4. Personas de contacto ante emergencia.En el caso de un desastre o circunstancia que nos lleve a la necesidad de la aplicacin de
el plan de contingencia, se pretende tomar una organizacin de contingencia, en donde
la estructura actual de la empresa Milcast en un da normal puedan adoptar otra
estructura que sea requerida por el plan de contingencia y poder trabajar en conjunto
para la restauracin de las operaciones.
Se propondr una estructura en el siguiente diagrama:
Coordinador del Plan de
Contingencia
Equipo evaluador de
daos
Coordinador sistema de
contingencia
Equipo de Operacin
Equipo de comunicacin
Equipo de administracin
de configuraciones
Equipo de entrada y
Control de informacin
5. Identificaciones y anlisis de riesgos.Se entiende por riesgo a cualquier circunstancia o ocurrencia que
pudiera producir algn tipo de efecto negativo en las operaciones y el
desenvolvimiento de el mismo sistema.
Es imposible para la empresa conocer todos los riesgos, enemigos
potenciales as que se detallara lo posibles riesgos que se podran
presentar, los cuales sern posibles causantes de la interrupcin del
departamento de Tecnologa de la empresa Milcast:
Fallos en la energa elctrica regulada
Fallos en el aire acondicionado
Fallos en el cableado estructurado
Fallos de los equipos informticos
Fallos en el software
Fallos en las comunicaciones de datos
Accin de virus
Fallas Humanas
Desastres naturales
Accesos no autorizados
Fallos extraccin de respaldos de informacin
Robo
5.1 Anlisis de impacto.Este anlisis nos ayudara a estableces el impacto que pudiera tener
en le departamento de Tecnologa respecto a los distintos fallos o
incidentes que se podran presentar para eso desarrollamos un
cuadro con los niveles de impacto en trminos de riesgo.
Nive
l
1
Impacto
Descripcin
Catastrfic
a
Critica
Marginal
Desprecia
ble
Nivel
1
Nivel
2
Nivel
3
X
X
X
X
X
X
X
X
X
X
X
X
Nivel
4
5.2 Determinacin de recursos crticos.Para determinar los recursos crticos es necesario determinar el nivel
de riesgo y que podra significar para eso se detallara en el siguiente
cuadro:
Nivel
(C)
Criticas
(N)
Necesaria
s
(O)
Opcionale
s
Significado
Es necesaria su intervencin en un periodo de 24 Hrs.
Admite una intervencin de mediana magnitud.
Admite una
indispensable
interrupcin
prolongada
no
siendo
RIESGO
Control de
Permetro de Seguridad
Acceso
Fsica no aplicado en
armario
Control de
No hay un control de
Acceso
reas Seguras
001
del S.I.
002
Control de
Inexistencia de
Acceso
003
desastres naturales en el
armario.
Control de
Acceso
estn controlados.
004
Control de
Inexistencia de una
Acceso
poltica de control de
acceso al armario
005
Control de
No existe un
Acceso
procedimiento formal de
registro de usuarios
006
No existe una
Acceso
administracin correcta
de privilegios
007
mismo.
Control de
Asignacin de
Acceso
contraseas no
controlada
Control de
No se revisan los
Acceso
derechos de acceso
008
009
CATEGORIA
RIESGO
Continuidad
La seguridad no est
del Servicio
incluida en el proceso de
|Continuidad
del Servicio
010
significativas..
Continuidad
No estn identificados
del Servicio
causar interrupciones a
probabilidad e impacto.
011
Inexistencia de planes
del Servicio
012
que incluyan la
seguridad de la
informacin.
Continuidad
Inexistencia de un marco
del Servicio
013
seguridad.
Continuidad
Los planes de
del Servicio
continuidad no son
probados
RIESGO
014
CATEGORIA
Controles de cdigo
Computacin,
malicioso deficientes
Sistema
Informtico
015
Equipos de
Computacin,
seguridad de la organizacin.
Sistema
la poltica de seguridad
Informtico
016
CATEGORIA
RIESGO
Equipamiento
El equipamiento no est
Informtico
necesariamente bien
ubicado ni protegido.
Equipamiento
Mantenimiento no
Informtico
cotidiano.
017
018
Equipamiento
Baja o reutilizacin de
Informtico
equipamiento no
controlada
019
La red no est
Informtico
adecuadamente
administrada y
020
controlada
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.1.3
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
4 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
3 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.1.2
Probabilidad
Motivo: Se deben
implementar medidas de
proteger las reas seguras
mediante controles de
entradas apropiadas para
asegurar que slo se
permita el acceso a
personal autorizado al
armario.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
2 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 mes
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.1.4
Probabilidad
Casi Seguro
Aceptado
No Aceptado
Extrema
Severa
Motivos: Se implementar
proteccin fsica contra dao por
inundaciones, fuego, terremoto y
otras formas de desastres naturales
o creado por el hombre para la
empresa.
6 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 mes
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.1.1
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
Motivos: Se implementar
permetros de seguridad para
proteger reas que contienen
armarios de la empresa
5 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Decisin:
Riesgo
Identificado:
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 11.1.1
Probabilidad
Motivo: Se debe
establecer, documentar y
revisar la poltica de control
de acceso en base a los
requerimientos de
seguridad y comerciales.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
3 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Riesgo
Identificado:
Fecha:
Descripcin: Se decidi
aplicar el Control 11.2.1
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
Motivos: Se implementar
procedimientos para el registros a
los usuarios de la empresa.
3 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 11.2.2
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
1 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 11.2.3
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
Compilado por:
Riesgo
Identificado:
Fecha:
Descripcin: Se decidi
aplicar el Control 11.2.4
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
1 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 14.1.1
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
4 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 14.1.2
Probabilidad
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Severa
Aceptado
No Aceptado
2 meses
Monitorizar el Tratamiento
Plazo para la Revisin del Riesgo
Compilado por:
Riesgo
Identificado:
Fecha:
Descripcin: Se decidi
aplicar el Control 14.1.3
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
Motivos: Se desarrollar e
implementar planes para mantener
y restaurar las operaciones y
asegurar la disponibilidad de la
informacin de la empresa
3 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 14.1.4
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
6 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 14.1.5
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
6 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
2 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 10.4.1
Probabilidad
Motivo: Se deben
implementar controles de
deteccin, prevencin y
recuperacin para
protegerse de cdigos
malicioso y se deben
implementar
procedimientos de
conciencia apropiados
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
3 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 10.4.2
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
6 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
3 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.2.1
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
1 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Riesgo
Identificado:
Compilado por:
Mantenimiento no cotidiano
Fecha:
Descripcin: Se decidi
aplicar el Control 9.2.4
Probabilidad
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
12 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.2.6
Probabilidad
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Severa
Aceptado
No Aceptado
12 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
Compilado por:
Fecha:
Descripcin: Se decidi
aplicar el Control 9.2.3
Probabilidad
Motivo: El cableado de la
energa y las
telecomunicaciones que
llevan data o sostienen los
servicios de informacin
deben ser protegidos de la
intercepcin o dao
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
2 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
1 meses
servicios crticos.
Contratara un servicio de mantenimiento, aseguramiento y actualizacin de
los equipos y software, realizando continuamente la revisin, prueba y, en su
caso, mejoras de forma peridica o ante cambios significativos en premisas,
personas, procesos, tecnologas o estructura organizativa.
Garantizara que todo el personal de las distintas reas de Negocio y de
Soporte est informado de las responsabilidades que le competen en el marco
de la Continuidad, mediante labores peridicas de formacin, divulgacin y
actualizacin de los Planes de Accin.
Dispondr todos sus recursos para que los procesos crticos sean recuperados
en el menor tiempo posible teniendo en cuenta los Planes de Accin.
Garantizara la elaboracin de planes de comunicacin apropiadas, tanto
internos como externos que sern revisados y actualizados de forma
peridica, creando una cultura de seguridad tanto con el personal como con
los usuarios.
7.Estrategias:
Respaldar toda la informacin importante as como las aplicaciones en
mediosmagnticos,porejemploenCDROM.
Protegerlainformacinexistenteenlabasededatossegnperfilesdeusuario
(privilegios segn el tipo de usuario) o realizar auditoras para evitar
alteracionesporpersonalmalintencionado.
Guardarunacopiaimpresadeladocumentacindelossistemaseinterfaces,
aligualquelosplanesdecontingencia.
Llevar un registro del proceso de control de cambios que se haga en los
sistemas para evitar cualquier confusin en caso de formatear equipos o
desinstalaraplicaciones.
Hacerunseguimientodelplandeaccinbasndoseenlamatrizderiesgos.
Tenerunantivirusactualizadoparaproteccincontracdigodemalicioso.
Realizarmantenimientopermanenteysupervisarlossistemasyaplicaciones.
DisponerdeunaSalaBlancaoColdStartequipadaconcapacidadealbergar
elhardwaredebackup.
En casos de corte de energia poseer un UPS de respaldo en una sala
ambientadaenfrioparamantenerlacontinuidadeelsistemayelservicio.
8. Conclusiones.-
Determinamoslosprocesosentreellosestnlaseguridad,finanzas,redesy
hardware, adems del recursohumanolos que garantizanla calidad en el
cumplimientodelosserviciosqueprestalaempresa.
Losservicioscrticosqueidentificamosenlainstitucinsonrelacionadosala
basededatos,sistemafinanciero,softwareyhardwareporloquenoshemos
centradoenlosmismosparaelrespectivoplandecontingencia.
Sehizouninventariodelainformacincategorizndolaendiferentesniveles
de acuerdo al contenido, as se tiene: informacin pblica, informacin
confidencialeinformacinsensibleodelicada,paraentendermejormanera
losriesgos.
Para la elaboracin de la matriz se parti de la determinacin de las
vulnerabilidad, para identificar las amenazas y con ellas el riesgo, con la
responsabilidaddeocurrenciadelosmismosysurespectivoescala.
Unelementoimportantedelamatrizderiesgoseselplandeaccinquenos
permite establecer mecanismos antes y despus de ocurrido un dao o
desastre.