Propuesta de Políticas de Seguridad Informática - Pangua

UNIVERSIDAD TÉCNICA DE COTOPAXI
FACULTAD DE CIENCIAS DE LA INGENIERÍA Y APLICADAS
CARRERA DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS

COMPUTACIONALES
PROYECTO DE INVESTIGACIÓN
PROPUESTA DE POLÍTICAS DE SEGURIDAD INFORMÁTICA DE ACUERDO A LAS

ISO 27001 EN EL GOBIERNO AUTÓNOMO DESCENTRALIZADO DEL CANTÓN
PANGUA.
AUTORAS:
Cruz Caiza Carla Cristina
Gaibor Gavilanez Mónica Lisseth
TUTOR:
Ing. MSc. Llano Casa Alex Christian
LATACUNGA - COTOPAXI
Septiembre – 2020
v
vi
AGRADECIMIENTO
El presente trabajo de tesis primeramente me
gustaría agradecer a ti Dios por brindarme
salud, esfuerzo para poder llegar hasta donde
he llegado con dedicación y amor a este sueño
tan anhelado.
A mi querido padre Ermel Cruz por ese apoyo

incondicional, por su paciencia, amor,
comprensión y por toda su enseñanza que me
ha brindado a pesar de mis problemas él nunca
me ha dejado y siempre ha estado ahí durante
toda mi carrera profesional. A mi amada
madre Carmen Caiza por ser esa mujer
luchadora y un ejemplo a seguir quien siempre
me dio su cariño cuando más lo necesite. A mis
hermanos: Silvana, Edison y Karen.
Agradezco a mi tutor de tesis el Ing. Alex Llano

por haberme brindado la oportunidad de
recurrir a su capacidad y conocimiento
científico, así como también por haberme
tenido toda la paciencia del mundo para
guiarme durante todo este proceso de
desarrollo de tesis.
A mis ingenieros por la enseñanza, mis

compañeros de clase por la amistad y a mí
querida Universidad por haberme abierto las
puertas.
Carla Cruz
vii
AGRADECIMIENTO
Primeramente, gracias a Dios que me

brindo el conocimiento, fuerza y salud para
seguir adelante, me tendió su mano para
ayudarme a levantar y llegar a cumplir uno
de mis más grandes sueños.
Agradezco a mis padres Héctor Gaibor y

Julieta Gavilanez por estar conmigo, por
enseñarme a crecer y a que si caigo debo
levantarme, por guiarme, aconsejarme y
apoyarme en mis estudios, pues gracias a
su sacrificio, paciencia y perseverancia me
ayudaron a culminar este ciclo de mi vida
y me ayudaron a convertirme en una
profesional, gracias también a mis
hermanos Marco Gaibor y Elizabeth
Villacres por todos los consejos y palabras
de aliento, por estar pendientes de mi a
pesar de la distancia en la que me
encontraba.
Finalmente quiero agradecer a mi tutor al

Ing. Alex Llano por depositar en mí todos
sus conocimientos, gracias por la
paciencia y consejos, pues en el transcurso
de mi carrera se convirtió en un gran
amigo, gracias por ser una excelente
persona y un excelente profesional.
Mónica Gaibor
viii
DEDICATORIA
Esta tesis de grado al igual que al resto del
trabajo realizado dedico especialmente a
mi angelito, quien es mi mayor motivación
para nunca rendirme y poder llegar a ser
un ejemplo para ella, para mi hermana y
mis sobrinos quienes siguen el mismo
proceso de estudio.
A mis padres y hermanos por su sacrificio

y esfuerzo por darme una carrera para mi
futuro y por creer en mi capacidad de
poder llegar hacer una Ingeniera, aunque
hemos pasado momentos muy difíciles,
pero siempre han estado brindándome su
esfuerzo, cariño, amor y sobre todo un “tú
puedes hija no te rindas” en el transcurso
de cada año de mi carrera Universitaria.
A mi familia en general, especialmente a

mis tíos Carmen, Rosana y Gonzalo por
brindarme su apoyo incondicional y por
compartir buenos y malos momentos.
Carla Cruz
ix
DEDICATORIA
Mi tesis va dedicada a mi Dios, quien me

brindo salud, concentración,
perseverancia y me guio en cada paso, en
cada decisión en el transcurso de mi
carrera.
Con mucho cariño la dedico a mis Padres

y Hermanos que creyeron en mí, que con
su apoyo, sacrificio y apoyo incondicional
se hizo realidad esta meta, gracias por
todo, no me va alcanzar la vida para
agradecerles todo lo que han hecho por mí,
los amo mucho.
Finalmente quiero dedicar a todas las

personitas que estuvieron durante este
proceso, que dejaron huellas en mi vida,
brindándome su amistad y cariño,
apoyándome, dándome animo en todo
momento, en las buenas y las malas,
diciéndome “Ya vez te lo dije” cuando
superaba cada obstáculo.
Mónica Gaibor
x
ÍNDICE
PORTADA ............................................................................................................................................... i
DECLARACIÓN DE AUTORÍA ......................................................................................................... ii
AVAL DEL TUTOR DEL PROYECTO DE TITULACIÓN ........................................................... iii
APROBACIÓN DEL TRIBUNAL DE TITULACIÓN ..................................................................... iv
CARTA DE ACEPTACIÓN ................................................................................................................. v
DOCUMENTO DE ENTREGA DE POLÍTICAS DE SEGURIDAD INFORMÁTICAS ............. vi
AGRADECIMIENTO ......................................................................................................................... vii
DEDICATORIA .................................................................................................................................... ix
RESUMEN ............................................................................................................................................ xv
ABSTRACT ......................................................................................................................................... xvi
AVAL DE TRADUCCIÓN ............................................................................................................... xvii
1. INFORMACIÓN GENERAL .......................................................................................................1
2. RESUMEN DEL PROYECTO .....................................................................................................2
3. JUSTIFICACIÓN DEL PROYECTO .........................................................................................2
4. BENEFICIARIOS DEL PROYECTO .........................................................................................2
4.1. Beneficiarios Directos .................................................................................................................2
4.2. Beneficiarios Indirectos ..............................................................................................................3
5. PROBLEMA DE INVESTIGACIÓN ..........................................................................................3
6. OBJETIVOS ...................................................................................................................................4
6.1. Objetivo General ....................................................................................................................4
6.2. Objetivo Específicos ...............................................................................................................4
7. ACTIVIDADES Y SISTEMA DE TAREAS EN RELACIÓN A LOS OBJETIVOS
PLANTEADOS ......................................................................................................................................5
8. FUNDAMENTACIÓN CIENTÍFICO TÉCNICA ......................................................................6
8.1. ANTECEDENTES .................................................................................................................6
8.1.1. Clasificación de las normas ...........................................................................................6
8.1.2. Beneficios de las normas internacionales ISO .............................................................7
8.1.3. Misión de la ISO 27001 ..................................................................................................8
8.1.4. Visión de la ISO 27001 ...................................................................................................8
8.1.5. Cuadro comparativo de resultados de la norma ISO 27001 ante COBIT e ITIL ....9
8.2. MARCO REFERENCIAL (PRT) .......................................................................................10
8.3. ASPECTOS TEÓRICOS CONCEPTUALES ...................................................................14
8.3.1. Active Directory................................................................................................................14
xi
8.3.1.1. Estructura Lógica del Active Directory .................................................................15
8.3.1.2. Estructura física del Active Directory ....................................................................17
8.3.3. Respaldos...........................................................................................................................19
8.3.3.1. Respaldos completos ................................................................................................19
8.3.3.2. Respaldos incrementales ..........................................................................................19
8.3.3.3. Respaldos diferenciales ............................................................................................19
8.3.4. Privilegios de las cuentas de usuarios .............................................................................20
8.3.5. Delitos informáticos..........................................................................................................20
8.3.6. Tipos de delitos informáticos ...........................................................................................20
8.3.6.1. Caballo de Troya (Manipulación de Programas) ..................................................20
8.3.6.2. Pishing .......................................................................................................................21
8.3.6.3. Bombas lógicas..........................................................................................................21
8.3.6.4. Gusanos .....................................................................................................................21
8.3.6.5. Fuga de datos ............................................................................................................21
8.3.6.6. Hackers o Piratas informáticos ...............................................................................22
8.3.7. Por qué tener políticas Escritas .......................................................................................22
8.3.8. Sistema de Gestión de la Seguridad de la información SGSI ...................................22
8.3.9. Implementación del sistema de gestión de seguridad informática SGSI .................23
8.3.10. Beneficios de la implementación de un SGSI .............................................................24
8.3.11. Amenazas ......................................................................................................................25
8.3.12. Seguridad informática .................................................................................................25
8.3.13. Importancia de la seguridad informática ...................................................................26
8.3.14. Seguridad de la información .......................................................................................26
8.3.15. Mecanismo de seguridad .............................................................................................26
8.3.16. Seguridad lógica ...........................................................................................................27
8.3.17. Seguridad física ............................................................................................................28
8.3.18. Activos de la información ............................................................................................28
8.3.19. Vulnerabilidad ..............................................................................................................31
8.3.20. Estimación de riesgo.....................................................................................................32
8.3.21. Controles de seguridad ................................................................................................32
9. VALIDACIÓN DE LAS PREGUNTAS CIENTÍFICAS O HIPÓTESIS ...............................34
10. METODOLOGÍA Y DISEÑO EXPERIMENTAL...............................................................34
10.1. Tipos de Investigación ......................................................................................................34
10.1.1. Investigación de campo ................................................................................................34
10.1.2. Investigación Bibliográfica ..........................................................................................35
xii
10.3. Métodos de Investigación.................................................................................................35
10.3.1. Inductivo – Deductivo ..................................................................................................35
10.3.2. Hipotético – deductivo .................................................................................................35
10.4. Técnicas de Investigación ................................................................................................36
11. ANÁLISIS Y DISCUSIÓN DE LOS RESULTADOS ..........................................................36
11.1. Análisis de riesgos en el Gobierno Autónomo Descentralizado Municipal del cantón
Pangua. 36
11.2. Identificación de FODA mediante Banco de preguntas ................................................37
11.3. Elaboración de Matriz FODA ........................................................................................40
................................................................................................................................................................40
11.4. Matriz de factores Interno y Externo .............................................................................41
11.5. Matriz para el análisis de riesgos ....................................................................................42
11.8. Análisis de tráfico de red mediante Wireshark. ............................................................54
11.11. Estructura del documento de políticas de seguridad informática ...................................63
12. IMPACTOS (TÉCNICOS, SOCIALES, AMBIENTALES O ECONÓMICOS) .............128
12.1. Impacto tecnológico........................................................................................................128
12.2. Impacto económico .........................................................................................................128
13. PRESUPUESTO PARA LA PROPUESTA DEL PROYECTO ........................................128
13.1. Gastos directos ...................................................................................................................128
13.2. Gastos indirectos ...............................................................................................................130
13.3. Gasto total .........................................................................................................................130
14. CONCLUSIONES ..................................................................................................................131
15. RECOMENDACIONES ........................................................................................................131
16. BIBLIOGRAFÍA ....................................................................................................................132
17. ANEXOS .................................................................................................................................141
17.1. Ficha de Observación ........................................................................................................141
17.2. Ficha de Entrevista............................................................................................................143
17.3. Estructura Organizacional ................................................................................................145
17.4. Distribución del cableado de red.......................................................................................146
17.5. Carta de aceptación............................................................................................................147
17.6. Documento de entrega de Políticas de Seguridad Informáticas .....................................148
17.7. Políticas de Seguridad Informáticas .................................................................................149
xiii
ÍNDICE DE TABLAS
Tabla 1: Sistema de tareas en relación a los objetivos planteados. .........................................................5

Tabla 2: Cuadro comparativo de resultados de la norma ISO ante COBIT e ITIL. ................................9
Tabla 3: Activos de Información - Pura. ...............................................................................................29
Tabla 4: Activos de Información - Físicos. ...........................................................................................30
Tabla 5: Activos de Información - Humanos. .......................................................................................31
Tabla 6: Cuestionario de Factores Internos y Externos.........................................................................38
Tabla 7: Tabla de rango de calificación de factores internos y externos. .............................................41
Tabla 8: Factores Internos. ....................................................................................................................41
Tabla 9: Factores Externos. ...................................................................................................................42
Tabla 10: Valoración magnitud de daño. ..............................................................................................44
Tabla 11: Valoración de probabilidad de amenaza. ..............................................................................44
Tabla 12: Matriz de análisis de riesgo de datos e Información. ............................................................45
Tabla 13: Análisis de riesgo promedio..................................................................................................47
Tabla 14: Plan de mitigación de riesgos. ..............................................................................................61
Tabla 15: Análisis de la entrevista aplicada. .........................................................................................65
Tabla 16: Resultado de la entrevista. ....................................................................................................68
Tabla 17 Análisis de Observación. ........................................................................................................71
Tabla 18: Estimación de costos de Gastos Directos. ...........................................................................128
Tabla 19: Estimación de costos de Gastos Indirectos. ........................................................................130
Tabla 20: Estimación de costo General. ..............................................................................................130
ÍNDICE DE FIGURAS
Figura 1: Imagen de Bosques................................................................................................................17

Figura 2: Uso de las personas que utilizan internet. .............................................................................18
Figura 3: Seguridad de la Información Modelo PDCA. .......................................................................23
Figura 4: Matriz FODA. .......................................................................................................................40
Figura 5: Grafo de Riesgo. ....................................................................................................................43
Figura 6: Resultados de Análisis de NethServer...................................................................................48
Figura 10: Resultados de Análisis de NethServer.................................................................................52
Figura 11 : Resultados de Análisis de NethServer. ...............................................................................52
Figura 12: Resultados de Análisis de NethServer. ................................................................................53
Figura 13: Salvapantalla de programa Wireshark equipo N° 1.............................................................55
Figura 14: Resultados de Análisis NetworkMiner del Equipo N°1. .....................................................56
xiv
FACULTAD DE CIENCIAS DE LA INGENIERÍA Y APLICADAS
TEMA: PROPUESTA DE POLÍTICAS DE SEGURIDAD INFORMÁTICA DE ACUERDO

A LAS ISO 27001 EN EL GOBIERNO AUTÓNOMO DESCENTRALIZADO DEL
CANTÓN PANGUA.
AUTORAS: Cruz Caiza Carla Cristina
RESUMEN
En el presente proyecto de investigación se analizó la ausencia de controles y procedimientos
de la seguridad que gestionan las TICs del Gobierno Autónomo Descentralizado Municipal de
Pangua, en virtud de ello se procedió a levantar información por medio de instrumentos de
investigación, como es la entrevista que se realizó al encargado de sistemas informáticos
obteniendo información acerca de ciertas ausencias, de igual forma al encontrar ciertas
anomalías mediante la observación de los procedimientos, por tal razón se optó sustentar con
fuentes bibliográficas acerca de empresas que aplicaron políticas de seguridad informática
mediante la ISO 27001 y al percibir los resultados, se generó un modelo diverso de políticas
que cumple con los estándares de la ISO además que se acoplen a las necesidades del GAD,
para que tomen en consideración implementarlas en el futuro. Como resultado de la
investigación se generó una propuesta para la implementación de documentos de gestión
informática, con el fin de administrar, evaluar y proteger las TICs, estas políticas de seguridad
informática deben ser asumidas asimismo ejecutadas por los miembros del departamento de
Sistemas Informáticos apoyados por las demás unidades de la municipalidad, con el propósito
de minimizar las amenazas y riesgos de pérdidas de datos o ser víctimas de ataques cibernéticos.
Además, permitió a la dirección de la organización, tener una visión necesaria para definir
metodologías de mejora continua que aporte al óptimo cumplimiento de los objetivos y
servicios de la municipalidad.
Palabras Claves: Políticas de seguridad informática, amenazas, TICs, Confidencialidad,
Disponibilidad,Integridad.
xv
TECHNICAL UNIVERSITY OF COTOPAXI
FACULTY OF ENGINEERING AND APPLICATION SCIENCES
THEME: PROPOSED COMPUTER SECURITY POLICIES IN ACCORDANCE WITH ISO

27001 IN THE DECENTRALIZED AUTONOMOUS GOVERNMENT OF PANGUA
CANTON.
ABSTRACT
The present research project analyzed security controls absence and procedures managed by
TICs of Municipal Decentralized Autonomous Government of Pangua, thus proceeding to
collect information through investigative instruments, such as interview that was conducted
with computer system manager obtaining information about certain absences, similarly finding
certain anomalies by procedures observing, for this reason it was decided to support with
bibliographic sources about companies that implemented computer security policies through
ISO 27001 and results, generated a diverse model of policies that meets ISO standards in
addition to meet GAD'S needs to implement them in the future. As a result of the research, a
proposal was generated for its management documents implementation in order to direct,
evaluate and protect TICs, these computer security policies should also assume to implement
them by members of Computer Systems Department supported by the other units of the
municipality, in order to minimize threats and risks of data loss or to be victims of cyberattacks.
In addition allowed organization's management to have a necessary vision to define
methodologies of continuous improvement that contributes to optimal fulfillment of institution
objectives and services.
Keywords: Computer Security Policies, Threats, TICs, Confidentiality, Availability, Integrity.
xvi
1. INFORMACIÓN GENERAL
Título del Proyecto:
Propuesta de Políticas de Seguridad Informática de acuerdo a las ISO 27001 en el Gobierno

Autónomo Descentralizado del cantón Pangua.
Fecha de inicio: Mayo del 2020.
Fecha de finalización: Septiembre del 2020.
Lugar de ejecución:
Calle Ramón Campaña y Sucre (Centro) El Corazón – Cantón Pangua – Cotopaxi – Zona 3
– Gobierno Autónomo Descentralizado Municipal de Pangua.
Facultad que auspicia:
Facultad de Ciencias de la Ingeniería y Aplicadas.
Carrera que auspicia:
Carrera de Ingeniería en Informática y Sistemas Computacionales.
Proyecto de investigación vinculado:
Equipo de Trabajo:
• Tutor de Titulación
Ing. Llano Casa Alex Christian.
• Coordinadoras del Proyecto
Cruz Caiza Carla Cristina.
Gaibor Gavilanez Mónica Lisseth.
Área de Conocimiento:
Tecnologías de Información y Comunicación.
Sub líneas de investigación de la Carrera:
Sublínea 1: Diseño, Implementación y configuración de redes y seguridad computacional,

aplicando normas y estándares internacionales.
1
2. RESUMEN DEL PROYECTO
El proyecto de investigación analizó las necesidades y riesgos del GAD de Pangua, que nos
permitió diseñar políticas de seguridad informáticas que ayude a su buena gestión, así
mismo que hagan uso de las buenas prácticas de la ISO 27001. Para analizar las necesidades
se requirió realizar una investigación de campo, para extraer datos e información de la
realidad haciendo uso de herramientas como la entrevista, de igual forma se planteó la
investigación bibliográfica para sustentar acerca de instituciones que hacen uso de las
normas ISO 27001. Como resultado de esta investigación se identificó los riesgos existentes
en la municipalidad dando como solución un modelo de políticas diverso a cada
problemática, consecuentemente se realizó la inducción y entrega de políticas de seguridad
informática.
3. JUSTIFICACIÓN DEL PROYECTO

El proyecto de investigación tiene como propósito el diseñar las políticas de seguridad
informática aplicando las normas ISO 27001, para la protección de la información y los
recursos informáticos de la Municipalidad de Pangua, identificando los riesgos que puedan
ir en contra de la confidencialidad, integridad y disponibilidad de la información que afecten
a las actividades, pues al carecer de políticas de seguridad informática, la información que
administra el cantón Pangua puede verse afectada al ser víctimas de ataques cibernéticos
como de robo de información. De este modo es primordial, que la institución considere
implementar en un futuro las políticas de seguridad informática como buenas prácticas para
gestionar la información de una manera segura evitando pérdidas y permitiendo que el
Municipio precautele el uso adecuado de todos los servicios informáticos, para que brinden
sus funciones con total normalidad a la ciudadanía. Al proponer las políticas que se creen
adecuadas para las necesidades de la Municipalidad, se aporta con la seguridad de la
información de los habitantes del cantón Pangua y los bienes informáticos de la
Municipalidad. Lo que beneficia a toda la ciudadanía Pánguense y a la institución en general
pues optimizará su seguridad y por ende sus actividades.
4. BENEFICIARIOS DEL PROYECTO

4.1. Beneficiarios Directos
Los Beneficiarios directos del presente proyecto de Investigación es el Gobierno Autónomo
Descentralizado Municipal de Pangua.
2
4.2. Beneficiarios Indirectos
Ciudadanía, Administradores y Empleados del Municipio.
5. PROBLEMA DE INVESTIGACIÓN
Según (Colonia Hernández, 2019), menciona que “en la Municipalidad Distrital de Buena
Vista Alta – Casma, la problemática es la inseguridad de la información, en tal virtud ha
propuesto como objetivo realizar la propuesta de un sistema de gestión de seguridad de la
información con normas ISO 27001 de tal forma minimice la pérdida de información. La
investigación fue desarrollada cuantitativamente bajo el diseño descriptivo de transcripción
no experimental, la línea de investigación Implementación de Tecnologías de Información y
Comunicación (TIC), para la mejora continua de la calidad en organizaciones en Perú, de la
Escuela Profesional de Ingeniería de Sistemas de la Universidad Católica los Ángeles de
Chimbote.”
Según (Aguilar Carrión, 2017) alude que “en el Gobierno Autónomo Descentralizado
Cantonal de Pastaza ofrece servicios públicos a la ciudadanía de la cabecera cantonal y
parroquias aledañas. En visitas realizadas han podido apreciar dificultades relacionadas con
el área informática como la pronta saturación de la conectividad a los diferentes Wireless,
los equipos informáticos de la institución están siendo utilizados por diferentes
departamentos sin el debido control de los funcionarios de TICs, no existe seguridad en el
área determinada para los servidores ni en los puestos de trabajo, mencionando que la
institución tiene un problema relacionado con el área de tecnología lo que respecta con la
seguridad de la información, haciendo uso de la modalidad de investigación Cualitativa y el
método Inductivo/Deductivo.”
Según (Paguay Lema & Zamora Arana, 2017) menciona que “se desarrollará un plan de
seguridad de la información basándose en la norma INEN ISO/IEC 27001 para el GAD
Municipal de Milagro, puesto que esta norma detalla cómo gestionar la seguridad de la
información de una entidad, ya sea pública o privada. En este contexto, existe una
metodología formal de Análisis y Gestión de Riesgos denominada MAGERIT, que permite
recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.”
Para la presente investigación a través de una entrevista al Gobierno Autónomo

Descentralizado Municipal del cantón Pangua se evidenció la carencia de Políticas de
Seguridad Informática, lo cual es perjudicial para la entidad pues puede verse afectada por
3
ataques cibernéticos o por robo de información, debido que presentan ausencia de controles
y procedimientos de la seguridad que gestionan las TICs, por ende facilita el ingreso a
cualquier persona y así podrán manipular la información ocasionando pérdidas de la
disponibilidad, confidencialidad e integridad de los datos, disminuyendo que brinden sus
servicios con total normalidad a la ciudadanía.
6. OBJETIVOS
6.1. Objetivo General
Diseñar políticas de seguridad informática aplicando normas ISO 27001 para la gestión de
la información y las herramientas informáticas en el Gobierno Autónomo Descentralizado
Municipal del Cantón Pangua.
6.2. Objetivo Específicos

✓ Analizar la situación actual de las herramientas y equipos informáticos del Gobierno
Autónomo Descentralizado Municipal de Pangua para verificar su operación.
✓ Identificar los riesgos que puedan ir en contra de la confidencialidad, integridad y
disponibilidad de la información que afecten las actividades del GAD de Pangua.
✓ Crear modelos de documentos que permitan dar seguimiento al cumplimiento de los
objetivos del departamento de TI.
4
7. ACTIVIDADES Y SISTEMA DE TAREAS EN RELACIÓN A LOS OBJETIVOS PLANTEADOS
Tabla 1: Sistema de tareas en relación a los objetivos planteados.
OBJETIVO ACTIVIDADES (TAREAS) RESULTADO DE LA MEDIOS DE

ACTIVIDAD VERIFICACIÓN
Objetivo Especifico 1: Analizar Tarea 1: Entrevistar al Alcalde del GAD del cantón Se pudo apreciar la acogida por parte
la situación actual de las Pangua para indagar sobre las actividades. del Sr. Alcalde Prof. Saúl Mejía, para
herramientas y equipos Tarea 2: Dialogar con el Área de Servicios propuesta de Políticas de Seguridad
informáticos del Gobierno Informáticos para percibir la manera con la que se Informática en el GAD, como
Autónomo Descentralizado maneja la información. también mediante un diálogo la
Municipal de Pangua para Tarea 3: Realizar una visita por las instalaciones necesidad de las mencionadas
verificar su operación para comprender el proceso que se maneja en el Políticas.
GAD del cantón Pangua.
Objetivo Especifico 2: Tarea 1: Percibir si se maneja limitaciones al Entrevista con el Ingeniero encargado Audio de la entrevista y
Identificar los riesgos que acceso de información para el personal de otras del departamento Informático. entrevista redactada,
puedan ir en contra de la áreas. Apreciar ciertas carencias que en un que será adjuntada al
confidencialidad, integridad y Tarea 2: Verificar la seguridad que se lleva con futuro puede perjudicar el buen documento.
disponibilidad de la información respecto a la información de los habitantes del funcionamiento del GAD del cantón
que afecten las actividades del cantón Pangua. Pangua.
GAD de Pangua. Levantamiento de la información que
. contribuya para la investigación.
Objetivo Especifico 3: Crear Tarea 1: Investigar sobre las ISO para aplicar Diseño de las Políticas de Seguridad Documentación de
modelos de documentos que estándares que garanticen y ayuden al buen Informática. Políticas de Seguridad
permitan dar seguimiento al funcionamiento. Diseño de Anexos y Registros que redactada.
cumplimiento de los objetivos Tarea 2: Generar documentos adecuados que permitan contarán el cumplimiento de las
del departamento de TI. en un futuro verificar su adecuado cumplimiento. Políticas.
Fuente: Grupo Investigador.
5
8. FUNDAMENTACIÓN CIENTÍFICO TÉCNICA
8.1. ANTECEDENTES
En el 2005 el 15 de octubre fue publicado la ISO 27001, con el fin de implementar, opera,
establecer, mantener, supervisar y mejorar SGSI aplicable para toda tipo de empresas u
organizaciones proporcionando esta norma con niveles altos de seguridad sobre temas
altamente confidenciales (Cordero Torres, 2015). Consiste en la confidencialidad, integridad
y disponibilidad de la información o procedimientos en diversas organizaciones estas pueden
ser públicas o privadas ya sean grandes o pequeñas y estas pueden ser con o sin fines de
lucro (Nieves, 2017). El objetivo fundamental es proteger la información para que no caiga
en manos incorrectas o esta se pierda para siempre.
El estándar de la ISO 27001 es certificable, es decir cualquier organización que tenga

implementado un SGSI según este modelo, puede solicitar una auditoría y dependiendo del
éxito de esta auditoría puede adquirir una certificación ISO 27001.
La ISO es la constante reevaluación de controles y políticas que se adopta con el fin de

garantizar la información y sistemas informáticos asegurando la sostenibilidad de la
información a través del tiempo realizando auditorías o revisiones periódicas (Oidor
González, 2016).
8.1.1. Clasificación de las normas
El objetivo principal de las normas ISO es el de orientar, coordinar, simplificar y unificar a

nivel internacional el intercambio comercial e industrial, para obtener una mayor eficiencia
y productividad en todos los campos de la actividad económica, en la normalización se puede
establecer la siguiente clasificación general de las normas (Magaña Herrera, 2012).
a) Ámbito de la aplicación
Nacional: Conjunto de organismos internacionales de normalización.
✓ Normas para el sector industrial.
✓ Normas para las empresas.
✓ Normas para los organismos nacionales.
• Internacional: conjunto de organismos internacionales de normalización.
6
b) Contenido
Científico
✓ Definiciones de magnitudes.
✓ Designaciones de la simbología matemática
✓ Designaciones de notaciones científicas
Industrial
✓ Normas de calidad: definen las características de un producto o proceso.

✓ Normas dimensionales: definen las dimensiones tolerancias, formas, etc., de un
producto.
✓ Normas orgánicas: afectan a sus aspectos generales (color de las pinturas, dibujos,
acotaciones, etc.)
c) Forma de la aplicación
✓ Obligatorias
✓ Voluntarias
8.1.2. Beneficios de las normas internacionales ISO
Según (Díaz Romero & Rodríguez Rojas, 2017), nos relata que “las normas internacionales
de la ISO contribuyen a beneficiar a los consumidores, empresas, Gobiernos y sociedad en
general” de las siguientes maneras:
Para los consumidores: la conformidad de los productores y servicios con estándares

internacionales ofrece garantía a los consumidores sobre la calidad, la seguridad y la
confidencialidad de estos productos y servicios.
Para las empresas: en la adopción de normas técnicas internacionales, los proveedores

pueden llevar a cabo el desarrollo de sus proveedores y servicios sobre la base de las
especificaciones que han sido de amplia aceptación en su sector, lo que facilita la
contratación y organización de los bienes y producto. Esto a su vez significa que las empresas
internacionales que utilizan normas, técnicas son cada vez más libres de competir en muchos
más mercados en todo el mundo.
7
Para todos: las normas técnicas internacionales pueden contribuir a la calidad de vida en
general, por garantizar que los modos de transporte, maquinaria y herramienta que
utilizamos sean seguros.
Por el planeta: las normas técnicas internacionales en aire, el agua, la calidad del suelo,
sobre las emisiones de gases y la radiación, pueden contribuir a los esfuerzos por preservar
el medio ambiente.
Es importante aplicar estos beneficios dado que cumplen una significativa función de
instaurar la normativa a nivel internacional. De esta forma sirve como patrón de referencia
para obtener una gestión de calidad en cualquier otra empresa.
8.1.3. Misión de la ISO 27001
La misión de la ISO es comenzar la estandarización con actividades relacionadas con

facilitar el intercambio de servicios y bienes para así promover la cooperación tecnológica y
económica, todos los trabajos realizados por la ISO resultan acuerdos internacionales que
son publicados como Estándares Internacionales.
8.1.4. Visión de la ISO 27001
La visión de la ISO 27001 es un enfoque sistemático para implementar, establecer,

monitorear, revisar, operar y mejorar la seguridad de la información de una Institución y
ayudarle a lograr sus objetivos comerciales.
8
8.1.5. Cuadro comparativo de resultados de la norma ISO 27001 ante COBIT e ITIL
Tabla 2: Cuadro comparativo de resultados de la norma ISO ante COBIT e ITIL.

CUADRO COMPARATIVO
ISO 27001 COBIT ITIL
Con el desarrollo de la propuesta La propuesta de dotar al comercial JAHER Nivel de factibilidad de
expuesta se logrará mantener la de la ciudad de Babahoyo del Sistema implementación de procesos basados
confidencialidad, disponibilidad COBIT5 como herramienta para detectar en ITIL, en la Tabla N° 28 se observa
y seguridad de la información de Corporación errores y señalar los fallos en los procesos Corporación que el 88% indicaron que SI es factible
PRONACA la Procesadora Nacional de Jarrín Herrera de auditoría informática es certificada y Educativa Virgen la implementación de ITIL en su
C.A Alimentos, obteniendo altos Cía. Ltda. validada por dos profesionales expertos en del Perpetuo organización, esté resultado es similar
(Morales, 2015) niveles de seguridad con JAHER ramas similares, los cuales se encargaron Socorro, Tumbes. a García y Gavilanes (1), obteniendo
recomendaciones de estándares (GUAPULEMA de la revisión y aprobación de la misma (Palacios de las personas encuestadas un
internacionales de las normas MARTÍNEZ, ellos afirmaron que es un aporte útil, Marchan, 2018) resultado del 100% que si es factible la
ISO 27001 E 27002. 2017) valioso y adaptable a la empresa JAHER. implementación de ITIL, obteniendo
Por lo cual se efectuaron las validaciones una similitud entre ambas
pertinentes con la finalidad de comprobar organizaciones.
que los requerimientos que se analizaron
para el desarrollo de la investigación son
los correctos y que la propuesta cumple con
las necesidades estipuladas por la
institución.
La norma ISO 27001 es más Según el análisis realizado por los La situación inicial contra la situación
rentable debido que es más estudiantes el 25% se está aplicando actual en la medida que se haya dado
GAD barata, a su vez cuenta con tres GESTIÓN DE COBIT 5 en las Tecnologías de la EIS y el Departamento de mejoras a través de la revisión de los
Municipal de factores de suma importancia que LA TI EN LA 75% se mejora aplicando la metodología sistemas de la resultados de los indicadores de
Milagro. son la disponibilidad, EIS desarrollada fundada en COBIT. Se logra Universidad Gestión implementados. Comprende
(Paguay Lema confidencialidad y la integridad, (Vargas García, un gran paso en la victoria de las brechas de Politécnica la revisión de resultados en: Mejorar el
& Zamora teniendo en cuenta que la Norma 2015) la administración de las Tecnologías de la Salesiana SEDE desempeño de la Organización,
Arana, 2017) ISO 27001 cuenta con las Información basándose en estándares y Guayaquil Aumentar la satisfacción del cliente,
políticas y planes de acciones que normas de calidad, con un buen beneficio (García Correa & Generar cultura de calidad en la
ayudarán a tener más segura la de las tecnologías a disponibilidad de los Gavilanes organización, Mantener los procesos
información del GAD Municipal usuarios TI en la EIS. Balarezo, 2015) actualizados y constantes mejoras.
de Milagro.
9
Mediante la investigación realizada sobre las empresas que utilizaron las diferentes normas
ISO, COBIT e ITIL, se realizó un cuadro comparativo de los resultados obtenidos al accionar
una gestión, y hemos percibido que la ISO 27001 es una norma efectiva para aplicar, que
ayudaría a cumplir a cabalidad con los requerimientos.
Así mismo podemos decir que, al comparar los modelos de políticas de seguridad
informáticas de las empresas antes mencionadas, que utilizaron la norma ISO 27001 y al
percibir sus resultados, según nuestra perspectiva hemos visto conveniente generar un tipo
de modelo diverso, de política de seguridad informática que cumpla con las necesidades.
8.2. MARCO REFERENCIAL (PRT)
Según (Cristancho Lopez, 2018)el Municipio de Guachetá – Cundunamarca, basado en la

norma ISO/IEC 27001:2013, menciona que “La información de la entidad está expuesta y a
base de eso utilizaron como metodología de análisis de riesgo MAGERIT V3. Se generó un
formulario de riesgo, teniendo presente la frecuencia y el impacto que genera las amenazas
hacia los activos de la información de la entidad, donde actualmente arroja un riesgo
intransigente de los activos de información lo que lleva acabo a la aplicación de los controles
de una norma ISO 27001:2013, para así implementar políticas de seguridad para
salvaguardar además de proteger la información y los activos informáticos, aprobando la
confidencialidad, disponibilidad e integridad de la información”.
La finalidad de las políticas ISO 27001 es proteger los activos de la información contra las
amenazas que puedan ocurrir y así no pierdan la confidencialidad e integridad de las
empresas.
Según (Zura Chala, 2015) relata que “En el Municipio de Otavalo abarca un diseño de
modelo de seguridad de multicapa, también conocido como defensa a profundidad, para lo
cual será aplicado en tres niveles: donde el primer nivel de usuario ayudará a elaborar un
Manual de Normas y Procedimientos de seguridad de información en relación con la Norma
ISO/IEC 27002 el cual está socializado con el administrador de red hacia los usuarios, en
otro punto está el nivel de red la cual posee un nivel jerárquico. De igual forma en la red
perimetral por tanto esta herramienta sirve para el descubrimiento de intrusos basados en
motores Suricata bajo una plataforma unida llamada SELKS de esta manera podremos
utilizar algunas de las siguientes sugerencias que nos detalla dicho autor siguiendo la
10
metodología OSSTMM 3.0 de análisis de riesgos utilizando métricas operacionales de
seguridad”.
La norma ISO está orientadas a ordenar la gestión de una empresa en sus distintos ámbitos,
donde están compuestas por estándares, guías y herramientas que ayudan a proteger la
información de las organizaciones.
Según (Briñez Bautista, 2017) señala que “La Alcaldía Municipal de Jugua de Ibérico
mediante la metodología MAGERIT, describe el diseño metodológico para la
implementación de la seguridad informática para construir un proceso de implementación la
cual exige cambios como cultura y la organización de la entidad. Esta opción es primordial
para proteger la información, pues tiene como objetivo principal proteger dicho activo a
través de controles y políticas de seguridad”.
El manejo de la metodología MAGERIT minimiza los riesgos del uso de las tecnologías de
información por la cual permite saber cuánto valor está en juego para poder ayudar a
proteger.
Según (Fernández Villacrés & Martínez Campaña, 2017) alude que “En el GAD cantonal de
Pastaza utilizaron una herramienta proporcionada por Microsoft denominada Herramienta
de Evaluación de Seguridad de Microsoft (MSAT). Finalmente, dicha herramienta es
utilizada en todo mundo para la gestión de riesgos informáticos, relacionada con los
parámetros de la norma ISO 27001, 27002, y 27005 visto que con dicho resultado se ha
logrado generar el Plan de Seguridad de la Información, para lo cual ayudo a mejorar los
controles internos de la entidad relacionada con la seguridad informática. Esto aplicando la
metodología PDCA, Planificación - Ejecución - Evaluación – Actuación (en inglés, PDCA
de Plan-DO-Check-Act) es una secuencia cíclica de actuaciones que se hacen a lo largo del
ciclo de vida de un servicio o producto para planificar su calidad”.
La herramienta MSAT analiza las debilidades o puntos de mejora en el ámbito de seguridad

de cualquier empresa, de esta forma el MSAT examina los riesgos, en diferentes áreas
realizando así un análisis de defensa a profundidad.
Según (Montealegre Alvarez, 2018) menciona que “la alcaldía Municipal de Tame tuvo el
propósito de crear políticas de seguridad en vista que cuenta con un sistema de información,
pero no cuenta cómo protegerla y esta podría perderse siendo el activo más importante de
una empresa.”
11
Actualmente las políticas de seguridad normas y directrices que permiten garantizar la
seguridad de la información de las organizaciones.
Según (Diaz Coral, 2015) indica que “el Municipio de Pasto expone que no cuenta con la
implementación de un sistema de gestión de seguridad de la información, de modo que sea
han propuesto como su principal objetivo identificar las vulnerabilidades, riesgos y
amenazas a las que pueden estar expuestos el Municipio y afecte su buen funcionamiento
esto con la ayuda de la metodología MAGERIT, para concientizar a los responsables de la
información que pueden existir riesgos y poder preparar a la organización para un proceso
de auditoría, acreditación o certificación según sea el caso.”
MAGERIT ayuda a resolver todas las gestiones de riegos que presentan en las empresas
mediante un análisis sistemático para mejorar la calidad y excelencia de las empresas tanto
públicas como privadas.
Según (Almeida Suarez, 2017) alude que “la Cooperativa de Ahorro y Crédito “San
Antonio” de la Unión se evidenció la falta de evaluación de riesgos, que se basó en dos tipos
de investigaciones tales como de campo y la bibliográfica. Por lo cual se aplicó la
metodología de las Normas ISO 27001, puesto que es un papel muy importante que abarca
a todas las empresas u organizaciones que permite salvaguardar la integridad, privacidad y
la confidencialidad de la información.”
La norma ISO 27001 nos habla de cómo evaluar los riesgos de la información que puede
estar impresa o en digital por ende puede ser confidencial, restringida, etc., de esta manera
ayuda a mejorar la gestión de riesgos de seguridad de la información de las organizaciones.
Según (Palacios Portilla, 2015) menciona que “la Cooperativa del magisterio de Túquerres,
se evidenció la falta de las políticas además de mecanismos que ayuden a proteger su
integridad, disponibilidad y confidencialidad, por tanto es muy perjudicial pues poseen 7.000
asociados en constante crecimiento lo que implica tomar medidas para evitar posibles riesgos
y no cause grandes pérdidas económicas, con ello también daño a su reputación y potencial.
Por esta razón se plantean como solución, el diseño de un sistema de gestión de seguridad
de la información en el área de informática de la Cooperativa del magisterio de Túquerres,
con la metodología de la norma ISO 27001:2013.”
En las instituciones públicas o privadas la Norma ISO 27001, es importante dado que
minimiza los riesgos de pérdida de información o ataques cibernéticos, de esta forma algunas
12
empresas aplican políticas de seguridad informática para optimizar la privacidad de la
información.
Según (Ruiz Peña, 2018) menciona que “la Cooperativa Multiactiva ubicada en Bogotá, el
personal de Sena encuentra ausencia de mecanismos para proteger la información, de modo
que se diseñó políticas de seguridad a fin de generar comprensión y conciencia, del valor e
importancia que posee la información que se maneja en la Cooperativa, por ende en
COOPSENA las políticas se las diseñara bajo la metodología del estándar ISO/IEC
27001:2013 cuyo resultado permiten optimizar el tiempo para establecer las salvaguardas
destinadas a minimizar, controlar y evitar un impacto potencial en el futuro además facilita
el proceso de gestión de riesgos.”
La ISO 27001 es la norma que establece la implementación de los sistemas de gestión de la

seguridad de información, debido que esta norma permite certificar al conocer si cumple con
todos los requisitos de seguridad de la información.
Según (Alcivar, 2017) alude que “la Cooperativa La Benéfica Ltda., no se rigen a estándares
internacionales que forman los sistemas de gestión de seguridad de la información, en
consecuencia tienen carestía en las medidas de un plan de seguridad de la información basada
a las buenas prácticas como es la metodología ISO 27001, como resultado menciona que la
puesta en funcionamiento de un SGSI garantiza la ejecución del conjunto de procesos que
gestionen la accesibilidad de la información.”
En los SGSI se define como un proceso sistémico, organizado y documentado que sirve para
implementar y gestionar la seguridad de la información en una organización buscando
mantener la confidencialidad, integridad y disponibilidad.
Según (Gallegos Montero, 2015) alude que “la Cooperativa de Ahorro y Crédito Nuevos
Horizontes de la ciudad de Machala, presentaba varios problemas relacionados con el área
de seguridad de la información tales como falta de controles y procedimientos para el
aseguramiento de los datos y los equipos de soporte. De forma empírica se trataba de dar
solución a las deficiencias que se presentaban en la organización, pero a su vez quedaban
expuestos a los procesos y activos de la información a una serie de amenazas y
vulnerabilidades. Con lo expuesto surge la necesidad de analizar, diseñar e implementar un
Plan de Gestión de la Seguridad de la Información utilizando la norma ISO 27001 y la
metodología de mejora continua PDCA (Planificar, Hacer, Verificar y Actuar). Con la
13
realización de dicho proyecto de titulación se logró mitigar los riesgos de pérdida, robo o
corrupción de información; también se estableció un documento guía de buenas prácticas
aplicadas en beneficio de toda la organización para los procesos, usuarios y clientes de la
entidad.”
La norma ISO 27001 y el PDCA sirve para mejorar la calidad y la productividad en cualquier
nivel jerárquico en una organización, esta norma ISO 27001 permite el fortalecimiento de la
confidencialidad e integridad de la información de las organizaciones.
Según (Villegas Chiliquinga, 2017) menciona que “la Dirección de Aviación civil del
Ecuador (DGAC), ha generado una evaluación y análisis de la información obtenida para
verificar la vulnerabilidad existente en la red de datos, así como también evidencia la falla
en los procesos que se generan en dicha institución. Basado en las normas de la ISO/IEC
27001, para describir la Política de Protección de la Información, basada en la seguridad de
los datos y que en las instituciones no deben trabajar personas que no tengan registros de
identificación, así como también cada administrador de red debe poseer claves de acceso
para la protección de la infraestructura de datos y de la comunicación.”
Las vulnerabilidades en las empresas ocasionan perdidas de la información y daño a la

integridad de la institución en virtud a esto las normas ISO 27001, son aptas para toda
institución la cual ayuda a prevenir robo de la información o ataques que dañen a las
organizaciones.
8.3. ASPECTOS TEÓRICOS CONCEPTUALES

8.3.1. Active Directory
El uso del Active Directory por parte de las empresas en una práctica muy habitual hoy en
día. “Es un repositorio de red donde se puede obtener información acerca de lo encontrado
en la red como puede ser usuarios, permisos, asignación de recursos y políticas de acceso,
surge con la necesidad de validar los usuarios que están en la red, esto con el fin de ofrecer
el servicio solamente a usuarios autorizados de hecho, el directorio es una lista de usuarios
y recursos de red donde indica a los autorizados a utilizar. Este directorio activo acepta
numerosos atributos para cada clase de objeto que se utiliza para recopilar gran cantidad de
información. Al tener una sola fuente de información hace el proceso más eficiente y
accesible” (Castro Ortega, 2015).
14
Active Directory básicamente posee una base de datos que está estructurada
jerárquicamente, la cual está compuesta de carpetas que permite seguir expandiendo y
accede a trabajar con muchas carpetas más que estén formadas por dominios.
8.3.1.1. Estructura Lógica del Active Directory
Según (Ocampo Vélez, Encalada Vivanco, & Ing. Jaramillo Castro, 2015), menciona: “La
estructura lógica del Active Directory brinda seguridad ante el almacenamiento de la
información acerca de sus clientes y estos mismos pueden presentar entidades u objetos en
la estructura lógica, a continuación mostramos en la Figura 1, los componentes de la
estructura” (pág. 5).
La parte lógica es la estructura de las unidades organizativas, de un sitio donde se encuentran

la representación de los dominios. Esta estructura comprende de los siguientes componentes:
a. Objetos
Es considerado como un objeto intangible, (Ocampo Vélez et al., 2015) indica “Se
denominan como los componentes más básicos de esta estructura lógica, cada clase de
objetos están definidos mediante un grupo de atributos donde definen los posibles valores a
asociar y cada objeto tiene una combinación única de valores de atributos”(pág. 5).
Posteriormente objetos nos permiten representar la estructura de red física como lo son:
controlador de dominio, grupos, unidades organizativas, etc., mediante este pilar se trabaja
con active directory.
b. Unidades organizativas
Pueden usarse para organizar cientos de objetos, (Ocampo Vélez et al., 2015) alude
“Mediante la estructura de los objetos por unidades organizativas facilita su localización y
administración, como también se puede delegar la autoridad administrativa a una unidad
organizativa”(pág. 5).
Las unidades organizativas son las que representan departamentos internos o los objetos en
el directorio dentro de unidades administrativas de las empresas.
15
c. Dominio
(Reina Tovar, 2016) Determina que: “Es la unidad funcional central de la estructura lógica
del Active Directory, que comparten una base de datos y conjunto de objetos definidos,
directivas de seguridad y relaciones de confianza comunes con otros dominios” (pág. 72).
Dentro del análisis el dominio es una palabra, texto o el identificativo único para cada uno
de las webs, de esta forma los dominios pueden tener diferentes terminaciones como: .com,
.net, etc., algunos dominios son para posicionarse en determinados países como .es, .mx.
d. Árboles de dominio
“Árboles de dominio es la recopilación jerárquica de los dominios, los comparten un espacio

para nombres común. Es decir cuando se añade un registro a un árbol existente, el nuevo es
un dominio hijo por lo cual existe un padre y a su vez se establece automáticamente una
relación de confianza” (Vera Castro & Zambrano Zambrano, 2017).
Los árboles de dominios son uno o más dominios que comparten un espacio de nombres
DNS contiguo, es decir que cuando se crea diferentes dominios dentro de un mismo árbol
automáticamente se genera una confianza entre padres e hijos por lo cual se puede ingresar
sin ningún problema.
e. Bosques
Consta de uno o varios árboles es considera como una instancia completa de Active Directoy,
es un árbol que se recomienda a la mayoría de organizaciones pues tiene dos niveles y todos
los dominios secundarios se convierten en dominio raíz para formar un árbol adyacente. El
nombre de ese dominio hace referencia al bosque por ejemplo nwtraders.msft (Gómez
Gómez, 2015).
16
Figura 1: Imagen de Bosques.
Fuente: Lenin Sebastián Ocampo Vélez, Paúl Henry Encalada Vivanco, & Ing. Carlos Miguel Jaramillo Castro, 2015.
Finalmente se menciona que el bosque es una colección de uno o más dominios y por ende
posee un único esquema, donde cuentan con relaciones de confianza automática de dos vías
y transitivas.
8.3.1.2. Estructura física del Active Directory
“Se usa para configurar y administrar el tráfico de red, además es un componente del Active
Directory para así entender los componentes de la estructura física es importante, para
optimizar el tráfico de red y el proceso de login” (Vera Castro & Zambrano Zambrano,
2017).
Esta estructura se divide en los siguientes temas importantes:
a. Sitios
“Consiste en la forma que se replicara la información de directorio y como tratar las

solicitudes del servicio de equipos los que son estipulados a sitios, esto mediante la
combinación de una o más subredes IP conectadas a alta velocidad” (Hernández Mendoza,
Martínez González, & Martín Jaime, 2016).
Un sitio indica el método de configuración de las topologías y de las replicaciones con el

directorio activo, para así obtener todas las características de la Red Física.
17
b. Controlador de dominio
Consiste del lugar donde almacena una copia del directorio, almacenan datos, administran
las interacciones entre el usuario y el dominio, autenticación, los procesos de inicio de sesión
igualmente las búsquedas de directorio como los cambios del directorio asimismo los replica
a otros controladores de dominio que sean del mismo dominio (Hernández Mendoza et al.,
2016).
A pesar de todo, los controladores de dominio son los sistemas operativos de Windows que
guarda las contraseñas en los archivos de SAM, dicho esto el controlador es el eje central de
un dominio de Windows.
8.3.2. Acceso a internet
Según (LACNIC FRIDA, 2020), menciona que “el uso de internet en América Latina y el
Caribe posee un aproximado de un tercio de la población que sigue sin tener acceso a
internet”, en una investigación realizada se evidencio que en el año 2019 el porcentaje de las
personas que utilizan el internet aumento a un 3,3 puntos porcentuales a nivel nacional
(INEC, 2020), esto quiere decir que la sociedad ecuatoriana está evolucionando en términos
de consumo de internet, como también compra y manejo de medios digitales.
El acceso a internet es la conexión entre un computador, dispositivos móviles, red de

computadoras o hacia otros tipos de dispositivos que sirven para conectarse a internet.
Figura 2: Uso de las personas que utilizan internet.
Fuente: Elaboración propia, con base en los datos de la Encuesta de Calidad de Vida 2012-2019. Instituto Nacional de
Estadística (INEC).
18
8.3.3. Respaldos
A continuación, se describirá los tipos de respaldos que son en gran mayoría altamente
indispensables en una organización.
a. Respaldos completos.
b. Respaldos incrementales.
c. Respaldos diferentes.
8.3.3.1. Respaldos completos
Según (Morales Choez, 2016), este tipo de respaldo se caracteriza por que cada uno de los
archivos son escritos o almacenados a medida en que se vaya ejecutando los respaldos (pág.
22).
Los respaldos son la copia total de toda la información que se realiza de los ordenadores que
poseen las entidades.
8.3.3.2. Respaldos incrementales
(Morales Choez, 2016) menciona: “En este tipo de respaldo se caracteriza por que proceden
a comparar en primer lugar la fecha de modificación del activo reciente fue diferente a la
que registra como última modificación y a continuación procede actualizar y modificar el
registro” (pág. 22).
Los respaldos incrementales son las copias de informaciones creadas y modificadas por las
personas desde la última elaboración, las cuales se puede realizar respaldos tanto
incrementales como completos.
8.3.3.3. Respaldos diferenciales
Este tipo de respaldo es semejante al incrementar, puesto que copian archivos que han sido
modificados, (Morales Choez, 2016) afirma: “este se caracteriza también por ser
acumulativo lo que significa que este contiene todos los archivos modificados desde el
último respaldo completo” (pág. 23).
Se recomienda para la propuesta SyncBack que es un software que sincroniza y copia las
carpetas y archivos, haciendo seguro y sencillo la forma de respaldar la información. Trabaja
mediante perfiles o trabajos, ofrece ciertas reglas para evitar conflictos con nombres pre
existentes y ofrece Mirror que es una operación uni direccional que crea una copia de
19
seguridad idéntica del directorio de destino del director fuentes, cuenta con una función de
filtro que permite limitar que archivos son copiados.
8.3.4. Privilegios de las cuentas de usuarios
Según (Collazo Linares, 2017), cualquier usuario con privilegio es vulnerable al contagio de
algún virus informático, lo que se intenta es aplicar privilegios para minimizar la infección
y propagación de los virus, con estos privilegios también se desea poner límites al acceso a
la información, ya sea para editar la información y configuración de los usuarios a veces
guardan la información en accesos públicos, siendo una debilidad en la seguridad de la
información.
En definitiva, el privilegio de cuenta de usuarios es la colección de información que muestra

al sistema operativo a realizar acciones como crear carpetas en un directorio, acceder a un
dispositivo o para poder leer o borrar archivos.
8.3.5. Delitos informáticos
Los delitos informáticos según (Chungata Cabrera, 2015) relata que “se realizan con la ayuda
de los sistemas informáticos, pero tiene como objeto el injusto la información en sí misma,
por ende se determina como delito informático al comportamiento antijurídico, no ético o no
autorizado”. pág. 20.
Los delitos informáticos es aquella persona propia o ajena a la institución, que ingresa a la
información con intensiones maliciosas y alteran o borran dicha información. Existen otras
maneras en las que, mediante aplicaciones u archivos, ingresan a los ordenadores para robar
la información o para eliminarla.
8.3.6. Tipos de delitos informáticos
Existen diversos tipos de delitos informáticos, en la que influyen factores como la

imaginación de autor y su capacidad técnica para poder elaborar estrategias con un fin.
8.3.6.1. Caballo de Troya (Manipulación de Programas)
El autor (Acurio Del Pino, 2016), menciona que “Este delito consiste en modificar los
programas existentes en el sistema de computadoras o en insertar nuevos programas o
rutinas, el método común es insertar instrucciones de computadoras de una forma encubierta
en un programa informático”. pág. 23.
20
Este delito informático debe tener gran conocimiento en programación, pues este insertara
rutinas o instrucciones en el ordenador de manera encubierta disfrazado de un programa,
esta situación a menudo pasa inadvertida.
8.3.6.2. Pishing
Según (López Sánchez, 2019) el “phishing es la estafa en la que se hace el uso de los métodos
de la ingeniería social para traicionar a los usuarios con el fin de lograr la información o
algún beneficio de manera ilícita y rápida”.
El phishing es obra de las formas en las que personas mal intencionadas mediante ventanas
emergentes en las páginas web, diseñadas para robar la información de un usuario como
puede ser contraseñas e información de cuentas o de otros datos personales.
8.3.6.3. Bombas lógicas
Según (Chungata Cabrera, 2015) menciona que “Logic Bombs se produce a través de la
introducción de un programa que se ejecuta en un momento o fecha específica
consecutivamente, al cumplirse las determinadas condiciones alterando el funcionamiento
de los sistemas ya sea destruyendo o modificando la información”. pág. 36.
Para la construcción de estas bombas lógicas se requieren conocimientos en programación,

estas bombas cuando explotan causan gran daño, de modo que piden rescate a cambio de dar
a conocer donde se encuentra esta bomba antes que ocasione grandes daños.
8.3.6.4. Gusanos
El autor (Chungata Cabrera, 2015), menciona que “los gusanos son parecidos a los virus
pero tienen la diferencia que su finalidad es infiltrarse en programas para así modificarlos o
destruir los datos contenidos en el mismo posteriormente su cometido no puede multiplicarse
ni infectar otros archivos como los virus”. pág. 36.
Este gusano se forma semejante a un virus y el daño que ocasiona es la modificación de

datos o su destrucción, en ciertos casos estos gusanos dan instrucciones de transferencias
continuas de dinero a una cuenta ilegal.
8.3.6.5. Fuga de datos
(Chungata Cabrera, 2015), nos relata que “la fuga de datos consiste en la lectura, sustracción
o copiado de información confidencial o de datos reservados”. pág. 38.
21
Es la propaganda de información que maneje en una organización, esto se ocasiona cuando
no existen restricciones de acceso en el personal, de este modo es importante definir y
controlar el acceso a cierta información que suele ser confidencial. Una forma sencilla para
proteger es la criptografía, la seguridad física en los departamentos y la seguridad en los
ordenadores donde se encuentra alojada la información.
8.3.6.6. Hackers o Piratas informáticos
Según (Villavicencio Terreros, 2014), menciona que “son personas dedicadas, por afición u
otro interés, a violar programas y sistemas supuestamente impenetrables, conocido como
delincuentes silencioso o tecnológico”. pág. 7.
Los Hackers son personas que realizan los ataques en un lugar externo, aprovechando las
vulnerabilidades de seguridad para obtener acceso, se hacen pasar por usuarios del sistema
y emplean contraseñas.
8.3.7. Por qué tener políticas Escritas
Las políticas de seguridad informáticas son medidas que toman una organización o
institución para proteger la disponibilidad, confidencialidad e integridad de sus datos. Es por
eso cuando la institución requiera una certificación, demanda tener esta documentación con
el propósito de controlar lo que suceda en la Gestión de Seguridad de la Información, por
esta razón necesitan conocer a detalle. En las cláusulas de la ISO 27001 menciona los
objetivos entre los más relevantes es que sean medibles, puesto que debe tener los principios
claves como:
Confidencialidad: Es decir solo las personas autorizadas pueden conocer y hacer uso de la
información.
Integridad: La información que maneja la institución debe estar completa, sin alteraciones,
veras y exacta.
Disponibilidad: Debe estar siempre accesible para las personas autorizadas además conocen
el compromiso de cuidar, hacer buen uso y garanticen su protección.
8.3.8. Sistema de Gestión de la Seguridad de la información SGSI
Para (ICA, 2018), el concepto de SGSI menciona “el ICA trabaja permanentemente en pos
de implementar el SGSI siguiendo los lineamientos del Modelo de Seguridad y Privacidad
22
de la información – MSPI es la Estrategia de Gobierno Digital en vista que tiene como
privilegio preservar la integridad, confidencialidad, disponibilidad y privacidad de la
información”.
SGSI sirve para asegurar la calidad como también el manejo de los activos con el fin de
proteger de los ataques y amenazas durante la gestión de la información, dado que una
organización debe garantizar la confidencialidad, integridad y disponibilidad. A fin de poder
implementar el modelo conocido como PDCA este modelo es indispensable con la
participación de todo el personal. Consta de 4 etapas con un periodo de 6 meses a 1 año.
Figura 3: Seguridad de la Información Modelo PDCA.
Plan
Art PDCA Do
Check
PLAN (Planeación): Diagnostica la seguridad, toma medidas de solución y minimiza los

riesgos.
DO (Ejecución): Posee una implementación, informa al personal y minimiza los riesgos.
CHECK (Mejora): Toma medidas como correctivas, preventivas y de mejora.
ACT (Seguimiento): Evalúa el éxito y posee indicadores de resultados.
8.3.9. Implementación del sistema de gestión de seguridad informática SGSI
Como implementación de un SGI se compone de los siguientes: (Mercader, 2018)

23
✓ Visión global define las políticas de seguridad de la información que conforman las
bases del resto del SGSI.
✓ Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
✓ Implicación de la organización para poder llevar a cabo un SGSI donde se requiere la
implicación de toda organización desde la Dirección, hasta el usuario final.
✓ Gestión global se define los requisitos para la gestión de la seguridad de la información
desde un punto de vista global.
✓ Solución viva son series de medidas o controles para gestionar el riesgo de una
organización.
✓ Mejora continua permite determinar una planificación para alcanzar los objetivos en
diferentes iteraciones.
✓ Control y seguimiento permite colocar una metodología de medida y evaluación
mediantes indicadores, que permite evaluar los resultados obtenidos frente a los objetivos
establecidos.
8.3.10. Beneficios de la implementación de un SGSI
Según (Mercader, 2018) indica que podemos citar algunos aspectos positivos de la
implementación de un SGSI que aporta a las organizaciones como lo son:
Visión Global: Son las políticas de seguridad informáticas que deberán ser conocidas,
aprobadas y promovidas por la dirección.
Implicación de la organización: Con el propósito de llevar a cabo un SGSI se requiere la

implicación de toda la organización, desde la Dirección hasta el usuario final.
Gestión Global: Son los requerimientos para la gestión de la información, desde un punto
de vista global, siguiendo criterios comunes y procedimientos homogéneos.
Solución Viva: Un SGSI no finaliza con la implementación de una serie de lineamientos

para gestionar el riesgo, pues más bien es un proceso de constante revisión y actualización.
Mejora continua: Es la incorporación de nuevas iteraciones aprendida y se implementa las

mejoras justificadas, esto permite su evolución paso a paso.
Control y seguimiento: Permite disponer de una metodología de medida de evaluación a

fin de verificar el cumplimiento de los objetivos establecidos, para posteriormente mantener
informada a la Dirección.
24
8.3.11. Amenazas
Menciona (Solarte, Rosero, & Benavides, 2015) el autor que “las amenazas están
relacionadas con la posibilidad de que algún tipo de evento se puede presentar en cualquier
instante de tiempo, en el cual existe un daño material o inmaterial sobre los activos
informáticos y sistemas de información”.
Es la probabilidad de que una amenaza se produzca en un equipo de trabajo, este riesgo

permite la toma de decisiones para proteger la información y recursos informáticos.
Estas amenazas se pueden clasificar en función del daño, intervención o tipo de alteración
que puede sufrir la información, estas pueden ser:
Modificación: A más de que personas o programas que no autorizados acceden a la

información, estos realizaran alteraciones en la misma retrasando las actividades de la
Institución.
Interpretación: Es decir que personas, programas o equipos obtendrá información relevante

y confidencial de la organización, así como a programas.
Interrupción: Tienen como principal objetivo deshabilitar el acceso a la información, como

bloquear el acceso a los datos.
Fabricación: Es agregar datos fabricados o falsos, a la información del sistema de una

Institución.
Estas amenazas también se pueden clasificar según su origen, estas pueden ser accidentales
o intencionales.
Accidentales: Es decir ante un incendio, fallos de los equipos, software, errores humanos,
entre otros.
Intencionales: Cuando la acción humana es con fines maliciosos, esta introduce malware,
software malicioso o intrusión informática.
8.3.12. Seguridad informática
El autor (Romero Castro et al., 2018), menciona que “La seguridad informática se
encomienda de la seguridad del medio informático, según diferentes autores la informática
25
es la ciencia comisionada de los procesos, técnicas y métodos que buscan procesar,
almacenar y transferir la información.”
Desde el punto de vista la seguridad informática con sus diferentes estrategias lleva a cabo
la detección de usuarios o programas no autorizados de un sistema informático, para cumplir
con su objetivo principal que es proteger la información.
8.3.12.1. Tipos de seguridad informática
Activa: Es el conjunto de medidas que se toman, con la finalidad de controlar el acceso a

información confidencial o privada que se maneje en una organización.
Pasiva: Son las medidas que se toma una vez producido el incidente de seguridad, con el fin
de minimizar su repercusión y facilitar la recuperación.
8.3.13. Importancia de la seguridad informática
La importancia de la seguridad informática abarca tanto para los directivos en vista que
tienen una gran responsabilidad de generar la política y así minimizar la prevención de todos
los procesos informativos y tecnológicos (García Pierrat & Vidal Ledo, 2017).
En términos generales la importancia de la seguridad informática en las organizaciones

cumple un papel significativo que sirve para proteger la información y los datos.
8.3.14. Seguridad de la información
Para (ISOTools Excellence, 2017), la ilustración de seguridad de la información contribuye

a un método “que se encarga de la implementación técnica de la protección de la
información, el despliegue de las tecnologías que establecen de forma que se aseguran las
situaciones de fallas parciales o totales, cuando dicha información es el activo que se
encuentra en riesgo o amenaza.”
Actualmente la seguridad de la información puede tomar medidas preventivas como

reactivas para las organizaciones, asimismo sistemas tecnológicos que ayudarán a resguardar
y proteger la información de la empresa.
8.3.15. Mecanismo de seguridad
Se clasifican según la función que desempeñe los mecanismos de seguridad, estos son:
Preventivos: Actúan antes que se produzca un ataque, su misión es evitar que ocurran.
26
Detectores: Actúa cuando el ataque se ha producido y opera antes que cause graves daños
al sistema.
Correctores: Actúa cuando el ataque ya se dio, tiene como misión corregir los daños
causados.
Estos son los mecanismos más habituales, la selección de estos mecanismos corresponde de
cada sistema de información y de las posibilidades económicas.
8.3.16. Seguridad lógica
Según (Carrillo Jiu, 2014) menciona que “La seguridad lógica se refiere a la manera de
generar la seguridad en el uso del software y los sistemas, a la protección de los datos,
procesos y programas, así como la del acceso a los ordenadores y autorizaciones del usuario
a la información”. pág. 11.
Estos mecanismos y herramientas de seguridad tienen como objetivo salvaguardar

digitalmente la información de una forma directa.
Control de acceso: El manejo de usuarios y contraseñas.
Cifrado de datos: Es el cifrado de datos con una clave especial donde el emisor y receptor
son conocedores y cuando llega el mensaje se produce el descifrado.
Antivirus: Para la detección de virus u otro software malicioso, permitiendo eliminar y

corregir daños.
Cortafuegos: Conforma de uno o varios dispositivos de hardware y software que restringen

el acceso al sistema, protegiendo la integridad de la información.
Firma digital: Se utiliza para identificar de manera segura al responsable de mensajes

telemáticos o documentos electrónicos, permitiendo proteger la integridad y
confidencialidad de la información.
Certificados digitales: Son documentos digitales mediante una entidad autorizada,

garantiza ser quien dice ser, ratificada por la verificación de su clave pública, de esta forma
se protege la integridad y confidencialidad de la información.
27
8.3.17. Seguridad física
“Es el área de seguridad física posee acciones para proteger las propiedades tanto de los
personales como de los activos de las organizaciones”. (Cerrar, 2019)
Se dividen en dos fases las cuales son:
Humano: Su principal objetivo es realizar pruebas de seguridad para controlar la

concienciación respecto a las responsabilidades y seguridad personal.
Físico: Tiene como objetivo realizar pruebas para intentar romper las barreras físicas y
lógicas de las organizaciones.
8.3.18. Activos de la información
El propósito del activo son los bienes, derechos y otros patrimonios que cuenta la empresa
por ejemplo: muebles, construcciones, aplicaciones, software del sistema, servicios
informáticos, equipos de comunicación, equipos informáticos o derechos de cobro de
servicios prestados o venta de bienes a clientes (Figueroa Pérez & Malagón Sáenz, 2017).
Esto indica que también se cercarían aquellos de los que se espera conseguir un beneficio
económico en el futuro, donde las organizaciones poseen información valiosa que desean
proteger contra las amenazas o riesgos.
De este modo se menciona que son recursos que utiliza un sistema de gestión de la seguridad
de la información para que las organizaciones funcionen correctamente y así obtener los
objetivos que se formulan por la alta dirección.
Los activos se encuentran asociados, de forma directamente o indirectamente, con las demás
entidades (Argüezo Ramirez, 2019).
Posteriormente un proyecto de seguridad tiene como propósito controlar la seguridad de

dichos activos de información que se genera por el dominio en el estudio de proyectos. De
esta forma el conjunto de los activos del dominio no impide la consideración de las
relaciones en materia de seguridad de los activos informáticos de dicho entorno. A pesar de
esto el paso principal es que la entidad debe adaptarse a la norma ISO 27001 a fin de poder
llevar a cabo un inventario de los activos de la información. Los activos de la información
poseen un valor para la empresa y que quedan dentro del alcance de SGSI. Puede parecer un
28
poco tedioso para el principalmente, por los activos que se van identificando. Es por este
motivo que se decide comenzar por clasificar de alguna manera.
Los activos de información son variables, pues mañana pueden ser que la situación sean
diferentes o distintas en algunas semanas, meses o años. Es por esto que es recomendable,
mantener vivo el inventario de los activos que se realice. Por lo cual se debe incluir al
reconocimiento del Sistema de Gestión de Seguridad de la Información. Por ello es necesario
actualizar los procesos como parte de la mejora continua.
8.3.18.1. Activos de la información pura
Los activos de información pura mencionan en su investigación (Argüezo Ramirez, 2019),

son todos aquellos activos de información que posee algún valor para la organización por lo
cual están dentro del alcance del SGSI como mencionamos a continuación:
Tabla 3: Activos de Información - Pura.

Datos digitales Activos tangibles Software de Sistemas operativos
aplicación
 Personales  Personal  Propietario  Servidores
 Financieros  Financieros desarrollo por la  Ordenadores de
 Legales  Legales organización sobremesa
 Investigación  Investigación y  Cliente  Ordenadores
y desarrollo desarrollo  Planificación de centrales
 Comerciales  Comerciales recursos empresariales.  Dispositivos de
 Correo  Correo  Gestión de la red
electrónico electrónico información  Dispositivos de
 Base de datos  Otros materiales  Utilidades mano e incrustados
 Unidades de copia de seguridad  Herramientas de
lógicas  Llaves de base de datos
 Copias de oficinas
seguridad  Otros medios de
almacenamiento
8.3.18.2. Activos físicos

29
Los activos físicos según (Díaz Fonseca & Ramírez Rodríguez, 2015), define a todo objeto
o un bien material las cuales posee la entidad para manipular de manera óptima y sostenible
sus activos.
Tabla 4: Activos de Información - Físicos.

Infraestructura de Controles de entorno Hardware de TI Activos de servicios
TI TI de TI
 Edificios  Equipos de alarma  Dispositivos  Servicios de
 Centros de datos  Supresión contra de almacenamiento autenticación de
 Habitaciones de incendio  Ordenadores usuarios
equipos y servidores  Sistema de de mesa  Administración
 Oficinas alimentación  Estaciones de de procesos
 Armarios de red ininterrumpida trabajo  Enlaces
 Escritorios  Alimentación de  Ordenadores  Cortafuegos
 Cajones potencia portátiles  Servidores proxy
 Archivadores  Acondicionadores  Equipos de  Servidores de red
 Salas de  Filtros mano  Servicios
almacenamiento de  Supresores de  Servidores inalámbricos
medios físicos potencia  Módems  Anti-spam
 Cajas de  Des humificadores  Líneas de  Virus
seguridad  Refrigeradores terminación de red  Spyware
 Dispositivos de  Alarmas de aire  Dispositivos  Detección y
identificación  Alarmas de agua de comunicaciones prevención de
 Autentificación  Equipos intrusiones
 Control de multifunción  Teletrabajo
acceso al personal  Seguridad
 Correo
electrónico
 Mensajería
instantánea
 Servicios web
 Contratos de
soporte
 Mantenimiento
de software
30
8.3.18.3. Activos humanos
Según (INCIBE-CERT, 2016) menciona que los activos humanos son todas aquellas
personas contratadas que tengan acceso a las organizaciones.
Tabla 5: Activos de Información - Humanos.

Empleados Externos
 Personal y directivos  Trabajadores temporales
 Participar los que tienen roles de gestión  Consultores externos
como altos cargos  Asesores especialistas
 Arquitectos de software y desarrolladores  Contratistas especialistas
 Administración de sistemas  Proveedores
 Administración de seguridad  Socios
 Operadores
 Abogados
 Auditores
 Usuarios con poder
 Expertos en general
8.3.19. Vulnerabilidad
Desde el punto de vista la vulnerabilidad es el punto débil de la seguridad informática. Esto

indica que a través de esta se pueden presentar amenazas que pongan en riesgo la
confidencialidad e integridad de la información, para ello se realizó un análisis con el fin de
identificar el tipo y el nivel de cada vulnerabilidad que poseen las organizaciones.
8.3.19.1. Tipos de vulnerabilidades
Física: Es la que afecta la infraestructura de la organización de manera física (Romero Castro

et al., 2018), esto indica que tiene la eventualidad de acceder al sistema directamente desde
cualquier equipo para extraerle información, alterarlo o destruirlo.
Natural: En cuando a la vulnerabilidad natural permite estimar la posibilidad de que el

sistema sufra daños por causas del ambiente o de desastres naturales como: incendios,
terremotos, inundaciones, tormentas, etc. (Romero Castro et al., 2018).
31
Software: También destacada como bugs (error de software), donde tiene la posibilidad de
que el sistema sea comprensible debido a daños en el diseño de software que puede tener las
empresas (Romero Castro et al., 2018).
Humana: En este literal como error humano los administradores y usuarios del sistema
poseen una vulnerabilidad dado que tienen acceso a una red y a los equipos de las
instituciones (Romero Castro et al., 2018).
8.3.20. Estimación de riesgo
Según (Guanoluisa Huertas & Maldonado Soliz, 2015), nos relata que “permite determinar
cuáles serán los factores de riesgo que potencialmente tendrá un impacto significativo dentro
de la organización”. Finalmente, una vez que se haya identificado los activos sus
vulnerabilidades y las amenazas a las que están expuestos como siguiente paso es estimar el
riesgo, esto permitirá determinar los controles que se debe implementar en el sistema.
De esta forma el riego es una probabilidad a que una amenaza explote alguna vulnerabilidad
y ocasione algún tipo de daño en los activos para los cuales existen 3 tipos de métodos para
estimarlo como:
✓ Cuantitativos: Asignan un valor numérico y por lo tanto fácilmente medible.

✓ Cualitativos: Describe el riesgo con palabras.
✓ Semicuantitativos: Clasifican los riesgos con adjetivos: altos, medios y bajo.
De esta manera se puede utilizar dos métodos las cuales son: cuantitativos y
semicuantitativos, pues generan un análisis más detallado y por lo tanto más confiable para
las empresas. Se puede usar también un método cualitativo solo cuando no se puede hacer
un análisis detallado o cuando no se pueda cuantificar la amenaza por falta de tiempo.
8.3.21. Controles de seguridad
El presente menciona que se establece las acciones técnicas implementadas en la

infraestructura tecnológica y sistemas de información (Benjamín, 2017), donde se basa en
un sistema de gestión de información y eventos de seguridad (SIEM) de tal manera que
posibilita aumentar la efectividad de los controles implementados disminuir la complejidad
de la gestión de la seguridad de la información.
32
Es esencial que todas las empresas conozcan cómo proteger su información en contra de
ataques informáticos.
Por estas razones los controles de seguridad tienen como objetivo acciones que se utilizan
para minimizar el riego (Bermúdez Molina & Bailón Sánchez, 2015), de filtrar datos y de
organización a través del cuidado de accesos, cifrado, telecomunicaciones además
operativos con estos controles se puede decir que la información está segura contra ataques
autorizados.
a. Control de acceso: Este tipo de control utiliza procedimientos que sirve para la
asignación de accesos y privilegios al personal autorizado a un área específica validando la
identificación por medio de diferentes tipos de lectura, a su vez controlando el recurso de la
empresa (Mora Pérez, 2016). pág. 13. De igual forma la asignación se realiza a través de los
siguientes:
✓ Información confidencial para la autentificación del sistema.
✓ Gestión de contraseñas del usuario.
✓ Uso de software para la administración de los sistemas.
✓ Gestión de los privilegios de los usuarios.
b. Control de cifrado: Según (Guerra Guzmán, 2019) dice que está diseñada para proteger
la confidencialidad e integridad de la información mediante del lenguaje convenido
utilizando claves o cifras numéricas, esta ciencia enseña a realizar cifrados también
conocidos como códigos secretos fundados por los criptógrafos. pág. 24.
Actualmente existen programas que encriptan el contenido la base de datos con el fin de que
no sean entendibles por atacantes en caso de que puedan acceder a la información de las
entidades públicas y privadas. Finalmente, solo aquellos usuarios que tengan el código de
encriptación podrán ver los contenidos.
c. Control de telecomunicaciones: (Cortéz Rodríguez & Santiago Cueva, 2018)
menciona que parte de la base de datos la mayoría de los intercambios de información y de
datos en distintas escalas que se llevan a cabo mediante las redes sociales, garantiza la
seguridad además protege de forma adecuada los medios de transmisión. pág. 37
Este control permite proteger la información que se comunica por las redes telemáticas que
gestionan el flujo de datos a través de lo siguiente como:
✓ Control de red.
✓ Acuerdos de intercambio.
33
✓ Protección de la mensajería electrónica.
De esta forma existen software que monitorean la red: LAN, WAN que informan al sistema
cualquier flujo no autorizado. Un ejemplo de este tipo de controles son los cortos fuegos,
que prohíben el acceso de páginas web no autorizadas y que utilizan la red para extraer la
información confidencial de las empresas.
d. Control de operación: Tiene un marcado componente técnico entra de en todos los

aspectos disponibles como la protección malicioso, copias de seguridad, control de software
en explotación, etc. (Cortéz Rodríguez & Santiago Cueva, 2018) pág. 37.
Las empresas cuando se requiere cambios en el sistema, de este modo verifican los cambios
y gestiona la copia de seguridad de la información de la empresa. Para funcionar
adecuadamente el control hace uso de los siguientes recursos como:
✓ Gestión de cambios.
✓ Separación de entornos de desarrollo prueba y producción.
✓ Detección de código malicioso.
✓ Respaldo del sistema.
Para realizar un cambio en el sistema es necesario respaldar la información para recuperarla

posteriormente, en caso de perder la información, dicho esto el control ayudará a recuperarla
y evitará así acciones legales que afecte a la empresa.
9. VALIDACIÓN DE LAS PREGUNTAS CIENTÍFICAS O HIPÓTESIS
Si se diseña Políticas de Seguridad Informática de acuerdo al estándar ISO 27001, entonces

se podrá apoyar a la gestión de la seguridad de la información.
10. METODOLOGÍA Y DISEÑO EXPERIMENTAL

10.1. Tipos de Investigación
10.1.1. Investigación de campo
La investigación de campo nos ayudó a diagnosticar y ratificar la problemática expuesta

inicialmente, extrayendo los datos directamente de la realidad a través de la entrevista
realizada al encargado de Sistemas Informáticos, comprendiendo las vulnerabilidades y
necesidades a la que está expuesta.
34
10.1.2. Investigación Bibliográfica
Mediante la investigación bibliográfica permitió revisar y recopilar información por medio

de la lectura, asimismo la crítica de documentos como libros, artículos o tesis, a fin de poder
sustentar nuestra investigación con el fin de obtener las bases necesarias para el desarrollo
de la investigación de políticas de seguridad informáticas mediante las ISO 27001.
En virtud de lo expresado acerca de la investigación de campo y bibliográfica se puede

indicar que para generar la información se realizó una entrevista, en el cual la municipalidad
de Pangua colaboró con total normalidad, ayudando a resolver las inquietudes que poseíamos
para la realización de la propuesta de políticas de seguridad informática. Por ende, se ejecutó
la observación, esta investigación nos facilitó conocer la factibilidad en la que se encuentra
la seguridad del municipio, igualmente analizar las diferentes vulnerabilidades y amenazas
que podrían poseer, causando que los activos de la información no trabajen al 100%, de este
modo ambas metodologías nos ayudan a mejorar la investigación.
10.2. Enfoque
10.2.1. Cualitativa
Para lograr un mayor conocimiento y poder cumplir con el objetivo de la investigación se

utilizó la modalidad cualitativa, en vista que se realizó una entrevista al Ingeniero encargado
de Sistemas Informáticos, logrando conocer la gestión de la información y control de los
activos de la municipalidad.
10.3. Métodos de Investigación

10.3.1. Inductivo – Deductivo
Se empleó este método, puesto que la base de conceptos empleados en el marco teórico,
permitió conocer a profundidad el impacto positivo que tendrá las políticas, si el GAD de
Pangua considera implementar nuestra propuesta en un futuro.
10.3.2. Hipotético – deductivo
Al recurrir a este método, accederá a una teoría que comprobará que la hipótesis realizada
fue verdadera o falsa, ayudando a la eficiencia de la investigación.
35
10.4. Técnicas de Investigación
10.4.1. La Entrevista
Para el presente proyecto de investigación fue necesario realizar la entrevista como técnica
fundamental para la obtención de información de primera mano, al departamento de
Sistemas Informáticos, donde se obtuvo la colaboración del encargado del departamento que
proporciono información real y verídica (Ver Tabla15).
Lo que ha permitido conocer las necesidades de la institución, que permitirá desarrollar la

propuesta de políticas de seguridad que se recomendará al Gobierno Autónomo
Descentralizado Municipal de Pangua, para que tengan en consideración implementarlo en
el futuro, para que ayude en el progreso de sus actividades.
10.4.2. Observación
Se realizaron observaciones en el lugar donde se va a realizar nuestra propuesta, con el fin

de obtener más conocimiento acerca de ausencias existentes, a fin de poder desarrollar de
mejor manera las políticas de seguridad informática (Ver Tabla17).
11. ANÁLISIS Y DISCUSIÓN DE LOS RESULTADOS

11.1. Análisis de riesgos en el Gobierno Autónomo Descentralizado Municipal del
cantón Pangua.
11.1.1. Aplicación práctica de la investigación
Para el diseño del plan de mitigación se ha analizado los diferentes riesgos, tanto internos
como externos de la institución, lo que ha permitido conocer las necesidades más allá de lo
que se puede apreciar a simple vista.
11.1.2. Riesgos Internos

a) Control de acceso a equipos:
Los equipos no cuentan con solicitud de usuario y contraseña para ingresar a realizar sus
actividades, por ende, tampoco tiene protector de pantalla que bloquee el acceso después de
un tiempo de 3 minutos.
b) Respaldo a los equipos:
No se respalda la información de los equipos, si no existe una disposición que indique lo

realice.
36
c) Navegación en Internet:
Algunos equipos no cuentan con restricción a ciertas páginas de internet, que no compete a
sus actividades laborales, como a Facebook, WhatsApp, YouTube, entre otras.
d) Correo Electrónico:
Los funcionarios no hacen uso de su correo electrónico corporativo, el destino de la

información laboral es su correo electrónico personal.
e) Datacenter:
La municipalidad no cuenta con un Datacenter, los servidores se encuentran alojados en el

departamento de sistemas informáticos.
f) Seguridad física en equipos de cómputo:
Las portátiles propiedad de la institución, no cuentan con un candado cuando estas no están
siendo ocupadas por los responsables.
11.1.3. Riesgos Externos

a) Control de salida e ingreso de equipos:
No se controla el acceso de equipos por parte de los visitantes, así como de los funcionarios
que ingresan a laborar con sus equipos personales o equipos propiedad del municipio.
11.2. Identificación de FODA mediante Banco de preguntas
Para continuar con el plan de mitigación, se procede a realizar el análisis del FODA para
identificar Fortalezas, Oportunidades, Debilidades y Amenazas, esto mediante el banco de
preguntas.
37
Tabla 6: Cuestionario de Factores Internos y Externos.
GOBIERNO AUTÓNOMO DESCENTRALIZADO MUNICIPAL DE PANGUA
Entrevistado: Ing. Herman Ortiz

Cargo: Sistemas Informáticos
REF. PREGUNTAS ALTERNATIVA OBSERVACIONES,
COMENTARIOS, ACLARACIONES
FORTALEZAS
1 ¿Se realizan respaldos de las bases de datos? SIEMPRE
2 ¿Cuenta con un antivirus? SIEMPRE Son software gratuito

3 ¿Cuenta con una red física estructurada? SIEMPRE Cascada
DEBILIDADES
1 ¿Cuentan con plan de mantenimiento preventivo? NUNCA
2 ¿Cuenta con un plan de contingencia para cambiar los NUNCA

equipos (computadoras, laptop, servidores)?
3 ¿Se realizan respaldos de los equipos? CASI NUNCA
4 ¿Cuentan con listas de acceso para navegación en CASI SIEMPRE Cuenta con restricciones, pero ciertas
internet? maquina aún tienen acceso.
38
5 ¿Usan el dominio de email corporativo? NUNCA
OPORTUNIDADES
1 ¿Existe presupuesto destinado a TICs? SIEMPRE Existe, pero el valor no es muy elevado
2 ¿La página del municipio es un sitio seguro? SIEMPRE
AMENAZAS
1 ¿Cuentan con políticas de seguridad informáticas? NUNCA
2 ¿Cuentan con un acuerdo de confidencialidad de NUNCA

información para empleados?
3 ¿Cuenta con control de acceso a los equipos de CASI NUNCA

cómputo?
4 ¿Cuenta con un plan de contingencia por desastres NUNCA
naturales?
39
11.3. Elaboración de Matriz FODA
Figura 4: Matriz FODA.
• FORTALEZAS • DEBILIDADES
-Carencia de plan de
mantenimiento preventivo.
-No cuentan con plan de
contingencia para cambio de
-Base de datos respaldadas. equipos.
-Antivirus de software -No se realizan respaldos a los
gratuito. equipos.
-Red fisica en cascada. -Acceso a redes sociales,
streaming y otro tipo de paginas.
-No usan mail corporativo.
-Carencia de politicas de
-Presupuesto no muy seguridad informaticas.
elevado, destinado a las
TICs. -No cuenta con acuerdos que
garantice la confidencialidad de
-Página segura. la información.
-Nivel de seguridad baja, en el
control de acceso a equipos.
-No cuenta con plan de
contingencia ante desastres
• OPORTUNIDADES naturales. • AMENAZAS

40
11.4. Matriz de factores Interno y Externo
Continuando como parte del proceso de la investigación realizada, se procede a realizar

una matriz a los factores interno y externos, concordando con la matriz del FODA. Este
proceso ayudará también a la elaboración del plan de mitigación de riesgos.
Para realizar la matriz de factores (López Carranza, 2015) explica la asignación del campo
valor que corresponde al impacto que ese factor tiene, se acerca a 1 si es muy importante y
0 es de poca importancia. Así mismo el campo clasificación que corresponde al tipo de
respuesta que la empresa está en capacidad de dar, va de 1 a 4, siendo 4 el nivel en el que
mejor preparado se encuentra, dando valor como lo indica el siguiente cuadro:
Tabla 7: Tabla de rango de calificación de factores internos y externos.

CLASIFICACIÓN
FACTORES INTERNOS FORTALEZAS ENTRE 3-4
DEBILIDADES ENTRE 1-2
FACTORES EXTERNOS OPORTUNIDADES ENTRE 3-4
AMENAZAS ENTRE 1-2
Fuente: (López Carranza, 2015).
Para sacar el total del valor ponderado (Yi Min Shum, 2018) menciona que se suma los
valores, estos valores deben estar entre 1.0 y 4.0. Donde 1 es el valor más bajo, 4 el valor
más alto y 2.5 es el valor promedio ponderado. Si el valor ponderado está por debajo de la
media, significa que la marca es débil internamente, mientras si el valor ponderado está por
encima, señala fortaleza.
Tabla 8: Factores Internos.

FACTORES INTERNOS
FORTALEZAS VALOR CLASIFICACIÓN VALOR
PONDERADO
Base de datos respaldadas 0,17 4 0,68
Antivirus de software gratuito 0,15 3 0,45
Red física en cascada 0,15 3 0,45
DEBILIDADES
Carencia de plan de mantenimiento 0,09 1 0,09
preventivo
No cuenta con plan de contingencia para 0,09 1 0,09
cambio de equipos
No se realizan respaldos a los equipos 0,17 2 0,34
Acceso a redes sociales, streaming y 0,18 1 0,18
otras páginas.
TOTAL 1,00 2,28
41
Análisis de la tabla 8 Factores Internos
El valor ponderado de los factores internos es de 2,28 se puede deducir que la situación no
es tan favorable pues está por debajo del valor ponderado, lo que quiere decir que la empresa
no tiene una fuerte posición interna. Pero se puede decir que los factores externos más
relevantes y que pueden hacer una diferencia son: Los respaldos semanales a las bases de
datos asimismo el contar con antivirus, estos factores internos pueden hacer competitividad.
Tabla 9: Factores Externos.

FACTORES EXTERNOS
OPORTUNIDADES VALOR CLASIFICACIÓN VALOR
PONDERADO
Presupuesto no muy elevado, destinado 0,18 3 0,54
a TICs
Página segura 0,16 3 0,48
AMENAZAS
Carencia de políticas de seguridad 0,18 1 0,18
informática.
No cuenta con acuerdos que garantice la 0,16 1 0,16
confidencialidad de la información.
Nivel de seguridad baja, en el control de 0,16 1 0,16
acceso a equipos.
No cuenta con plan de contingencia ante 0,16 1 0,16
desastres naturales.
TOTAL 1 1,68
Análisis de la tabla 9 Factores Externos
El valor ponderado la tabla de factores es externa es de 1,68 valor aún más por debajo de
media ponderada, que da por conclusión que existe debilidad de igual forma en los factores
externos. Existen mayores oportunidades que amenazas estos factores como el presupuesto
y la página segura, puede hacer la diferencia ante otras instituciones.
11.5. Matriz para el análisis de riesgos
Según (Cárdenas Posada, Fernández Vásquez, & Hernández Aros, 2018), indica que “la
matriz de riesgo se trata de una herramienta ampliamente utilizada como un proceso en la
descripción organizada y calificada de sus actividades o rubros para permitir un apoyo al
seguimiento y/o gerenciamiento de los riesgos.” pág. 12.
42
La matriz de riesgo evaluar el riesgo de una institución, por ende, se realiza un diagnostico
objetivo de la situación de la institución, se calcula utilizando la formula Riesgo=
Probabilidad de Amenaza x Magnitud de Daño.
En virtud de esto, se debe realizar la identificación de las actividades principales además de

los riesgos a la que puede estar expuesta. Seguidamente desde su concepción metodológica
las matrices se componen de dos vectores, uno de impacto y otro de probabilidad, cuya
combinación define el riesgo de un factor en particular. Estos vectores tienen valores que
están en un rango de 1 a 4, en la que 1 es insignificante, 2 baja, 3 media y 4 alta, tanto para
la magnitud de daño como para la probabilidad de amenaza, al multiplicar estos rangos dan
como resultado el valor del riesgo que significa:
Bajo Riesgo: 1 – 6 (verde).
Medio Riesgo: 8 - 9 (amarillo).
Alto Riesgo: 12 – 16 (rojo).
Figura 5: Grafo de Riesgo.
Fuente: (Econ.Guillen Fernandez, 2017).
11.5.1. Clasificación y valoración de “Magnitud de Daño”

Clasificación: se marca con una “x”, una o varias opciones a la lista, caso que no aplique
se deja en blanco.
Magnitud de Daño: Se realiza la valoración según la siguiente escala:
43
Tabla 10: Valoración magnitud de daño.
Calificación de la Significado de la magnitud de daño
probabilidad
Insignificante No causa ningún tipo de impacto o daño a la organización.
Bajo Causa daño aislado, es decir que no perjudica a ningún componente de la
organización.
Mediano Provoca la desarticulación de un componente de la institución. Si no
atiende a tiempo, a largo plazo puede provocar la desarticulación de la
organización.
Alto Es decir que en el corto plazo desmoviliza o desarticula a la
organización.
Fuente: (Markus Erb, n.d.).
11.5.2. Valoración de “Probabilidad de Amenaza”

Consiguientemente se valora la probabilidad de amenaza que podría causar perjuicio a la
confidencialidad, integridad, disponibilidad y autenticidad de la información de la
institución. La tabla 7 muestra la valoración según la escala:
Tabla 11: Valoración de probabilidad de amenaza.
Calificación de la Significado de probabilidad de Amenaza

probabilidad
Insignificante No existen condiciones que impliquen riesgo o ataque.
Bajo Existen condiciones que hacen muy lejana la posibilidad del ataque.
Mediano Existen condiciones que hacen probable un ataque en el corto plazo,
pero que no son suficientes para evitarlo en el largo plazo.
Alto La realización del ataque es inminente. No existen condiciones
internas y externas que impidan el desarrollo del ataque.
Fuente: (Markus Erb, n.d.).
En virtud de lo investigado acerca de la matriz de análisis de riesgo, se procede a realizar la

matriz tomando en consideración la información que se tiene acerca del GAD de Pangua.
44
Datacenter
Sistemas de
Información
(Candado en
Portátiles, otros)
Seguridad física en
equipos de cómputo
3=
nte
[1 =
Matriz de Análisis de Riesgo
3
3
2 = Bajo
4 = Alto]
Mediano
de Daño:
Magnitud
Insignifica
9
9
3
Allanamiento (ilegal, legal)
9
9
3
Sabotaje (ataque físico y electrónico)
9
9
3
Daños por vandalismo
9
9
3
Extorsión
9
9
3
Fraude / Estafa
Tabla 12: Matriz de análisis de riesgo de datos e Información.
12
12
Robo / Hurto (físico)
común y motivación política
12
12
Robo / Hurto de información
9
9
3
Virus / Ejecución no autorizado de programas
Actos originados por la criminalidad
9
9
3
Violación a derechos de autor
45
9
9
3
Incendio
3
3
1
Inundación / deslave
9
9
3
Sismo
9
9
3
Polvo
9
9
3
Falta de ventilación
Sucesos de origen físico
Sobrecarga eléctrica
4
9 12
9 12
Falla de corriente (apagones)

9
9
3
Falla de sistema / Daño disco duro

Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Falta de inducción, capacitación y sensibilización

4
12
12
sobre riesgos
Utilización de programas no autorizados / software
9
9
3
'pirateado'
4
12
12
Perdida de datos
Manejo inadecuado de contraseñas (inseguras, no
4
12
12
cambiar, compartidas, BD centralizada)

Compartir contraseñas o permisos a terceros no
4
12
12
autorizados
Falta de normas y reglas claras (no institucionalizar
4
12
12
el estudio de los riesgos)

4
12
12
Transmisión de contraseñas por teléfono

usuarios/as y decisiones institucionales
Falta de mantenimiento físico (proceso, repuestos e

9
9
3
insumos)
Sucesos derivados de la impericia, descuido de
Falta de actualización de software (proceso y

9
9
3
recursos)
9
9
3
Ausencia de documentación
Control de acceso a
equipos de cómputo 4 12 12 12 12 12 16 16 12 12 12 4 12 12 12 12 16 12 16 12 16 16 16 16 16 12 12 12
(login)
Correo electrónico 3 9 9 9 9 9 12 12 9 9 9 3 9 9 9 9 12 9 12 9 12 12 12 12 12 9 9 9
Cableado
estructurado de 3 9 9 9 9 9 12 12 9 9 9 3 9 9 9 9 12 9 12 9 12 12 12 12 12 9 9 9
datos
Respaldos de la
4 12 12 12 12 12 16 16 12 12 12 4 12 12 12 12 16 12 16 12 16 16 16 16 16 12 12 12
información
Uso del servicio de

3 9 9 9 9 9 12 12 9 9 9 3 9 9 9 9 12 9 12 9 12 12 12 12 12 9 9 9
internet
Control de salida e
4 12 12 12 12 12 16 16 12 12 12 4 12 12 12 12 16 12 16 12 16 16 16 16 16 12 12 12
ingreso de equipos
46
11.6. Análisis de riesgo promedio
La valoración de la probabilidad de amenaza según sus resultados es la siguiente:
Baja: Es decir que existen condiciones que hacen muy lejana la posibilidad de un ataque.
Mediana: Sostiene que existen condiciones que hacen poco probable un ataque en corto
plazo, pero no son suficientes para evitarlo en largo plazo.
Alta: El ataque es inminente. No existen condiciones internas y externas que impidan el
desarrollo del ataque.
Tabla 13: Análisis de riesgo promedio.
Probabilidad de Amenaza
Sucesos de
Criminalidad Institucional
origen físico
Magnitud de Sistemas de
10.9 9.7 12.2
Daño Información
Como resultado del análisis de riesgo, se percibe una probabilidad de riesgo alto con relación
a criminalidad y al área de la institución, es decir que el ataque es inminente, no existen
condiciones internas y externas que impidan el desarrollo del ataque. La probabilidad de
amenaza en sucesos de origen físico es medio lo que significa que existen condiciones que
hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en largo
plazo. En virtud de ello se puede decir que las políticas de seguridad informáticas, son
necesarias y se recomendaría al municipio tome en consideración implementarlas en un
futuro, para que sus actividades no se vean afectadas.
11.7. Análisis de tráfico en la red con NethServer.

Para poder sustentar el riesgo y falta de control de acceso a las páginas de internet en horas
laborables, se muestra las gráficas donde se puede apreciar el reporte de ingreso a internet
de varios equipos, acerca del último mes mediante NethServer donde dicha distribución se
destaca por brindar una solución modular para las expansiones rápidas de los servidores ya
sea en pequeñas oficinas o medianas empresas.
47
Se ha visto prudente que por cuestiones de profesionalismo y con el fin de no afectar a nadie,
se procedió a cubrir la IP del equipo que se realizó el reporte. Se puede apreciar que, en este
equipo tiene muchos ingresos a mega.
Figura 6: Resultados de Análisis de NethServer.
48
En este segmento del reporte perteneciente al equipo anterior, se puede observar ingreso a
redes sociales y el ingreso a streaming.
Fuente: Programa NethServer.
49
En el reporte de los presentes equipos mediante NethServer, se puede observar el acceso a varias
redes sociales muy populares.
Fuente: Programa NethServer
Fuente: Programa NethServer.
50
En el presente reporte se puede apreciar que el equipo tiene acceso a navegación, redes
sociales, mensajería y streaming.
Fuente: Programa de NethServer.
51
En los presentes reportes, se puede apreciar el acceso de dos equipos diferentes a jugos en
línea, como también a páginas de mensajería y streaming
Figura 11 : Resultados de Análisis de NethServer.
52
Finalmente, en el reporte del equipo se puede apreciar acceso a páginas de compra y venta,
redes sociales, mensajería y otras.
53
11.8. Análisis de tráfico de red mediante Wireshark.
De igual forma mediante la ayuda del software Wireshark, que es un programa gratuito que
permite analizar y solucionar el tráfico de red de comunicaciones en tiempo real. Con esta
herramienta ayudo a detectar los datos y los protocolos que se realizaba en el GAD de
Pangua.
11.9. Análisis de los archivos PCAPNG mediante NetworkMiner
Esta herramienta permite analizar paquetes y a su vez protocolos de esta manera nos facilitó
conocer más a detalle que paginas han visitado los usuarios del GAD de Pangua a través de
capturas de paquetes llamados archivos PCAPNG, este programa también puede ser
combinado con Wireshark que analiza los paquetes de red y el tráfico de tiempo real.
54
Análisis del equipo N° 1: Ejecución del programa Wireshark
Figura 13: Salvapantalla de programa Wireshark equipo N° 1.
Fuente: Programa Wireshark 3.2.6.
55
Figura 14: Resultados de Análisis NetworkMiner del Equipo N°1.
Fuente: NetworkMiner.
56
57
58
59
60
11.10. Plan de mitigación de riesgos
Tabla 14: Plan de mitigación de riesgos.
TIEMPO DE
OBJETIVO RIESGO ACCIONES A TOMAR RESPONSABLE MITIGAR EL
RIESGO
ANEXO-1F Listado de
usuarios para Backups
F. Interno: siendo el medio de
Encargado de sistemas 6 meses luego de la
Respaldo a los verificación de este
informáticos. implementación
equipos documento el RE-1F
Bitácora de respaldos de
Incrementar la seguridad usuarios.
de la información en los RE-1A Carta de
equipos, para estar listos aceptación de políticas de
ante cualquier F. Externo: seguridad informática,
eventualidad. No cuenta con documento que
acuerdos que compromete a cumplir a Encargado de sistemas 6 meses luego de la
garantice la los empleados con los informáticos. implementación
confidencialidad de lineamientos de
la información. confidencialidad de
información enlistados en
la carta.
61
ANEXO-1E Listado de
F. Interno: categorías de acceso a
Acceso a redes internet, enuncia a las Encargado de sistemas 7 meses luego de la
sociales, streaming y categorías de accesos informáticos. implementación
otras páginas. según las funciones de
cada departamento.
Controlar los equipos que
RE-2A Solicitud de
ingresen a la institución
creación de nuevos
además de reducir la
usuarios de red, en el cual
saturación de la red por
F. Externo: se crearán usuarios y
mal uso del internet.
Nivel de seguridad contraseñas. De igual Personal de seguridad y 8 meses luego de la
baja, en el control de forma se da seguimientos Bodega implementación
acceso a equipos. a la actualización con la
RE-3A Bitácora de
actualización de
contraseñas.
ANEXO-2C Cronograma
para mantenimiento
F. Interno:
preventivo de equipos,
Carencia de plan de Encargado de sistemas 6 meses luego de la
dando seguimiento con el
mantenimiento informáticos. implementación
RE-4C Bitácora de
Diseñar políticas de preventivo.
mantenimiento preventivo
seguridad informática
de equipos.
para proteger los activos
PR-01 Sistemas de
del municipio.
F. Externo: Información, que aplica
Carencia de políticas lineamiento para Encargado de sistemas 8 meses luego de la
de seguridad protección de la informáticos. implementación
informática. información como de los
recursos informáticos.
62
11.11. Estructura del documento de políticas de seguridad informática
Antes de explicar la estructura de las políticas de seguridad informática, se requiere dar a

conocer que para el desarrollo de las políticas de seguridad se ha percibido conveniente
englobar a todas las políticas de seguridad informática dentro de un proceso, el cual se ha
denominado PR-01 Sistemas de Información, para su gestión deben cumplir con las
siguientes actividades:
✓ Mantener y administrar las redes.

✓ Prestar soporte técnico a usuarios en todo lo referente a la plataforma computacional.
✓ Supervisar todo el proyecto informático.
✓ Generar propuestas para facilitar el acceso y uso de la tecnología.
✓ Velar por la integridad y la seguridad de la información.
✓ Desarrollar, investigar y adaptar nuevas técnicas para mejorar la gestión interna y
externa de la municipalidad.
De acuerdo a la investigación realizada, la manera más adecuada de generar la

documentación, para la gestión de información es la siguiente:
Encabezado: Al lado izquierdo de la tabla se destina el logo de la Institución para quien va

dirigido el diseño de las políticas de seguridad; intermedio de la tabla se especifica el nombre
de la política; al lado derecho se define el código de la política, seguido de la versión y
finalmente en el último recuadro el número de página.
Objetivo: Posee un conjunto de metas que se propone alcanzar según el tema o referencia
de la política.
Alcance: Define a las personas que se verán involucradas acatar las políticas descritas.
Definiciones: Es un glosario de palabras que se asume el usuario desconozca, pretendiendo

mejorar la comprensión de lectura de las políticas a los usuarios.
Documentos de referencia: Son documentos que se recomienda utilizar a fin de acatar las
políticas, estos documentos pueden ser registros o anexos, se recomienda llamarla o
identificarla de la siguiente forma: para registros se identifica anticipando el RE, seguido del
código y finalmente el nombre del registro (RE-1A Carta de Aceptación de políticas de
seguridad) y para los anexos se recomienda anticipar ANEXO, seguido del código y el
nombre del anexo (ANEXO-1A Cronograma de mantenimiento preventivo de equipos).
63
Descripción de la política Aquí abarca los lineamientos que se propone según las
necesidades de la institución, para mejorar la calidad de la seguridad informática, se detalla
lo más claro posible de forma que sea comprensible para el lector.
Registros: Puede ser representada mediante una tabla que contiene:
✓ Código que es el nombre del documento.

✓ Nombre es el título del documento.
✓ Responsable será la persona encargada de llevar esta documentación.
✓ Ubicación es el lugar donde se pueda alojar el documento.
✓ Archivos especifica la fecha en la que ha sido aprobado.
✓ Actualización indica la fecha del tiempo que estará vigente el modelo del anexo o
registro, pasado el tiempo estipulado se podrá realizar los cambios que se crean
convenientes.
✓ Retención es el tiempo que se estima, se tendrá los documentos impresos.
✓ Destino final habitualmente los registros van hacer los documentos físicos.
✓ Acceso es quien va a poder ver, revisar o administrar las políticas físicas.
Anexos: Indica el listado de documentos en los que ya está estipulada cierta información, se
vuelve a ubicar los anexos descritos en Documentos de Referencia, en caso que la política
no requiera anexos, no hay que dejar el espacio vacío se debe usar N/A (No aplica).
Cabe aclarar que los registros tanto como los anexos pueden ser llamados en otras políticas
de acuerdo a la necesidad.
Pie de Página: Posee las firmas de quienes son los responsables de gestionar la política y
de quien aprueba para su ejecución.
Finalmente, esta documentación se debe imprimir asimismo reposar en cada uno de los
departamentos para cualquier auditoría ya sea informática, auditoría de calidad, auditoría de
procedimientos, entre otras.
11.12. ANÁLISIS DE LA ENTREVISTA APLICADA
A continuación, se muestra los datos obtenidos de la entrevista ejecutada al Encargado del

Departamento de Sistemas Informáticos del Gobierno Autónomo Descentralizado Municipal
de Pangua. Es importante mencionar que el criterio de la persona entrevistada, es muy
64
significativa, pues posee el nivel de conocimiento sobre los procesos que se llevan a cabo en
la Municipalidad.
Tabla 15: Análisis de la entrevista aplicada.

FICHA DE ENTREVISTA
Objetivo: Analizar las vulnerabilidades y necesidades que tiene
el Gobierno Autónomo Descentralizado Municipal de
Pangua para el desarrollo de políticas de seguridad
informáticas de acuerdo a las ISO 27001
Datos Informativos:
Lugar: Gobierno Autónomo Descentralizado Municipal de
Pangua
Entrevistador: Cruz Caiza Carla Cristina
Pregunta Respuesta
¿Cuenta con un antivirus? Si, con software gratuito como Kaspersky y AVG
que se utilizan a la par.
¿La página del Municipio es un La página de la Municipalidad fue proporcionada
sitio seguro? por AME, quienes tienen convenio con una
empresa, el GAD de Pangua se encarga de pagar
el dominio y el hosting.
¿Cuentan con un plan de No cuenta.
contingencia para cambiar los
equipos (computadoras, cables,
laptops, servidores)?
¿Cuenta con un DATACENTER No cuenta con DATACENTER.
adecuado (piso, ventilación,
seguridad)?
¿Cuenta con un UPS para evitar Si cuenta.
daños en los equipos?
¿Cómo manejan los privilegios Tiene restricción, que no permite que nadie tenga
de los usuarios? acceso solo el encargo de TI.
¿Existe una persona responsable Nadie tiene acceso solo el encargo de TI.
de la seguridad de autenticación
de acceso?
65
¿Cada que tiempo cambian las Los equipos a responsabilidad del encargado de
contraseñas de su equipo? TI se cambian cada 3 meses. Los demás equipos,
pocos hacen uso de autenticación, en su gran
mayoría tienen acceso libre, con la finalidad de
que, en ausencia del responsable del equipo, si
necesitase cierta información, cualquier otro
empleado puede ingresar y facilitarle lo
solicitado.
¿Cada que tiempo se realiza Se las realiza solo cuando vienen nuevos
capacitaciones para el uso de las funcionarios, acerca de las aplicaciones propias
herramientas dentro de la
de cada departamento, en especial de cobros de
Municipalidad?
impuestos, tesorería, recaudación, rentas y el
sistema de contabilidad para el departamento
financiero, o en caso la aplicación se haya
actualizado y suceda algún cambio en ciertos
aspectos, en esas situaciones se realiza la
capacitación, puesto que el resto de funcionarios
están constante labor y conocen las herramientas.
¿Cómo comparten información Por la red, con carpetas compartidas.
dentro del municipio?
¿Cuentan con comunicación Si.
telefónica IP?
¿Cuentan con un plan de No, no tiene.
contingencia por desastres
naturales?
¿Periodo de tiempo que se Cada semana.
realizan los respaldos la base de
datos o sistemas?
¿Si tienen una red física Si, recién se hizo un tablero estructurado (Ver),
estructurada y de qué tipo? tenemos 3 pisos hecho las conexiones en cascada
y la parte principal está arriba que se conecta a
todo el Municipio.
¿Cuentan con un informe de Bodega lleva el control.
registros de nuevos equipos y
nuevos softwares?
66
¿Constan con un documento de Bodega lleva ese control, pero hay un sistema que
vida útil del equipo? registra cuando ingreso y lleva el control de la
vida útil. Pero es difícil la adquisición de un
nuevo equipo, cuando un equipo ha llegado a su
tiempo, este es reemplazado en otros
departamentos.
¿Cuentan con un presupuesto No es mucho el presupuesto, pero si hay
para las TICs? presupuesto
¿Cuentan con un software para No se registra
registrar las actividades de los
empleados?
¿Cuentan con un contrato de No,
confidencialidad de información
para empleados?
¿Cuentan con un espacio en la Si, dos departamentos cuentan.
nube para guardar la
información de la empresa?
¿Cuentan con dominios propios Se tiene creadas las cuentas de correo
de la empresa como Gmail, institucional con dominio pangua.gob.ec pero no
hotmail?
la utilizan, el departamento administrativo tiene la
información de eso al igual que las cuentas de
equipos, pero los funcionarios están
acostumbrados a trabajar solo con correos
personales.
¿Cuál es la estructura del Solo es un funcionario.
departamento de TICs?
¿Cuál es la estructura Si cuenta, se Anexa (Ver) la estructura
organizacional de la organizacional del Municipio.
Municipalidad?
¿Los empleados tienen Si a todas, Facebook. Twitter, Instagram,
restricciones a redes sociales? WhatsApp web, radio, videos en YouTube entre
otras, se tiene una VPN para eso.
¿Cada que tiempo bloquea o Cada 30 min se apaga la pantalla del ordenador.
apaga la pantalla del
ordenador?
67
¿Qué servicio presta o que Cuando se requiere aplicaciones bajo Windows
actividades realiza el en Visual Studio.
departamento de TI?
¿Cada que tiempo se realiza Mensualmente.
mantenimiento a los equipos?
¿Tiene un cronograma con el Hace tiempo tubo uno, pero ya no lo ocupa pues
cual se organiza para realizar no está actualizado.
mantenimiento?
¿Qué pasa con la información Se realiza respaldos días antes, en un disco duro
que es manejada, por un que está a custodia del encargado del TI.
funcionario que será despedido?
11.13. RESULTADO DE LA ENTREVISTA
A continuación, se presenta la interpretación a los resultados obtenidos de la entrevista

realizada al Departamento de Sistemas Informáticos del Gobierno Autónomo
Tabla 16: Resultado de la entrevista.
FICHA DE ENTREVISTA
Objetivo: Analizar las vulnerabilidades y necesidades que
tiene el Gobierno Autónomo Descentralizado
Municipal de Pangua para el desarrollo de
políticas de seguridad informáticas de acuerdo a
las ISO 27001
Datos Informativos:
Lugar: Gobierno Autónomo Descentralizado Municipal
de Pangua
Entrevistador: Cruz Caiza Carla Cristina
RESULTADOS
¿Cuenta con un antivirus?
La Municipalidad es un sitio en el que protege sus ordenadores con software gratuito.
¿La página del Municipio es un sitio seguro?
68
La página del Municipio es visiblemente segura, a más de tener un convenio con una
empresa que debe garantizar su seguridad.
¿Cuentan con un plan de contingencia para cambiar los equipos (computadoras,
cables, laptops, servidores)?
En la entrevista se mencionó que es difícil la posibilidad de cambiar a nuevos equipos,
pero cuando dejan de ser útiles en un departamento, es cambiado a otro departamento que
lo requiera.
¿Cuenta con un DATACENTER adecuado (piso, ventilación, seguridad)?
No cuenta con DATACENTER y los servidores no cuentan con un espacio en donde se
alojen de forma segura y con las condiciones adecuadas, pero se encuentra ubicado en la
oficina de Sistemas Informáticos donde solo el encargado de TI tiene acceso.
¿Cuenta con un UPS para evitar daños en los equipos?
Si cuenta con UPS ciertos equipos.
¿Cómo manejan los privilegios de los usuarios?
Ningún usuario puede acceder o manipular los servidores.
¿Existe una persona responsable de la seguridad de autenticación de acceso?
No porque solo tiene acceso el responsable de TI.
¿Cada que tiempo cambian las contraseñas de su equipo?
Existen ciertos funcionarios que no hacen uso de contraseñas, pero el encargado de TI que
si hace uso de ellas la renueva cada 3 meses.
¿Cada que tiempo se realiza capacitaciones para el uso de las herramientas dentro
de la Municipalidad?
No se realizan a menos que sea por el ingreso de un nuevo funcionario.
¿Cómo comparten la información dentro del municipio?
La información es compartida por medio de una carpeta en red.
¿Cuentan con comunicación telefónica IP?
La Municipalidad si hace uso.
¿Cuentan con un plan de contingencia por desastres naturales?
No cuentan con un plan de contingencia que les ayude a actuar ante un desastre natural,
tanto para su bienestar como para los activos de la Municipalidad.
¿Periodo de tiempo que se realizan los respaldos la base de datos o sistemas?
Se las realizan de las bases de datos, cada semana.
69
¿Si tienen una red física estructurada y de qué tipo?
La Municipalidad es un edificio de 3 pisos, que tiene una red física en cascada.
¿Cuentan con un informe de registros de nuevos equipos y nuevos softwares?
Se pudo apreciar que almacenan información respecto a los equipos, pero dicha
información no está actualizada.
¿Constan con un documento de vida útil del equipo?
Los equipos tienen un documento que especifica información al ingresar a la
Municipalidad, pero manifestaron existe un sistema que se encarga de controlar la vida
útil de cada equipo.
¿Cuentan con un presupuesto para las TICs?
El departamento cuenta con un presupuesto que ha sido asignado para TICs, aunque según
el encargado de TI, no es un valor elevado.
¿Cuentan con un software para registrar las actividades de los empleados?
No cuentan.
¿Cuentan con un contrato de confidencialidad de información para empleados?
Según manifiesta el entrevistado, por el momento no hay documento de confidencialidad
firmado por cada empleado del Municipio.
¿Cuentan con un espacio en la nube para guardar la información de la empresa?
La municipalidad si cuenta, según manifiesta el entrevistado, desconoce de la capacidad
de almacenamiento, pero se da uso de este recurso.
¿Cuentan con dominios propios de la empresa como Gmail, hotmail?
La municipalidad cuenta con un dominio pangua.gob.ec, pero los funcionarios no hacen
uso de estas cuentas de correo, lo que causa inconvenientes cuando un funcionario es
despedido, pues toda la información se la lleva en su cuenta personal de correo.
¿Cuál es la estructura del departamento de TICs?
El departamento de TI, es un departamento pequeño que se encarga de dirigir una sola
persona, en este caso el entrevistado.
¿Cuál es la estructura organizacional de la Municipalidad?
Esta estructura fue solicitada en un departamento, la cual adjuntamos en los anexos.
¿Los empleados tienen restricciones a redes sociales?
70
El encargado de Sistemas Informáticos, puso restricciones en el uso del internet para las
redes sociales, pero se pudo apreciar que ciertos equipos a pesar de ello siguen teniendo
acceso.
¿Cada que tiempo bloquea o apaga la pantalla del ordenador?
Los ordenadores de la Municipalidad se apagan cada 30 min, solo ciertos ordenadores de
funcionarios se bloquean.
¿Qué servicio presta o que actividades realiza el departamento de TI?
El encargado de Sistemas Informáticos, se encarga del mantenimiento de los equipos,
respaldos de información, desarrollo de aplicaciones, entre otras.
¿Cada que tiempo se realiza mantenimiento a los equipos?
Mediante la organización del entrevistado, realiza mantenimiento mensual de los equipos.
¿Tiene un cronograma con el cual se organiza para realizar mantenimiento?
Existe uno que necesita de actualizaciones, por tal motivo no hace uso de este.
¿Qué pasa con la información que es manejada, por un funcionario que será
despedido?
Esta información importante es respaldada en un disco duro, que está en custodia del
encargado de Sistemas Informáticos.
11.14. ANÁLISIS DE OBSERVACIÓN
Tabla 17 Análisis de Observación.

FICHA DE OBSERVACIÓN
Elaborado: Cruz Caiza Carla Cristina
Lugar: Gobierno Autónomo Descentralizado Municipal
de Pangua
Fecha: 25 de Noviembre del 2019
Aspectos Observación
¿Cuenta con un datacenter? No se observó un DATACENTER y los
servidores no estaban alojados en un lugar con
seguridad además de condiciones que no se
consideran favorables.
71
¿Cuenta con autenticación en los Se pudo apreciar los ordenadores de las diferentes
equipos? unidades y se evidencio que muchas de ellas no
cuentan con bloqueo en sus computadoras.
¿Los equipos cuentan con todos sus Se pudo palpar que por motivos que se desconoce,
accesorios? un ordenador no estaba con mouse.
¿Dan uso al correo corporativo? No los funcionarios hacen uso de su correo
personal, para asuntos laborales.
¿Tiene restricción para el acceso a Si cuenta en especial para redes sociales.
internet?
¿Uso compartido de impresoras? Se observó que hacen uso de impresoras
compartidas con funcionarios del mismo
departamento.
¿Respaldan la información? Respalda la base de datos.
¿Administran documentación La municipalidad aun hace uso de documentación
impresa? física, dependiendo sus funciones.
¿Lleva un registro detallado de los Se evidencio, que la información acerca de los
bienes del Municipio y quien está a bienes del Municipio no es actualizada.
su cargo?
¿Cuenta con servidores? Si cuenta con servidores.
¿Los servidores se encuentran No se encuentran en una zona segura.
alojados en una zona con seguridad?
¿Es permitido el uso de laptop que Si, ciertos funcionarios ingresan con sus laptops
no son propiedad de la para laborar.
Municipalidad?
¿Poseen los equipos papel tapiz No cuenta con un papel tapiz con un diseño
corporativo, al bloquearse? basado en la Municipalidad.
¿Cuentan con políticas de seguridad El Municipio no cuenta con políticas de
informáticas? Seguridad Informáticas.
¿Posee con una red física Si posee y es en cascada
estructurada?
72
11.15. Análisis de los problemas
Como consecuencia de los resultados obtenidos de la entrevista y la observación, hemos

analizado los siguientes inconvenientes:
✓ No poseen control de acceso a los equipos del municipio (login).

✓ No se controla el ingreso y salida de equipos.
✓ No posee un Datacenter.
✓ Los servidores no se encuentran alojados en un lugar adecuado.
✓ No todas las maquinas tienen restricciones a streaming y redes sociales.
✓ Los equipos no poseen cobertor anti polvos.
✓ No hacen uso del correo corporativo.
✓ No realizan respaldos periódicos de los equipos.
En vista de lo expuesto se procedió a elaborar políticas de seguridad informática, que se

propone al municipio tome en consideración implementar en el futuro, para que ayude ante
los diferentes problemas que se pudo palpar, por ende a continuación detallamos
detenidamente cuando usarlas, como funcionan y el responsable de ejecutar cada una de las
políticas.
11.16. DISEÑO DEL MODELO DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

Como consecución de la investigación, análisis y levantamiento de cada una de las
actividades de este proceso además basándonos a la estructura ya especificada, hemos
generado las siguientes políticas:
✓ PO-1A Control de acceso a recursos computacionales.
✓ PO-1B Administración de políticas de Active Directory.
✓ PO-1C Control de Activos de TI.
✓ PO-1F Resguardo de Información.
✓ PO-1D Seguridad a componentes informáticos.
✓ PO-1E Uso adecuado del Internet.
Es importante destacar que para no alterar la estructura del cuerpo de la tesis, se presenta las
políticas sin encabezado y pie de página, el formato completo se lo presenta en los Anexos,
por ende hemos cumplido con estándares, por lo cual hemos colocado las políticas de la
siguiente manera.
73
La presente política esta propuesta para ser utilizada cuando un nuevo funcionario ingresa a
trabajar y necesite acceso a los recursos computacionales para laborar.
Nombre de la Política: PO-1A Control de Acceso a recursos computacionales.
1. Objetivo
Brindar lineamientos para el acceso a los recursos de información importante del Gobierno
Autónomo Descentralizado Municipal de Pangua mediante el buen uso de los mecanismos
de acceso a los recursos computacionales de la Institución.
2. Alcance
Aplica a todos los miembros de la comunidad del Gobierno Autónomo Descentralizado
Municipal de Pangua, incluyendo empleados, contratistas, consultores y visitantes.
3. Definiciones:
Recursos Informáticos: Es un componente físico o virtual incluyen medios para entrada,
procesamiento, producción, comunicación y almacenamiento.
Mecanismos de acceso: Es un mecanismo que permite controlar y conceder el acceso a un
computador principal.
Reforzar: Puede tratarse de aquello que se emplea para brindarle resistencia o solidez a
algo.
Lineamientos: Es una tendencia, una dirección o un rasgo característico sobre algo.
Password: O contraseña es una serie secreta de caracteres que permite a un usuario tener
acceso a un archivo, a un ordenador, o a un programa.
4. Documentos de referencia
RE-1A Carta de aceptación de políticas de seguridad informáticas.
RE-2A Solicitud de creación de nuevos usuarios de red.
RE-3A Bitácora de actualización de contraseñas.
5. Descripción de la Política
Por ningún motivo el empleado recibirá el acceso a los recursos computacionales si no ha
firmado y a aceptación el documento RE-1A Carta de aceptación de políticas de seguridad.
Para el acceso a los recursos computacionales se asignarán claves y se crearán usuarios de
red RE-2A Solicitud de creación de nuevos usuarios de red.
Los recursos informáticos y la información pueden ser usados solo para propósitos
autorizados y en cumplimiento con las metas y objetivos del GAD.
A continuación, se considera las siguientes recomendaciones a ser cumplidas por el usuario
74
✓ Los usuarios y contraseñas son de uso exclusivo por el usuario, deben ser utilizadas
únicamente para cuestiones de trabajo, el usuario no podrá usarlas para ningún otro fin, fuera
del Municipio.
✓ Las actividades realizadas por estas credenciales son responsabilidad del usuario.
✓ La Municipalidad puede realizar seguimiento de las actividades y uso de las credenciales
mediante auditorías periódicas para evaluar su uso adecuado.
✓ El usuario debe comunicar inmediatamente si tiene sospecha que alguien está haciendo
mal uso de ellas.
✓ Confidencialidad: Por ningún motivo el usuario debe divulgar las credenciales o claves,
estas son intransferibles.
✓ El usuario debe limitarse a ingresar contraseñas cuando estén personas a su alrededor.
✓ Por seguridad de la información si el usuario llegara a perder su contraseña este debe
notificar de manera inmediata para ser dado de baja la contraseña del sistema.
✓ La contraseña que elija el usuario deberá ser robusta es decir esta debe contener letras,
números y símbolos.
✓ Impedir que personal no autorizado tenga acceso a la información importante de la
empresa para que no exista alteraciones o pérdidas ya sea intencionales o accidentalmente.
✓ El usuario deberá cambiar su contraseña cada 3 Meses.
✓ El usuario deberá solicitar ayuda al personal encargado en caso que olvide su contraseña.
✓ El usuario no debe elegir contraseñas antiguas.
✓ Seguridad: El usuario no deberá anotar la contraseña en un lugar físico.
✓ Cualquier persona que, de incumplimiento a las disposiciones señaladas en esta política,
puede ser sujeta a una acción disciplinaria según el Reglamento Interno de Trabajo
5.1. Equipos de Cómputo
El inicio de sesión deberá bloquearse cuando haya excedido el límite de 3 intentos.
El usuario debe elegir contraseñas que tenga un mínimo de siete caracteres constituidos de
letras, números y símbolos.
5.2. Sistemas informáticos
Configurar para que solicite un inicio de sesión para el ingreso a los recursos
computacionales.
Se recomienda implementar un software para generar la cuenta de los empleados
(responsable, nombre de equipo, área, contraseña).
75
Generar un documento de seguimiento de actualización de contraseñas RE-3A Bitácora de
actualización de contraseñas.
5.3. Del área de Recursos Humanos
Realizar la selección adecuada del personal para que maneje los accesos de la empresa.
Cuando un empleado es despedido o renuncia se solicitará que su cuenta sea inhabilitada
antes que deje el cargo.
6. Registros.
Código Nombre Responsable Ubicación Archivo Actualización Retención Destino Acceso

Final
RE-1A Carta de Técnico de Oficina 23/08/2020 Anual 2 años Reciclaje de Uso
aceptación de Servicios Sistemas área papel interno
políticas de Informáticos. de análisis de
seguridad sistemas
informáticas
RE-2A Solicitud de Técnico de Oficina 23/08/2020 Anual 2 años Reciclaje de Uso
creación de Servicios Sistemas área papel interno
nuevos Informáticos. de Soporte a
usuarios de usuarios
red
RE-3A Bitácora de Técnico de Oficina 23/08/2020 Anual 2 años Reciclaje de Uso
actualización Servicios Sistemas área papel interno
de Informáticos de Soporte a
contraseñas usuarios
7. Anexos.
N/A
El presente registro es el RE-1A o carta de aceptación de políticas de seguridad informáticas,

debe ser firmado por el empleado junto con su contrato laboral, este documento hace
referencia a que el empleado se compromete a cumplir a cabalidad todos los lineamientos
propuestos en las políticas listadas.
RE-1A - CARTA DE ACEPTACIÓN DE POLÍTICAS DE SEGURIDAD

INFORMÁTICAS
76
El corazón, (00) de (Mes) del (Año)
Yo, APELLIDOS Y NOMBRES DEL SOLICITANTE, portadora de la cédula de

identidad Número, usuario del Departamento (Nombre del departamento), una vez leído
y comprendido mis obligaciones, acepto y me comprometo a cumplir las políticas de
seguridad informáticas del Gobierno Autónomo Descentralizado Municipal de Pangua.
PO-1A Control de acceso a recursos computacionales.

PO-1B Administración de políticas de Active Directory.
PO-1C Control de Activos de TI.
PO-1F acceso de Información.
PO-1D Seguridad a componentes informáticos.
PO-1E Uso adecuado del Internet.
Atentamente,
APELLIDOS Y NOMBRES DEL SOLICITANTE

C.I.: Número de cédula
El presente registro RE-2A o solicitud de creación de nuevos usuarios de red, debe ser
solicitado por el funcionario para que les proporcionen acceso a los recursos
computacionales, carpetas y archivos a los que puede tener acceso.
77
Información del usuario solicitante, estos datos son para identificar al funcionario y el
área en la que trabajará, con el fin de evaluar sus necesidades laborales y aprobar los
requerimientos solicitados.
Información del jefe inmediato, para identificar quien otorgo los accesos, al nuevo
funcionario.
Acceso a recursos solicitados, para constar e indicar a los accesos que tiene permitido.
Aprobación, una vez analizado los accesos se firmará como constancia de validez del
documento y conformidad de las dos partes.
Para uso de TICs, se debe especificar el nombre del usuario de red generado y finalmente
el nombre de quien genero este usuario con firma y fecha de creación para su validez.
El formulario señalado debe contener toda la información solicitada de forma clara, sin
correcciones ni enmendaduras, firmado y sellado. Si alguno de los funcionarios no posee
todos los requisitos señalados, el trámite será devuelto al funcionario y no se procesará la
creación solicitada.
RE-2A - SOLICITUD DE CREACIÓN DE NUEVOS USUARIOS DE

RED
1. Información del usuario solicitante

Código del empleado: ________________
Nombre y Apellido: ______________________________
Departamento: ______________________________
Cargo: ______________________________
2. Información del jefe inmediato
Código del empleado: _______________
Nombre y Apellido: ______________________________
Cargo: ______________________________
3. Acceso a recursos solicitados

Mail:
Interno Externo
78
Internet:
Parcial Total
Tipo de cuenta:
Administrador Estándar Invitado
Equipo de cómputo:
PC
Laptop Justificación: ______________________________________
Telefonía IP:
Interno Local Nacional Internacional
4. Aprobación
Solicitante: ______________ Firma: _______________ Fecha: ______________
Jefe inmediato: _______________ Firma: _______________ Fecha: _____________

5. Para uso de TICs
User Creado: ___________________(Ejemplo: j_p de Juan Perez)

Entregado por: _________________ (Nombre de quien creo cuenta) Firma: _____________
Fecha de creación: ________________
A continuación, el registro RE-3A Bitácora de actualización de contraseñas, se debe llenar de

forma manual toda la información solicitada y firmar, esto como constancia de cumplimiento
en caso de una auditoría. Este proceso es muy importante pues el cambio de contraseña asegura
la confidencialidad, integridad y disponibilidad de la información que maneja.
79
RE-3A - BITÁCORA DE ACTUALIZACIÓN DE CONTRASEÑAS
BITÁCORA DE ACTUALIZACIÓN DE CONTRASEÑAS
CEDULA NOMBRE Y APELLIDO DEPARTAMENTO NOMBRE EQUIPO FECHA FIRMA
80
La presente política se recomienda utilizar para administrar los inicios de sesión de equipos
conectados a red.
Nombre de la Política: PO-1B Administración de políticas Active Directory.
1. Objetivo
Definir políticas de controlador de dominio, reglas de control de acceso a servicios de la red
de la Municipalidad para gestionar los sistemas informáticos utilizados por el usuario final.
2. Alcance
Aplica al servidor de dominio, a todas las unidades organizativas, los usuarios y equipos de
cómputo dentro de la red del GAD cantonal.
3. Definiciones:
Controlador de dominio: Es un conjunto de ordenadores agrupados que ciñen a unas reglas
de seguridad y autenticación comunes.
Unidad Organizativa: Es la que permite crear la jerarquía de nuestra organización, su fin
es crear una estructura de carpetas que administrativamente organice una empresa u
organización.
Active Directory: Es un servicio establecido de uno o varios servidores en donde se crean
objetos como usuarios, grupos con el fin de administrar los inicios de sesión y políticas en
toda la red.
4. Documentos de referencia:
ANEXO-1B Asignación de políticas de AD
ANEXO-2B Cronograma de cambio de fondo de pantalla
Establecer las buenas prácticas para la gestión de servicios de tecnologías de la información
en todos los niveles que se participa para entregar el servicio al cliente. Es necesario contar
con herramientas y procesos de gestión de red para controlar posibles fallas o degradaciones
en los servicios de red que soportan los servicios de TI utilizando un directorio activo, para
una buena administración que ayude en la eficiencia de los empleados durante sus jornadas
de acuerdo al ANEXO-1B Asignación de políticas de AD.
6. Registros.
N/A
7. Anexos.
81
1B Asignación de políticas de AD
2B Cronograma de cambio de fondo de pantalla
El siguiente Anexo-1B Asignación de políticas AD, muestra políticas del Active Directory,
que se deben cumplir a cabalidad para proteger la información de la Municipalidad, el
departamento de sistemas informáticos será el encargo de poner en marcha estos
lineamientos especificados.
ANEXO-1B - ASIGNACIÓN DE POLÍTICAS AD
NOMBRE DE LA NO
N° DESCRIPCIÓN APLICA
POLÍTICA APLICA
Genera registros de inicios y salida de

1 Auditoría sesiones tanto exitosas como fallidas en X
el equipo de cómputo.
Mensaje de inicio
2 Va a indicar un mensaje de inicio. X
de sesión
3 Papel tapiz Despliega un fondo de pantalla. X
Renombrar Renombrar el usuario administrador

4 X
administrador local.
Permite editar el registro del sistema
operativo Windows este registro es la
5 Regedit base de datos donde se guardan las X
preferencias del usuario en materia de
configuraciones.
6 Prohibir a drivers Evita accesos a unidades USB. X
La contraseña del usuario va a caducar
7 Seguridad X
cada 3 meses.
El usuario no podrá desactivar los
8 Framework X
framework del antivirus.
Una vez que se bloquea va a presentar

el protector de pantalla para nuevamente
9 Bloqueo de pantalla X
activar el usuario o poner el uso donde
va a pedir la contraseña.
82
Está prohibida la utilización de
“sniffers”, “keylogguers” o cualquier
10 Programas de espías X
otro software espía en cualquier red o
equipo de cómputo.
Instalación de No podrá instalar ningún software

11 X
programas adicional en el equipo que sea asignado.
12 Antivirus Bloquear el acceso a la administración X
Establecer cuentas locales para el

13 Usuarios locales acceso a la administración de los X
equipos de cómputo.
El sucesivo Anexo-2B Cronograma de cambio de fondos de pantalla, propone fondos de

bloqueo de equipos, según fechas especiales del Cantón o de celebración Mundial para que
sea un ambiente de trabajo más interactivo, pero sin perder la formalidad de la Institución.
CRONOGRAMA DE CAMBIO DE FONDOS DE PANTALLA
ANEXO-2B
MES
Septiembre
Noviembre
Diciembre
Octubre
Febrero
Agosto
DEPARTAMENTOS
Marzo
Enero
Mayo
Junio
Abril
Julio
Fondo de Año Nuevo X

utilizando el logo del
Municipio
Fondo del Carnaval X
Panguense con logo del
Municipio
Fondo Normal y Formal con X
el logo del Municipio
Fondo de Provincialización X
de Cotopaxi con logo del
Municipio
Fondo de Parroquialización X
de Ramón Campaña, día del
trabajo u otro con logo del
Municipio.
83
Fondo de Cantonización X
Municipio
Fondo del Reencuentro X
Panguense utilizando el logo
del Municipio
Fondo de las fiestas de la X
Virgen de la Merced
Municipio
Fondo Navideño utilizando X
Esta política se utiliza cuando los funcionarios del municipio descritos en el alcance,
recibirán un activo fijo, o este se transferirá de un departamento, con el fin de dar
seguimiento a los recursos informáticos del municipio, a su vez los lineamientos propuestos
en esta política ayuda a la conservación y buen funcionamientos de los recursos informáticos
pues propone cronogramas a seguir, respecto a mantenimientos tanto de datacenter como de
equipos, a su vez modelos de bitácoras que respalden su cumplimiento en caso de auditorías
informáticas.
Nombre de la Política: PO-1C Administración de activos de TI.
1. Objetivo
Gestionar el ciclo de vida de los activos de la empresa mediante lineamiento e inventarios
para la toma de decisiones del Gobierno Autónomo Descentralizado Municipal de Pangua.
2. Alcance
Aplicar a todos los activos fijos tecnológicos de la organización del Gobierno Autónomo
Descentralizado Municipal de Pangua, incluyendo empleados, contratistas, consultores y
visitantes.
3. Definiciones:
Activos de TI: Son los activos informáticos, su gestión permite alcanzar un manejo
adecuado y mejora su eficiencia y rendimiento de la organización.
84
Datacenter: Es una construcción de gran tamaño donde se alberga los equipos electrónicos
necesarios para mantener una red de computadoras.
Hardware: Es la parte física de un ordenador o la parte tangible como CPU (Unidad Central
de Procesamiento), la memoria RAM, el disco duro, el monitor, la tarjeta gráfica, el teclado,
el ratón, la unidad de disquete, la unidad de CD o DVD, la impresora, el escáner, el disco
duro rígido, los altavoces, etc.
Software: Son los programas del computador o la parte intangible que permite realizar
multitareas.
Mantenimiento Preventivo: Consiste en la revisión en el software y hardware de la PC u
ordenador lo que permite al usuario poseer un equipo fiable para intercambiar información
a una máxima velocidad con respecto a la configuración del sistema.
RE-1C Inventario de los activos de TI (nombre de equipo, usuario, marca, modelo, tipo,
sistema operativo, office, microprocesador, ram, disco duro, monitor).
RE-2C Acta de entrega y recepción de equipo.
RE-3C Bitácora del mantenimiento preventivo del datacenter.
RE-4C Bitácora del mantenimiento preventivo de equipos.
RE-5C Bitácora del mantenimiento correctivo de equipos.
RE-6C Bitácora de acceso al datacenter.
RE-7C Documento de transferencia de activos fijos.
RE-8C Documento de baja a los activos fijos.
ANEXO-1C Cronograma para mantenimiento preventivo del datacenter.
ANEXO-2C Cronograma para mantenimiento preventivo de equipos
ANEXO-3C Cronograma para mantenimiento correctivo de equipos.
Todos los activos de TI (RE-1C Inventarios de activos de TI) de la Municipalidad están a
cargo del área de TI quien es el responsable hasta que los equipos sean asignados a los
usuarios del GAD, los equipos de cómputo se gestionaran así:
5.1. Asignación de activo de TI
Generar documento para que asigne equipos a nuevos empleados, equipos que demande para
realizar sus funciones laborales para ello se requiere el RE-2A Solicitud de creación de
nuevos usuarios de red. Como también esta política permite supervisar cuántos y cuáles son
85
los recursos tecnológicos que realmente cuenta el Municipio y posteriormente controlar la
fase y el tiempo de los activos para la renovación según su estado.
El área de TI debe tener la capacidad de asignar equipos.
5.2. Asignación de Sistemas Informáticos
El usuario responsable por su equipo deberá firmar un acta de entrega.
Se evaluará el rendimiento del equipo para su uso, cabe mencionar que es recomendable
cambiar cada seis a ocho años.
5.3. Transferencia de activos de TI
El usuario responsable de la asignación de equipos es el encargado de departamento de
sistemas, en caso de trasferencias de equipos entre empleados, deberá llenar el RE-7C
Documento de transferencia de activos.
5.4. Baja de activos de TI
Los equipos que superen los 5 años de vida funcional deben ser dados de baja por su bajo
rendimiento RE-8C Documento de baja de activos fijos.
5.5. Mantenimiento de Datacenter
Data Center
La puerta de ingreso al cuarto del Datacenter deberá estar permanentemente cerrada con
llave.
El usuario debe controlar que la temperatura del Datacenter este de 18 a 25 Grados
Centígrados.
El usuario responsable del Departamento de Sistemas podrá efectuar el mantenimiento se
realizará mensual ANEXO 1C Cronograma de mantenimiento preventivo del Datacenter
finalizada la actividad llenar la bitácora RE-3C Bitácora de mantenimiento preventivo del
Datacenter.
El usuario no podrá consumir alimentos, bebidas o fumar dentro del data center.
Realizar la selección adecuada de la seguridad de la data center es preferible que esta sea
cerradura electrónica.
Está prohibido la acumulación y almacenamiento de material inflamables (cartón, papel).
No se puede proveer información sobre la ubicación del Datacenter.
Mantenimiento de PC’s
Realizar manteamiento a todos los equipos cada 6 meses de acuerdo al ANEXO 2C
Cronograma para mantenimiento preventivo de equipos finalizado el mantenimiento se debe
llenar la bitácora RE-4C Bitácora de mantenimiento preventivo de equipos.
86
Para el mantenimiento correctivo deberá seguir basándonos en el ANEXO 3C Cronograma
para mantenimiento correctivo de equipos de igual forma finalizado la actividad se deberá
llenar la bitácora RE-5C Bitácora de mantenimiento correctivo de equipos.
Solo el técnico encargado estará autorizado en sacar los equipos fuera de la empresa.
Solo el técnico encargado tendrá la autorización de realizar instalaciones en los equipos.
Los cables deben estar protegidos por canaletas
Las credenciales de usuario son personal e intransferible.
5. Registros.

Final
RE-1C Inventario Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
de los sistemas Sistemas área de papel interno
activos de TI informáticos de Soporte a
equipos
RE-2C Acta de Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
entrega y sistemas Sistemas área de papel interno
recepción informáticos de análisis de
del equipo sistemas
RE-3C Bitácora de Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
mantenimie sistemas Sistemas área de papel interno
nto informáticos de análisis de
preventivo sistemas
del
Datacenter
preventivo sistemas
de equipos
correctivo sistemas
de equipos
87
acceso al sistemas Sistemas área de papel interno
Datacenter informáticos de análisis de
sistemas
RE-7C Documento Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
de sistemas Sistemas área de papel interno
transferenci informáticos de análisis de
a de activos sistemas
fijos
RE-8C Documento Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
de baja a los sistemas Sistemas área de papel interno
activos fijos informáticos de análisis de
sistemas
5.1. Anexos.
1C Cronograma para mantenimiento preventivo del datacenter.
2C Cronograma para mantenimiento preventivo de equipos
3C Cronograma para mantenimiento correctivo de equipos.
El sucesivo Registro-1C Inventarios de activos de TI, propone un listado para controlar los
recursos informáticos del GAD de Pangua que especifique información real y actualizada.
Para ello en la nómina se propone que debe contener:
Código del equipo: Son los códigos que poseen los equipos de cómputo electrónicos que
tienen los diferentes departamentos de la municipalidad.
Fecha de entrega: Aquí va la fecha del día en que se entrega el equipo al funcionario del
GAD de Pangua.
Responsable: Es importante para dar seguimiento a un equipo registrar a la persona que

tiene a responsabilidad el recurso informático, esta información debe ser actualizada en caso
de renuncia, despido o algún otro motivo cause el abandono del lugar del trabajo.
Departamento o Unidad: Son los departamentos que posee la Municipalidad de Pangua
con sus respectivos equipos, es por ello que se considera necesario una gran organización al
conocer el departamento en la que se encuentra cada uno de los equipos.
88
Dominio: El dominio es el nombre único que se identifica a la red de los equipos de la
municipalidad.
Nombre de la PC: Se especifica el nombre de la PC la cual está asignada para el usuario.
Nombre de usuario: Aquí se especifica el nombre de la persona encargada del equipo
asignado por el municipio.
Tipo del equipo: Es el modelo de equipo que es propiedad del municipio, estos pueden ser
laptop, escritorio o cualquier otro, dependiendo de las necesidades de cada departamento o
unidad.
Marca: En este segmento se debe especificar la marca de la Laptop o CPU en caso de
Escritorio.
Modelo: Se especifica el modelo de la de las laptops, computadoras de escritorio que posee
los departamentos.
Serie CPU: Es la cadena de caracteres único que identifica la CPU.
Serie Laptop: Es la cadena de caracteres único, que lleva especificada las laptops por lo
general donde se ubica la batería.
Serie Servidor: Es la cadena de caracteres único, que identifica de un servidor a otro.
Procesador: Se detalla las características del procesador que posee el equipo propiedad de
la Municipalidad.
RAM: Se especifica la capacidad que posee el equipo, de igual forma esta información
ayuda para la toma de decisiones en un futuro.
Disco Duro: Se puntualiza la capacidad del dispositivo, para en el futuro ayudar en la toma
de decisiones para su reemplazo.
Marca del Monitor: Se detalla la marca del monitor en caso de equipo de escritorio, para
laptop se recomienda llenar esta característica con N/A (No Aplica).
Marca del Teclado: Se define la marca como constancia que el escritorio posee este
accesorio, en caso de laptop si no hace uso de un teclado externo, se propone escribir en esta
característica N/A (No Aplica).
Marca del Mouse: Se detalla la marca del accesorio, en caso que no se haga uso en laptop
se recomiendo utiliza N/A (No Aplica).
Adaptador laptop: Se especifica la serie que posee el cargador de la laptop.
Accesorio: Se menciona todos los materiales que posee las laptops como; maleta, audífonos,
etc., esto sirve para llevar seguimiento de cada uno de los accesorios.
89
Candado: Especifica si se entrega este accesorio que sirve para dar seguridad a las laptops
del municipio.
Sistema Operativo: Se detalla el sistema operativo que esté instalado en el equipo, esto
porque ya sea con licencia o libre, ayuda a la toma decisiones al encargado de Sistemas
informáticos.
Office: Se detalla el office que lleva los equipos de cómputo de la entidad.
90
RE-1C INVENTARIO DE LOS ACTIVOS DE TI
INVENTARIO DE LOS ACTIVOS DE TI

TEC
FEC NOM TIP MON MO ADAPT
CÓD SERIE LAD
HA BRE O ITOR USE ADOR ACCE
IGO RESPO MA R O
DE DEPART DOM NOMBRE DEL DEL MOD POCES DISCO LAPTO SORIO CANDA SISTEMA
N° DEL NSABL RC A OFFICE
EQU
ENT
E
AMENTO INIO DEL PC USU EQ
A
ELO C LA SER ADOR
M
DURO MA MA M P (Malet DO OPERATIVO
REG ARI UIP P PT VID RC RC AR (cargad as)
IPO
A O O or)
U OP OR A A CA
91
A continuación, el RE-2C Acta de entrega y recepción del equipo, propone un documento que
será llenado como constancia que se entrega el equipo a un funcionario y este equipo se
encuentra en buen estado, se debe firmar el documento por parte del funcionario que recibe el
equipo y del encargado para sellar la constancia y a partir de ese momento la persona que recibe
el equipo, es responsable mientras labore en el municipio.
Activo fijo: Se detalla en caso de proporcionar al funcionario algún activo fijo, caso contrario
se redacta Ninguno o N/A, no es recomendable dejar estos espacios en blanco.
Nombre del Equipo: Se especifica el nombre del equipo que será entregado al empleado.
Usuario: Se puntualiza a la persona a quien se le entrega el equipo.
Marca: Se escribe la marca del equipo a entregar.
Modelo: Se describe el modelo de fábrica del equipo.
Tipo: Se detalla si es laptop o escritorio.
Serie: Se detalla la serie que es característica propia del equipo a entregar.
Sistema Operativo: Describe el sistema operativo con el que se entrega instalado al empleado.
RAM: Capacidad del equipo a entregar.
Disco duro: Especifica la capacidad del disco duro a entregar.
Microprocesador: Se detalla la información acerca del microprocesador del equipo.
Monitor: La marca y serie del monitor que se entrega.
Mouse: Se escribe la marca y serie del accesorio, en caso de no entregar se escribe ninguno o
N/A (No Aplica).
Teclado: Detallar la marca y serie del accesorio, en caso de no entregar se escribe ninguno o
N/A (No Aplica).
Nota: Es un segmento en el que se puede describir algún otro accesorio a entregar, o en caso
exista alguna anomalía respecto al equipo o accesorio.
92
RE-2C ACTA DE ENTREGA Y RECEPCIÓN DEL EQUIPO
A los _____ días del mes de ________ del año _____se procede a realizar la entrega y recepción
de los equipos que se detallaran, al Departamento de _______ del Gobierno Autónomo
Activo Nombre Usuario Marca Model Serie Tipo S.O RAM Disco Microp Monitor Mouse Teclado
fijo de o Duro rocesa
equipo dor
Nota:_______________________________________________________________________
___________________________________________________________________________
Como constancia de que los equipos se entregaron en buen estado, se procede a la firma de
recibido.
___________________________ ______________________________
APELLIDOS Y NOMBRES DE RECIBIDO APELLIDOS Y NOMBRES DEL ENCARGADO
C.I.: Número de cédula C.I.: Número de cédula
93
El siguiente RE-3C Bitácora de mantenimiento preventivo de Datacenter, se propone un modelo
de bitácora a llenarse ante el cumplimiento del cronograma ANEXO-1C Cronograma para
mantenimiento preventivo del Datacenter, esto cuando en el futuro el municipio adquiera
Datacenter proporcione un buen trato y extienda su vida útil.
Departamento: Detalla el departamento que está ubicado el Datacenter que se realizó el

mantenimiento.
Fecha: En vista que en el cronograma se propone por mes en este segmento se debe especificar
con día, mes y año en el que realizo el mantenimiento.
Descripción de Mantenimiento: En este segmento se describe la reparación que se haya

realizado dentro del Datacenter.
Firma: Debe ser firmada por el encargado de TI, esta es la constancia que el mantenimiento
fue realizado.
94
RE-3C BITÁCORA DE MANTENIMIENTO PREVENTIVO DE DATACENTER
BITÁCORA DE MANTENIMIENTO PREVENTIVO DE DATACENTER
DEPARTAMENTO FECHA DESCRIPCIÓN DE MANTENIMIENTO FIRMA
95
A continuación, el registro RE-4C Bitácora de Mantenimiento preventivo de equipos, se
propone una bitácora que se debe llenar una vez cumplido el mantenimiento especificado en el
ANEXO-2C Cronograma para mantenimiento preventivo de equipos, el encargado de TI debe
llenar los campos solicitados, estos campos son:
Departamento: Es el nombre del departamento donde proviene el equipo, con esta información
se puede conocer al equipo que ya se realizó el mantenimiento.
Nombre de Equipo: Es el nombre que se proporcionó al equipo para identificarlo del resto.
Fecha: Se describe el día, mes y año en el que se realizó el mantenimiento preventivo del
equipo.
Hora: Se detalla la hora en la que se realizó mantenimiento al equipo.
Problema: Se describe los inconvenientes encontrados en el equipo y lo que se hizo para

solventar el inconveniente.
Firma: Debe firmar la persona que realizo el mantenimiento en este caso el encargado de
Sistemas Informáticos, como constancia que el mantenimiento fue realizado.
96
RE-4C BITÁCORA DE MANTENIMIENTO PREVENTIVO DE EQUIPOS
BITÁCORA DE MANTENIMIENTO PREVENTIVO DE EQUIPOS
DEPARTAMENTO NOMBRE EQUIPO FECHA HORA PROBLEMA FIRMA
97
El siguiente Registro es el RE-5C Bitácora de mantenimiento correctivo de equipos, se
propone utilizar para hacer constancia que el mantenimiento fue realizado, esto debe ser
llenado y firmado por el encargado de Sistemas Informáticos de la siguiente manera:
Departamento: Se especifica el nombre de la unidad que proviene el equipo, con esta

información se puede identificar al equipo que ya se realizó el mantenimiento.
Nombre de Equipo: Se puntualiza el nombre que se proporcionó al equipo, para

identificarlo del resto.
Fecha: Se describe el día, mes y año en el que se realizó el mantenimiento preventivo del
equipo.
Hora: Se detalla la hora en la que se realizó las correcciones al equipo.
Problema: Se describe las correcciones necesarias que se le hizo al equipo, para que
funcione con total normalidad y sin inconvenientes.
Firma: Debe firmar la persona que realizo el mantenimiento en este caso el encargado de
Sistemas Informáticos, como constancia que el mantenimiento fue realizado.
98
RE-5C BITÁCORA DE MANTENIMIENTO CORRECTIVO DE EQUIPOS
BITÁCORA DE MANTENIMIENTO CORRECTIVO DE EQUIPOS
99
A continuación, se presenta el Registro RE-6C Bitácora de acceso al Datacenter, el
documento se propone debe reposar fuera del Datacenter y debe llenarse cuando personal
autorizado ingresa al Datacenter a realizar alguna diligencia, es importante llevar este
control, puesto que es un lugar muy importe y caso llegará a darse algo inusual, se dará
seguimiento mediante la bitácora. Esta bitácora debe ser llenada y firmada únicamente por
la persona autorizada que ingresa, se debe llenar de la siguiente forma:
Fecha de ingreso: Se especifica el día, mes y año que ingresa al Datacenter.
Hora de ingreso: La hora debe ser real, debe ser el memento en el que va a ingresar.
Firma de ingreso: Es la constancia de que no es otra persona suplantando su identidad.
Nombre: Debe ingresar Nombres y Apellidos completos de forma clara, sin tachones ni
enmendaduras.
Actividad realizada: se debe especificar el motivo por el cual desea ingresar al Datacenter.
Hora de salida Se debe especificar la hora exacta que la persona autorizada esta fuera del
Datacenter.
Firma de Salida: Es la constancia que la persona afirma haber ya salido a la hora

especificada y se encuentra fuera del Datacenter.
100
RE-6C BITÁCORA DE ACCESO AL DATACENTER
BITÁCORA DE ACCESO AL DATACENTER

Fecha Ingreso Hora Firma Nombre Actividad Realizada Hora Firma Salida
Ingreso Ingreso Salida
101
El presente registro es el RE-7C Documento de transferencia de activos fijos, se propone utilizar
cuando un activo fijo pasara a manos de otra persona ya sea del mismo departamento o no,
según nuestra investigación esto es muy importante para dar seguimiento al equipo, deslindando
de su responsabilidad al antiguo custodio. Contiene los siguientes campos que se propone debe
especificar así:
En el segmento del párrafo se propone deberá llenar día, mes y año verídico en que se realizó
la transferencia, esto sin tachones ni enmendaduras.
Activo Fijo: Se debe detallar el activo fijo a transferir, caso que sea ninguno este campo no
debe ir vacío, se deberá llenar utilizando N/A (No aplica) o Ninguno.
Descripción: Detalla el motivo por el que será transferido el equipo a otro departamento.
Serie, modelo y marca: como su campo lo pide, se deberá escribir las características exactas
del equipo a transferir.
Departamento del anterior custodio: Se describe el nombre de la unidad actual a la que

pertenece el equipo.
Departamento del nuevo custodio: Se detalla el nombre de la unidad a la que va a ser

transferida el equipo.
Anterior custodio: Se detalla el nombre y apellido de la persona que estaba a cargo del
equipo a transferir.
Nuevo custodio: Se especifica el nombre y apellido de la persona a la que se le dará a cargo

el equipo.
Firmas: Las firmas son partes esenciales como constancia que la información proporcionada
en el documento es verídica, debe firmar el anterior custodio, nuevo custodio y director de
finanzas.
102
RE-7C DOCUMENTO DE TRANSFERENCIA DE ACTIVOS FIJOS
En el cantón Pangua a los __días del mes de______ del año _____, se procede a la
Transferencia de activos el equipo que se especifica a continuación con los respectivos
empleados:
SERIE,
DEPARTAMENTO DEPARTAMENTO
ACTIVO MODELO ANTERIOR NUEVO
DESCRIPCIÓN DEL ANTERIOR DEL NUEVO
FIJO Y CUSTODIO CUSTODIO
CUSTODIO CUSTODIO
MARCA
De acuerdo a lo anterior se hace constar que el equipo se encuentra en normal funcionamiento
Anterior Custodio Nuevo Custodio Director de Finanzas
___________________ ___________________ ___________________

NOMBRE Y FIRMA NOMBRE Y FIRMA NOMBRE Y FIRMA
103
A continuación, muestra la propuesta de RE-8C Documentos de baja a los activos fijos,
formulario que según nuestra investigación es importante cuando la vida útil de algún activo
fijo llegue a su límite, es un documento de respaldo si necesita conocer que paso con un activo
en especial. Es por eso que se explica cómo debe llenarse.
Acta N°: Es el número de acta, este debe ir en orden según se vaya dando de baja los activos.
Fecha: Se debe especificar día, mes y año que se está dando de baja el activo.
Nombre del responsable: Es el nombre del funcionario que está responsable del activo fijo.
Departamento: Es la unidad en la que estaba funcionando el equipo.
Equipo de cómputo: Se especifica el nombre del equipo.
Activo fijo: Se especifica la descripción del activo fijo a dar de baja.
Detalle: Se detalla el estado del activo fijo a dar de baja.
Marca: En este segmento ingresa información verídica de la marca del equipo
Modelo: Redacta el modelo exacto del equipo.
Serie: Especifica el número de serie con el que se identifica al equipo.
Valor de adquisición: Se debe escribir el precio que se adquirió el equipo, se debe anexar la
factura donde indica el costo.
Valor depreciado: Es el valor que cuesta actualmente el equipo según su estado y años de uso.
Fecha de compra: Se detalla el día, mes y año que se adquirió el equipo.
Causa de baja: Se explica por qué se da de baja el activo fijo y se anexa un documento que
justifique la baja.
Observaciones: Se detalla alguna situación o alguna información adicional con respecto la baja
de activos.
Firmas: Firman como constancia de la baja del activo, los departamentos asignados se los
propuso porque según investigaciones ellos están involucrados en dar seguimiento a estos
activos.
104
RE-8C DOCUMENTO DE BAJA A LOS ACTIVOS FIJOS
GOBIERNO AUTÓNOMO DESCENTRALIZADO MUNICIPAL DE

PANGUA
INFORME DE BAJA DE BIENES
ACTA N°:_________________
FECHA:
___________________
NOMBRE DEL RESPONSABLE: _____________________________________________

DEPARTAMENTO: ________________________________________
EQUIPO DE COMPUTO: ______________________________________________________
CARACTERÍSTICAS
Activo Fijo Detalle Marca Modelo Serie Valor de Valor Fecha
adquisición depreciado compra
CAUSA DE BAJA: __________________________________________________________

(Documentación anexa para verificación física documental)
DOCUMENTACIÓN INTEGRANTE AL REVERSO

OBSERVACIONES:_______________________________________________________________
_____________________________________________________________________
_______________________ _______________________
SISTEMAS INFORMÁTICOS DIRECCIÓN FINANCIERA
______________________
DIRECCIÓN ADMINISTRATIVA
105
El siguiente Anexo se trata del Cronograma para mantenimiento preventivo del Datacenter, en
la que se propone realizarlo en las fechas estipuladas, no hemos designado un día exacto, para
que el encargado de Sistemas informáticos lo pueda cumplir cualquier día del mes, de igual
forma se ha propuesto ciertos elementos del Datacenter que pueden darse mantenimiento, esto
para mantener el lugar en condiciones óptimas y garantice la seguridad de los equipos dentro
del mismo.
Las firmas propuestas son el compromiso y aceptación de cumplir el cronograma propuesto.
ANEXO-1C CRONOGRAMA PARA MANTENIMIENTO PREVENTIVO DEL

DATACENTER
MES
Octubre
Diciemb
Septiem
Febrero
Noviem
Agosto
Marzo
Enero
Mayo
Junio
Abril
DATACENTER
Julio
bre
bre
re
Equipos de Networking x x
Servidores x x
Iluminación x x
Climatización (motores, aire x x
acondicionado, temperatura,
etc.)
Control de incendio x x
(extintores, sensores)
UPS x x
Control de acceso (cámaras, x x
tarjetas, etc.)
Piso x x
______________________________ _________________________
FIRMA DE ENCARGADO DE TI FIRMA DEL ALCALDE
C.I.: NÚMERO DE CEDULA C.I.: NÚMERO DE CEDULA
106
El presente ANEXO-2C Cronograma para mantenimiento preventivo de equipos, se propone
para organizar el mantenimiento preventivo de los equipos de cada departamento, de igual
forma se propone el mes con la finalidad que pueda realizar cualquier día del mes.
ANEXO-2C CRONOGRAMA PARA MANTENIMIENTO PREVENTIVO DE

EQUIPOS
MES
Octubre
Diciemb
Septiem
Febrero
Noviem
Agosto
Marzo
Enero
Mayo
Junio
Abril
DEPARTAMENTOS
Julio
bre
bre
re
MIES X
UNIDAD DE CULTURA X
PROMOCIÓN X
COMUNITARIA
SERVICIOS GENERALES X
PLANIFICACIÓN Y X
DESARROLLO
ASESORÍA DE X
ALCALDÍA
UNIDAD TÉCNICO DE X
GESTIÓN DE RIESGOS
UNIDAD DE TALENTO X
HUMANO
ADMINISTRACIÓN DE X
PLAZAS Y MERCADOS
COMISARIA MUNICIPAL X
SECRETARIA X
EJECUTIVA DE LA
NIÑEZ Y
ADOLESCENCIA DEL
CANTÓN PANGUA
CONSEJO CANTONAL X
DE PROTECCIÓN DE
DERECHOS
107
DIRECCIÓN X
FINANCIERA
UNIDAD DE ATENCIÓN X
A GRUPOS
VULNERABLES
REGISTRO DE LA X
PROPIEDAD
SECRETARIA GENERAL X
INFRAESTRUCTURA Y
DISEÑO DE PROYECTOS
UNIDAD DE X
FISCALIZACIÓN
VIALIDAD Y EQUIPO X
CAMINERO
AGUA POTABLE Y X
ALCANTARILLADO
OBRAS PÚBLICAS X
RECAUDACIÓN X
OFICINA DE RENTAS X
TESORERO X
ORDENAMIENTO X
TERRITORIAL
SISTEMAS X
INFORMÁTICOS
SINDICATURA X
AVALÚOS Y X
CATASTROS
BODEGA X
108
_____________________________ _____________________________
FIRMA DE ENCARGADO DE TI FIRMA DE ALCALDE
A continuación, se presenta el ANEXO-3C Cronograma para mantenimiento correctivo de

equipos, se propone el cronograma con la finalidad de mejorar el rendimiento de los equipos de
la municipalidad, indicando el mes para que pueda realizar las correcciones de los equipos
cualquier día del mes.
ANEXO-3C CRONOGRAMA PARA MANTENIMIENTO CORRECTIVO DE

EQUIPOS
MES
Octubre
Diciemb
Septiem
Febrero
Noviem
Agosto
Marzo
Enero
Mayo
Junio
DEPARTAMENTOS Abril
Julio
bre
bre
re
MIES X X X X
UNIDAD DE CULTURA X X X X
PROMOCIÓN X X X X
COMUNITARIA
SERVICIOS GENERALES X X X X
PLANIFICACIÓN Y X X X X
DESARROLLO
ASESORÍA DE X X X X
ALCALDÍA
UNIDAD TÉCNICO DE X X X X
GESTIÓN DE RIESGOS
UNIDAD DE TALENTO X X X X
HUMANO
ADMINISTRACIÓN DE X X X X
PLAZAS Y MERCADOS
COMISARIA MUNICIPAL X X X X
109
SECRETARIA X X X X
EJECUTIVA DE LA
NIÑEZ Y
ADOLESCENCIA DEL
CANTÓN PANGUA
CONSEJO CANTONAL X X X X
DE PROTECCIÓN DE
DERECHOS
DIRECCIÓN X X X X
FINANCIERA
UNIDAD DE ATENCIÓN X X X X
A GRUPOS
VULNERABLES
REGISTRO DE LA X X X X
PROPIEDAD
SECRETARIA GENERAL X X X X
INFRAESTRUCTURA Y
DISEÑO DE PROYECTOS
UNIDAD DE X X X X
FISCAIZACIÓN
VIALIDAD Y EQUIPO X X X X
CAMINERO
AGUA POTABLE Y X X X X
ALCANTARILLADO
OBRAS PÚBLICAS X X X X
RECAUDACIÓN X X X X
OFICINA DE RENTAS X X X X
TESORERO X X X X
ORDENAMIENTO X X X X
TERRITORIAL
110
SISTEMAS X X X X
INFORMÁTICOS
SINDICATURA X X X X
AVALÚOS Y X X X X
CATASTROS
BODEGA X X X X
_______________________________ ________________________________
La presente política propuesta hace referencia a los respaldos de la información que maneja
la municipalidad, se utiliza al momento de querer respaldar la información importante, para
que siempre esté integra, disponible y confiable, de forma que no detenga sus actividades.
Nombre de la Política: PO-1F Resguardo de información
1. Objetivo
Definir e implementar lineamientos para respaldar la información relevante en todos los
niveles de la Municipalidad.
2. Alcance
Aplica a todos los miembros de la comunidad del Gobierno Autónomo Descentralizado
Municipal de Pangua. Definida en el ANEXO-1F Listado de usuarios para backup.
3. Definiciones:
SyncBack: Es un programa gratuito que sincroniza y hace copias de seguridad de los
archivos, carpetas, directorios entre otros.
ANEXO-1F Listado de usuarios para backup
RE-1F Bitácora de respaldos de usuarios.
Evitar la pérdida de la información dentro de la empresa en caso de que existan eventos
fortuitos con el fin de garantizar la disponibilidad de la información.
111
5.1. Responsabilidad de los Usuarios
El usuario debe almacenar su información laboral dentro de la carpeta llamada
RESPALDOS que va estar alojada en la unidad D si no tiene una partición se creara una
carpeta dentro de la partición.
El usuario debe dar acceso de su información cuando el personal de tecnología de
información lo requiera.
5.2. Responsabilidad del área de Sistemas Informáticos
El departamento de sistemas debe crear una carpeta para que los usuarios almacenen ahí su
información y se haga el debido respaldo (Ejemplo: D:\respaldos), caso que el usuario no
acate la disposición de almacenar en esa carpeta la información, el encargado de Sistemas
Informáticos no se hará responsable de la pérdida de dicha información.
Implementar un software específico que ayude a generar respaldos periódicamente.
Asignar espacios de almacenamiento específico de acuerdo a la posición que desempeñe el
usuario final.
Generar el control de acuerdo al RE-1F Bitácora de respaldos de usuarios.
Disponer con una segunda herramienta para respaldos de información.
5.3. Responsabilidad del área de Recursos Humanos
Proporcionar información de la salida de personal con tiempo suficiente (48 horas) para la
planificación de respaldos de información.
6. Registros.

Final
RE-1F Bitácora de Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
respaldos sistemas Sistemas área de papel interno
de usuarios. informáticos de análisis de
sistemas
7. Anexos.
ANEXO-1F Listado de usuarios para Backups
112
A continuación, se propone el registro RE-1F Bitácora de respaldos de usuarios, es un listado
en que lleva el control de la fecha en que realizo el respaldo. Los campos deben llenarse de
la siguiente manera:
Cargo: Es el cargo u ocupación que tiene el empleado en municipio, este campo debe estar
sin tachones ni enmendaduras.
Nombre de equipo: Se describe el nombre que identifica al equipo.
Meses: Se señala con una x el mes que fue realizado el respaldo de la información.
RE-1F BITÁCORA DE RESPALDOS DE USUARIOS
113
MESES
NOMBRE
SEPTIEMBRE
NOVIEMBRE
DICIEMBRE
N° CARGO
OCTUBRE
FEBRERO
EQUIPO
AGOSTO
MARZO
ENERO
MAYO
ABRIL
JUNIO
JULIO
1
7
El
8
10
siguiente es el ANEXO-1F Listado de usuarios para backup, se propone este documento para
ser utilizado como un registro de los usuarios a los que se debe generar el respaldo,
especificando cierta información como:
Nombre de equipo: Es el nombre que se reconoce al equipo, se sugiere vaya con

abreviaciones de palabras, un nombre que contenga la ubicación del municipio, tipo de
equipo, el departamento a la que pertenece el equipo, seguido del número según su prioridad
siendo 01 la más alta.
114
Cargo: Es la unidad a la que pertenece el equipo.
Periodo de respaldo: Especifica el tiempo estimado, que se debe realizar el respaldo.
ANEXO-1F LISTADO DE USUARIOS PARA BACKUP
LISTADO DE USUARIOS PARA BACKUP
N° NOMBRE DE EQUIPO CARGO PERÍODO DE

RESPALDO
1 Panpcfin-01 Dirección Financiera Semanal
2 Panpcalc-02 Asesoría de Alcaldía Semanal
3 Pannbsis-03 Gerente de Sistemas Semanal
4 Panpcplaymer-04 Administración de plazas y mercados Semanal
5 Panpcrec-05 Recaudación Semanal
6 Panpctes-06 Tesorero Semanal
7 Panpcsecg-07 Secretaria general Semanal
8 Panpcregpro-08 Registro de la propiedad Semanal
La presente política de seguridad informática se emplea para controlar y verificar los activos
del municipio, debido que por diversos factores que se presenten puede surgir la necesidad
de sacar los activos fijos del GAD, por ello los lineamientos propuestos hace énfasis que no
es recomendable realizar el acto a menos que sea por cuestiones urgentes, entonces al darse
el caso se trata dar seguimiento al equipo con la finalidad de cuidar los activos y evitar
pérdidas.
Nombre de la Política: PO-1D Seguridad de componentes informáticos.
1. Objetivo
Generar lineamientos para proteger y resguardar los componentes informáticos del Gobierno
Autónomo Descentralizado Municipal de Pangua.
2. Alcance
115
Aplica a toda la infraestructura del Gobierno Autónomo Descentralizado Municipal de
Pangua.
3. Definiciones:
Componente informático: Son el conjunto de equipos y programas que conforman un
computador o sistema informático.
RE-1D Bitácora de registro de salida e ingreso de equipos.
RE-2D Bitácora de control de ingreso y salida de equipos de visitas.
ANEXO1D- Listado de personas autorizadas.
El departamento de sistemas informáticos es el encargado de proteger, planificar y dar
seguimiento a los lineamientos de seguridad establecidos:
✓ Protección de los equipos.
✓ Ingreso de equipos y dispositivos externos, que no son propios de la institución.
5.1. Responsabilidad del Departamento de Sistemas Informáticos
Debe proporcionar e instalar un antivirus garantizado su adecuado funcionamiento,
cortafuegos para bloquear el acceso no autorizado a la red con el fin de evitar virus, gusanos,
ataques, robo de datos, etc.
Debe actualizar los programas que regulan la seguridad (Antivirus, licencias, sistemas
operativos).
5.2. Acceso a servidores
TI tiene la responsabilidad de asignar los permisos adecuados para el acceso a los servidores,
para que el especialista analice su estado y funcionamiento.
No se puede ingerir alimentos en el área de servidores pues cualquier derrame podría
ocasionar pérdidas del activo.
5.3. Protección de equipos
Implementar Antivirus en los equipos con sus debidas actualizaciones.
Es recomendable instalar un Sistema Operativo con licencias autorizadas y que estén acorde
con las características de la computadora, se recomiendan versiones a partir de Windows 8.1
pro hasta Windows 10.
Los equipos deben tener un cobertor anti polvos para alargar el tiempo de vida útil.
No se puede ingerir alimentos ante los activos, pues cualquier derrame podría ocasionar
pérdidas del activo.
116
5.4. Ingreso y salida de equipos
Los dispositivos de red son propiedad de la empresa, por lo que ningún empleado puede
hacer uso externo de él.
Para el ingreso de equipos externos, debe tener un documento de autorización y llevar un
control de acuerdo al RE-1D Bitácora de registro de salida e ingreso de equipos, en caso de
empleados.
Para el ingreso de equipos de personas visitantes, debe llevar control el personal encargado
de la seguridad, mediante la RE-2D Bitácora de control de ingreso y salida de equipos de
visitas.
Las laptops del Municipio deben tener candado.
Los empleados que deben llevarse los equipos deben tener una autorización previa
6. Registros.

Final
RE-1D Bitácora de Analista de Oficina 23/08/2020 Anual 2 años Reciclaje Uso
registro de sistemas Sistemas de papel interno
salida e área de
ingreso de análisis de
equipos sistemas
RE-2D Bitácora de Personal Ingreso al 23/08/2020 Anual 2años Reciclaje Uso

control de encargado de edificio de papel interno
ingreso y la
salida de seguridad(gua
equipos de rdia)
visitas.
7. Anexos.
ANEXO1D- Listado de personas autorizadas
A continuación, se muestra la propuesta de registro RE-1D Bitácora de registro de salida e
ingreso de equipos, con este documento se trata llevar el control de la persona que por
cuestiones que debe aclarar, saco el equipo de la municipalidad. La bitácora solicita ciertos
campos que deben ser llenados de forma clara, sin tachones y enmendaduras.
117
Responsable: Se detalla el nombre y apellido de la persona a cargo del equipo que saldrá de la
municipalidad.
Cargo: Es la unidad a la que pertenece el equipo.
Motivo: Se debe especificar de forma clara, directa y sin tachones el motivo por el cual el
equipo saldrá del municipio, seguido del nombre del equipo, marca y serie.
Hora de salida: Es la hora exacta en la que el equipo saldrá.
Firma: El campo es obligatorio de llenar una vez llenado la hora de salida, como constancia
que el funcionario afirma ser quien estipulo la hora en la bitácora, la firma debe ser la utilizada
en la cédula de ciudadanía.
Hora de ingreso: La hora exacta en la que el equipo ingresa al municipio, este proceso debe
ser acompañado del guardia quien controlara la presencia del equipo.
Firma: Se debe firmar de manera obligatoria al ingresar el equipo, como constancia y

compromiso que el equipo ingreso al municipio. La firma debe ser la misma de la cédula de
ciudadanía.
118
RE-1D BITÁCORA DE REGISTRO DE SALIDA E INGRESO DE EQUIPOS
BITÁCORA DE REGISTRO DE SALIDA E INGRESO DE EQUIPOS
HORA DE HORA DE
RESPONSABLE CARGO MOTIVO FIRMA FIRMA
SALIDA INGRESO
118
A continuación, se muestra la propuesta de registro RE-2D Bitácora de control de ingreso y
salida de equipos de visitas, este documento tiene la finalidad de controlar el ingreso y salida
de equipos propiedad de las personas que ingresan como visitantes al municipio, este
documento debe gestionar el encargado de la seguridad (guardia) del GAD, por ende debe
reposar en el ingreso al edificio.
Responsable: Es el nombre de la persona quien ingresa con su equipo y debe llenar con sus
respectivos nombres completos.
Marca: Es la marca del equipo de cómputo que está ingresando a la institución.
Modelo: Es el modelo de equipo de cómputo que ingresa.
Serie: Es la serie que posee el equipo de cómputo de la persona que ingresa al municipio.
Fecha: Aquí va la fecha que visita a la institución para llevar un registro adecuado.
Hora de ingreso: Aquí específica la hora de ingreso a la entidad.
Hora de salida: Aquí específica la hora de salida a la entidad.
Firma: Por último, se especifica la firma de salida de la persona que ingreso a la institución.
119
RE-2D BITÁCORA DE CONTROL DE INGRESO Y SALIDA DE EQUIPOS DE VISITAS
BITÁCORA DE CONTROL DE INGRESO Y SALIDA DE EQUIPOS DE VISITAS
N° NOMBRE DEL RESPONSABLE MARCA MODELO SERIE FECHA HORA DE INGRESO HORA DE SALIDA FIRMA
120
A continuación, se presenta el ANEXO-1D Listado de personas autorizadas, se propone este
listado para que el encargado de la Unidad de Sistemas Informáticos quien está a cargo de
los equipos del municipio, sea el responsable de enlistar a las personas que por motivos
laborales en verdad requieran sacar los equipos fuera del GAD y por ende autoriza hacer uso
de la RE-1D Bitácora de registro de salida e ingreso de equipos, para seguimiento del equipo.
Se propone sea obligatorio e importante llenar todos los campos solicitados, para tener la
información correcta en caso de seguimiento del equipo.
Código: Aquí se especifica el código de las laptops que existe en la municipalidad que va a
salir.
Tipo: Se detalla el tipo de equipo de cómputo que posee la entidad a entregar al usuario que
va a salir.
Activo Fijo: Debe detallar el nombre del activo fijo que está autorizado a salir.
Responsable: Se debe escribir los Nombres y Apellidos completos de la persona quien está
a cargo del equipo.
Cargo: Es la unidad o departamento donde labora o pertenece el equipo.
Modelo: Es el modelo de fábrica que identifica al equipo.
Serie: Es la designación que tiene el equipo para identificarlo del resto.
121
ANEXO-1D LISTADO DE PERSONAS AUTORIZADAS
MARC
CÓDIGO TIPO RESPONSABLE CARGO MODELO SERIE
A
1.4.1.01.07.0 Laptop Ing. Luis Guzmán Director de saneamiento DELL CPDCBD6P03 CN-OCK6DB-CMC00-9B6-
13.003 ambiental 0005
1.4.1.01.07.0 Laptop Ing. Manuel Coronel Gestión de Riesgos HP NOTEBOOK 5CG6441WY
01.001.051
1.4.1.01.07.0 Laptop Dra. Gabriela Rivera Saneamiento ambiental HP NOTEBOOK 5CG6441R54
01.002.17
1.4.1.01.07.0 Laptop Ing. Ingrid Torres Tesorero Municipal HP Z800K15 CND3510HQR
01.002.009
1.4.1.01.07.0 Laptop Sra. Jenny Recaudadora, Dirección ACER E5-471 NXMN2AL00342809897600
01.002.15 Domínguez Financiera
1.4.1.01.07.0 Laptop Ing. Henry Tana Administración de TOSHIB SATELIT S4E1265312C
A
01.002.012 Plazas y Mercados
1.4.1.01.07.0 Laptop Ing. Washington Dirección Financiera HP ETILE K8470P CNU415BK1H
CORE I7
01.002.011 Palacios
Laptop Ing. Marco Zurita Director de Obras HP 15-AY016LA CND71357KP
Públicas
122
La presente política se propone a utilizar para controlar el tráfico de red del municipio de
Pangua, a su vez aplica restricciones al acceso de ciertas páginas de internet, proporcionando
solo las necesarias que requiera según sus funciones, de esta forma no exista distracciones
en horas laborables.
Nombre de la Política: PO-1E Uso adecuado del internet.
1. Objetivo
Definir las reglas y categorías para el acceso al internet por el usuario para que no existan
distracciones en las horas laborables.
2. Alcance
Aplica a todos los usuarios que constituyen la lista de distribución del servidor de dominio
del Gobierno Autónomo Descentralizado Municipal de Pangua, incluyendo contratistas,
consultores y visitantes.
3. Definiciones:
Webfilter: Es un software diseñado para restringir los sitios web que pueden ser visitados
por el usuario en su equipo.
Categoría de Navegación: Es la clasificación de sitios web donde los usuarios conectados
a una red pueden ingresar.
Malware: Es un término que engloba a todo tipo de programa o código informático
malicioso cuya función es dañar un sistema o causar un mal funcionamiento.
ANEXO-1E Listado de categorías de acceso a internet.
Buenas prácticas para el uso adecuado del internet.
Regular con un webfilter el acceso a internet.
Evitar distracciones por parte de los usuarios que laboran en la Institución.
Prevenir la saturación del ancho de banda por el uso de páginas de gran consumo de recursos
como: Descargas, Streaming y Redes Sociales.
5.1. Restricciones
Queda estrictamente prohibido el uso de servicio de internet para las siguientes páginas:
Acceso a los sitios web para descargar información ajena a la actividad laboral.
El uso de sitios de videos, streaming en línea o en tiempo real. (YouTube, Spotify, etc.).
123
Ingresar a contenidos obscenos, agresivos, pornográficos, amenazadores, inmorales u
ofensivos.
Uso de Juegos “online” en la red.
Acceso a sitios inseguros que comprometan la confidencialidad e integridad de la
información.
Instalación y uso de aplicativos para intercambios de archivos.
Instalación de aplicativos de mensajería instantánea (WhatsApp, Messenger, etc.).
Nota: Si el empleado requiere trabajar con una de estas, deberá pedir autorización al Jefe
Inmediato.
5.2. Accesos a categorías
El acceso a internet que proporciona al GAD de Pangua está relacionado con nombre y
usuario para inicio de sesión en el equipo de cómputo.
La empresa está en la capacidad de monitorear todos los accesos a internet de acuerdo a las
categorías asignadas según el ANEXO-1E Listado de categorías de acceso a internet.
5.3. Penalizaciones
Cualquier usuario que no se ajuste a los lineamientos detallados en las políticas será sujeto
a toma de decisiones de acuerdo al reglamento interno de trabajo.
6. Registros.
N/A
7. Anexos.
124
A continuación, se propone el ANEXO-1E Listado de categorías de acceso a internet, el cual
especifica el acceso a internet que van a tener según se considera las necesidades de cada
departamento, se ha marcado con una “x” las categorías a las que tendrán acceso.
Gubernamentales: Son paginas como su nombre lo dice del gobierno, con extensiones de
dominio .gob.ec, como: Instituto Ecuatoriano de Seguridad Social: www.iess.gob.ec,
Ministerio del Ambiente: www.ambiente.gob.ec, Ministerio de Cultura:
www.cultura.gob.ec, Secretaria de Gestión de Riesgos: www.gestionderiesgo.gob.ec, entre
otras.
Educación: Son páginas que destina el Ministerio de Educación como: Instituto de
tecnologías educativas: www.ite.educacion.es o el Ministerio de Educación:
www.educacion.gob.ec.
Financieros: Son sitios web financieros que el funcionario requiera utilizar como la página
del Ministerio de Finanzas: www.finanzas.gob.ec
Investigación: Acceso al buscador de Google para los empleados que requieran según sus
funciones laborables.
Redes Sociales: Son sitios y aplicaciones que operan permitiendo el intercambio de
información entre persona y/o empresas, las más comunes Facebook, WhatsApp, Instagram,
etc.
Streaming: Son páginas que permiten la ejecución de audio o video en línea.
TICs: Aplicaciones que tienen que ver directamente a tecnología como TeamViewer, entre
otras.
125
LISTADO DE CATEGORÍAS DE ACCESO A INTERNET
ANEXO-1E
CATEGORÍAS DE ACCESO
Gubernamental
Redes Sociales
Investigación
Financieros
Educación
Streaming
DEPARTAMENTO
TICs
es
DIRECTORIO X X X X X X
MIES X X X X
PROMOCIÓN COMUNITARIA X X
SERVICIOS GENERALES X X
PLANIFICACIÓN Y DESARROLLO X
ASESORÍA DE ALCALDÍA X X X X X
UNIDAD TÉCNICO DE GESTIÓN DE X

RIESGOS
UNIDAD DE TALENTO HUMANO X X X
ADMINISTRACIÓN DE PLAZAS Y X X
MERCADOS
SECRETARIA EJECUTIVA DE LA X X X
NIÑEZ Y ADOLESCENCIA DEL
CANTÓN PANGUA
CONSEJO CANTONAL DE X
PROTECCIÓN DE DERECHOS
DIRECCIÓN FINANCIERA X X
126
UNIDAD DE ATENCIÓN A GRUPOS X X
VULNERABLES
REGISTRO DE LA PROPIEDAD X X
SECRETARÍA GENERAL X
UNIDAD TÉCNICO DE X X
INFRAESTRUCTURA Y DISEÑO DE
PROYECTOS
UNIDAD DE FISCALIZACIÓN X
VIALIDAD Y EQUIPO CAMINERO X
AGUA POTABLE Y X
ALCANTARILLADO
OBRAS PÚBLICAS X
RECAUDACIÓN X X
OFICINA DE RENTAS X X
TESORERO X X
ORDENAMIENTO TERRITORIAL X
SISTEMAS INFORMÁTICOS X X X
SINDICATURA X X
AVALÚOS Y CATASTROS X
BODEGA X
127
12. IMPACTOS (TÉCNICOS, SOCIALES, AMBIENTALES O ECONÓMICOS)
Mediante el desarrollo de las políticas de seguridad informáticas a proponer, se consigue los

siguientes impactos:
12.1. Impacto tecnológico
El impacto tecnológico a contribuir será el desarrollo de políticas de seguridad informáticas

mediante la ISO 27001, que aporte a las necesidades de la municipalidad con la finalidad
infundir las buenas prácticas mediante herramientas del SGSI.
12.2. Impacto económico
Si el Gobierno Autónomo Descentralizado Municipal de Pangua, toma en consideración

implementar las políticas de seguridad informática mediante las ISO 27001 en el futuro, se
está ahorrando un valor estimado mediante consultoría, de 10.000 dólares.
12.3. Impacto Social
El impacto social a contribuir, es la persuasión al uso de buenas prácticas que se ha indagado

en el trascurso de la investigación, para que ayuden a la gestión y buen funcionamiento del
GAD de Pangua.
13. PRESUPUESTO PARA LA PROPUESTA DEL PROYECTO
En el presente se procede a enlistar los costos para el diseño de las políticas de seguridad de
la información, para lo cual se ostentará gastos directos como los indirectos y el gato total.
13.1. Gastos directos
Tabla 18: Estimación de costos de Gastos Directos.
PRESUPUESTO PARA LA
ELABORACIÓN
Cantid Unida V. Valor

Recursos
ad d Unitario Total
$ $
Equipos (detallar)
Laptop. 2 0 0
128
Impresora. 1 0 200
Grabadora de Audio (Teléfono

1 0 0
celular)
Pendrive 1 10.00 10.00
Transporte y salida de campo

(detallar)
Movilización al GAD de Pangua

Autor Cruz
($30.50) 2 55.00 55.00
Autor Gaibor
($24.50)
Materiales y suministros
(detallar)
Esferos. 4 0.40 1.60
Resma de Papel. 3 0 0
Carpeta. 2 0.50 1.00
Material Bibliográfico y
fotocopias. (detallar)
42 Hojas de políticas de
2 0.15 0 0
seguridad.
80 Hojas de documentación de
1 0.15 0 0
tesis.
Libro ISO 1 50.00 50.00
Total 317.6
129
13.2. Gastos indirectos
Tabla 19: Estimación de costos de Gastos Indirectos.
PRESUPUESTO PARA LA
ELABORACIÓN
Cantid Unida V. Valor

Recursos
ad d Unitario Total
$ $
Gastos Varios (detallar)
Llamadas Telefónica. 1 3.00

3.00
Total 3.00
13.3. Gasto total
Tabla 20: Estimación de costo General.
Gastos directos 317.6
Gastos indirectos 3.00
Gastos totales 320.6
Gastos de imprevisto 12% 38.472
Sub Total 358.472
10% 35.8472
TOTAL 394.3192
130
14. CONCLUSIONES
Se concluye que se pudo analizar a cabalidad la situación en la que se encontraba la

institución acerca de las operaciones con las herramientas y equipos informáticos.
Se identificó los riesgos que puedan ir contra la confidencialidad, integridad y disponibilidad

de la información, garantizando a la Municipalidad que, si cumple a cabalidad estas políticas
de seguridad informática, sus actividades no se verán afectadas ante actos inescrupulosos de
personas propias o externas de la Institución.
Se logró diseñar modelos de documentos de políticas de seguridad informáticas adecuadas,

siguiendo los estándares de la ISO 27001 para ayudar a la Municipalidad a permanecer con
la información confiable, integra y disponible.
15. RECOMENDACIONES
Se recomienda elaborar un Plan de Contingencia ante desastres naturales, para que

empleados de la Municipalidad tenga conocimiento de cómo actuar ante estas situaciones.
Se recomienda que para el correcto funcionamiento de las políticas de seguridad informática

es primordial estar al día de la aparición de nuevas técnicas que amenazan a la seguridad de
los equipos informáticos del Municipio, para tratar de evitarlas o de dar una solución al
problema.
Para el futuro se recomienda realizar más políticas de seguridad para monitorear el

cumplimiento de seguridad de la información del Municipio para así un mejorar la
integridad.
131
16. BIBLIOGRAFÍA
Acurio Del Pino, S. (2016). Delitos informáticos: generalidades. Guadalajara, Jalisco,

México. Retrieved from http://148.202.167.116:8080/xmlui/handle/123456789/599
Aguilar Carrión, M. R. (2017). “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN

ESTÁNDAR ISO-IEC 27001 PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL
GAD CANTONAL DE PASTAZA. Ambato - Ecuador. Retrieved from
http://dspace.uniandes.edu.ec/bitstream/123456789/6508/1/PIUAMIE007-2017.pdf
Alcivar, S. B. (2017). PLAN DE SEGURIDAD DE LA INFORMACIÓN BASADA EN LA

NORMA ISO/IEC 27001 PARA CUMPLIMIENTO DE LA RESOLUCIÓN DE LA
JUNTA BANCARIA NRO. JB-2014-3066 EN LA COOPERATIVA DE AHORRO Y
CRÉDITO “LA BENEFICA” LTDA. Retrieved from
http://dspace.uniandes.edu.ec/handle/123456789/7795
Almeida Suarez, S. L. (2017). ANALISIS DE LA SEGURIDAD INFORMATICA EN LA

COOPERATIVA DE AHORRO Y CREDITO “SAN ANTONIO” DE LA UNION.
Retrieved from http://dspace.utb.edu.ec/handle/49000/2385
Argüezo Ramirez, E. D. (2019). PROPUESTA DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE INFORMACIÓN PARA LA PROTECCIÓN DE ACTIVOS DE
INFORMACIÓN BASADO EN LA NORMA ISO 27001 EN EL ÁREA DE
INFORMÁTICA DE LA MUNICIPALIDAD PROVINCIAL DE HUÁNUCO. Huánuco -
Perú. Retrieved from
http://200.37.135.58/bitstream/handle/123456789/2084/ARGÜEZO RAMIREZ%2C
EDUARDO DANIEL.pdf?sequence=3&isAllowed=y
Briñez Bautista, M. L. (2017). DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD

INFORMÁTICA PARA LA ALCALDÍA MUNICIPAL DE LA JAGUA DE IBIRICO-
CESAR BASADO EN LA NORMA ISO 27001:2013. Valledupar. Retrieved from
https://repository.unad.edu.co/handle/10596/14253
Cárdenas Posada, K., Fernández Vásquez, J. D., & Hernández Aros, L. (2018). Matriz de
riesgos en el desarrollo del encargo, 22. Retrieved from
https://repository.ucc.edu.co/bitstream/20.500.12494/5166/1/Matriz de riesgo en el
desarrollo del encargo %282%29.pdf
132
Carrillo Jiu, J. A. (2014). FUNDAMENTOS DE SEGURIDAD LÓGICA . UNIVERSIDAD
NACIONAL DE AMAZONIA PERUANA, IQUITOS-PERÚ. Retrieved from
http://repositorio.unapiquitos.edu.pe/bitstream/handle/UNAP/4487/Jose_Tesis_Titulo_20
14.pdf?sequence=1&isAllowed=y
Castro Ortega, J. (2015). IMPLEMENTACIÓN DE UNA PLATAFORMA QUE PERMITA

LA INTEGRACIÓN DE ACTIVE DIRECTORY Y GOOGLE APP CONTACTS
SOPORTADO POR LA PLATAFORMA ANYWHERE PARA LA EMPRESA
TMTEK DE COLOMBIA. Retrieved from
repositorio.ufpso.edu.co:8080/dspaceufpso/handle/123456789/742
Chungata Cabrera, A. M. (2015). EL FRAUDE COMO DELITO INFORMÁTICO. Cuenca -

Ecuador. Retrieved from
http://dspace.ucuenca.edu.ec/bitstream/123456789/21321/1/TESIS.pdf
Collazo Linares, A. (2017). Sistema para la gestión y control de cuentas de usuario en la

UCLV. Santa Clara. Retrieved from
https://dspace.uclv.edu.cu/bitstream/handle/123456789/7867/Adrian Collazo
Linares.pdf?sequence=1&isAllowed=y&fbclid=IwAR3ajV4848zBAjhLerwQX662rked
Z3alagMz8oCDSAOWtLYiEwaiB2yc770
Colonia Hernández, P. J. (2019). UNIVERSIDAD CATÓLICA ÁNGELES CHIMBOTE

FACULTAD DE INGENIERÍA ESCUELA PROFESIONAL DE SISTEMAS. Universidad
Católica Los Ángeles de Chimbote. Chimbote-Peru: Universidad Católica los Ángeles de
Chimbote.
Cordero Torres, G. (2015). Estudio comparativo entre las metodologías MAGERIT y

CRAMM, utilizadas para Análisis y Gestión de Riesgos de Seguridad de la Información.
Cuenca - Ecuador.
Cortéz Rodríguez, A. I., & Santiago Cueva, W. J. (2018). PLAN DE SEGURIDAD

INFORMÁTICA BASADO EN LA NORMA ISO 27002 PARA MEJORAR LA GESTIÓN
TECNOLÓGICA DEL COLEGIO CARMELITAS – TRUJILLO. UNIVERSIDAD
NACIONAL DE TRUJILLO, TRUJILLO - PERÚ. Retrieved from
http://dspace.unitru.edu.pe/bitstream/handle/UNITRU/11066/CORTÉZ
RODRÍGUEZ%2C AMELIA IVON%2C SANTIAGO CUEVA%2C WILFREDO
JHONATAN.pdf?sequence=1&isAllowed=y
133
Cristancho Lopez, E. F. (2018). PROPUESTA DE UN SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION PARA LA ALCALDIA MUNICIPAL DE
GUACHETACUNDINAMARCA, BASADO EN LA NORMA ISO/IEC 27001:2013.
Bogota - Colombia. Retrieved from https://repository.unad.edu.co/handle/10596/20410
Diaz Coral, R. A. (2015). Apoyo al proceso de implementación de un Sistema de Gestión de

la seguridad de la información basado en la Norma ISO 27001:2013 en la Alcaldía de
Pasto. San Juan de Pasto. Retrieved from
http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/91045.pdf
Díaz Romero, C. C., & Rodríguez Rojas, Y. L. (2017). Beneficios e impactos de la

implementación de normas técnicas en las organizaciones: una revisión sistemática.
SIGNOS - Investigación En Sistemas de Gestión, 8(2), 133.
https://doi.org/10.15332/s2145-1389.2016.0002.07
Econ.Guillen Fernandez, R. E. (2017). MEDICIÓN DEL RIESGO DE LIQUIDEZ EN LAS

PEQUEÑAS Y MEDIANAS COMPAÑÍAS DEDICADAS A LA FABRICACIÒN DE
MUEBLES DE MADERA EN CUENCA, DURANTE EL PERIODO 2014-2015.
CUENCA. Retrieved from http://dspace.uazuay.edu.ec/bitstream/datos/7477/1/13373.pdf
Fernández Villacrés, G. E., & Martínez Campaña, C. E. (2017). Plan de seguridad

informática basado en estándares ISO-IEC 27001 para proteger la información y
activos del GAD cantonal de Pastaza. Ambato - Ecuador. Retrieved from
http://dspace.uniandes.edu.ec/handle/123456789/6508
Figueroa Pérez, O., & Malagón Sáenz, N. E. (2017). Propuesta de Políticas de Seguridad de
la Información para la institución Educativa de Educación Básica y Media del
departamento de Boyacá, basadas en la norma ISO 27001:2013. instname:Universidad
Nacional Abierta y a Distancia. Colombia: Universidad Nacional Abierta y a Distancia
UNAD. Retrieved from http://repository.unad.edu.co/handle/10596/11881
Gallegos Montero, J. A. (2015). Análisis , diseño e implementación de un plan de gestión de

seguridad de la información basados en la norma ISO/IEC 27001 para la Cooperativa de
Ahorro y Crédito Nuevos Horizontes. Retrieved from
http://repositorio.utmachala.edu.ec/handle/48000/6058
134
García Correa, J. B., & Gavilanes Balarezo, M. A. (2015). ANÁLISIS Y PROPUESTA DE
IMPLEMENTACIÓN DE LAS MEJORES PRÁCTICAS DE ITIL EN EL
DEPARTAMENTO DE SISTEMAS DE LA UNIVERSIDAD POLITÉCNICA SALESIANA
SEDE GUAYAQUIL. Guayaquil. Retrieved from
http://dspace.ups.edu.ec/handle/123456789/10305
García Pierrat, G., & Vidal Ledo, M. J. (2017). La informática y la seguridad. Un tema de
importancia para el directivo. Infodir (Revista de Información Para La Dirección En
Salud), 13(25), 26–36. Retrieved from
https://www.researchgate.net/publication/303541468_La_informatica_y_la_seguridad_U
n_tema_de_importancia_para_el_directivo
Gómez Gómez, M. A. (2015). Diseño e implementación del servicio de directorio activo en la

red de la gobernación y esquematización del direccionamiento IP en la red de datos
departamental. Universidad Católica de Pereira. Retrieved from
http://repositorio.ucp.edu.co/handle/10785/3051
Guanoluisa Huertas, J. E., & Maldonado Soliz, I. F. (2015). ANÁLISIS DE RIESGOS Y

DISEÑO DE UN PLAN DE SEGURIDAD DE LA INFORMACIÓN PARA EL CONSEJO
NACIONAL DE IGUALDAD DE DISCAPACIDADES “CONADIS”. Quito. Retrieved
from https://bibdigital.epn.edu.ec/bitstream/15000/10499/1/CD-6217.pdf
GUAPULEMA MARTÍNEZ, M. G. (2017). UNIVERSIDAD REGIONAL AUTÓNOMA DE

LOS ANDES UNIANDES FACULTAD DE SISTEMAS MERCANTILES CARRERA
SISTEMAS PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL
TÍTULO. BABAHOYO – ECUADOR. Retrieved from
http://dspace.uniandes.edu.ec/bitstream/123456789/8396/1/TUBSIS005-2017.pdf
Guerra Guzmán, D. E. (2019). ASEGURAMIENTO DEL INTERCAMBIO DE DATOS ENTRE

UNA APLICACIÓN MÓVIL ADROID Y UNA APLICACIÓN WEB JAVA MEDIANTE
CÓDIGOS QR, EN BASE AL ESTÁNDAR ISO/IEC 27002. UNIVERSIDAD TÉCNICA
DEL NORTE BIBLIOTECA UNIVERSITARIA, IBARRA-ECUADOR. Retrieved from
http://repositorio.utn.edu.ec/bitstream/123456789/9539/2/04 ISC 528 TRABAJO
GRADO.pdf
135
Hernández Mendoza, Y., Martínez González, M., & Martín Jaime, E. M. (2016). FREE
ACTIVE DIRECTORY MANAGER (FADMANAGER). 3C TIC Cuadernos de
Desarrollo Aplicados a Las TIC, 5(1), 39–53. https://doi.org/10.17993/3ctic.2016.51.39-
53
ICA. (2018). Manual del Sistema de Gestión de Seguridad de la Información SGSI AGOSTO
2018 El presente Manual es parte integral del Manual del Sistema de Gestión Oficina
Tecnologías de la Información. Colombia. Retrieved from
https://www.ica.gov.co/getattachment/Modelo-de-P-y-G/Eficiencia-
Administrativa/Procesos-y-Procedimientos/ManualSGSI-Agosto-
2018.pdf.aspx?lang=es-CO
INEC. (2020). Tecnologías de la Información y Comunicación-TIC |. Retrieved August 19,

2020, from https://www.ecuadorencifras.gob.ec/tecnologias-de-la-informacion-y-
comunicacion-tic/
ISOTools Excellence. (2017, January 26). ¿Seguridad informática o seguridad de la

información? Retrieved July 28, 2020, from https://www.pmg-
ssi.com/2017/01/seguridad-de-la-informacion/
LACNIC FRIDA. (2020, May 22). Acceso a Internet. Retrieved August 19, 2020, from
https://programafrida.net/acceso-a-internet
López Carranza, K. E. (2015). DISEÑO DE UN PLAN DE MITIGACIÓN DE RIESGOS

EMPRESARIALES IDENTIFICANDO LOS RIESGOS INTERNOS Y EXTERNOS DE
COMERCIAL NOVEDADES LEYDI EN EL CANTÓN LA TRONCAL DEL AÑO 2014.
Retrieved from http://186.5.103.99/handle/reducacue/7293
López Sánchez, J. (2019). Métodos y técnicas de detección temprana de casos de phishing.

Universitat Oberta de Catalunya, España. Retrieved from
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/89225/6/jlopezsanchez012TFM0
119memoria.pdf
Magaña Herrera, P. P. (2012). NORMALIZACION Y NORMAS ISO, 1–13. Retrieved from

https://www.emagister.com/uploads_courses/Comunidad_Emagister_38542_Microsoft_
Word_-_38541.pdf
136
Markus Erb, C. F. H. A. C. A. K. D. S. G. (n.d.). Gestión de Riesgo en la Seguridad
Informática. Retrieved September 6, 2020, from https://protejete.wordpress.com/about/
Mercader, E. M. (2018). TFM-SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN INTEGRADOR X. España. Retrieved from
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/81186/6/emunozmerTFM0618m
emoria.pdf
Montealegre Alvarez, Z. H. (2018). Implementación de una auditoria en seguridad de la

información e infraestructura de red bajo los lineamientos de las normas iso/iec 27001 y
11801, a la alcaldia del municipio de Tame, departamento de Arauca. Alcaldia
municipal de Tame-Arauca. (s.f.). Mision y vision. Recuperado de http://www.tame-
arauca.gov.co/NuestraAlcaldia/Paginas/Mision-y-Vision.aspx. Arauca: Universidad
Cooperativa de Colombia - Arauca Facultad de Ingeniería de Sistemas. Retrieved from
https://repository.ucc.edu.co/handle/20.500.12494/8031
Mora Pérez, A. (2016). GESTIÓN DE LA PREVENCIÓN. CONTROL DE ACCESOS

MASTER PREVENCIÓN DE RIESGOS LABORALES TRABAJO FINAL DE MASTER
2016 AUTORA: ARANTXA MORA PEREZ UNIVERSIDAD POLITÉCNICA DE
CARTAGENA. Colombia. Retrieved from
https://repositorio.upct.es/bitstream/handle/10317/5636/tfm-mor-
ges.pdf?sequence=3&isAllowed=y
Morales Choez, A. I. (2016). Sistema De Respaldos Inrementales Monitoreado A Partir Del

Uso De Herramientas OPEN SOURCE. Guayaquil: Universidad de Guayaquil. Facultad
de Ciencias Matemáticas y Físicas. Carrera de Ingeniería en Sistemas Computacionales.
Retrieved from http://repositorio.ug.edu.ec/handle/redug/16502
Morales, R. F. (2015). DISEÑO PARA LA IMPLEMENTACIÓN DE TRES DOMINIOS DE

UN SISTEMA DE GESTIÓN EN LA SEGURIDAD DE LA INFORMACIÓN BASADA EN
LA NORMA ISO 27001 E ISO 27002, PARA EL ÁREA DE SOFTWARE DE LA
PROCESADORA NACIONAL DE ALIMENTOS PRONACA. Sangolqui. Retrieved from
http://repositorio.espe.edu.ec/xmlui/bitstream/handle/21000/9804/T-ESPE-
048423.pdf?sequence=1&isAllowed=y
137
Nieves, A. C. (2017). DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN (SGSI) BASADOS EN LA NORMA ISO/IEC 27001:2013.
Retrieved July 30, 2020, from
http://repository.poligran.edu.co/bitstream/handle/10823/994/Trabajo
Final.pdf?sequence=1&isAllowed=y
Ocampo Vélez, L. S., Encalada Vivanco, P. H., & Ing. Jaramillo Castro, C. M. (2015).
“Implementación de Active Directory aplicando el estándar 802.1x, dentro de la red
LAN y WLAN de la Universidad Nacional de Loja.” Loja. Retrieved from
https://s3.amazonaws.com/academia.edu.documents/60317580/Ocampo_Velez__Lenin_
Sebastian__Vivanco_Encalada__Henry_Paul20190817-79403-3vebxx.pdf?response-
content-disposition=inline%3B
filename%3DUNIVERSIDAD_NACIONAL_DE_LOJA_Implementac.pdf&X-Amz-
Algorithm=
Oidor González, J. C. (2016). DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD

DE LA INFORMACION-SGSI BAJO LA NORMA ISO/IEC 27001:2013 PARA LA
EMPRESA “EN LINEA FINANCIERA” DE LA CIUDAD DE CALI-COLOMBIA.
Retrieved June 5, 2019, from
https://repository.unad.edu.co/bitstream/10596/11907/1/76041068.pdf
Paguay Lema, C. K., & Zamora Arana, G. E. (2017). Auditoría de la Seguridad Informática
basado en la ISO 27001 Sistema de Gestión de Seguridad de la Información para el
GAD Municipal de Milagro. Milagro, Ecuador. Retrieved from
http://repositorio.unemi.edu.ec/handle/123456789/3845
Palacios Marchan, J. W. (2018). PROPUESTA DE IMPLEMENTACIÓN DE PROCESOS

BASADOS EN ITIL V3 EDICIÓN 2011 PARA LA GESTIÓN DE SERVICIOS DE TI EN
LA CORPORACIÓN EDUCATIVA VIRGEN DEL PERPETUO SOCORRO TUMBES;
2018. PIURA - PERÚ. Retrieved from
http://repositorio.uladech.edu.pe/bitstream/handle/123456789/7340/GESTION_DE_SER
VICIOS_ITIL_PALACIOS_MARCHAN_JIANKARLO_WASHINGTON.pdf?sequence
=1&isAllowed=y
138
Palacios Portilla, D. O. (2015). Diseño de un sistema de gestión de seguridad de la
información (SGSI) para el área de informática de la cooperativa del magisterio de
Túquerres bajo la norma ISO 27001: 2013. Instname:Universidad Nacional Abierta y a
Distancia, 127. Retrieved from
Reina Tovar, Y. (2016). CREACION DE POLITICAS ADMINISTRATIVAS Y DE

SEGURIDAD PARA EL SISTEMA INFORMATICO Y DE COMUNICACIONES DE LA
GOBERNACION. UNIVERSIDAD SURCOLOMBIANA. Retrieved from
http://repositorio.usco.edu.co/handle/123456789/1113
Romero Castro, M. I., Figueroa Moran, G. L., Vera Navarrete, D. S., Álava Cruzatty, J. E.,
Parrales Anzúles, G. R., Álava Mero, C. J., … Castillo Merino, M. A. (2018).
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Y EL ANÁLISIS DE
VULNERABILIDADES. Manabí. Retrieved from https://www.3ciencias.com/wp-
content/uploads/2018/10/Seguridad-informática.pdf
Ruiz Peña, J. H. (2018). Diseño de un sistema de gestión de seguridad de la información

(SGSI) bajo la norma ISO/IEC 27001:2013, en la Cooperativa Multiactiva del personal
del Sena, en Bogotá., 204. Retrieved from
Vargas García, J. J. (2015). PROPUESTA TECNOLÓGICA BASADA EN COBIT 5

APLICADA A LA GESTIÓN DE LA TI EN LA EIS. RIOBAMBA - ECUADOR.
Retrieved from
http://dspace.espoch.edu.ec/bitstream/123456789/4397/1/18T00602.docx.pdf
Vera Castro, J. B., & Zambrano Zambrano, J. A. (2017). SERVICIO DE DIRECTORIO

BASADO EN CÓDIGO ABIERTO EN EL GADM DEL CANTÓN JUNÍN. Calceta-
Manabí. Retrieved from
http://repositorio.espam.edu.ec/bitstream/42000/663/1/TC115.pdf?fbclid=IwAR0CXG1k
MB9gjFWH6qFMuBINcu4LZr339f8dcj1KkJBInzcjY-57kLVF204
139
Villegas Chiliquinga, W. E. (2017). Diseño de las buenas prácticas del sistema de gestión de
la seguridad de la información basado en normas ISO 27001 para la dirección general de
Aviación Civil. Retrieved from http://dspace.udla.edu.ec/handle/33000/7650
Yi Min Shum. (2018). Matriz de evaluación de factores internos (Matriz EFI - MEFI).
Retrieved September 7, 2020, from https://yiminshum.com/matriz-evaluacion-factores-
internos-mefi/
Zura Chala, A. Y. (2015). DISEÑO DEL MODELO DE SEGURIDAD DE DEFENSA EN

PROFUNDIDAD EN LOS NIVELES DE USUARIO, RED INTERNA Y RED
PERIMETRAL, APLICANDO POLÍTICAS DE SEGURIDAD EN BASE A LA NORMA
ISO/IEC 27002 PARA LA RED DE DATOS DEL GAD MUNICIPAL DE OTAVALO.
Ibarra - Ecuador. Retrieved from http://repositorio.utn.edu.ec/handle/123456789/4469
140
17. ANEXOS
17.1. Ficha de Observación
GOBIERNO AUTÓNOMO
DESCENTRALIZADO MUNICIPAL DE
PANGUA
Moraspungo-Pangua-Cotopaxi
FICHA DE OBSERVACIÓN DE PROYECTO DE INVESTIGACIÓN

Nombre: Ing. Herman Ortiz
Cargo: Ingeniero en Sistemas
Departamento: Servicios Informáticos
Fecha: ___________________________________________
Objetivo de la Observación:
Palpar las necesidades y problemáticas mediante la observación y una entreviste para proponer
políticas de seguridad informáticas adecuadas a sus requerimientos.
ASPECTOS ESCALA DE CALIFICACIÓN

1 2 3 4 5 SI NO OBSERVACION
1 ¿Cuenta con un datacenter? X
2 ¿Cuenta con autenticación en los X La mayoría de

equipos? equipos no
contaban con
autenticación.
3 ¿Los equipos cuentan con todos X Se pudo observar
sus accesorios? que un ordenador
no poseía mouse.
4 ¿Dan uso al correo corporativo? X
141
5 ¿Tiene restricción para el acceso a X
internet?
6 ¿Uso compartido de impresoras? X
7 ¿Respaldan la información? X
8 ¿Administran documentación X
impresa?
9 ¿Lleva un registro detallado de los X
bienes del Municipio y quien está
a su cargo?
10 ¿Cuenta con servidores? X
11 ¿Los servidores se encuentran X
alojados en una zona con
seguridad?
12 ¿Es permitido el uso de laptop que X
no son propiedad de la
Municipalidad?
13 ¿Poseen los equipos papel tapiz X
corporativo, al bloquearse?
14 ¿Cuentan con políticas de X
seguridad informáticas?
15 ¿Posee con una red física X
estructurada?
TOTAL
OBSERVACIONES: Se procedió a realizar el levantamiento informático en la Municipalidad sobre

las características de los equipos informáticos que posee el GAD de Pangua.
____________________________ ________________________
Nombre y firma del observador Nombre y Firma
142
17.2. Ficha de Entrevista

FACULTAD DE CIENCIAS DE LA
INGENIERÍA Y APLICADAS
FICHA DE ENTREVISTA AL GOBIERNO AUTÓNOMO DESCENTRALIZADO

MUNICIPAL DE PANGUA
Objetivo: Analizar las vulnerabilidades y necesidades que tiene el Gobierno Autónomo Descentralizado
Municipal de Pangua para el desarrollo de políticas de seguridad informáticas de acuerdo a las ISO/IEC
27001
Datos informativos:
Lugar: Gobierno Autónomo Descentralizado Municipal de Pangua

Entrevistador: Cruz Caiza Carla Cristina, Gaibor Gavilanez Mónica Lisseth
Años laborables en la Municipalidad de Pangua:
1. ¿Cuenta con un antivirus?

2. ¿La página del Municipio es un sitio seguro?
3. ¿Qué marca de dispositivos cuenta para la red?
4. ¿Cuentan con un plan de contingencia para cambiar los equipos (computadoras,
cables, laptops, servidores)?
5. ¿Cuenta con un DATACENTER adecuado (piso, ventilación, seguridad)?
6. ¿Cuenta con un UPS para evitar daños en los equipos?
7. ¿Cómo manejan los privilegios de los usuarios?
8. ¿Existe una persona responsable de la seguridad de autenticación de acceso?
9. ¿Cada que tiempo cambian las contraseñas de su equipo?
10. ¿Cada que tiempo se realiza capacitaciones para el uso de las herramientas dentro de la
empresa?
11. ¿Cómo comparten información dentro del municipio?
12. ¿Cuentan con comunicación telefónica IP?
13. ¿Cuentan con un plan de contingencia por desastres naturales?
143
14. ¿Periodo de tiempo que se realizan los respaldos la base de datos o sistemas?
15. ¿Si tienen una red física estructurada y de qué tipo?
16. ¿Cuentan con un informe de registros de nuevos equipos y nuevos software?
17. ¿Cuentan con un presupuesto para las TICs?
18. ¿Cuentan con un software para registrar las actividades de los empleados?
19. ¿Cuentan con un contrato de confidencialidad de información para empleados?
20. ¿Cuentan con un espacio en la nube para guardar la información de la empresa?
21. ¿Cuentan con dominios propios de la empresa como Gmail, hotmail?
22. ¿Cuál es la estructura del departamento de TICs?
23. ¿Cuál es la estructura organizacional de la empresa?
24. ¿Los empleados tienen restricciones a redes sociales?
25. ¿Constan con un documento de vida útil del equipo?
26. ¿Cada que tiempo renuevan las contraseñas?
27. ¿Qué tipo de políticas de seguridad tienen para las contraseñas?
28. ¿Cuenta con un documento de vida útil de los equipos?
144
17.3.Estructura Organizacional
145
17.4.Distribución del cableado de red
146
17.5.Carta de aceptación
147
17.6.Documento de entrega de Políticas de Seguridad Informáticas
148
17.7. Políticas de Seguridad Informáticas
PO-1A
Ver No. 01
CONTROL DE ACCESO A RECURSOS
COMPUTACIONALES
Pág. 1 de 3
1. Objetivo
Brindar lineamientos para el acceso a los recursos de información importante del Gobierno Autónomo
Descentralizado Municipal de Pangua mediante el buen uso de los mecanismos de acceso a los
recursos computacionales de la Institución.
2. Alcance
Aplica a todos los miembros de la comunidad del Gobierno Autónomo Descentralizado Municipal de
Pangua, incluyendo empleados, contratistas, consultores y visitantes.
3. Definiciones:
Recursos Informáticos: Es un componente físico o virtual incluyen medios para entrada,
procesamiento, producción, comunicación y almacenamiento.
Mecanismos de acceso: Es un mecanismo que permite controlar y conceder el acceso a un
computador principal.
Reforzar: Puede tratarse de aquello que se emplea para brindarle resistencia o solidez a algo.
Lineamientos: Es una tendencia, una dirección o un rasgo característico sobre algo.
Password: O contraseña es una serie secreta de caracteres que permite a un usuario tener acceso a
un archivo, a un ordenador, o a un programa.
RE-1A Carta de aceptación de políticas de seguridad informáticas.
RE-2A Solicitud de creación de nuevos usuarios de red.
RE-3A Bitácora de actualización de contraseñas.
Por ningún motivo el empleado recibirá el acceso a los recursos computacionales si no ha firmado y
a aceptación el documento RE-1A Carta de aceptación de políticas de seguridad.
Para el acceso a los recursos computacionales se asignaran claves y se crearan usuarios de red RE-
2A Solicitud de creación de nuevos usuarios de red.
Los recursos informáticos y la información pueden ser usados solo para propósitos autorizados y en
cumplimiento con las metas y objetivos del GAD.
A continuación se considera las siguientes recomendaciones a ser cumplidas por el usuario
 Los usuarios y contraseñas son de uso exclusivo por el usuario, deben ser utilizadas
únicamente para cuestiones de trabajo, el usuario no podrá usarlas para ningún otro fin, fuera
del Municipio.
 Las actividades realizadas por estas credenciales son responsabilidad del usuario.
Responsable: Ingeniero de Sistemas Aprobación: Alcalde del GAD

______________
______________
Firma Firma
Fecha: 2020-05-29(fecha de entrega) Fecha: 2019-05-29
149
PO-1A
Ver No. 01
COMPUTACIONALES
Pág. 2 de 3
 La Municipalidad puede realizar seguimiento de las actividades y uso de las credenciales

mediante auditorias periódicas para evaluar su uso adecuado.
 El usuario debe comunicar inmediatamente si tiene sospecha que alguien está haciendo mal
uso de ellas.
 Confidencialidad: Por ningún motivo el usuario debe divulgar las credenciales o claves, estas
son intransferibles.
 El usuario debe limitarse a ingresar contraseñas cuando estén personas a su alrededor.
 Por seguridad de la información si el usuario llegara a perder su contraseña este debe notificar
de manera inmediata para ser dado de baja la contraseña del sistema.
 La contraseña que elija el usuario deberá ser robusta es decir esta debe contener letras,
 Impedir que personal no autorizado tenga acceso a la información importante de la empresa
para que no exista alteraciones o pérdidas ya sea intencionales o accidentalmente.
 El usuario deberá cambiar su contraseña cada 3 Meses.
 El usuario deberá solicitar ayuda al personal encargado en caso que olvide su contraseña.
 El usuario no debe elegir contraseñas antiguas.
 Seguridad: El usuario no deberá anotar la contraseña en un lugar físico.
 Cualquier persona que de incumplimiento a las disposiciones señaladas en esta política, puede
ser sujeta a una acción disciplinaria según el Reglamento Interno de Trabajo
5.1 Equipos de Cómputo

El inicio de sesión deberá bloquearse cuando haya excedido el límite de 3 intentos.
El usuario debe elegir contraseñas que tenga un mínimo de siete caracteres constituidos de letras,
5.2 Sistemas informáticos

Configurar para que solicite un inicio de sesión para el ingreso a los recursos computacionales.
Se recomienda implementar un software para generar la cuenta de los empleados (responsable,
nombre de equipo, área, contraseña).
Generar un documento de seguimiento de actualización de contraseñas RE-3A Bitácora de
actualización de contraseñas.
5.3 Del área de Recursos Humanos
Realizar la selección adecuada del personal para que maneje los accesos de la empresa.
Cuando un empleado es despedido o renuncia se solicitara que su cuenta sea inhabilitada antes que
deje el cargo.
Responsable: Ingeniero de Sistemas Informáticos Aprobación: Alcalde del GAD
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
150
PO-1A
Ver No. 01
COMPUTACIONALES
Pág. 3 de 3
6. Registros.

Final
RE-1A Carta de Técnico de Oficina Sistemas 21/08/2020 Anual 2 años Reciclaje Uso
aceptación Servicios área de análisis de de papel interno
de políticas Informáticos. sistemas
de seguridad
informáticas
RE-2A Solicitud de Técnico de Oficina Sistemas 21/08/2020 Anual 2 años Reciclaje Uso
creación de Servicios área de Soporte a de papel interno
nuevos Informáticos. usuarios
usuarios de
red
RE-3A Bitácora de Técnico de Oficina Sistemas 21/08/2020 Anual 2 años Reciclaje Uso
actualización Servicios área de Soporte a de papel interno
de Informáticos usuarios
contraseñas
7. Anexos.
N/A
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
151
RE-1A
CARTA DE ACEPTACIÓN DE POLÍTICAS DE Ver No. 01

SEGURIDAD INFORMÁTICAS
Pág. 1 de 1
El Corazón, (00) de (Mes) del (Año)
Yo, APELLIDOS Y NOMBRES DEL SOLICITANTE, portadora de la cédula de

identidad Número, usuario del Departamento (Nombre del departamento), una vez
leído y comprendido mis obligaciones, acepto y me comprometo a cumplir las políticas
de seguridad informáticas del Gobierno Autónomo Descentralizado Municipal de
Pangua.
PO-1A Control de acceso a recursos computacionales.

PO-1B Administración de políticas de Active Directory.
PO-1C Control de Activos de TI.
PO-1F Resguardo de Información.
PO-1D Seguridad a componentes informáticos.
PO-1E Uso adecuado del Internet.
Atentamente,
APELLIDOS Y NOMBRES DEL SOLICITANTE

C.I.: Número de cédula
152
RE-2A
Ver No. 01
SOLICITUD DE CREACIÓN DE NUEVOS
USUARIOS DE RED
Pág. 1 de 1
1. Información del usuario solicitante

Código del empleado: ________________
Nombre y Apellidos: ______________________________
Departamento: ______________________________
Cargo: ______________________________
2. Información del jefe inmediato
Código del empleado: _______________
Nombre y apellido: ______________________________
Cargo: ______________________________
3. Acceso a recursos solicitados

Mail:
Interno Externo
Internet:
Parcial Total
Equipo de cómputo:
PC
Laptop Justificación: ______________________________________
Telefonía IP:
Interno Local Nacional Internacional
4. Aprobación
Solicitante: ________________ Firma: __________________ Fecha: ___________________
Jefe inmediato: _________________ Firma: __________________ Fecha: _________________
5. Para uso de TIC’s
User Creado:___________________(Ejemplo: j_p de Juan Perez)
Entregado por: _________________ (Nombre de quien creo cuenta) Firma: _____________
Fecha de creación: ________________
153
RE-3A
Ver No. 01
Pág. 1 de 1
CÉDULA NOMBRES Y APELLIDOS DEPARTAMENTO NOMBRE EQUIPO FECHA FIRMA
154
PO-1B
Ver No. 01
ADMINISTRACIÓN DE EQUIPOS ACTIVE
DIRECTORY
Pág. 1 de 1
1. Objetivo
Definir políticas de controlador de dominio, reglas de control de acceso a servicios de la
red de la Municipalidad para gestionar los sistemas informáticos utilizados por el usuario
final.
2. Alcance
Aplica al servidor de dominio, a todas las unidades organizativas, los usuarios y equipos
de cómputo dentro de la red del GAD cantonal.
3. Definiciones:
Controlador de dominio: Es un conjunto de ordenadores agrupados que ciñen a unas
reglas de seguridad y autenticación comunes.
Unidad Organizativa: Es la que permite crear la jerarquía de nuestra organización, su
fin es crear una estructura de carpetas que administrativamente organice una empresa u
organización.
Active Directory: Es un servicio establecido de uno o varios servidores en donde se crean
objetos como usuarios, grupos con el fin de administrar los inicios de sesión y políticas
en toda la red.
ANEXO-1B Asignación de políticas de AD.
ANEXO-2B Cronograma de cambio de fondo de pantalla.
Establecer las buenas prácticas para la gestión de servicios de tecnologías de la
información en todos los niveles que se participa para entregar el servicio al cliente. Es
necesario contar con herramientas y procesos de gestión de red para controlar posibles
fallas o degradaciones en los servicios de red que soportan los servicios de TI utilizando
un directorio activo, para una buena administración que ayude en la eficiencia de los
empleados durante sus jornadas de acuerdo al ANEXO-1B Asignación de políticas de
AD.
6. Registros.
N/A
7. Anexos.
1B Asignación de políticas de AD
2B Cronograma de cambio de fondo de pantalla
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
155
ANEXO-1B
ASIGNACIÓN DE POLÍTICAS DE ACTIVE
Ver No. 01
DIRECTORY
Pág 1 de 1
NOMBRE DE LA
N° DESCRIPCIÓN NO APLICA APLICA
POLÍTICA
Genera registros de inicios y salida de sesión tanto

1 Auditoría X
exitosos como fallidos en el equipo de computo.
Mensaje de inicio de
2 Va a indicar un mensaje de inicio. X
sesión
3 Papel tapiz Despliega un fondo de pantalla. X
Renombrar
4 X
administrador Renombrar el usuario administrador local.
Permite editar el registro del sistema operativo

Windows este registro es la base de datos donde se
5 Regedit X
guardan las preferencias del usuario en materia de
configuraciones.
6 Prohibir a drivers Evita accesos a unidades USB. X
7 Seguridad La contrseña del usuario va a caducar cada 3 meses. X
El usuario no podrá desactivar los framework del

8 Framework X
antivirus.
Una vez que se bloquea va apresentar el proctetor de

9 Bloqueo de pantalla pantalla para nuevamente activar el usuario o poner el X
uso donde va a pedir la contraseña.
Está prohibida la utilización de “sniffers”, “keylogguers”

10 Programas de espias o cualquier otro software espía en cualquier red o X
equipo de cómputo.
Instalación de No podrá instalar ningún software adicional en el

11 X
programas equipo que sea asignado.
12 Antivirus Bloquear el acceso a la admintración X
Establecer cuentas locales para el acceso a la

13 Usuarios locales X
administración de los equipos de computo.
156
ANEXO-2B
Ver No. 01
CRONOGRAMA DE CAMBIO DE FONDOS DE
PANTALLA
Pág. 1 de 1
MES
Septiembre
Noviembre
Diciembre
Octubre
Febrero
DEPARTAMENTOS
Agosto
Marzo
Enero
Mayo
Junio
Abril
Julio
Fondo de Año Nuevo utilizando X
Fondo del Carnaval Panguense X
con logo del Municipio
Fondo Normal y Formal con el X
logo del Municipio
Fondo de Provincialización de X
Cotopaxi con logo del
Municipio
Fondo de Parroquialización de X
Ramón Campaña, día del
trabajo u otro con logo del
Municipio.
Fondo de Cantonización X
utilizando el logo del Municipio
logo del Municipio
Fondo del Reencuentro X
Panguense utilizando el logo del
Municipio
Fondo de las fiestas de la X
Virgen de la Merced utilizando
logo del Municipio
logo del Municipio
Fondo Navideño utilizando el X
logo del Municipio
157
PO-1C
ADMINISTRACIÓN DE ACTIVOS DE TI Ver No. 01
Pág. 1 de 4
1. Objetivo
Gestionar el ciclo de vida de los activos de la empresa mediante lineamiento e inventarios para la
toma de decisiones del Gobierno Autónomo Descentralizado Municipal de Pangua.
2. Alcance
Aplicar a todos los activos fijos tecnológicos de la organización del Gobierno Autónomo
Descentralizado Municipal de Pangua, incluyendo empleados, contratistas, consultores y visitantes.
3. Definiciones:
Activos de TI: Son los activos informáticos, su gestión permite alcanzar un manejo adecuado y
mejora su eficiencia y rendimiento de la organización.
Data Center: Es un ambiente acondicionado que contiene computadoras (ordenadores) y otros
dispositivos de hardware, conectados en red y equipados con el software necesario para desarrollar
el procesamiento de los datos.
Hardware: Es la parte física de un ordenador o la parte tangible como CPU (Unidad Central de
Procesamiento), la memoria RAM, el disco duro, el monitor, la tarjeta gráfica, el teclado, el ratón, la
unidad de disquete, la unidad de CD o DVD, la impresora, el escáner, el disco duro rígido, los
altavoces, etc.
Software: Son los programas del computador o la parte intangible que permite realizar multitareas.
Mantenimiento Preventivo: Consiste en la revisión en el software y hardware de la PC u ordenador
lo que permite al usuario poseer un equipo fiable para intercambiar información a una máxima
velocidad con respecto a la configuración del sistema.
RE-1C Inventario de los activos de TI (nombre de equipo, usuario, marca, modelo, tipo, sistema
operativo, office, microprocesador, ram, disco duro, monitor).
RE-2C Acta de entrega y recepción de equipo.
RE-3C Bitácora del mantenimiento preventivo del datacenter.
RE-4C Bitácora del mantenimiento preventivo de equipos.
RE-5C Bitácora del mantenimiento correctivo de equipos.
RE-6C Bitácora de acceso al datacenter.
RE-7C Documento de transferencia de activos fijos.
RE-8C Documento de baja a los activos fijos.
ANEXO-1C Cronograma para mantenimiento preventivo del datacenter.
ANEXO-2C Cronograma para mantenimiento preventivo de equipos
ANEXO-3C Cronograma para mantenimiento correctivo de equipos.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
158
PO-1C
Ver No. 01
ADMINISTRACIÓN DE ACTIVOS DE TI
Pág. 2 de 4
Todos los activos de TI (RE-1C Inventarios de activos de TI) de la Municipalidad están a cargo del
área de TI quien es el responsable hasta que los equipos sean asignados a los usuarios del GAD, los
equipos de cómputo se gestionaran así:
5.1. Asignación de activo de TI

Generar documento para que asigne equipos a nuevos empleados, equipos que demande para realizar
sus funciones laborales para ello se requiere el RE-2A Solicitud de creación de nuevos usuarios de
red. Como también esta política permite supervisar cuántos y cuáles son los recursos tecnológicos
que realmente cuenta el Municipio y posteriormente controlar la fase y el tiempo de los activos para
la renovación según su estado.
El área de TI debe tener la capacidad de asignar equipos.
5.2. Asignación de Sistemas Informáticos

El usuario responsable por su equipo deberá firmar un acta de entrega.
Se evaluará el rendimiento del equipo para su uso, cabe mencionar que es recomendable cambiar cada
seis a ocho años.
5.3. Transferencia de activos de TI
El usuario responsable de la asignación de equipos es el encargado de departamento de sistemas, en
caso de trasferencias de equipos entre empleados, deberá llenar el RE-7C Documento de transferencia
de activos.
5.4. Baja de activos de TI
Los equipos que superen los 5 años de vida funcional deben ser dados de baja por su bajo rendimiento
RE-8C Documento de baja de activos fijos.
5.5. Mantenimiento de Datacenter

Data Center
La puerta de ingreso al cuarto del Datacenter deberá estar permanentemente cerrada con llave.
El usuario debe controlar que la temperatura del Datacenter este de 18 a 25 Grados Centígrados.
El usuario responsable del Departamento de Sistemas podrá efectuar el mantenimiento se realizara
mensual ANEXO 1C Cronograma de mantenimiento preventivo del Datacenter finalizada la
actividad llenar la bitácora RE-3C Bitácora de mantenimiento preventivo del Datacenter.
El usuario no podrá consumir alimentos, bebidas o fumar dentro del data center.
Realizar la selección adecuada de la seguridad del data center es preferible que esta sea cerradura
electrónica.
Está prohibido la acumulación y almacenamiento de material inflamables (cartón, papel).
No se puede proveer información sobre la ubicación del Datacenter.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
159
PO-1C
Ver No. 01
Pág. 3 de 4
1.1. Mantenimiento de PC’s

Realizar manteamiento a todos los equipos cada 6 meses de acuerdo al ANEXO 2C Cronograma para
mantenimiento preventivo de equipos finalizado el mantenimiento se debe llenar la bitácora RE-4C
Bitácora de mantenimiento preventivo de equipos.
Para el mantenimiento correctivo deberá seguir en base al ANEXO 3C Cronograma para
mantenimiento correctivo de equipos de igual forma finalizado la actividad se deberá llenar la bitácora
RE-5C Bitácora de mantenimiento correctivo de equipos.
Solo el técnico encargado estará autorizado en sacar los equipos fuera de la empresa.
Solo el técnico encargado tendrá la autorización de realizar instalaciones en los equipos.
Los cables deben estar protegidos por canaletas
Las credenciales de usuario son personal e intransferible.
2. Registros.
Código Nombre Responsab Ubicación Archivo Actualización Retención Destino Acceso

le Final
RE-1C Inventario de los Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
activos de TI sistemas Sistemas área de papel interno
informático de Soporte a
s equipos
RE-2C Acta de entrega y Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
recepción del equipo sistemas Sistemas área de papel interno
informático de análisis de
s sistemas
mantenimiento sistemas Sistemas área de papel interno
preventivo del informático de análisis de
datacenter s sistemas
preventivo de equipos informático de análisis de
s sistemas
correctivo de equipos informático de análisis de
s sistemas
RE-6C Bitácora de acceso al Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
datacenter sistemas Sistemas área de papel interno
s sistemas
RE-7C Documento de Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
transferencia de activos sistemas Sistemas área de papel interno
fijos informático de análisis de
s sistemas
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
160
PO-1C
Ver No. 01
Pág. 4 de 4
RE-8C Documento de baja a Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
los activos fijos sistemas Sistemas área de papel interno
s sistemas
3. Anexos.
1C Cronograma para mantenimiento preventivo del datacenter.

2C Cronograma para mantenimiento preventivo de equipos
3C Cronograma para mantenimiento correctivo de equipos.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
161
RE-1C
INVENTARIO DE LOS ACTIVOS DE TI Ver No. 01
Pág. 1 de 1
INVENTARIO DE LOS ACTIVOS DE TI

TEC ADAPT
NOM MON
CÓDIG FECHA NOM TIPO SERIE DIS ITOR LAD MOUSE ADOR SISTE
DEPAR BRE MA R O ACCESO
O DEL DE RESPON DOMI BRE DEL MOD POCES CO LAPTO CAND MA
N° TAME DEL RC A RIO OFFICE
EQUIP ENTRE SABLE NIO DEL EQUI ELO C LA SER ADOR DU MA MA P ADO OPERA
O GA
NTO
PC
USU
PO
A M
RO RC MAR (cargad
(Maletas)
TIVO
ARIO P PT VID RC
CA or)
U OP OR A A
162
RE-2C
ACTA DE ENTREGA Y RECEPCIÓN DEL EQUIPO Ver No. 01
Pág. 1 de 1
A los _____ días del mes de ________ del año _____se procede a realizar la entrega y
recepción de los equipos que se detallaran, al Departamento de _______ del Gobierno
Autónomo Descentralizado Municipal de Pangua.
NOMBRE DISC MICRO

ACTIV SERI MONITO TECLAD
DE USUARIO MARCA MODELO TIPO S.O RAM O PROCE MOUSE
O FIJO E R O
EQUIPO DURO SADOR
Nota:_____________________________________________________________________
_________________________________________________________________________
Como constancia de que los equipos se entregaron en buen estado, se procede a la firma de
recibido.
______________________________ ______________________________
APELLIDOS Y NOMBRES DE RECIBIDO APELLIDOS Y NOMBRES DEL ENCARGADO
163
RE-3C
Ver No. 01
BITÁCORA DE MANTENIMIENTO PREVENTIVO
DE DATACENTER Pág. 1 de 1
BITÁCORA DE MANTENIMIENTO PREVENTIVO DE DATACENTER
DEPARTAMENTO FECHA DESCRIPCIÓN DE MANTENIMIENTO FIRMA
164
RE-4C
Ver No. 01
BITÁCORA DE MANTENIMIENTO PREVENTIVO
DE EQUIPOS
Pág. 1 de 1
BITÁCORA DE MANTENIMIENTO PREVENTIVO DE EQUIPOS
165
RE-5C
BITÁCORA DE MANTENIMIENTO CORRECTIVO Ver No. 01
DE EQUIPOS
Pág. 1 de 1
BITÁCORA DE MANTENIMIENTO CORRECTIVO DE EQUIPOS
166
RE-6C
Ver No. 01
Pág. 1 de 1

Fecha Ingreso Hora Firma Ingreso Nombre Actividad Realizada Hora Firma Salida
Ingreso Salida
167
RE-7C
Ver No. 01
DOCUMENTO DE TRANSFERENCIA DE
ACTIVOS FIJOS
Pág. 1 de 1
En el cantón Pangua a los __días del mes de______ del año _____, se procede a la
Transferencia de activos el equipo que se especifica a continuación con los respectivos
empleados:
SERIE,
DEPARTAMENTO DEPARTAMENTO
ACTIVO MODELO ANTERIOR NUEVO
DESCRIPCIÓN DEL ANTERIOR DEL NUEVO
FIJO Y CUSTODIO CUSTODIO
CUSTODIO CUSTODIO
MARCA
De acuerdo a lo anterior se hace constar que el equipo se encuentra en normal

funcionamiento
Anterior Custodio Nuevo Custodio Director de Finanzas
___________________ ___________________ ___________________

NOMBRE Y FIRMA NOMBRE Y FIRMA NOMBRE Y FIRMA
168
RE-8C
DOCUMENTO DE BAJA A LOS ACTIVOS FIJOS Ver No. 01
Pág. 1 de 1
GOBIERNO AUTÓNOMO DESCENTRALIZADO MUNICIPAL DE

PANGUA
INFORME DE BAJA DE BIENES
ACTA N°:_________________
FECHA:___________________
NOMBRE DEL RESPONSABLE:_____________________________________________

DEPARTAMENTO:________________________________________
EQUIPO DE COMPUTO:______________________________________________________
CARACTERISTICAS
Activo Fijo Detalle Marca Modelo Serie Valor de Valor Fecha
adquisición depreciado compra
CAUSA DE BAJA: __________________________________________________________

(Documentación anexa para verificación física documental)
DOCUMENTACIÓN INTEGRANTE AL REVERSO

OBSERVACIONES:____________________________________________________________
_____________________________________________________________________________
_______________________ _______________________
SISTEMAS INFORMÁTICOS DIRECCIÓN FINANCIERA
______________________
DIRECCIÓN ADMINISTRATIVA
169
ANEXO-1C
CRONOGRAMA PARA MANTENIMIENTO Ver No. 01
PREVENTIVO DEL DATACENTER
Pág. 1 de 1
MES
Septiembre
Noviembre
Diciembre
Octubre
Febrero
DATACENTER
Agosto
Marzo
Enero
Mayo
Junio
Abril
Julio
Equipos de networking x x
Servidores x x
Iluminación x x
Climatización (motores, aire acondicionado, x x
temperatura, etc.)
Control de incendio (extintores, sensores) x x
UPS x x
Control de acceso (cámaras, tarjetas, etc.) x x
Piso x x
_______________________________ ________________________
FIRMA DE ENCARGADO DE TI FIRMA DEL ALCALDE
170
ANEXO-2C

PREVENTIVO DE EQUIPOS
Pág. 1 de 3
MES
Septiembre
Noviembre
Diciembre
Octubre
DEPARTAMENTOS
Febrero
Agosto
Marzo
Enero
Mayo
Junio
Abril
Julio
MIES X
UNIDAD DE CULTURA X
PROMOCIÓN X
COMUNITARIA
SERVICIOS X
GENERALES
PLANIFICACIÓN Y X
DESARROLLO
ASESORIA DE X
ALCALDIA
GESTIÓN DE RIESGOS
UNIDAD DE TALENTO X
HUMANO
ADMINISTRACIÓN DE X
PLAZAS Y MERCADOS
COMISARIA X
MUNICIPAL
171
ANEXO-2C

Pág. 2 de 3
SECRETARIA X
EJECUTIVA DE LA
NIÑEZ Y
ADOLECENCIA DEL
CANTÓN PANGUA
CONSEJO CANTONAL X
DE PROTECCIÓN DE
DERECHOS
DIRECCIÓN X
FINANCIERA
UNIDAD DE ATENCIÓN X
A GRUPOS
VULNERABLES
REGISTRO DE LA X
PROPIEDAD
SECRETARIA X
GENERAL
INFRAESTRUCTURA Y
DISEÑO DE
PROYECTOS
UNIDAD DE X
FISCAIZACIÓN
VIALIDAD Y EQUIPO X
CAMINERO
AGUA POTABLE Y X
ALCANTARILLADO
OBRAS PÚBLICAS X
172
ANEXO-2C

Pág. 3 de 3
RECAUDACIÓN X
OFICINA DE RENTAS X
TESORERO X
ORDENAMIENTO X
TERRITORIAL
SISTEMAS X
INFORMÁTICOS
SINDICATURA X
AVALÚOS Y X
CATASTROS
BODEGA X
___________________________ ________________________________
173
ANEXO-3C

CORRECTIVO DE EQUIPOS
Pág. 1 de 3
MES
Septiembre
Noviembre
Diciembre
Octubre
DEPARTAMENTOS
Febrero
Agosto
Marzo
Enero
Mayo
Junio
Abril
Julio
MIES X X X X
PROMOCIÓN X X X X
COMUNITARIA
SERVICIOS X X X X
GENERALES
PLANIFICACIÓN Y X X X X
DESARROLLO
ASESORÍA DE X X X X
ALCANDÍA
GESTIÓN DE RIESGOS
UNIDAD DE TALENTO X X X X
HUMANO
ADMINISTRACIÓN DE X X X X
PLAZAS Y MERCADOS
COMISARIA X X X X
MUNICIPAL
174
ANEXO-3C

Pág. 2 de 3
SECRETARIA X X X X
EJECUTIVA DE LA
NIÑEZ Y
ADOLECENCIA DEL
CANTÓN PANGUA
CONSEJO CANTONAL X X X X
DE PROTECCIÓN DE
DERECHOS
DIRECCIÓN X X X X
FINANCIERA
UNIDAD DE ATENCIÓN X X X X
A GRUPOS
VULNERABLES
REGISTRO DE LA X X X X
PROPIEDAD
SECRETARIA X X X X
GENERAL
INFRAESTRUCTURA Y
DISEÑO DE
PROYECTOS
UNIDAD DE X X X X
FISCAIZACIÓN
VIALIDAD Y EQUIPO X X X X
CAMINERO
AGUA POTABLE Y X X X X
ALCANTARILLADO
OBRAS PÚBLICAS X X X X
175
ANEXO-3C

Pág. 3 de 3
RECAUDACIÓN X X X X
OFICINA DE RENTAS X X X X
TESORERO X X X X
ORDENAMIENTO X X X X
TERRITORIAL
SISTEMAS X X X X
INFORMÁTICOS
SINDICATURA X X X X
AVALÚOS Y X X X X
CATASTROS
BODEGA X X X X
______________________________ ________________________________
176
PO-1F
Ver No. 01
RESGUARDO DE LA INFORMACIÓN
Pág. 1 de 2
1. Objetivo
Definir e implementar lineamientos para respaldar la información relevante en todos los niveles de la
Municipalidad.
2. Alcance
Aplica a todos los miembros de la comunidad del Gobierno Autónomo Descentralizado Municipal de
Pangua. Definida en el ANEXO-1F Listado de usuarios para backup.
3. Definiciones:
SyncBack: Es un programa gratuito que sincroniza y hace copias de seguridad de los archivos,
carpetas, directorios entre otros.
ANEXO-1F Listado de usuarios para backup.
RE-1F Bitácora de respaldos de usuarios.
Evitar la pérdida de la información dentro de la empresa en caso de que existan eventos fortuitos con
el fin de garantizar la disponibilidad de la información.
5.1 Responsabilidad de los Usuarios

El usuario debe almacenar su información laboral dentro de la carpeta llamada RESPALDOS que
va estar alojada en la unidad D si no tiene una partición se creara una carpeta dentro de la partición.
El usuario debe dar acceso de su información cuando el personal de tecnología de información lo
requiera.
5.2 Responsabilidad del área de Sistemas Informáticos

El departamento de sistemas debe crear una carpeta para que los usuarios almacenen ahí su
información y se haga el debido respaldo (Ejemplo: D:\respaldos), caso que el usuario no acate la
disposición de almacenar en esa carpeta la información, el encargado de Sistemas Informáticos no se
hará responsable de la perdida de dicha información.
Implementar un software específico que ayude a generar respaldos periódicamente.
Asignar espacios de almacenamiento específico de acuerdo a la posición que desempeñe el usuario
final.
Generar el control de acuerdo al RE-1F Bitácora de respaldos de usuarios.
Disponer con una segunda herramienta para respaldos de información.
5.3. Responsabilidad del área de Recursos Humanos

Proporcionar información de la salida de personal con tiempo suficiente (48 horas) para la
planificación de respaldos de información.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
177
PO-1F
Ver No. 01
RESGUARDO DE LA INFORMACIÓN
Pág. 2 de 2
5. Registros.

Final
RE-1F Bitácora de Analista de Oficina Sistemas 21/08/2020 Anual 2 años Reciclaje Uso
respaldos de sistemas área de análisis de de papel interno
usuarios. informáticos sistemas
6. Anexos.
ANEXO-1F Listado de usuarios para backup.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
178
RE-1F
Ver No. 01
BITÁCORA DE RESPALDOS DE USUARIOS
Pág. 1 de 1
MESES
NOMBRE
SEPTIEMBRE
NOVIEMBRE
N° CARGO
DICIEMBRE
OCTUBRE
FEBRERO
EQUIPO
AGOSTO
MARZO
ENERO
MAYO
ABRIL
JUNIO
JULIO
179
ANEXO-1F
Ver No. 01
Pág. 1 de 1
N° NOMBRE DE EQUIPO CARGO PERÍODO DE

RESPALDO
1 Panpcfin-01 Dirección Financiera Semanal
2 Panpcalc-02 Asesoría de Alcaldía Semanal
3 Pannbsis-03 Gerente de Sistemas Semanal
4 Panpcplaymer-04 Administración de plazas y mercados Semanal
5 Panpcrec-05 Recaudación Semanal
6 Panpctes-06 Tesorero Semanal
7 Panpcsecg-07 Secretaria general Semanal
8 Panpcregpro-08 Registro de la propiedad Semanal
180
PO-1D
Ver No. 01
SEGURIDAD A COMPONENTES INFORMÁTICOS

Pág. 1 de 2
1. Objetivo
Generar lineamientos para proteger y resguardar los componentes informáticos del
Gobierno Autónomo Descentralizado Municipal de Pangua.
2. Alcance
Aplica a toda la infraestructura del Gobierno Autónomo Descentralizado Municipal de
Pangua.
3. Definiciones:
Componente informático: Son el conjunto de equipos y programas que conforman un
computador o sistema informático.
RE-1D Bitácora de registro de salida e ingreso de equipos.
RE-2D Bitácora de control de ingreso y salida de equipos de visitas.
El departamento de sistemas informáticos es el encargado de proteger, planificar y dar
seguimiento a los lineamientos de seguridad establecidos:
 Protección de los equipos
 Ingreso de equipos y dispositivos externos, que no son propios de la institución.
5.1. Responsabilidad del Departamento de Sistemas Informáticos

Debe proporcionar e instalar un antivirus garantizado su adecuado funcionamiento,
cortafuegos para bloquear el acceso no autorizado a la red con el fin de evitar virus,
gusanos, ataques, robo de datos, etc.
Debe actualizar los programas que regulan la seguridad (Antivirus, licencias, sistemas
operativos)
5.2. Acceso a servidores

TI tiene la responsabilidad de asignar los permisos adecuados para el acceso a los
servidores, para que el especialista analice su estado y funcionamiento.
No se puede ingerir alimentos en el área de servidores pues cualquier derrame podría
ocasionar perdidas del activo.
5.3. Protección de equipos

Implementar Antivirus en los equipos con sus debidas actualizaciones.
Es recomendable instalar un Sistemas Operativos con licencias autorizadas y que estén
acorde con las características de la computadora, se recomiendan versiones a partir de
Windows 8.1 pro hasta Windows 10.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
181
PO-1D
Ver No. 01
SEGURIDAD A COMPONENTES INFORMÁTICOS

Pág. 2 de 2
Los equipos deben tener un cobertor anti polvos para alargar el tiempo de vida útil.
No se puede ingerir alimentos ante los activos, pues cualquier derrame podría ocasionar
perdidas del activo.
5.4. Ingreso y salida de equipos

Los dispositivos de red son propiedad de la empresa, por lo que ningún empleado puede
hacer uso externo de él.
Para el ingreso de equipos externos, debe tener un documento de autorización y llevar un
control de acuerdo al RE-1D Bitácora de registro de salida e ingreso de equipos, en caso
de empleados.
Para el ingreso de equipos de personas visitantes, debe llevar control el personal
encargado de la seguridad, mediante la RE-2D Bitácora de control de ingreso y salida de
equipos de visitas.
Las laptop del Municipio deben tener candado.
Los empleados que deben llevarse los equipos deben tener una autorización previa
6. Registros.

Final
RE-1D Bitácora de registro Analista de Oficina 21/08/2020 Anual 2 años Reciclaje Uso
de salida e ingreso sistemas Sistemas área de papel interno
de equipos de análisis de
sistemas
RE-2D Bitácora de control Personal Ingreso al 21/08/2020 Anual 2años Reciclaje Uso
de ingreso y salida encargado de edificio de papel interno
de equipos de la
visitas. seguridad(gua
rdia)
7. Anexos.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
182
RE-1D
BITÁCORA DE REGISTRO DE SALIDA E Ver No. 01
INGRESO DE EQUIPOS
Pág. 1 de 1
BITÁCORA DE REGISTRO DE SALIDA E INGRESO DE EQUIPOS
HORA DE HORA DE
RESPONSABLE CARGO MOTIVO FIRMA FIRMA
SALIDA INGRESO
183
RE-2D
BITÁCORA DE VISITAS PARA EL CONTROL DE ENTRADA Y SALIDA DE EQUIPOS DE
Ver No. 01
COMPUTO
Pág 1 de 1
BITÁCORA DE CONTROL DE INGRESO Y SALIDA DE EQUIPOS DE VISITAS

HORA DE
N° NOMBRE DEL RESPONSABLE MARCA MODELO SERIE FECHA HORA DE SALIDA FIRMA
INGRESO
184
ANEXO-1D
Ver No. 01
LISTADO DE PERSONAS AUTORIZADAS

Pág. 1 de 2
CÓDIGO TIPO RESPONSABLE CARGO MARCA MODELO SERIE

1.4.1.01.0 Laptop Ing. Luis Guzmán Director de DELL CPDCBD6P03 CN-OCK6DB-
7.013.003 saneamiento CMC00-9B6-0005
ambiental
1.4.1.01.0 Laptop Ing. Manuel Coronel Gestión de HP NOTEBOOK 5CG6441WY
7.001.001. Riesgos
051
1.4.1.01.0 Laptop Dra. Gabriela Rivera Saneamiento HP NOTEBOOK 5CG6441R54
7.001.002. ambiental
17
1.4.1.01.0 Laptop Ing. Ingrid Torres Tesorero HP Z800K15 CND3510HQR
7.001.002. Municipal
009
185
ANEXO-1D
Ver No. 01

Pág. 2 de 2
1.4.1.01.0 Laptop Sra. Jenny Recaudadora, ACER E5-471 NXMN2AL0034280

7.001.002. Domínguez Dirección 9897600
15 Financiera
1.4.1.01.0 Laptop Ing. Henry Tana Administración TOSHIBA SATELIT S4E1265312C
7.001.002. de Plazas y
012 Mercados
1.4.1.01.0 Laptop Ing. Washington Dirección HP ETILE K8470P CNU415BK1H
CORE I7
7.001.002. Palacios Financiera
011
Laptop Ing. Marco Zurita Director de HP 15-AY016LA CND71357KP
Obras Publicas
186
PO-1E
Ver No. 01
USO ADECUADO DEL INTERNET

Pág. 1 de 2
1. Objetivo
Definir las reglas y categorías para el acceso al internet por el usuario para que no existan
distracciones en las horas laborables.
2. Alcance
Aplica a todos los usuarios que constituyen la lista de distribución del servidor de dominio del
Gobierno Autónomo Descentralizado Municipal de Pangua, incluyendo contratistas, consultores y
visitantes.
3. Definiciones:
Webfilter: Es un software diseñado para restringir los sitios web que pueden ser visitados por el
usuario en su equipo.
Categoría de Navegación: Es la clasificación de sitios web donde los usuarios conectados a una red
pueden ingresar.
Malware: Es un término que engloba a todo tipo de programa o código informático malicioso cuya
función es dañar un sistema o causar un mal funcionamiento.
Buenas prácticas para el uso adecuado del internet.
Regular con un webfilter el acceso a internet.
Evitar distracciones por parte de los usuarios que laboran en la Institución.
Prevenir la saturación del ancho de banda por el uso de páginas de gran consumo de recursos como:
Descargas, Streaming y Redes Sociales.
5.1 Restricciones
Queda estrictamente prohibido el uso de servicio de internet para las siguientes páginas:
Acceso a los sitios web para descargar información ajena a la actividad laboral.
El uso de sitios de videos, streaming en línea o en tiempo real. (YouTube, Spotify, etc.).
Ingresar a contenidos obscenos, agresivos, pornográficos, amenazadores, inmorales u ofensivos.
Uso de Juegos “online” en la red.
Acceso a sitios inseguros que comprometan la confidencialidad e integridad de la información.
Instalación y uso de aplicativos para intercambios de archivos.
Instalación de aplicativos de mensajería instantánea (WhatsApp, Messenger, etc.).
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
187
PO-1E
Ver No. 01
USO ADECUADO DEL INTERNET
Pág. 2 de 2
Nota: Si el empleado requiere trabajar con una de estas, deberá pedir autorización al Jefe Inmediato.
5.2 Accesos a categorías

El acceso a internet que proporciona al GAD está relacionado con nombre y usuario para inicio de
sesión en el equipo de cómputo.
La empresa está en la capacidad de monitorear todos los accesos a internet de acuerdo a las categorías
asignadas según el ANEXO-1E Listado de categorías de acceso a internet.
5.3 Penalizaciones
Cualquier usuario que no se ajuste a los lineamientos detallados en las políticas será sujeto a toma de
decisiones de acuerdo al reglamento interno de trabajo.
6. Registros.
N/A
7. Anexos.
______________ ________________
Firma Firma
Fecha: 2020-08-21 Fecha: 2020-08-21
188
ANEXO-1E
Ver No. 01
LISTADO DE CATEGORÍAS DE ACCESO A
INTERNET
Pág. 1 de 2
CATEGORIAS DE ACCESO
Gubernamentales
Redes Sociales
Investigación
Financieros
DEPARTAMENTO
Educación
Streaming
TICs
DIRECTORIO X X X X X X
MIES X X X X
PROMOCIÓN COMUNITARIA X X
SERVICIOS GENERALES X X
PLANIFICACIÓN Y DESARROLLO X
ASESORIA DE ALCALDIA X X X X X
UNIDAD TÉCNICO DE GESTIÓN DE X
RIESGOS
UNIDAD DE TALENTO HUMANO X X X
ADMINISTRACIÓN DE PLAZAS Y X X
MERCADOS
SECRETARIA EJECUTIVA DE LA X X X
NIÑEZ Y ADOLECENCIA DEL

CANTÓN PANGUA
CONSEJO CANTONAL DE X
PROTECCIÓN DE DERECHOS
DIRECCIÓN FINANCIERA X X
UNIDAD DE ATENCIÓN A GRUPOS X X
VULNERABLES
REGISTRO DE LA PROPIEDAD X X
189
ANEXO-1E
Ver No. 01
LISTADO DE CATEGORÍAS DE ACCESO A
INTERNET
Pág. 2 de 2
SECRETARIA GENERAL X
UNIDAD TÉCNICO DE X X
INFRAESTRUCTURA Y DISEÑO DE
PROYECTOS
UNIDAD DE FISCAIZACIÓN X
VIALIDAD Y EQUIPO CAMINERO X
AGUA POTABLE Y X
ALCANTARILLADO
OBRAS PÚBLICAS X
RECAUDACIÓN X X
OFICINA DE RENTAS X X
TESORERO X X
ORDENAMIENTO TERRITORIAL X
SISTEMAS INFORMÁTICOS X X X
SINDICATURA X X
AVALÚOS Y CATASTROS X
BODEGA X
190

Propuesta de Políticas de Seguridad Informática - Pangua

Cargado por

Copyright:

Formatos disponibles

Propuesta de Políticas de Seguridad Informática - Pangua

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Propuesta de Políticas de Seguridad Informática - Pangua

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD TÉCNICA DE COTOPAXI

FACULTAD DE CIENCIAS DE LA INGENIERÍA Y APLICADAS

CARRERA DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS

PROPUESTA DE POLÍTICAS DE SEGURIDAD INFORMÁTICA DE ACUERDO A LAS

Cruz Caiza Carla Cristina

Gaibor Gavilanez Mónica Lisseth

Ing. MSc. Llano Casa Alex Christian

A mi querido padre Ermel Cruz por ese apoyo

Agradezco a mi tutor de tesis el Ing. Alex Llano

A mis ingenieros por la enseñanza, mis

Primeramente, gracias a Dios que me

Agradezco a mis padres Héctor Gaibor y

Finalmente quiero agradecer a mi tutor al

A mis padres y hermanos por su sacrificio

A mi familia en general, especialmente a

Mi tesis va dedicada a mi Dios, quien me

Con mucho cariño la dedico a mis Padres

Finalmente quiero dedicar a todas las

Tabla 1: Sistema de tareas en relación a los objetivos planteados. .........................................................5

Figura 1: Imagen de Bosques................................................................................................................17

FACULTAD DE CIENCIAS DE LA INGENIERÍA Y APLICADAS

TEMA: PROPUESTA DE POLÍTICAS DE SEGURIDAD INFORMÁTICA DE ACUERDO

AUTORAS: Cruz Caiza Carla Cristina

Gaibor Gavilanez Mónica Lisseth

THEME: PROPOSED COMPUTER SECURITY POLICIES IN ACCORDANCE WITH ISO

Keywords: Computer Security Policies, Threats, TICs, Confidentiality, Availability, Integrity.

Título del Proyecto:

Propuesta de Políticas de Seguridad Informática de acuerdo a las ISO 27001 en el Gobierno

Fecha de inicio: Mayo del 2020.

Fecha de finalización: Septiembre del 2020.

Facultad que auspicia:

Facultad de Ciencias de la Ingeniería y Aplicadas.

Carrera que auspicia:

Carrera de Ingeniería en Informática y Sistemas Computacionales.

Proyecto de investigación vinculado:

Ing. Llano Casa Alex Christian.

• Coordinadoras del Proyecto

Cruz Caiza Carla Cristina.

Gaibor Gavilanez Mónica Lisseth.

Tecnologías de Información y Comunicación.

Sub líneas de investigación de la Carrera:

Sublínea 1: Diseño, Implementación y configuración de redes y seguridad computacional,

3. JUSTIFICACIÓN DEL PROYECTO

4. BENEFICIARIOS DEL PROYECTO

Para la presente investigación a través de una entrevista al Gobierno Autónomo

6.2. Objetivo Específicos

Tabla 1: Sistema de tareas en relación a los objetivos planteados.

OBJETIVO ACTIVIDADES (TAREAS) RESULTADO DE LA MEDIOS DE

Fuente: Grupo Investigador.

El estándar de la ISO 27001 es certificable, es decir cualquier organización que tenga

La ISO es la constante reevaluación de controles y políticas que se adopta con el fin de

8.1.1. Clasificación de las normas

El objetivo principal de las normas ISO es el de orientar, coordinar, simplificar y unificar a

✓ Normas de calidad: definen las características de un producto o proceso.

8.1.2. Beneficios de las normas internacionales ISO

Para los consumidores: la conformidad de los productores y servicios con estándares

Para las empresas: en la adopción de normas técnicas internacionales, los proveedores

8.1.3. Misión de la ISO 27001

La misión de la ISO es comenzar la estandarización con actividades relacionadas con

8.1.4. Visión de la ISO 27001