 
asignación de responsabilidades para su cumplimiento, de 
 x 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 34 
 
6.1.1 Losmiembrosdela Direccióndeberían 
respaldaractivamentelasiniciativasde 
seguridaddemostrandosuclaroapoyo y 
compromiso,asignandoyaprobando 
explícitamentelas responsabilidadesen 
seguridaddelainformacióndentrodela 
Organización. 
3 igual forma velar por mantener protegido su información 
mediante la revisión del sistema de gestiónde seguridad de la 
información, la firma de los acuerdos de confidencialidad, 
manteniendo contacto con las autoridades y con grupos de 
interés especiales, y la revisión independiente de seguridad 
de la información, por lo anterior es importante establecer 
controles para la organización interna de seguridad de la 
información. 
La organización restringe la conexión a las redes 
inalámbricas de internet por parte de los dispositivos 
móviles y equipos de terceros. 
 
 x 
6.1.2 Lasactividadespara laseguridaddela 
informacióndeberíansercoordinadaspor 
representantesque poseandecierta 
relevanciaensupuestoyfuncionesydelos 
distintossectoresqueformanla 
Organización. 
4 x 
6.1.3 Sedeberíandefinirclaramentetodas lasresponsabilidadesparala seguridaddela 
información. 
5 x 
6.1.4 Sedeberíadefiniryestablecerunproceso 
degestióndeautorizacionesparalos 
nuevosrecursosdetratamientodela 
información. 
6 
6.1.5 Sedeberíanidentificaryrevisar 
regularmenteenlosacuerdosaquellos 
requisitosdeconfidencialidadono 
divulgaciónque contemplanlas 
necesidadesdeproteccióndela 
informacióndelaOrganización. 
7 x 
6.1.6 Sedeberíanmantenerloscontactos 
apropiadosconlasautoridades pertinentes. 
8 x 
6.2 Sedeberíananexartodoslos requisitos 
identificadosdeseguridadantesdedara 
losclientesaccesoalainformaciónoalos 
activosdelaorganización. 
9 x 
7 Seguridad de los RRHH 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 35 
 
7.1.1 SeguridadenladefinicióndeltrabajoylosRec
ursos 
 Para el desarrollo de las actividades requiere contratar 
personal, los cuales tienen acceso a la información de la 
compañía, por tanto es importante implementar controles 
basándose en los reglamentos, la ética y las leyes 
pertinentes, que aseguren un proceso de verificación de 
antecedentes, asignación de roles y responsabilidades, 
términos de contratación y condiciones laborales previo 
acceso a la información. 
 
El personal de la organización en el desarrollo de las 
actividades para las cuales fueron contratados interactúan 
permanentemente con la información, en tal sentido es 
necesario establecer controles para asegurar que son 
conscientes de los riesgos, responsabilidades y deberes con 
respecto a seguridad de la información, igualmente es 
necesario capacitar y concienciar al personal 
permanentemente en temas de seguridad de la información 
según sea pertinente para sus funciones laborales. También 
se hace preciso establecer un proceso disciplinario que 
permita a la organización saber cómo actuar en caso de que 
los colaboradores cometan alguna violación de la seguridad, 
sin embargo para evitar al máximo que se presente 
incidentes la dirección exigirá a los colaboradores el 
cumplimiento de las políticas y procedimientos establecidos. 
 x 
7.1.2 Sedeberíandefinirydocumentarlos 
rolesyresponsabilidadesdelaseguridaddelo
s empleados,contratistasytercerosen 
concordanciaconlapolíticadeseguridad 
delainformacióndelaorganización. 
10 x 
 
 
7.1.3 
 
Sedeberíanrealizarrevisionesde 
verificacióndeantecedentesdelos 
candidatosalempleo,contratistasy 
tercerosyenconcordanciaconlas 
regulaciones,éticayleyesrelevantesy 
deben ser proporcionalesalos 
requerimientosdelnegocio,laclasificación 
delainformaciónalacual sevaatener 
accesoylos riesgospercibidos. 
11 
7.2 Comopartedesuobligación contractual, 
empleados,contratistasyterceros deberían 
aceptaryfirmarlostérminosy 
condicionesdelcontratodeempleo,elcual 
establecerásusobligacionesylas 
obligacionesdelaorganizaciónparala 
seguridaddeinformación. 
12 x 
7.2.1 Seguridadeneldesempeñodelas 
funcionesdel empleo 
13 x 
7.2.2 LaDireccióndeberíarequeriraempleados, 
contratistasyusuariosdeterceraspartes 
aplicarlaseguridadenconcordanciaconlas 
políticasylos procedimientosestablecidos 
delaorganización. 
14 x 
7.3 Todoslos empleadosdelaorganizacióny 
dondesearelevante,contratistasy 
usuariosdetercerosdeberíanrecibirentrena
mientoapropiadodel 
conocimientoyactualizacionesregularesen
15 x 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 36 
 
políticasy 
procedimientosorganizacionalescomo 
sean relevantesparalafuncióndesu trabajo. 
8 Gestión de activos. 
8.1 Todoslosactivosdeberíanestar 
claramenteidentificados,confeccionandoy 
manteniendouninventarioconlosmás 
importantes. 
 La organización dentro del proceso de implementación y 
mantenimiento del sistema de gestión de seguridad de la 
información debe realizar un inventario de todos sus activos 
de información, los cuales le permiten desarrollar su labor 
de Consultoría e Interventoría, en tal sentido es importante 
identificar los propietarios de estos, realizar un inventario de 
los más importantes, y también garantizar el uso adecuado 
de los mismos a través de reglas documentadas e 
implementadas. 
Los activos de la organización deberán ser regresados por 
los colaboradores al finalizar su relación contractual. La 
organización debe asegurar la devolución de los activos 
cuando se presentan renuncias, terminaciones o cambios de 
la contratación del personal que conforman los diferentes 
proyectos o áreas transversales de la organización. 
 
 
 x 
8.1.1 Todalainformaciónyactivosasociadosa 
losrecursospara eltratamientodela 
informacióndeberíanpertenecerauna 
partedesignadadelaOrganización. 
16 
8.1.2 Sedeberíanidentificar,documentare 
implantarregulacionesparaeluso 
adecuadodelainformaciónylos activos 
asociadosarecursosdetratamientodela 
información. 
17 x 
8.1.3 Clasificacióndelainformación 18 x 
8.2 Lainformacióndeberíaclasificarseen 
relaciónasuvalor,requisitoslegales, 
sensibilidadycriticidadpara la 
Organización. 
 x 
8.2.1 Sedeberíadesarrollareimplantarun 
conjuntoapropiadodeprocedimientos para 
eletiquetadoytratamientodela 
información,deacuerdoconelesquema 
declasificaciónadoptadoporla 
Organización. 
19 x 
9 Controldeacceso 
9.1 Requisitosdenegocioparacontroldeacceso
s 
 La organización desarrolla actividades dentro de las cuales 
los activos de información son manejados por los 
 x 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 37 
 
9.1.1 Sedeberíaestablecer,documentary 
revisarunapolíticadecontroldeaccesos 
enbasealas necesidadesdeseguridadyde 
negociodelaOrganización. 
20 trabajadores, en tal sentido es importante establecer 
controles de seguridad que permitan asegurar que los 
propietarios de activos de información controlan el acceso a 
la información. 
 
La organización para su operación cuenta con una red LAN 
la cual soporta las actividades de los diferentes usuarios, por 
lo tanto es necesario establecer controles de seguridad para 
asegurar que los usuarios solo tienen acceso a los servicios 
para los cuales están autorizados. 
 
El personal de la compañía maneja diferentes tipos de 
información de acuerdo al área o proyecto en el cual 
participan, por esta razón es muy importante gestionar de 
forma adecuada el acceso de los usuarios de acuerdo al área 
o proyecto. En tal sentido es importante establecer controles 
de seguridad aseguren el acceso de usuarios autorizados así 
como evitar el acceso de usuarios no autorizados a 
información fuera de su área o proyecto. 
 
El personal de la compañía debe manejar para acceder a los 
servicios de red un usuario único e intransferible al cual se le 
asignan las respectivas credenciales, las cuales se deben 
actualizar cada treinta (30 (días). 
 
 
 
 
 
 x 
9.2 Gestióndeaccesodeusuario x 
9.2.1 Deberíaexistirunprocedimientoformalde 
altaybajadeusuariosconobjetode 
garantizarycancelarlosaccesosatodoslos 
sistemasyserviciosdeinformación. 
21 x 
9.2.2 Sedebería restringirycontrolarla 
asignaciónyusodelosprivilegios. 
22 x 
9.4 Controldeaccesoenred x 
9.4.1 Sedeberíaproveeralosusuariosdelos 
accesosalos serviciospara losquehansido 
expresamenteautorizadosautilizar. 
23 
9.4.2 Sedeberíanutilizarmétodosde 
autenticaciónadecuadospara elcontroldel 
acceso remotodelos usuarios. 
24 x 
9.4.3 Sedeberíaconsiderarlaidentificación 
automáticadelos equiposcomounmedio 
deautenticacióndeconexiones 
procedentesdelugaresyequipos 
específicos. 
25 x 
9.4.4 Sedeberíacontrolarlaconfiguraciónyelacceso físico ylógicoalospuertosde 
diagnóstico. 
26 x 
9.4.5 Sedeberíansegregar los gruposde 
usuarios,serviciosysistemasde 
informaciónenlas redes. 
27 x 
9.4.6 Enelcaso delas redescompartidas, 
especialmenteaquellasqueseextienden 
28 x 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 38 
 
másalládeloslímitesdelapropia 
Organización,sedeberíanrestringirlas 
competenciasdelosusuariospara 
conectarseenredsegúnlapolíticade 
controldeaccesosynecesidaddeusode 
lasaplicacionesdenegocio. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
9.4.7 Sedeberíanestablecercontrolesde 
enrutamientoenlasredesparaasegurar 
quelas conexionesdelosordenadoresy 
flujosdeinformaciónnoincumplenla 
políticadecontroldeaccesosalas 
aplicacionesdenegocio. 
29 x 
9.5 Controldeaccesoalsistemaoperativo x 
 
9.5.1 
Deberíacontrolarseelaccesoalsistema 
operativomedianteprocedimientos 
segurosdeconexión. 
30 x 
9.5.2 Todoslosusuariosdeberíandisponerdeun 
únicoidentificadorpropiopara suuso 
personalyexclusivo.Se deberíaelegiruna 
técnicadeautenticaciónadecuadaque 
verifiquelaidentidadreclamadaporun 
usuario. 
31 x 
9.5.3 Lossistemasde gestióndecontraseñas 
deberíanserinteractivosy garantizarla 
calidaddelas contraseñas. 
32 x 
9.5.4 Sedebería restringirycontrolarmuyde 
cerca eluso deprogramasdeutilidaddel 
sistemaque pudieranser capacesdeeludir 
loscontrolesdelpropiosistemaydelas 
aplicaciones. 
33 x 
9.5.5 Sedeberíandesconectarlassesionestras 
undeterminadoperiodo deinactividad. 
34 x 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 39 
 
9.5.6 Sedeberíanutilizarlimitacionesenel 
tiempodeconexiónqueproporcionenun 
niveldeseguridadadicionalalas 
aplicacionesdealtoriesgo. 
35 
 
 
 
 
 
 
 
 
 
 x 
9.6 ControldeaccesoalasAplicaciones x 
9.6.1 Sedebería restringirelaccesodelos 
usuariosyelpersonaldemantenimientoa la 
informacióny funcionesde lossistemas 
deaplicaciones,enrelaciónalapolíticade 
controldeaccesosdefinida. 
36 x 
9.6.2 Lossistemassensiblesdeberíandisponer 
deunentornoinformáticodedicado 
(propio). 
37 x 
9.7 Informáticamóvilyteletrabajo x 
9.7.1 Sedeberíaestablecerunapolíticaformaly 
sedeberíanadoptarlasmedidasde 
seguridadadecuadaspara laprotección 
contralos riesgosderivadosdel usodelos 
recursosdeinformáticamóvilylas 
telecomunicaciones. 
38 x 
9.7.2 Sedeberíadesarrollareimplantaruna 
política,planesoperacionalesy 
procedimientosparalas actividadesde 
teletrabajo. 
39 x 
10 Criptografía. 
10.1 Controles criptográficos. La organización para los sistemas de información que se 
manejan en los diferentes proyectos debe establecer 
controles criptográficos con el objetivo de garantizar la 
confidencialidad e integridad de la información. 
 
 x 
10.2 Política sobre el uso de controles 
criptográficos 
40 x 
10.3 Gestión de llaves. 41 x 
11 Seguridadfísicayambiental 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 40 
 
11.1 Áreas seguras La organización para el desarrollo de sus actividades debe 
contar con una infraestructura física, en la cual se ubican los 
activos de información, en tal sentido es importante 
establecer los controles de seguridad para evitar el acceso 
físico no autorizado, el daño a la infraestructura y activos de 
información de la compañía. 
 
Para el desarrollo de las actividades la organización utiliza 
equipos tales como servidores, computadores de escritorio, 
portátiles,routers, Firewalls entre otros dispositivos de red 
impresoras, fotocopiadoras, faxes, escáneres, entre otros, en 
estos equipos se procesa la información de los diferentes 
proyectos y de la empresa por tal razón es necesario 
establecer controles que permitan evitar la ocurrencia de 
eventos como pérdida, daño, robo o interrupción de los 
equipos tanto dentro como fuera de la organización. 
 
El personal de la organización debe ser responsable de los 
activos de información que se encuentran a su cargo, así 
como de la protección de estos activos en cuanto 
confidencialidad, integridad y disponibilidad, de tal forma 
que se deben definir responsabilidades claras en cuanto a 
seguridad de la información en los manuales de funciones 
que se deben entregar al personal, en tal sentido es necesario 
establecer controles de seguridad para asegurar que se evita 
el acceso de usuarios no autorizados y el robo de 
información. 
 
11.1.1 Losperímetrosdeseguridad(como 
paredes,tarjetasdecontroldeentradaa 
puertasounpuesto manualderecepción) 
deberíanutilizarsepara protegerlasáreas 
quecontenganinformaciónyrecursospara 
suprocesamiento. 
43 x 
11.1.2 Lasáreasdeseguridaddeberíanestar 
protegidasporcontrolesdeentrada 
adecuadosquegaranticenelacceso 
únicamentealpersonalautorizado. 
46 x x 
11.1.3 Sedeberíaasignaryaplicarlaseguridad 
físicaparaoficinas,despachosyrecursos. 
47 x 
11.1.4 Sedeberíadesignaryaplicarmedidasde 
protecciónfísicacontraincendio, 
inundación,terremoto,explosión,malestar 
civil yotras formasdedesastrenaturalo 
humano. 
48 x 
11.1.5 Sedeberíancontrolarlasáreasdecarga y 
descargaconobjetodeevitaraccesosno 
autorizadosy, siesposible,aislarlasdelos 
recursospara eltratamientodela 
información. 
49 x 
11.2 Seguridaddelosequipos x 
11.2.1 Elequipodeberíasituarseyprotegerse para 
reducirelriesgodematerializaciónde 
lasamenazasdelentorno,asícomolas 
oportunidadesdeaccesonoautorizado. 
50 x 
11.2.2 Sedeberíanprotegerlosequiposcontra 
fallosenelsuministrodeenergíauotras 
anomalíaseléctricasenlos equiposde 
apoyo. 
51 
D e c l a r a c i ó n a p l i c a b i l i d a d , P l a n d e c o n t i n g e n c i a , P l a n c o n t i n u i d a d d e l n e g o c i o E m p r e s a 
X X X S . A P á g i n a | 41 
 
11.2.3 Sedeberíaprotegerelcableadodeenergía 
ydetelecomunicacionesquetransporten 
datososoportenserviciosdeinformación 
contraposiblesinterceptacionesodaños. 
52 x 
11.2.4 Sedeberíanmanteneradecuadamentelos 
equipospara garantizarsucontinua 
disponibilidadeintegridad. 
53 x 
11.2.5 Sedeberíaaplicarseguridadalosequipos 
queseencuentranfuera deloslocalesdela 
organizaciónconsiderandolos diversos 
riesgosalosqueestánexpuestos. 
54 x 
11.2.6 Debería revisarsecualquierelementodel 
equipoque contengadispositivosde 
almacenamientoconelfindegarantizar 
quecualquierdatosensibleysoftwarecon 
licenciasehaya eliminadoo sobrescritocon 
seguridadantesdelaeliminación 
55 x 
11.2.7 Nodeberíansacarseequipos,información o 
softwarefueradellocal sinuna 
autorización. 
 
56 x 
12 Seguridad de las operaciones 
 
12.1 
Procedimientosyresponsabilidadesdeoper
ación 
 La compañía para el desarrollo de sus actividades utiliza 
herramientas ofimáticas y de desarrollo, con las cuales 
interactúan permanentemente el personal a través de los 
equipos asignados para su labor, en tal sentido es necesario 
establecer controles de seguridad que garanticen que todos 
los cambios se controlan, revisan y someten a pruebas para 
no comprometer la seguridad del sistema ni el entorno 
operativo y también evitar así la fuga de información. 
 
Para el desarrollo de las actividades de la organización se 
 x 
12.1.1 Sedeberíandocumentarymantenerlos 
procedimientosdeoperaciónyponerlosa 
disposicióndetodoslos usuariosquelo 
necesiten. 
57 x 
12.1.2 Sedeberíancontrolarloscambiosenlos 
sistemasyenlos recursosdetratamiento 
delainformación. 
58 x 
D e c l a r a c