Manuel Alfredo Sanchez Vela - Tesis

FACULTAD DE CIENCIAS E INGENIERÍA
PROGRAMA ACADÉMICO DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN
TESIS
“ELABORACIÓN DE UN PLAN DE SEGURIDAD INFORMÁTICA PARA
MEJORAR LA GESTIÓN DE LA INFORMACIÓN DE LA SUB GERENCIA DE
TECNOLOGÍA DE LA INFORMACIÓN, DE LA MUNICIPALIDAD PROVINCIAL
DE REQUENA - 2021”
PARA OBTAR EL TITÚLO PROFESIONAL DE

INGENIERO DE SISTEMAS DE INFORMACIÓN
AUTORES:
 BACHILLER MANUEL ALFREDO SANCHEZ VELA
ASESOR:
 ING. CARLOS GONZALEZ ASPAJO
SAN JUAN BAUTISTA – MAYNAS – LORETO- PERÚ – 2021
i
DEDICATORIA
A mis padres y hermanos por su apoyo y fuerza

moral para seguir enfocado en mis metas y
lograr una persona luchadora, motivada y
emprendedora, con la bendición de Dios por mis
hijos que son el motivo de vida.
Bach. MANUEL ALFREDO SANCHEZ VELA
ii
AGRADECIMIENTO
Expresamos nuestro agradecimiento al jefe de la Oficina de Informática de la

Municipalidad Distrital de Requena, por haber apoyado en la realización de mi tesis.
A mi Asesor •Ing. Carlos González Aspajo por haber brindado su guía en la

elaboración y ejecución de esta tesis, con sus conocimientos.
A la Universidad Científica del Perú, por ser mi alma mater. Y brindarme amplios
conocimientos en mi carrera profesional e inculcarme integridad personal.
Bach. MANUEL ALFREDO SANCHEZ VELA
iii
CONSTANCIA DE ORIGINALIDAD DE TRABAJO
iv
ACTA DE SUSTENTACION DE TESIS
v
HOJA DE APROBACION
vi
INDICE DEL CONTENIDO
Páginas
PORTADA………………………………………………………………………..…………...i
DEDICATORIA ........................................................................................................... ii
AGRADECIMIENTO .................................................................................................. iii
CONSTANCIA DE ORIGINALIDAD DE TRABAJO .................................................. iv
ACTA DE SUSTENTACION DE TESIS ...................................................................... v
HOJA DE APROBACION .......................................................................................... vi
INDICE DEL CONTENIDO........................................................................................ vii
INDICE DE TABLAS ................................................................................................ viii
INDICE DE GRÁFICOS ............................................................................................. ix
INDICE DE FIGURAS ................................................................................................. x
RESUMEN ................................................................................................................ 11
ABSTRACT............................................................................................................... 12
Capítulo I: Marco teórico ........................................................................................ 13
1.1 Antecedentes del estudio .................................................................................... 13
1.2 Bases teóricas .................................................................................................... 15
1.3 Definición de términos básicos: .......................................................................... 16
Capítulo II: Planteamiento del problema ............................................................... 17
2.1. Descripción del problema.................................................................................... 17
2.2. Formulación del problema................................................................................... 18
2.2.1. Problema general .................................................................................................................. 18
2.2.2. Problemas específicos ........................................................................................................... 18
2.3. Objetivos. ............................................................................................................ 18
2.3.1. Objetivo general: .......................................................................................... 18
2.3.2. Objetivos específicos: .................................................................................. 18
2.4. Hipótesis ............................................................................................................. 19
2.5. Variables ............................................................................................................. 19
2.5.1. Identificación de las variables ...................................................................... 19
2.5.2. Definición conceptual de la Variable ............................................................ 19
2.5.3. Operacionalización de la variable ................................................................ 19
Capítulo III: Metodología ......................................................................................... 20
3.1. Tipo y diseño de investigación ............................................................................ 20
3.2. Población y muestra ........................................................................................... 20
3.3. Técnicas, instrumentos y procedimientos de recolección de datos .................... 21
3.3.1. Técnicas ................................................................................................................................. 21
3.3.2. Instrumentos: ........................................................................................................................ 21
3.3.3. Procedimientos de Recolección de Datos ............................................................................. 22
3.4. Procesamiento y análisis de datos ...................................................................... 22
Capítulo IV. Resultados .......................................................................................... 22
Capítulo V. Discusión, conclusiones y recomendaciones .................................. 34
5.1. Discusiones:........................................................................................................ 34
5.2. Conclusiones ...................................................................................................... 35
5.3. Recomendaciones: ............................................................................................. 36
Referencias Bibliográficas ..................................................................................... 37
Anexo 1. Matriz de consistencia ............................................................................ 38
Anexo 2. Instrumento de recolección de datos. ................................................... 40
Anexo 3: De la Redacción....................................................................................... 41
Anexo 4: ................................................................................................................... 43
Plan de Seguridad Informática de la Municipalidad Provincial de Requena ...... 43
vii
1.3.1 Responsables ......................................................................................................................... 43
1.3.2 Medidas y procedimientos de protección Física ................................................................. 44
1.3.3 Medidas y procedimientos de protección técnicas o lógicas .............................................. 47
1.3.4 Medidas y procedimientos de seguridad de operaciones .................................................. 49
1.4 PLAN DE RECUPERACIÓN DE DESASTRES .................................................. 49
PREVIO AL EVENTO ........................................................................................................................ 49
DURANTE EL EVENTO.................................................................................................................... 52
1.4.1 DESPUES DEL EVENTO .......................................................................................................... 57
INDICE DE TABLAS
Página
Tabla N°01: Operacionalización de Variables…………………………………… 19
Tabla N°02: Distribución del Personal …………………………………………… 21
Tabla N°03: Identificación de Usuarios ………………………………………….. 22
Tabla N°04: Uso de contraseñas ………...………………………………………. 23
Tabla N°05: Perfiles de Usuarios ……………………………..………………….. 24
Tabla N°06: Confiabilidad y Seguridad del Software ………………………..... 26
Tabla N°07: Seguridad de Base de Datos ……………………………………... 27
Tabla N°08: Control de las aplicaciones y sistemas …………………………… 28
Tabla N°09: Mantenimiento Periódico ………………………………….………. 29
Tabla N°10: Seguridad en la Red de Datos……………………………………....30
Tabla N°11: Backup de Datos ….………………………………………..……….. 31
Tabla N°12: Accesibilidad al Data Center ………….……………………………. 32
viii
INDICE DE GRÁFICOS
Página
Gráfico N°01: Identificación de Usuarios………………………………………... 23

Gráfico N°02: Uso de contraseñas………………………………………………. 24
Gráfico N°03: Perfiles de Usuario …………….....……………………………… 25
Gráfico N°04: Confiabilidad y Seguridad del Software .………………………. 26
Gráfico N°05: Seguridad de la Base de Datos …….. …………………………. 27
Gráfico N°06: Control de las aplicaciones y sistemas …………………………. 28
Gráfico N°07: Mantenimiento Periódico …………………………………………. 29
Gráfico N°08: Seguridad en la Red de Datos…..………………………………. 30
Gráfico N°09: Backup de Datos …………………………………………………. 31
Gráfico N°10: Accesibilidad del Data Center……………………………………. 32
ix
INDICE DE FIGURAS
Página
Figura N°01: Foto de Entrada de la Municipalidad Provincial de Requena ……...41
Figura N°02: Foto del local de la Sub Gerencia de Tecnología de Información ... 42
x
RESUMEN
En la presente investigación cuyo título es “Elaboración De Un Plan De Seguridad

Informática Para Mejorar La Gestión De La Información De La Sub Gerencia De
Tecnología De La Información, De La Municipalidad Provincial De Requena –
2021”, se evalúa los diferentes niveles de seguridad informática que debe tener
las entidades públicas, para lograr la continuidad de sus servicios informáticos,
esta investigación es de tipo descriptiva, se llegó como conclusión general que los
activos informáticos presentan muchos riesgos debido las vulnerabilidades con
que cuenta y están expuestas, también en esta investigación se elaboró un plan
de seguridad Informática que deber ser aprobado e implementado para asegurar
la continuidad de los procesos donde se utiliza los sistemas informáticos y
aplicaciones con que cuenta la Municipalidad Provincial de Requena.
Palabras Claves: Plan, Seguridad, Gestión, Información.
11
ABSTRACT
In the present investigation whose title is "Preparation of a Computer Security Plan

to Improve Information Management of the Information Technology Sub-
Management, of the Provincial Municipality of Requena - 2021, the different levels
of computer security that public entities must have, to achieve the continuity of their
computer services, this research is descriptive, it was reached as a general
conclusion that computer assets present many risks due to the vulnerabilities they
have and are exposed, also in this investigation was elaborated an IT security plan
that must be approved and implemented to ensure the continuity of the processes
where the IT systems and applications are used by the Provincial Municipality of
Requena.
Keywords: Plan, Security, Management, Information.
12
Capítulo I: Marco teórico
1.1 Antecedentes del estudio
A Nivel Internacional
 Guallpa (2017), en su tesis para optar el grado académico de magister en

informática empresarial, titulada: “Plan de Seguridad Informática Basada en la
Norma ISO 27002 para el Control de Accesos Indebidos a la red de Uniandes
Puyo”, cuyo objetivo general es proponer un plan de seguridad para las
tecnologías de la información de una de las sedes de la universidad regional
autónoma de los andes, que pretende proponer la problemática de accesos
indebidos que tiene esta entidad, en la tesis se propone la aplicación de la
normativa ISO 27002 para el análisis del riesgo, esta tesis e de tipo descriptivo
donde se explica la causa y efecto de la implementación de la seguridad de la
información, luego de la evaluación del riesgo se llegó a la conclusión que existe
la necesidad de aplicar e implementar periódicamente políticas de seguridad
para proteger y asegurar física, lógica y perimetralmente la red LAN de la sede
de la universidad.
 Molano (2017), en su tesis para optar el título profesional de especialista en

Auditoria de Sistemas, titulada: “Estrategias para implementar un sistema de
gestión de la seguridad de la información basada en la norma ISO 27001 en el
área de Tecnologías de la Información de la empresa Market Mix”, cuyo objetivo
general es identificar la mejor forma de aplicar el un sistema de gestión de
seguridad de la información basadas en la norma ISO 27001, en la tesis se
realiza un análisis FODA del área de tecnologías de la información para
determina los riesgos y vulnerabilidades existentes actualmente en la
organización, mediante esta tesis se llegó a la conclusión que existe la
necesidad de aplicar y evaluar periódicamente las políticas de seguridad que el
área de TI este protegida de manera física y lógica de los riesgo y amenazas
existentes.
 Macias & Dueñas (2015), en su tesis para optar el título profesional de Ingeniero
de Telecomunicaciones, titulada: “Implementación de un modelo de seguridad
informática en un sistema de monitoreo para los canales de comunicaciones y
13
data center en la empresa Atento S.A.”, cuyo objetivo general es implementar un
modelo de plan de seguridad informática en un sistema de monitoreo para los
canales de comunicaciones y data center de la empresa ATENTO S.A., en la
tesis primero se evalúa los principales problemas de seguridad informática que
se generan en el data center, además de ello realizan el diseño de una
infraestructura de red tanto a nivel lógico y físico de manera segura, del mismo
modo establece las políticas a aplicar durante sus procesos informáticos,
A Nivel Nacional
 Guzmán (2015), en su tesis para optar el grado académico de magister en

ingeniería de sistemas de la Universidad Nacional del centro del Perú, titulada
“Metodología para la seguridad de tecnologías de la información y
comunicaciones de la clínica Ortega”, cuyo objetivo general es medir la
importancia que tienen las metodologías de seguridad informática que asegure
la continuidad de los servicios que ofrece la clínica que dependen directamente
de la tecnología, en la tesis se llegó a la conclusión que para definir y aplicar un
modelo de seguridad de TI primero se debe hacer una evaluación del riesgo para
detectar las vulnerabilidades y amenazas, luego de esta evaluación y aplicación
de la metodología se debe realizar controles periódicos para ir mejorando de
manera continua los niveles de seguridad en el área y que uno de los estándares
que es más fácil de aplicar es el ISO 19002.
 Gavino (2018) En su tesis titulada Auditoria en Seguridad Informática y gestión

de riesgo en el hospital regional de huacho, para optar el título profesional de
Ingeniero Informático en la Universidad Nacional José Faustino Sánchez
Carrión, cuyo objetivo general es evaluar la seguridad informática y su relación
con la gestión del riesgo en el hospital regional de huacho, llega a la conclusión
que existe una relación positiva entre la seguridad lógica, la seguridad de
aplicaciones y la administración de los del centro de procesamiento por lo tanto
la implementación de la seguridad en todos los niveles es favorable para la
protección de los recursos informáticos.
14
Nivel Local
 No se encontraron estudios relacionados
1.2 Bases teóricas
 Plan de Seguridad Informática:
Para Cano (2017, Pág. 3), Es la representación gráfica de un Sistema de

Seguridad Informática que se diseña y se plasma en un documento donde se
plantea los principios funcionales y organizativos de las actividades a desarrollar
respecto a la Seguridad de los recursos informáticos en una organización, por lo
tanto y menciona de manera clara y concisa las políticas, responsabilidades,
medidas y procedimientos para prevenir, detectar y disminuir las
vulnerabilidades y las amenazas que tiene una organización respecto a la
seguridad que amerita la información.
Para Merlos (2018, Pág. 18), Un plan de seguridad informática, hace referencia
al proceso informático que permite plantear la forma de proteger la
infraestructura informática, proporcionando a los lectores, la capacidad de
identificar, disminuir y eliminar las amenazas y vulnerabilidades que puede
trasgredir o distorsionar la información de una organización, por lo tanto esto
permite garantizar la privacidad propiamente de la información y sus derivados,
así mismo como la continuidad de los servicios que utilizan esta en la
organización.
EcuRed (s.f.): Afirma que el un Plan de Seguridad Informática constituye un

documento que sirve para realizar el control y la seguridad en la utilización de la
información, donde las medidas que se establecen son de obligatorio
cumplimiento para todo el personal que haga uso de las tecnologías informáticas
instaladas en la institución.
15
 Gestión de Información:
Evaluando Software (s.f.) La Gestión de la información es la definición de un

conjunto de procesos que se utiliza para designar actividades orientadas a la
generación, coordinación, almacenamiento, conservación, búsqueda y
recuperación de la información tanto interna como externa contenida en
cualquier soporte.
Para (Palmieri y Rivas, 2007, citada por Sánchez, 2006, p. 18), hace
referencia a los procesos que se realizan para ingresar, clasificar, preservar,
recuperar, compartir y difundir la información que genera, recibe y/o adquiere
una organización”
Para García (2010), Es un proceso por el cual se obtienen, despliegan o utilizan

recursos básicos para manejar información dentro y para la sociedad a la que
sirve”. La misma autora lo vincula con diferentes dimensiones: el entorno, los
procesos, las personas, la tecnología, la infraestructura, y los productos y
servicios.
1.3 Definición de términos básicos:
 Amenazas: es la presencia de uno más factores de diversas índoles (Personas,

maquinas o sucesos) que pueden tener la oportunidad de realizar un ataque a
los sistemas o hardware de una organización, esto puede producir daños
(Aguilera,2010).
 Vulnerabilidades: Es la probabilidad que existen de que las amenazas existentes

en el entorno de las TI, se materialice o ejecuten en dé contra un activo. No todos
los activos son vulnerables a la misma amenaza. (Aguilera,2010).
 Riesgo: Es la posibilidad que se materialice o no la amenaza aprovechando una

vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad
ni una vulnerabilidad cuando no existe amenaza para la misma. (Aguilera,2010).
 Activos: son los elementos que pertenecen al propio sistema de información o

que están relacionados con este. La presencia de los activos facilita el
16
funcionamiento de la empresa y la consecución de sus objetivos.
(Aguilera,2010).
 Políticas de Seguridad: es una lista o descripción donde se establecen las

acciones o procedimientos a realizar frente a los riesgos de información,
identifican los objetivos de seguridad aceptables y también los mecanismos para
lograr estos objetivos (Laudon,2012).
Capítulo II: Planteamiento del problema
2.1. Descripción del problema
La municipalidad provincial de Requena, tiene más de 45 años de creación e

institucionalización y desde ahí ha pasado por varios procesos de
modernización tecnológica, implementando los sistemas informáticos que le
proporciono el estado el cual sirve para la adecuada gestión de la información
tanto económica como administrativa, actualmente la municipalidad presenta
muchas deficiencias tecnológicas debido al bajo presupuesto asignado a la sub
gerencia de tecnologías de la información y la poca importancia que le dan sus
autoridades a la adquisición de equipamiento informático, a la implementación
de políticas que permitan asegurar el normal funcionamiento de los procesos
informáticos dentro de sus locales y áreas administrativas a pesar que existe
normativa que obliga a las entidades municipales a establecer y presentar
dichas políticas ante el ente correspondiente como es la Oficina Nacional de
Gobierno Electrónico, este problema conlleva a poner en riesgo la información
que se procesa, se almacena y utiliza en los procesos administrativos de toda
la municipalidad es por ellos que la Oficina de Tecnología de la Información de
la Municipalidad debería proponer e implementar los mecanismos necesarios
para asegurar los procesos que implica el manejo de la información cumpliendo
los estándares mínimos o normativas establecidas por las entidades del
gobiernos encargadas de aprobar y evaluar las medidas a implementar, es por
la razón de ser de esta investigación.
17
2.2. Formulación del problema
2.2.1. Problema general
 ¿Mediante la elaboración de un Plan de Seguridad Informática se mejora la gestión

de información de la sub gerencia de tecnología de la información de la
Municipalidad Provincial de Requena - 2021?
2.2.2. Problemas específicos
 ¿Cuál es el nivel de seguridad lógica informática de la Municipalidad Provincial

de Requena?
 ¿Cuál es el nivel de seguridad de Software de la Municipalidad Provincial de
Requena?
 ¿Cuál es el nivel de seguridad del Hardware de la Municipalidad Provincial de
Requena?
 ¿Cuál es el nivel de seguridad del data center de la Municipalidad Provincial de
Requena?
2.3. Objetivos.
2.3.1. Objetivo general:
 Elaborar un Plan de Seguridad Informática para mejorar la gestión de

información de la sub gerencia de tecnología de la información de la
Municipalidad Provincial de Requena en el periodo 2021.
2.3.2. Objetivos específicos:

 Evaluar el nivel de Seguridad Lógica Informática existente en la
Municipalidad Provincial de Requena.
 Evaluar el nivel de Seguridad del Software existente en la Municipalidad
Provincial de Requena.
 Evaluar el nivel de seguridad del Hardware existente en la Municipalidad
 Evaluar el nivel de seguridad del data center de la Municipalidad Provincial
de Requena.
18
2.4. Hipótesis
 Hipótesis General: Mediante la elaboración de un Plan de Seguridad

Informática se logrará mejorar la gestión de información de la sub gerencia de
tecnología de la información de la Municipalidad Provincial de Requena en el
periodo 2021.
2.5. Variables
2.5.1. Identificación de las variables
 Variable: Elaboración de un Plan de Seguridad Informática para mejorar la

gestión de información de la sub gerencia de tecnología de la información de la
Municipalidad Provincial de Requena en el periodo 2021.
2.5.2. Definición conceptual de la Variable
 Variable: Elaboración de un plan de seguridad informática para la gestión de la

información es el documento formal en una entidad que se diseña en función a
la los procesos y equipamiento informático que cuenta para asegurar el
procesamiento, almacenamiento y distribución de la información en las distintas
áreas.
2.5.3. Operacionalización de la variable
Tabla N°01
Operacionalización de la Variable
Variable Dimensiones Indicadores Instrumento de
Recolección de
Datos
Nivel de Identificación de Usuarios
Plan de  Ficha de
Seguridad Acceso Mediante Contraseñas
seguridad Observación
Lógica
informática Perfiles de Usuarios  Revisión
Informática
para la documental
Confiabilidad del Software
Gestión de  Matriz de Riesgo
Seguridad de la Base de datos
19
la Nivel de  Encuesta
Control de Instalación de
información seguridad del
Aplicaciones
Software.
Nivel de Control de Mantenimiento
seguridad del
Seguridad de la red
hardware
Nivel de Backup
Seguridad del
Accesibilidad
Data Center
Fuente: Elaboración Propia
Capítulo III: Metodología
3.1. Tipo y diseño de investigación
Tipo de Investigación
 Descriptiva
Diseño de la Investigación
 El diseño de la investigación es de tipo no experimental: Descriptivo Simple
La representación gráfica es la siguiente:
M-O
Dónde:
M: Muestra con quien(es) vamos a realizar el estudio.
O: Información (observaciones) relevante o de interés que recogemos de la
muestra
3.2. Población y muestra
 Población:
Personal de la sub gerencia de tecnología de la información de la Municipalidad
Provincial de Requena:
20
Tabla N°02
Distribución del Personal de la sub gerencia de tecnología de la información de la
Municipalidad Provincial de Requena
CANTIDAD CARGO
01 Sub Gerente
04 Soporte Técnico
01 Desarrollador de Software
01 Administrador de Servidores y Redes
01 Analista de Sistemas
04 Practicantes
01 Secretaria
Total 13 personas
Fuente: Recursos Humanos MPR
 Muestra:
Para la investigación se tomará toda la población que consiste en 13 personas que
trabajan en la sub gerencia de tecnologías de la información de la Municipalidad
3.3. Técnicas, instrumentos y procedimientos de recolección de datos
3.3.1. Técnicas
Para la investigación se utilizó las siguientes técnicas para la recolección de
datos:
o Análisis Documental
o Encuesta
o Observación Directa
3.3.2. Instrumentos:
o Cuestionario
o Ficha de Observación
21
3.3.3. Procedimientos de Recolección de Datos
Como procedimiento de recolección de datos se utilizó la encuesta con la

escala de Likert, para elaborar cuadros por cada uno de los ítems a evaluar
3.4. Procesamiento y análisis de datos
Para el procesamiento, tabulación y análisis de los datos recopilados se utilizó

la SPSS Versión 22.
Capítulo IV. Resultados
 Estadística Descriptiva de la Variable: Plan de seguridad informática y la Gestión

de la información
Dimensión: Nivel de Seguridad Lógica
 Distribución de las frecuencias y porcentajes según nivel de respuestas del

cuestionario en relación al riesgo que existe en el nivel de seguridad lógica:
Pregunta 01.- ¿En la Municipalidad provincial de Requena para acceder a un

equipo de cómputo los usuarios se identifican?
Tabla N°03
Identificación de Usuarios
Identificación de U ni Porcentaje
Siempre 0 0%
Casi Siempre 0 0%
A Veces 0 0%
Casi Nunca 4 31%
Nunca 9 69%
Total 13 100%
22
Gráfico N°01
10
9
9
8
7
6
5
4
4
3
2
69%
1 31%
0 0% 0 0% 0 0%
0
Siempre Casi Siempre A Veces Casi Nunca Nunca
Interpretación:
De la tabla 03 y gráfico 01, se evidencia que de una muestra 13 Trabajadores de la
Sub Gerencia de Tecnologías de la Información de la Municipalidad Provincial de
Requena, el 31% señalo que los usuarios que tienen a su cargo una computadora casi
nunca se identifican, el 69% señalo que nunca se identifican.
Pregunta 02.- ¿En la Municipalidad provincial de Requena para acceder a un

equipo de cómputo los usuarios hacen uso de una contraseña?
Tabla N°04
Uso de Contraseñas
Uso de
Contraseñas ni Porcentaje
Siempre 0 0%
Casi Siempre 0 0%
A Veces 0 0%
Casi Nunca 4 31%
Nunca 9 69%
Total 13 100%
23
Gráfico N°02
Uso de Contraseñas
Uso de Contraseñas
10
9
9
8
7
6
5
4
4
3
2
69%
1 31%
0 0% 0 0% 0 0%
0
Interpretación:
nunca usan una contraseña para acceder, el 69% señalo que nunca usan una
contraseña para acceder al equipo de cómputo.
Pregunta 03.- ¿En la Municipalidad provincial de Requena se ha creado

perfiles de usuario para acceder a un equipo de cómputo?
Tabla N°05
Perfiles de Usuarios
Uso de
Contraseñas ni Porcentaje
Siempre 0 0%
Casi Siempre 0 0%
A Veces 0 0%
Casi Nunca 4 31%
Nunca 9 69%
Total 13 100%
24
Gráfico N°03
Perfiles de Usuario
Uso de Perfiles de Usuario

10
9
9
8
7
6
5
4
4
3
2
69%
1 31%
0 0% 0 0% 0 0%
0
Interpretación:
nunca tienen perfiles de Usuarios, el 69% señalo que nunca tienen perfiles de usuarios
para acceder al equipo de cómputo.
Dimensión: Nivel de Seguridad del Software

cuestionario en relación al riesgo que existe en el nivel de seguridad del
Software:
Pregunta 04.- ¿Los sistemas informáticos y aplicaciones con que cuenta la
Municipalidad Provincial de Requena son confiables y seguros?
25
Tabla N°06
Confiabilidad y Seguridad del Software
Seguridad del Software ni Porcentaje
Siempre 0 0%
Casi Siempre 5 38%
A Veces 8 62%
Casi Nunca 0 0%
Nunca 0 0%
Total 13 100%
Gráfico N°04

9
8
8
7
6
5
5
4
3
2
1 38% 62%
0 0% 0 0% 0 0%
0
Interpretación:
Requena, el 31% señalo que los sistemas informáticos y aplicaciones casi siempre
son confiables y seguros, el 69% señalo que los sistemas informáticos y aplicaciones
a veces son confiables y seguros.
26
Pregunta 05.- ¿Las bases de datos con que cuentan los sistemas informáticos
y aplicaciones con que cuenta la Municipalidad Provincial de Requena son
seguras?
Tabla N°07
Seguridad de Base de Datos
Seguridad de la Base de Datos ni Porcentaje
Siempre 0 0%
Casi Siempre 5 38%
A Veces 4 31%
Casi Nunca 4 31%
Nunca 0 0%
Total 13 100%
Gráfico N°05
Seguridad de la Base de Datos
Seguridad de la Base de Datos

6
5
5
4 4
4
1
38% 31% 31%
0 0% 0 0%
0
Interpretación:
Requena, el 38% señalo que la base de datos con que cuenta los sistemas y
aplicaciones informáticas son casi siempre seguras, el 31% señalo que a veces son
seguras y otro 31% casi nunca son seguras.
27
Pregunta 06.- ¿Los sistemas informáticos y aplicaciones instaladas en los
equipos de cómputo con que cuenta la Municipalidad Provincial de Requena
están debidamente controlada?
Tabla N°08
Control de las aplicaciones y sistemas
Control de las aplicaciones y sistemas ni Porcentaje
Siempre 0 0%
Casi Siempre 0 0%
A Veces 5 38%
Casi Nunca 8 62%
Nunca 0 0%
Total 13 100%
Gráfico N°06

9
8
8
7
6
5
5
4
3
2
1 38% 62%
0 0% 0 0% 0 0%
0
Interpretación:
Requena, el 38% señalo que a veces se tiene un control de las aplicaciones y sistemas
informáticos y el 62% señalo que casi nunca se realiza control de las aplicaciones y
sistemas informáticos.
28
Dimensión: Nivel de Seguridad del Hardware

cuestionario en relación al riesgo que existe en el nivel de seguridad del
Hardware:
Pregunta 07.- ¿Se realiza periódicamente el mantenimiento a los equipos de

cómputo con que cuenta la Municipalidad Provincial de Requena?
Tabla N°09
Mantenimiento Periódico
Mantenimiento Periódico ni Porcentaje
Siempre 0 0%
Casi Siempre 0 0%
A Veces 5 38%
Casi Nunca 8 62%
Nunca 0 0%
Total 13 100%
Gráfico N°07
9
8
8
7
6
5
5
4
3
2
1 38% 62%
0 0% 0 0% 0 0%
0
Interpretación:
29
Requena, el 38% señalo que a veces se realiza el mantenimiento de los equipos de
cómputo con que cuenta la Municipalidad Provincial de Requena, el 62% señalo que
casi nunca se realiza el mantenimiento.
Pregunta 08.- ¿La red de datos de datos de la Municipalidad Provincial de

Requena está protegido contra ataques de red?
Tabla N°10
Seguridad en la Red de Datos
Seguridad en la Red de Datos ni Porcentaje

Siempre 0 0%
Casi Siempre 0 0%
A Veces 0 0%
Casi Nunca 6 46%
Nunca 7 54%
Total 13 100%
Gráfico N°08

8
7
7
6
6
1 46% 54%
0 0% 0 0% 0 0%
0
Interpretación:
30
Requena, el 46% señalo que casi nunca está protegido contra ataques de red y el
54% señalo que nunca están protegidos contra ataques de red.
Dimensión: Nivel de Seguridad del Data Center

cuestionario en relación al riesgo que existe en el nivel de seguridad del data
center:
Pregunta 09.- ¿Se hace Backup periódicamente los datos de los servidores del
data center?
Tabla N°11
Backup de Datos
Seguridad en la Red de Datos ni Porcentaje

Siempre 0 0%
Casi Siempre 0 0%
A Veces 0 0%
Casi Nunca 6 46%
Nunca 7 54%
Total 13 100%
Gráfico N°09
Backup de Datos
Backup de Datos
8
7
7
6
6
1 46% 54%
0 0% 0 0% 0 0%
0
31
Interpretación:
Requena, el 46% señalo que casi nunca se hace backup de los datos de los servidores
del data center y el 54% señalo que nunca se hacen backup de los datos.
Pregunta 10.- ¿Cualquier personal de la Municipalidad puede acceder de

manera fácil al ambiente donde se encuentra el data Center?
Tabla N°12
Accesibilidad al Data Center
Accesibilidad al Data Center ni Porcentaje

Siempre 0 0%
Casi Siempre 7 54%
A Veces 6 46%
Casi Nunca 0 0%
Nunca 0 0%
Total 13 100%
Gráfico N°10
Accesibilidad del Data Center
Accesibilidad al Data Center

8
7
7
6
6
1 54% 46%
0 0% 0 0% 0 0%
0
32
Interpretación:
Requena, el 54% señalo que casi siempre cualquier trabajador de la Municipalidad
Provincial de Requena puede acceder al ambiente donde se encuentra el Data Center
y el 46% señalo que a veces el personal de la municipalidad puede acceder al
ambiente del data center.
33
Capítulo V. Discusión, conclusiones y recomendaciones
5.1. Discusiones:
 Del mismo modo que Guallpa (2017), en su tesis titulada: “Plan de Seguridad
Informática Basada en la Norma ISO 27002 para el Control de Accesos
Indebidos a la red de Uniandes Puyo”, donde propone la implementación de un
plan de seguridad para las tecnologías de la información de una de las sedes
de la universidad regional autónoma de los andes, en mi investigación de
acuerdo a la evaluación mínima de los criterios de seguridad informática
también proponemos que se elabore e implemente un plan de seguridad
informática para asegurar la continuidad de los servicios informáticos que
presta la sub gerencia de tecnologías de la información de la Municipalidad
 Del mismo modo que Molano (2017), en su tesis titulada: “Estrategias para
implementar un sistema de gestión de la seguridad de la información basada
en la norma ISO 27001 en el área de Tecnologías de la Información de la
empresa Market Mix”, donde identifica y propone la mejor forma de aplicar el
un sistema de gestión de seguridad de la información basadas en la norma ISO
27001, en mi investigación luego de hacer la evaluación de los riesgos
existentes en los equipos de cómputo de la Municipalidad Provincial de
Requena, también se propone la implementación de un plan de seguridad
informática que permita asegurar los servicios informáticos que se presta en
las áreas administrativas de la municipalidad.
 Del mismo modo que Guzmán (2015), en su tesis titulada “Metodología para la
seguridad de tecnologías de la información y comunicaciones de la clínica
Ortega”, donde mide la importancia que tienen las metodologías de seguridad
informática que asegure la continuidad de los servicios que ofrece la clínica que
dependen directamente de la tecnología, del mismo modo en mi investigación
se resalta la importancia de implementar un plan de seguridad teniendo en
consideración una metodología o estándar con la finalidad de mantener en
funcionamiento los servicios informáticos de la Municipalidad Provincial de
Requena.
34
5.2. Conclusiones
 Se logró evaluar el nivel de seguridad lógica, donde se pudo determinar que

existe un riesgo muy alto de sufrir un daño en los archivos de los equipos de
cómputo de la Municipalidad Provincial de Requena, ya que la seguridad de los
accesos y contraseñas no están implementadas como medida de seguridad
informática.
 Se logró evaluar el nivel de seguridad del software, donde se pudo determinar

que existe riesgo muy alto debido a que los sistemas y la base de datos de la
Municipalidad Provincial de Requena, no son muy seguros debido a que no se
tienen los controles necesarios para su instalación y funcionamiento.
 Se logró evaluar el nivel de seguridad del hardware, donde se pudo determinar

que existe un riesgo muy ato debido a que no se realiza los mantenimientos de
los equipos de cómputo de la Municipalidad Provincial de Requena de manera
periódica, existiendo el peligro de que se produzcan fallas durante la prestación
de los servicios que se dan de manera continua.
 Se logró evaluar el Nivel de seguridad del Data center, donde se puedo

determinar que existe el riesgo muy alto debido a que cualquier usuario o
trabajador común puede acceder a los ambientes donde se encuentra el data
center en la Municipalidad Provincial de Requena, también se pudo determinar
que no se hacen los Backup de los sistemas y base de datos de los servidores
que se encuentran en el data center.
35
5.3. Recomendaciones:
 Los directivos de la Municipalidad Distrital de Requena deben realizar más

inversión en Tecnologías de la Información y comunicaciones de manera
continua para asegurar la continuidad de los servicios informáticos que se
prestan en las áreas administrativas de la municipalidad.
 La sub gerencia de tecnologías de la información de la Municipalidad Provincial

de Requena, debe formar un comité de seguridad informática el cual evalué
periódicamente los niveles de seguridad para así, proponer mejoras respecto
los niveles de seguridad existente y aplicarlas para lograr la continuidad de los
servicios informáticos.
 Aprobar e implementar el plan de seguridad informática propuesto en esta

investigación.
 Se debe capacitar constantemente al personal del área de TI, en la

implementación del plan de seguridad informática propuesto en esta
investigación.
36
Referencias Bibliográficas
 Guzmán, Goyo (2015) Tesis: “Metodología para la Seguridad de Tecnologías de la

Información y Comunicaciones en la Clínica Ortega”, recuperado de:
http://repositorio.uncp.edu.pe/handle/UNCP/1478
 Guallpa, Luis (2018) Tesis: “Plan de Seguridad Informática Basada En La Norma

ISO 27002 para el Control de Accesos Indebidos a la Red De Uniandes Puyo”,
recuperado de:
http://dspace.uniandes.edu.ec/handle/123456789/6762
 Molano, Rafael (2017) Tesis: Estrategias para implementar un sistema de gestión

de la seguridad de la información basada en la norma ISO 27001 en el área de TI
para la empresa Market Mix, recuperado de:
https://repository.ucatolica.edu.co/bitstream/10983/15240
 Merino (2012, P.25): Tesis “"Tecnologías De Información Y Comunicación En La

Gestión Municipal Del Distrito De Colcabamba, 2012" recuperado de:
http://repositorio.unh.edu.pe/bitstream/handle/UNH/706/TP%20-
%20UNH.%20%20SIST.%200004.pdf?sequence=1&isAllowed=y
 Pariaton (2018, P.28); Tesis “Nivel De Gestión Del Dominio Planificación Y

Organización De Las Tecnologías De Información Y Comunicaciones (Tic) En La
Municipalidad Provincial De Piura En El Año 2015. Recuperado de:
http://repositorio.uladech.edu.pe/bitstream/handle/123456789/793/GESTION_%20TIC_PALACI
OS%20_VILLALTA_YIMMY_%20ALI%20.pdf?sequence=1&isAllowed=y
 Gavino (2018); Tesis “Nivel De Gestión Del Dominio Planificación Y Organización

De Las Tecnologías De Información Y Comunicaciones (Tic) En La Municipalidad
Provincial De Piura En El Año 2015. Recuperado de:
http://repositorio.unjfsc.edu.pe/bitstream/handle/UNJFSC/2924/raul-
gavino.pdf?sequence=1&isAllowed=y
 Cano (2017), Plan de Seguridad Informática (2017, Pág. 03); Recuperado de:
https://juliocanoramirez.files.wordpress.com/2017/02/plan_seguridad.pdf
37
Anexo 1. Matriz de consistencia
PROBLEMA OBJETIVOS HIPOTESIS VARIABLES DIMENSIÓN INDICADORES METODOLOGIA
Problema General General General: Identificación de Tipo de Investigación
Nivel de
¿Mediante la elaboración Elaborar de un Plan de Mediante la Elaboración de un Plan Usuarios Descriptiva
Seguridad
de un Plan de Seguridad Seguridad Informática para elaboración de un de Seguridad Acceso Mediante El diseño de la investigación es de tipo no
Lógica
Informática se mejora la mejorar la gestión de Plan de Seguridad Informática para Contraseñas experimental: Descriptiva Simple
Informática
gestión de información de información de la sub Informática se mejorar la gestión de Perfiles de Usuarios
la sub gerencia de gerencia de tecnología de logrará mejorar la información de la sub La representación gráfica es la siguiente:
Confiabilidad del
tecnología de la la información de la gestión de gerencia de tecnología M-O
Software
información de la Municipalidad Provincial de información de la de la información de la Nivel de
Seguridad de la Base
Municipalidad Provincial de Requena en el periodo sub gerencia de Municipalidad seguridad del Dónde:
de datos
Requena - 2021? 2021 tecnología de la Provincial de Requena Software. M: Muestra con quien(es) vamos a realizar el
Control de Instalación
información de la en el periodo 2021. estudio.
de Aplicaciones
Problemas Específicos Específicos Municipalidad O: Información (observaciones) relevante o
Control de
¿Cuál es el nivel de Provincial de Nivel de de interés que recogemos de la muestra
Mantenimiento
seguridad lógica Evaluar el nivel de Requena en el seguridad del
Seguridad de la red
informática de la Seguridad Lógica periodo 2021. Hardware Población y Muestra
Municipalidad Provincial de Informática existente en la 13 Trabajadores de la subgerencia de TI
Backup
Requena? Municipalidad Provincial de
¿Cuál es el nivel de Requena. Técnica de Recolección de Datos:
seguridad de Software de Accesibilidad La Encuesta
la Municipalidad Provincial Evaluar el nivel de Nivel de Instrumento de Recolección de Datos:
de Requena? Seguridad del Software Seguridad del El Cuestionario
¿Cuál es el nivel de existente en la Data Center Procedimiento de Recolección de Datos:
seguridad del Hardware de Municipalidad Provincial de Aplicación de cuestionario
la Municipalidad Provincial Requena. Procesamiento y Análisis de Datos
de Requena La Información será procesada en software
estadístico, cuyos resultados serán
38
¿Cuál es el nivel de Evaluar el nivel de clasificados en cuadros y gráficos
seguridad del data center seguridad del Hardware estadísticos.
de la Municipalidad existente en la
Provincial de Requena Municipalidad Provincial de
Requena.
Evaluar el nivel de
seguridad del data center
de la Municipalidad
39
Anexo 2. Instrumento de recolección de datos.
ENCUESTA N°01
EVALUACION DE VARIABLE: Elaboración de un plan de seguridad informática para
mejorar la gestión de la información de la Municipalidad Provincial de Requena
FEHA: ___/____/____
Las respuestas que usted brinde al siguiente cuestionario será confidencial, es muy importante que
responder a las preguntas para que nos ayude a realizar una investigación
Para cada pregunta le presentamos cinco alternativas: Nunca, Casi Nunca, Algunas veces, Casi
Siempre, Siempre, marque con una X en la alternativa que crea conveniente.
Gracias por su atención y su ayuda.
CASI ALGUNAS CASI

N° PREGUNTAS NUNCA SIEMPRE
NUNCA VECES SIEMPRE
NIVEL DE SEGURIDAD LOGICA

¿En la Municipalidad provincial de Requena para
1 acceder a un equipo de cómputo los usuarios se
identifican?
¿En la Municipalidad provincial de Requena para
2 acceder a un equipo de cómputo los usuarios
hacen uso de una contraseña?
¿En la Municipalidad provincial de Requena se ha
3 creado perfiles de usuario para acceder a un
equipo de cómputo?
NIVEL DE SEGURIDAD DEL SOFTWARE
¿Los sistemas informáticos y aplicaciones con
4 que cuenta la Municipalidad Provincial de
Requena son confiables y seguros?
¿Las bases de datos con que cuentan los
sistemas informáticos y aplicaciones con que
5
cuenta la Municipalidad Provincial de Requena
son seguras?
¿Los sistemas informáticos y aplicaciones
instaladas en los equipos de cómputo con que
6
cuenta la Municipalidad Provincial de Requena
están debidamente controlada?
NIVEL DE SEGURIDAD DEL HARDWARE
¿Se realiza periódicamente el mantenimiento a
7 los equipos de cómputo con que cuenta la
Municipalidad Provincial de Requena?
¿La red de datos de datos de la Municipalidad
8 Provincial de Requena está protegido contra
ataques de red?
NIVEL DE SEGURIDAD DEL DATA CENTER
¿Se hace Backup periódicamente los datos de los
9
servidores del data center?
¿Cualquier personal de la Municipalidad puede
10 acceder de manera fácil al ambiente donde se
encuentra el data Center?
40
Anexo 3: De la Redacción
Figura N°01
Foto de Entrada de la Municipalidad Provincial de Requena
41
Figura N°02
Foto del local de la Sub Gerencia de Tecnología de la Información de la
Municipalidad Provincial de Requena
Fuente: Propia
42
Anexo 4:
Plan de Seguridad Informática de la Municipalidad Provincial de Requena
Se proponen con el objetivo de garantizar la protección de los principales bienes informáticos

y la información contenida en ellas. a fin de informar y capacitar a toda la institución en temas
de seguridad de la información.
1.3.1 Responsables
Según la “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad.
En el Artículo 5.- establece la conformación del Comité de Gestión de Seguridad de la
Información, que acompañe y haga cumplir el plan de seguridad informática en función de los
objetivos planteados.
Los cuales debe de estar presididos por:
Tabla 01: Comité de gestión de la seguridad
CONFORMACIÓN DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
Área Encargado Funciones
• Supervisar los incidentes sobre la seguridad.
• Cumplir y hacer las políticas propuestas en el plan
Titular o de seguridad informática.
Alcaldía Burgomaestre • Aprobar las iniciativas para incrementar la seguridad
de la institución de la infraestructura informática.
• Promover la difusión y apoyo a la seguridad de los
activos informáticos de la entidad Municipal.
 Gestionar los recursos financieros para la
implementación de la infraestructura informática.
Gerencia de Gerente de
 Coordinar continuamente con la Sub Gerencia de
Administración administración y
Tecnología de Información sobre la implementación
y Finanzas finanzas.
y mejoras en aspecto tecnológico de la entidad (Por
Jefe Inmediato Superior)
 Promover la difusión y apoyo a la seguridad
Sub Gerencia Sub gerente de
informática en la institución.
de Tecnología Tecnologías de
 Monitorear los posibles riesgos que afecten la
de Información la Información.
seguridad de la información
43
 Evaluar y coordinar la implementación de controles
específicos de seguridad informática.
 Encargado de dar el visto legal al plan de seguridad
Jefe de la Oficina informática, si se rige acorde a las normas y leyes
Asesoría
de Asesoría de nuestra nación.
Jurídica
Jurídica  Dictaminar las normativas para cumplir y hacer
cumplir por todo el personal de la entidad municipal.
Fuente: Elaboración propia
Asimismo, se asigna un comité evaluador que realizará los trabajos después de ocurrido un
evento y medir cual fue su impacto y qué mejoras se podrían implementar al plan de
seguridad, el cual debe estar compuesto por el personal de la SGTI y un representante del
comité de gestión de la seguridad de la información.
POLÍTICAS DE SEGURIDAD
1.3.2 Medidas y procedimientos de protección Física
a) A las áreas con tecnologías instaladas

 El control de acceso y cierre de los locales está establecido que todas las áreas con
tecnologías de información al terminar la jornada laboral queden cerradas y
debidamente selladas. Aquellas donde se maneje información clasificada, los
trabajadores de estas áreas deberán extremar las medidas de seguridad.
 Todo visitante debe tener una justificación razonable para tener acceso a la SGTI.
 El personal autorizado tendrá visible o disponible en todo momento su identificación

oficial otorgado por la Institución.
 Los visitantes serán escoltados en todo momento por personal designado para esas
funciones, quien será responsable de que el visitante tenga una conducta adecuada
y aceptable.
 La institución debe contar con extintores en toda la institución o por lo menos de la

SGTI, para poder controlarlos en caso llegarán a ocurrir.
44
 Las practicas o simulacros de desastres naturales serán coordinados y fijados por
la Oficina de Defensa Civil.
b) A las tecnologías de información
 Los usuarios que hagan uso de las tecnologías informáticas son responsables de la
protección de la información que utilicen o provoquen en el transcurso del desarrollo
de sus labores, lo cual incluye:
o Protección de acceso a las oficinas y a sus computadoras, así como cumplir

políticas establecidas por SGTI.
o Los usuarios de la M.P.R. deben tener acceso sólo a los recursos que necesitan
en el cumplimiento de su labor diaria, implementándose mediante la definición del
equipamiento, aplicaciones a utilizar mediante los privilegios y derechos de acceso
a los activos de información que se le otorgue.
o Los jefes de áreas de la M.P.R. deben garantizar que la seguridad informática sea
tratada como un problema institucional normal al ser afrontado y resuelto, siendo
estos los máximos responsables de promover la seguridad informática en su área.
Para esto deben utilizar herramientas tecnológicas que estén a su alcance:
- Uso de Antivirus
- Uso de Antimalware
- Uso de Antispyware
- Uso de Firewall
- Copias de Seguridad
- Actualizaciones de sistema
o Se empleará las tecnologías informáticas y los servicios asociados con fines

estrictamente de trabajo.
o Todo software traído a la entidad se le aplicará un período de cuarentena que

permitan asegurar su funcionamiento seguro. El Responsable de Seguridad
Informática supervisará todo chequeo que se realice en aras de proteger la
integridad de la información del que se dispone.
o Los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas las
protegerán contra posibles hurtos, así como del robo de la información que
contengan.
45
o El movimiento del equipamiento informático debe ser aprobado por el responsable
de la seguridad informática.
o No introducir ni utilizar en las tecnologías ningún producto ni modificar la

configuración de las mismas, sin la correspondiente autorización del responsable
de seguridad informática.
o Deberán quedar apagados todas las computadoras al concluir la jornada laboral,

salvo que por necesidades de explotación continua del sistema o de
comunicaciones tengan que seguir funcionando.
o En caso de ocurrencia de tormentas eléctricas severas se apagarán y

desconectarán todas las tecnologías informáticas y de comunicaciones, salvo
aquellas que por necesidad imperiosa haya que dejar funcionando, en cuyo caso
se crearán las condiciones necesarias para su protección.
o Se procederá a desconectar los equipos de la red eléctrica en caso de reparación

o instalación eléctrica en la institución.
c) A los soportes de información.

 Es obligatorio la desinfección de los dispositivos externos antes de su uso en las
tecnologías informáticas, se debe tener en cuenta que el uso de los dispositivos
informáticos solo utilizase personas autorizadas y responsables.
 Evitar en la medida de lo posible el uso de memorias USB. En lugar de esto, se

utilizará carpetas departamentales con control de acceso lógico basado en perfiles y
puestos.
 Una vez que un dispositivo informático haya llegado el final de su vida útil, se debe
destruir el soporte de una manera adecuada, para evitar que alguien pueda obtener
la información que éste almacena. Para garantizar que nadie acceda a la información,
se debe realizar una destrucción física del soporte.
 Se debe cifrar la información de aquellos dispositivos USB que se usa en la

institución.
46
1.3.3 Medidas y procedimientos de protección técnicas o lógicas
a) Identificación de usuarios.
 Crear credenciales de identificación de acceso (usuario y contraseña) en el servicio de
directorio para acceder a la red y al correo electrónico institucional.
 Para el trabajo con los servicios de Correo electrónico e Internet, se tendrá en cuenta
que no se realice la conexión automática a partir de las aplicaciones empleadas para
su gestión.
 Se establecerá identificación de usuarios en las computadoras de cada área en

correspondencia al personal que haga uso de las tecnologías informáticas y
comunicación.
b) Autentificación de usuarios.
 El identificador y la contraseña corresponde al medio normal de autenticación.
La contraseña deberá tener al menos 10 caracteres, incluir al menos 2 numéricos y 2
alfabéticos. Se deberá cambiar de contraseña cada mes si así lo corresponde.
c) Control de acceso con huella digital.

 Todo personal de trabajo de la M.P.R. deberá registrar su entrada y salida del área
donde trabaja utilizando su huella dactilar, para evitar el acceso a personas no
autorizadas.
d) Control de acceso a los activos y recursos.

 Todo usuario es responsable de proteger y no compartir su contraseña. En caso de
que algún usuario piense que su contraseña ha sido descubierta, debe notificar al
administrador de seguridad inmediatamente. El administrador de seguridad definirá
una contraseña temporal, la cual será cambiada por el usuario.
 Se deberá asegurar el acceso de usuarios autorizados y prevenir el acceso no

autorizado a los sistemas de información. Se usará para la asignación de las
credenciales de accesos a los diferentes sistemas, un formulario con el nombre del
sistema, nombre usuario, contraseña temporal y la asignación de derechos al sistema
y/o los servicios.
47
 La SGTI controlará e identificará los equipos conectados a su red, mediante el uso de
controladores de dominio, asignación manual de IP y portal cautivo para la conexión
WIFI.
 La SGTI utilizará dispositivos de seguridad “firewalls”, para controlar el acceso de una

red a otra.
 Los usuarios tendrán acceso únicamente a los datos/ recursos de acuerdo a su puesto
laboral.
e) Integridad de los ficheros y datos.

 Los usuarios notificarán a su jefe de la SGTI sobre cualquier incidente que detecten
que afecte o pueda afectar a la seguridad de los datos, o por sospecha de uso
indebido del acceso autorizado por otras personas.
 La SGTI debe implementar un Firewall (Protección de los sistemas y redes).
 Las computadoras deben contar con un Antivirus actualizados.
 EI usuario se abstendrá de enviar, vía correo electrónico, archivos que excedan la
capacidad de la cuota asignada.
 Los usuarios que utilizan documentos con información “Confidencial” o “Restringida”
deben asegurarse de:
 Almacenarlos en lugares adecuados.
 Evitar que usuarios no autorizados accedan a dichos documentos.
 Destruir los documentos si luego de su utilización dejan de ser necesarios.
 Aquellos usuarios que manejen activos de información de carácter confidencial en

sus equipos asignados deberán tomar los resguardos necesarios para que dicha
información no sea filtrada a terceros en caso de pérdida del equipo.
f) Auditoría y alarma.
 El personal encargado de operar los sistemas de información debe registrar todos los
errores y fallas que ocurren en el procesamiento de información o en los sistemas de
comunicaciones. Estos registros deben incluir lo siguiente:
 Nombre de la persona que reporta la falla
 Hora y fecha de ocurrencia de la falla
 Descripción del error o problema
 Responsable de solucionar el problema
 Descripción de la respuesta inicial ante el problema
48
 Descripción de la solución al problema
 Hora y fecha en la que se solucionó el problema
 Adquirir e implementar un sistema de alarmas contra intrusos.
1.3.4 Medidas y procedimientos de seguridad de operaciones
Todos los procedimientos de operación de los sistemas deben ser documentados y los
cambios realizados a dichos procedimientos deben ser autorizados por la SGTI.
 Todas las tareas programadas en los sistemas para su realización periódica, deben ser
documentadas. Este documento debe incluir:
o Tiempo de inicio.
o Tiempo de duración de la tarea.
o Procedimientos en caso de falla.
 Solo el personal encargado del sistema puede realizar o aprobar un cambio de

emergencia. Dicho cambio debe ser documentado y aprobado en un periodo máximo de
24 horas luego de haberse producido el cambio.
1.4 PLAN DE RECUPERACIÓN DE DESASTRES
Las medidas que a continuación se plantean deberán ser aprobados por la máxima
autoridad dentro de la institución para garantizar su estricta difusión y cumplimiento, las
cuales se contemplan de acuerdo a los resultados obtenidos por el análisis de riesgos
realizado, frente a posibles eventos naturales o provocados que afecten los equipos
informáticos de la Municipalidad Provincial de Requena.
PREVIO AL EVENTO
Se contempla medidas preventivas si ocurriera la amenaza y estar preparados para

afrontarlas con una serie de actividades que tienen por objetivo salvaguardar la información,
49
además asegurar bajo cualquier eventualidad un proceso de recuperación con el menor costo
posible a nuestra institución.
 Sistemas de Información.
La Institución deberá tener una relación de los Sistemas de Información con los que
cuenta, tanto los realizados por en la SGTI como los hechos por las áreas usuarias.
Debiendo identificar toda información sistematizada o no, que sea necesaria para la
buena marcha Institucional, esta información se señala en el anexo N.º 02.
 Equipos de Cómputo Se deberán considerar las siguientes acciones.
 inventario actualizado de los equipos de manejo de información, especificando su

contenido (software que usa, principales archivos que contiene), su ubicación y nivel
de uso Institucional esta información se señala en el anexo N.º 01.
 Señalización o etiquetado de los Computadores de acuerdo a la importancia de su

contenido, para ser priorizados en caso de evacuación.
 Tener siempre actualizado una relación de las computadoras requeridas como mínimo
para cada sistema de información permanente de la institución (que por sus funciones
constituyen el eje central de los servicios informáticos de la institución), las funciones
que llevará a cabo y sus posibles usos en varios turnos de trabajo, para cubrir las
funciones básicas y prioritarias de cada uno de estos sistemas.
 Obtención y Almacenamiento de los Respaldos de Información

(BACKUPS).
Se deberá establecer los procedimientos para la obtención de copias de Seguridad de
todos los elementos de software necesarios para asegurar la correcta ejecución de los
sistemas o aplicativos de la Institución. Para lo cual se debe contar con:
 Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contará con una copia de cada uno de ellos).
 Backups del Software Base (Paquetes y/o Lenguajes de Programación con los cuales
han sido desarrollados o interactúan nuestros Aplicativos Institucionales).
 Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los
programas objetos correspondientes, y cualquier otro software o procedimiento que
también trabaje con la data, para producir los resultados con los cuales trabaja el
usuario final). Se debe considerar también las copias de los listados fuentes de los
programas definitivos, para casos de problemas.
50
 Backups de los Datos (Bases de Datos, Índices, tablas de validación, contraseñas y
todo archivo necesario para la correcta ejecución del Software Aplicativo de nuestra
Institución).
 Políticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinación de responsabilidades en

la obtención de los Backups mencionados anteriormente, debiéndose incluir:
 Periodicidad de cada Tipo de Backup.
 Respaldo de Información de movimiento entre los períodos que no se sacan Backups

(backups incrementales).
 Uso obligatorio de un formulario estándar para el registro y control de los Backups.
 Correspondencia entre la relación de Sistemas e Informaciones necesarias para la

buena marcha de la empresa, y los backups efectuados.
 Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo

del medio magnético empleado.
 Reemplazo de los Backups, en forma periódica, antes que el medio magnético de

soporte se pueda deteriorar (reciclaje o refresco).
 Almacenamiento de los Backups en locales diferentes donde reside la información

primaria (evitando la pérdida si el desastre alcanzó todo el edificio o local estudiado).
 Pruebas periódicas de los Backups (Restore), verificando su funcionalidad, a través de

los sistemas, comparando contra resultados anteriores confiables.
 ENTRENAMIENTO
Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los

diferentes tipos de eventos, de acuerdo a los roles que se le hayan asignado en los planes
de evacuación de los equipos, para minimizar costos se puede aprovechar fechas de
recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros

(incendios, inundaciones, robos, etc.) pueden realmente ocurrir, y tomen con seriedad y
responsabilidad estos entrenamientos, para estos efectos es conveniente que participen
51
todo en comité de gestión de seguridad, dando el ejemplo de la importancia que la alta
dirección otorga a la Seguridad Institucional.
DURANTE EL EVENTO
Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes actividades:
Plan de emergencia
En este plan se establecen las acciones que se deben realizar cuando

se presente un evento y es conveniente que se prevean los posibles escenarios de ocurrencia,
durante el día, la noche o de madrugada.
Tabla 02: Plan de emergencia - Incendio
Objetivo: Proteger del fuego la información de la institución que se

1. INCENDIO encuentra alojada en las estaciones de trabajo. que podrían dañarla
de manera parcial o total.
EJECUTAR EL PLAN DE EMERGENCIA
QUE HACER:
Actividades
1. Utilizar los extintores instalados para sofocar el incendio.
2. Apagar los principales dispositivos de la SGTI, puesto que es el
DURANTE EL DÍA soporte principal de la infraestructura tecnológica.
3. Desconectar las llaves de alimentación eléctrica.
4. Llamar a los bomberos.
RESPONSABLE: Sub Gerente de Tecnologías de Información y todo el personal de

la institución
1. Utilizar extintores del centro de cómputo para sofocar el incendio.
2. Desconectar las llaves de alimentación eléctrica.
DURANTE LA
NOCHE Y 3. Traer más extintores ubicados en la institución.
MADRUGADA 4. Reportar a los bomberos y a seguridad de la institución.
5. Reportar al jefe de informática.
RESPONSABLE: Personal de Seguridad
52
Tabla 03: Plan de emergencia - Fallas en los Equipos
2. FALLAS EN LOS Objetivo: Proteger los bienes informáticos, de posibles daños

EQUIPOS, DAÑOS DE físicos y lógicos, que atenten contra el buen funcionamiento de
ARCHIVOS. las mismas.
QUE HACER:
Actividades
1. Reportar la falla al Personal de Soporte de la SGTI.
2. El personal de la SGTI, Revisara el equipo, para
DURANTE EL DÍA
diagnosticar y proceder a reparar desperfecto.
3. Revisar aplicación y corregir error.
RESPONSABLE: Sub Gerente de Tecnología de la Información y personal

de la SGTI
1. Reportar el incidente a su jefe inmediato del problema
DURANTE LA
NOCHE Y presentado.
MADRUGADA 2. Reportar al Sub Gerente de Informática.

Tabla 04: Plan de emergencia - Equivocaciones
3. EQUIVOCACIONES, Objetivo: Proteger de la información de la institución que se

DAÑOS DE encuentra alojada en las estaciones de trabajo de errores
ARCHIVOS. humanos que podrían dañarla de manera parcial o total.
QUE HACER:
ACTIVIDADES
1. Reportar el problema a la SGTI, para que se proceda a
corregir el error.
2. Realizar Copias de Seguridad de los archivos, para
salvaguardar la información.
DURANTE EL DÍA
3. Solicitar a la SGTI, la evaluación del equipo y dispositivo
donde se alojó el archivo corrupto para descartar fallas a nivel
software y hardware que lo hayan provocado.
Sub Gerente de Tecnología de la Información y personal de

RESPONSABLE:
la SGTI
DURANTE LA
NOCHE Y 1. Reportar al Sub gerente de Tecnología de la Información.
MADRUGADA
53
Tabla 5: Plan de emergencia - Acceso no Autorizado
4. ACCESO NO Objetivo: Mejorara el nivel de control de acceso hacia la entidad y las

AUTORIZADO, oficinas administrativas, en aras de salvaguardar la información y
FILTRACIÓN DE bienes municipales.
INFORMACIÓN
QUE HACER:
Actividades
1. Cambiar inmediatamente contraseñas de acceso de
administradores y de base de datos.
DURANTE EL DÍA 2. Verificar la información filtrada
3. Realizar el respaldo de la información.
4. Reportar al sub gerente de tecnologías de información.
Sub Gerente de Tecnología de la Información y el personal de la
RESPONSABLE:
SGTI
DURANTE LA 1. informar inmediatamente, al Sub gerente de Tecnología de la
NOCHE Y Información y a la PNP.
MADRUGADA
RESPONSABLE: Personal de seguridad

Tabla 6: Plan de emergencia - Robo de datos
5. ROBO DE Objetivo: Proteger la información relevante y confidencial de la

DATOS institución.
QUE HACER:
Actividades
1. Reportar a la SGTI.
2. Reportar al Sub Gerente de Tecnología de Información
DURANTE EL 3. Cambiar inmediatamente contraseñas de acceso de administradores,
DÍA acceso al servidor y del base de datos.
4. Chequear el tráfico de la red para detectar variaciones que pueden
ser síntoma de mal uso de la misma.
RESPONSABLE: Sub Gerente de Tecnología de la Información y personal de SGTI
DURANTE LA 1. Reportar al jefe Inmediato superior.
NOCHE Y
MADRUGADA 2. Reportar al Sub Gerente de Tecnología de Información
54
Tabla 7: Plan de emergencia - Robo Común
Objetivo: Proteger la información y bienes de la institución contra los

6. ROBO
contases robos, causados por personas externas e internas de la
COMUN
institución.
QUE HACER:
Actividades
1. Interceptar a los infractores y ponerlos a disposición de las
DURANTE EL autoridades competentes.
DIA 2. Reportar inmediatamente al personal de seguridad de la entidad.
3. Revisar el inventario de bienes informáticos.
RESPONSABLE: Sub Gerencia de Tecnología de la Información
DURANTE LA 1. Reportar al jefe inmediato superior para tomar las acciones
NOCHE Y respectivas.
MADRUGADA 2. Reportar al Sub gerente de tecnología de la información.
Tabla 8: Plan de emergencia - Fraude
7. FRAUDE, Objetivo: Medidas para la protección contra posibles alteraciones

ALTERACIÓN DE de la información relevante de la institución, dados por software mal
INFORMACIÓN intencionado o por el actuar humano dentro y fuera de la entidad.
QUE HACER:
Actividades
1. Se deberá de realizar un análisis exhaustivo con un software
antispyware, para verificar la existencia de programas espías
destinados a recopilar información confidencial sobre el usuario.
2. Una selección rigurosa de los colaboradores.
DURANTE EL DIA
3. Buena administración de los recursos humanos.
4. Buenos controles administrativos.
5. Buena seguridad física en los ambientes donde están
los principales componentes informáticos.
DURANTE LA
NOCHE Y 1. Reportar al Sub Gerente de Tecnología de la Información.
MADRUGADA
RESPONSABLE: Personal de Seguridad.
55
Tabla 9: Plan de emergencia - Virus
8. VIRUS Y
Objetivo: Proteger los equipos computacionales y la red institucional
DAÑO DE
de posibles infecciones por software malicioso.
ARCHIVOS
QUE HACER:
Actividades
1. Inmediatamente la Pc infectada deberá ser desconectada de la red
institucional, para evitar infectar toda la red.
2. Efectuar la descontaminación de los ordenadores ante la aparición
de programas malignos.
DURANTE EL DIA 3. Se debe de realizar la correcta actualización del Software Antivirus
en el Servidor principal.
4. Al detectar en una estación de trabajo indicios de contaminación
detener la actividad que se, esté realizando, desconectarla de la red
y al personal informático.
DURANTE LA
1. Reportar al Sub gerente de Tecnología de Información.
NOCHE Y
MADRUGADA
Tabla 10: Plan de emergencia - Vandalismo
9. VANDALISMO, DAÑO DE Objetivo: Proteger de posibles daños de equipos y perdida

EQUIPOS Y ARCHIVOS de información de la municipalidad
QUE HACER:
Actividades
1. Cerrar todos los accesos a la municipalidad
DURANTE EL DIA 2. Llamar al serenazgo
3. Llamar a la policía
DURANTE LA 1. Llamar al serenazgo

NOCHE Y 2. Llamar a la policía
MADRUGADA
56
Tabla 11: Plan de emergencia - Terremoto
Objetivo: Proteger los bienes informáticos en caso de Suscitar un

10. TERREMOTO
evento Sísmico
QUE HACER:
Actividades
1. Apagar los equipos de forma inmediata
2. Ubicarse en zonas estratégicas (zonas seguras)
DURANTE EL
3. Poner en conocimiento a la oficina de defensa civil.
DIA
4. Realizar junto a defensa civil un reporte de daños de los activos
informáticos.
DURANTE LA
1. Reportear al jefe inmediato superior
NOCHE Y
MADRUGADA 2. Reportar al Sub gerente de Tecnologías de Información

1.4.1 DESPUES DEL EVENTO
Después de ocurrido el evento es necesario realizar las actividades como:
 Evaluación de daños
Inmediatamente después que el evento ha concluido, se deberá evaluar la magnitud del
daño que se ha producido, que sistemas se están afectando, que equipos han quedado
no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
• Para situaciones Criticas

Se deberán evaluar los daños y priorizar la restauración de acuerdo al orden de ejecución
de los planes de acción pre establecidos y a las actividades estratégicas y urgentes de la
institución.
a. La copia de los datos a los nuevos medios de almacenamientos magnéticos y ópticos,

así como la habilitación de las comunicaciones, servicios de Internet y correo
electrónico.
b. Incluir el traslado de los medios de almacenamientos magnéticos y ópticos que se

encuentren fuera de las instalaciones
c. El personal mínimo requerido para continuar operando.
d. Tiempo de restauración de cada uno de los servicios de Red, Comunicaciones,

Internet y Correo Electrónico.
57
e. El tiempo determinado debe ser conocido y aceptado por todos los usuarios
principales que operan los sistemas o cuentan con un equipo crítico.
• Para situaciones de Bajo riesgo
a. Tiempo de reparación o reposición de una estación de trabajo.
b. Tiempo de configuración de las PC.
c. Tiempo de respuesta del proveedor para la reparación del servidor de antivirus

(verificar contratos y garantías).
d. Tiempos de reparación de fallas eléctricas.
e. Tiempo de restauración par el servidor de antivirus y sus aplicaciones.

Toda vez que el Plan de acción es general y contempla una pérdida total, la evaluación
de daños reales y su comparación contra el Plan, nos dará la lista de las actividades que
debemos realizar. Es importante evaluar la dedicación del personal a actividades que
puedan no haberse afectado, para ver su asignación temporal a las actividades afectadas.
• Ejecución de actividades
La ejecución de las actividades de los planes de acción enmarcadas en las políticas

establecidas, deberán ser realizadas por los equipos operativos pre establecidos. Cada
uno de estos equipos deberán contar con un coordinador que deberá reportar diariamente
el avance de los trabajos de recuperación además de cualquier incidente que retrase las
actividades de los planes de acción al Sub Gerente de TI.
La restauración deberá intentarse en primer lugar con los recursos

afectados y de acuerdo a evaluaciones posteriores, se deberá volver a
adquirir los recursos, debiendo ser esta última etapa lo suficientemente rápida y eficiente
para no perjudicar el buen servicio de la SGTI.
• Evaluación e resultados
Una vez concluida las labores de recuperación de los bienes que fueron afectados por el
evento, se realizará una evaluación de los resultados de la restauración: que tan bien se
hicieron, que tiempo tomaron, que circunstancias aceleraron o entorpecieron las
actividades y como se comportaron los equipos de trabajo, cuál hubiera sido el costo de
no haber tenido nuestro el plan de contingencias llevado a cabo.
58
• Retroalimentación del plan de acción
De la Evaluación de los resultados se deberá obtener dos conclusiones; la

retroalimentación del plan de emergencias y las recomendaciones para minimizar los
riesgos y pérdida que ocasiono el tipo de contingencia.
En conclusión, se deberá optimizar el plan de acción original, mejorando las actividades

que tuvieron algún tipo de dificultad y las que funcionaron adecuadamente.
59

Manuel Alfredo Sanchez Vela - Tesis

Cargado por

Copyright:

Formatos disponibles

Manuel Alfredo Sanchez Vela - Tesis

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manuel Alfredo Sanchez Vela - Tesis

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE CIENCIAS E INGENIERÍA

PROGRAMA ACADÉMICO DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN

PARA OBTAR EL TITÚLO PROFESIONAL DE

SAN JUAN BAUTISTA – MAYNAS – LORETO- PERÚ – 2021

A mis padres y hermanos por su apoyo y fuerza

Expresamos nuestro agradecimiento al jefe de la Oficina de Informática de la

A mi Asesor •Ing. Carlos González Aspajo por haber brindado su guía en la

Bach. MANUEL ALFREDO SANCHEZ VELA

Gráfico N°01: Identificación de Usuarios………………………………………... 23

En la presente investigación cuyo título es “Elaboración De Un Plan De Seguridad

Palabras Claves: Plan, Seguridad, Gestión, Información.

In the present investigation whose title is "Preparation of a Computer Security Plan

Keywords: Plan, Security, Management, Information.

1.1 Antecedentes del estudio

 Guallpa (2017), en su tesis para optar el grado académico de magister en

 Molano (2017), en su tesis para optar el título profesional de especialista en

 Guzmán (2015), en su tesis para optar el grado académico de magister en

 Gavino (2018) En su tesis titulada Auditoria en Seguridad Informática y gestión

 No se encontraron estudios relacionados

1.2 Bases teóricas

 Plan de Seguridad Informática:

Para Cano (2017, Pág. 3), Es la representación gráfica de un Sistema de

EcuRed (s.f.): Afirma que el un Plan de Seguridad Informática constituye un

Evaluando Software (s.f.) La Gestión de la información es la definición de un

Para García (2010), Es un proceso por el cual se obtienen, despliegan o utilizan

1.3 Definición de términos básicos:

 Amenazas: es la presencia de uno más factores de diversas índoles (Personas,

 Vulnerabilidades: Es la probabilidad que existen de que las amenazas existentes

 Riesgo: Es la posibilidad que se materialice o no la amenaza aprovechando una

 Activos: son los elementos que pertenecen al propio sistema de información o

 Políticas de Seguridad: es una lista o descripción donde se establecen las

Capítulo II: Planteamiento del problema

2.1. Descripción del problema

La municipalidad provincial de Requena, tiene más de 45 años de creación e

2.2.1. Problema general

 ¿Mediante la elaboración de un Plan de Seguridad Informática se mejora la gestión

2.2.2. Problemas específicos

 ¿Cuál es el nivel de seguridad lógica informática de la Municipalidad Provincial

2.3.1. Objetivo general:

 Elaborar un Plan de Seguridad Informática para mejorar la gestión de

2.3.2. Objetivos específicos:

 Hipótesis General: Mediante la elaboración de un Plan de Seguridad

2.5.1. Identificación de las variables

 Variable: Elaboración de un Plan de Seguridad Informática para mejorar la

2.5.2. Definición conceptual de la Variable

 Variable: Elaboración de un plan de seguridad informática para la gestión de la

2.5.3. Operacionalización de la variable

Capítulo III: Metodología

3.1. Tipo y diseño de investigación

 El diseño de la investigación es de tipo no experimental: Descriptivo Simple

La representación gráfica es la siguiente:

3.2. Población y muestra

Fuente: Recursos Humanos MPR

3.3. Técnicas, instrumentos y procedimientos de recolección de datos

Como procedimiento de recolección de datos se utilizó la encuesta con la

3.4. Procesamiento y análisis de datos

Para el procesamiento, tabulación y análisis de los datos recopilados se utilizó

Capítulo IV. Resultados

 Estadística Descriptiva de la Variable: Plan de seguridad informática y la Gestión