Caso de Estudio 4 Nuevo2

CASO DE ESTUDIO 4
PLAN DE CONTINGENCIA PARA LA EMPRESA MILCAST S.R.L.

1. Introduccin.En la actualidad los cambios tecnolgicos adquieren cada vez mayor
importancia al interior de las organizaciones, no menos importante es
tambin el cuidado de la integridad del recurso humano, por lo cual
se hace necesario o indispensable contar con un plan de
contingencias, que garantice el restablecimiento del correcto
funcionamiento de los servicios en el menor tiempo posible, ante
cualquier eventualidad.
Para elaborar este ejercicio se ha partido de una empresa real
ubicada en la ciudad de Tarija, que se encarga de la elaboracin y
fabricacin de vinos de altura, el nombre de la empresa es Milcast
Corp S.R.L, esta empresa tiene su departamento de Tecnologas
donde no presenta un plan de contingencias y de acuerdo a los
riesgos presentados en el anlisis de la empresa una cada del
servicio podra perjudicar en gran magnitud el desenvolvimiento.
El Plan de Contingencias implica un anlisis de los posibles riesgos a
los cuales pueden estar expuestos los equipos de cmputo y la
informacin contenida en los diversos medios de almacenamiento,
por tanto es necesario que el Plan de Contingencias incluya un Plan
de Recuperacin de desastres, el cual tendr como objetivo, restaurar
el Servicio de Cmputo en forma rpida, suficiente y con el menor
costo y prdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos,
tambin se hace necesario presuponer que el dao ha sido total, con
la finalidad de tener un Plan de Contingencias lo ms completo
posible. Pese a todas las medidas de seguridad implementadas puede
ocurrir un desastre.
2. Propsito del plan de contingencia.El propsito de este plan es mantener la continua ejecucin de los
procesos de misin crtica y sistemas de informacin tecnolgica de la
empresa Milcast en el caso extraordinario que un evento pudiera
ocasionar que los sistemas fallen en el mnimo de su produccin. El
Plan de Contingencia de Milcast contiene las necesidades y
requerimientos de tal forma que la institucin pueda estar preparada
para responder a un evento y, en su caso, hacer eficiente la
restauracin de los sistemas que hayan estado inoperables por el
evento.
3. Alcance.-
Este plan de contingencia se basara en los posibles riesgos de la

empresa que se detectaron en un anlisis de riesgos como ser las
reas seguras, la continuidad del servicio, proteccin contra el cdigo
daino y la seguridad en equipos; tomando en cuenta la importancia,
prioridad y el coste de las medidas a implantar.
4. Personas de contacto ante emergencia.En el caso de un desastre o circunstancia que nos lleve a la necesidad de la aplicacin de
el plan de contingencia, se pretende tomar una organizacin de contingencia, en donde
la estructura actual de la empresa Milcast en un da normal puedan adoptar otra
estructura que sea requerida por el plan de contingencia y poder trabajar en conjunto
para la restauracin de las operaciones.
Se propondr una estructura en el siguiente diagrama:
Coordinador del Plan de
Contingencia
Equipo evaluador de
daos
Coordinador sistema de
contingencia
Equipo de Operacin
Equipo de comunicacin
Equipo de administracin
de configuraciones
Equipo de entrada y
Control de informacin
5. Identificaciones y anlisis de riesgos.Se entiende por riesgo a cualquier circunstancia o ocurrencia que
pudiera producir algn tipo de efecto negativo en las operaciones y el
desenvolvimiento de el mismo sistema.
Es imposible para la empresa conocer todos los riesgos, enemigos
potenciales as que se detallara lo posibles riesgos que se podran
presentar, los cuales sern posibles causantes de la interrupcin del
departamento de Tecnologa de la empresa Milcast:
Fallos en la energa elctrica regulada
Fallos en el aire acondicionado
Fallos en el cableado estructurado
Fallos de los equipos informticos
Fallos en el software
Fallos en las comunicaciones de datos
Accin de virus
Fallas Humanas
Desastres naturales
Accesos no autorizados
Fallos extraccin de respaldos de informacin
Robo
5.1 Anlisis de impacto.Este anlisis nos ayudara a estableces el impacto que pudiera tener
en le departamento de Tecnologa respecto a los distintos fallos o
incidentes que se podran presentar para eso desarrollamos un
cuadro con los niveles de impacto en trminos de riesgo.
Nive
l
1
Impacto
Descripcin
Catastrfic
a
Critica
Marginal
Desprecia
ble
Sus consecuencias afectan en forma total el

funcionamiento del departamento, sus prdidas
son sumamente altas.
Las consecuencias afectan parcialmente al
funcionamiento del departamento en forma grave
existen prdidas considerables.
Las consecuencias afectan en forma superficial al
funcionamiento del departamento, se cuenta con
prdidas menores.
Las consecuencias no afectan a el departamento
y no existen perdidas
Despus de la definicin de los niveles de impacto se proceder a

identificar los niveles de impacto de los posibles riesgos ya antes
mencionados.
Categora
Fallos en la energa elctrica regulada
Fallos en el aire acondicionado
Fallos en el cableado estructurado
Fallos en los equipos informticos
Fallos en el software
Fallos en las comunicaciones de datos
Accin de virus
Fallas humanas
Desastres naturales
Accesos no autorizados
Fallos extraccin de respaldo de la
informacin
Robo
Nivel
1
Nivel
2
Nivel
3
X
X
X
X
X
X
X
X
X
X
X
X
Nivel
4
5.2 Determinacin de recursos crticos.Para determinar los recursos crticos es necesario determinar el nivel
de riesgo y que podra significar para eso se detallara en el siguiente
cuadro:
Nivel
(C)
Criticas
(N)
Necesaria
s
(O)
Opcionale
s
Significado
Es necesaria su intervencin en un periodo de 24 Hrs.
Admite una intervencin de mediana magnitud.
Admite una
indispensable
interrupcin
prolongada
no
siendo
Ya definidos los niveles de criticidad para el departamento de

Tecnologa se tomaran en cuenta los siguientes riesgos para su
anlisis y se determinara sus niveles crticos:
reas Seguras
Continuidad del servicio
Proteccin contra cdigos dainos
Seguridad en los equipos
CATEGORIA
RIESGO
DESCRIPCION DEL RIESGO
Control de
Permetro de Seguridad
No se aplica un permetro de seguridad fsica, ya que a pesar de
Acceso
Fsica no aplicado en
contar con las barreras necesarias para proteger, no se las utiliza
armario
adecuadamente, arriesgando los activos.
Control de
No hay un control de
No existe un control preciso de quienes de acceso fsico al
Acceso
acceso fsico al armario
armario de infraestructura de red, poniendo en riesgo los activos
reas Seguras
001
del S.I.
002
Control de
Inexistencia de
El armario no est diseado para soportar la embestida de
Acceso
proteccin fsica contra
desastres naturales como incendio, inundacin, etc. Lo que
003
desastres naturales en el
expone al S.I. a sufrir daos irreversibles.
armario.
Control de
Los puntos de acceso de
No existen puntos de entrega controlados, por lo que personas sin
Acceso
las reas de entrega no
autorizacin pueden llegar a entrar al armario.
estn controlados.
004
Control de
Inexistencia de una
No existe una poltica de control de acceso al armario, lo que
Acceso
poltica de control de
decrementa la seguridad del mismo.
acceso al armario
005
Control de
No existe un
No existe un registro formal para el registro de alta y baja de
Acceso
procedimiento formal de
registros para otorgar o revocar acceso a los sistemas de
registro de usuarios
informacin a los usuarios, lo que incrementa el riesgo en la
006
corrupcin del S.I.

Control de
No existe una
Lamentablemente los privilegios de los usuarios del S.I. no ests
Acceso
administracin correcta
controlados, lo que puede suponer elevacin de privilegios en
de privilegios
lugares no requeridos o deseados, disminuyendo la seguridad del
007
mismo.
Control de
Asignacin de
La asignacin de contraseas a los usuarios no est siendo
Acceso
contraseas no
controlada mediante un proceso formal, lo cual impide llevar un
controlada
registro adecuado sobre su uso.
Control de
No se revisan los
La alta direccin no revisa los derechos de acceso de los usuarios,
Acceso
derechos de acceso
lo que dificulta a la direccin saber con exactitud el nivel de
008
acceso de los usuarios en el S.I.
009
CATEGORIA
RIESGO
Continuidad
La seguridad no est
No est desarrollado un proceso de gestin de continuidad
del Servicio
incluida en el proceso de
del negocio que dirija los requerimientos de seguridad de la
continuidad del negocio.
informacin, lo que puede causar prdidas econmicas
|Continuidad
del Servicio
010
significativas..
Continuidad
No estn identificados
No se encuentran identificados los eventos que puedan
del Servicio
los eventos que pueden
causar interrupciones a los procesos de negocio ni su
causar interrupciones a
probabilidad e impacto.
011
los procesos del negocio.

Continuidad
Inexistencia de planes
No existen planes desarrollados que permitan mantener o
del Servicio
012
que incluyan la
restablecer las operaciones y asegurar la disponibilidad de la
seguridad de la
informacin a niveles requeridos.
informacin.
Continuidad
Inexistencia de un marco
No existe un marco nico de planes para la continuidad del
del Servicio
nico de planes para la
negocio que permita garantizar que todos los planes sean
continuidad del negocio.
consistentes para cumplir con los requerimientos de
013
seguridad.
Continuidad
Los planes de
Los planes de continuidad no son probados ni actualizados
del Servicio
continuidad no son
peridicamente, por lo que no pueden garantizar que se
probados
encuentren al da y que continen siendo efectivos.
RIESGO
014
CATEGORIA
Proteccin contra cdigos dainos

Equipos de
Controles de cdigo
La organizacin cuenta con antivirus, el cual no es
Computacin,
malicioso deficientes
actualizado con frecuencia, lo que arriesga la infeccin de
Sistema
cdigo malicioso en los S.I.
Informtico
015
Equipos de
No existe una alineacin
Se debe alienar el uso del cdigo mvil con una poltica de
Computacin,
entre el cdigo mvil y
seguridad de la organizacin.
Sistema
la poltica de seguridad
Informtico
016
CATEGORIA
RIESGO
Equipamiento
El equipamiento no est
No todo el equipamiento informtico est debidamente
Informtico
necesariamente bien
protegido ni ubicado, por lo que se maximizan los riesgos
ubicado ni protegido.
ocasionados por amenazas y peligros ambientales.
Equipamiento
Mantenimiento no
No existe un programa de mantenimiento, es decir, el
Informtico
cotidiano.
mantenimiento no se realiza en intervalos regulares, lo que
Seguridad en los equipos
017
018
puede ocasionar dao irreversible en los equipos.
Equipamiento
Baja o reutilizacin de
Los dispositivos de almacenamiento de informacin que son
Informtico
equipamiento no
dados de baja y/o reutilizados, no son borrados ni
controlada
formateados completamente, lo que puede ocasionar la fuga
019
de cierta informacin sensible.

Equipamiento
La red no est
No existe un procedimiento ni sistema de control y
Informtico
adecuadamente
administracin de la red, por lo que no se la puede proteger
administrada y
de amenazas de manera adecuada.
020
controlada
Formulario de evaluacin de riesgos:

Riesgo 001: reas seguras
(Completar una para cada riesgo identificado)
Decisin:
Riesgo
Identificado:
Aplicacin Control 9.1.3 del Anexo A
Compilado por:
Permetro de Seguridad Fsica no aplicado

en armario
Identificar las posibles opciones de

tratamiento
Fecha:
Aplicar Control 9.1.3

Aceptar el riesgo
Opcin de Tratamiento Preferida
Descripcin: Se decidi
aplicar el Control 9.1.3
Anlisis del Riesgo con la Opcin de

Tratamiento Preferida
Probabilidad
Motivo: Se deben disear y

aplicar seguridad fsica en
las oficinas, habitaciones y
medios.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptacin del Riesgo
Persona que implementar el

Tratamiento
Plazos para la implementacin
Monitorizar el Tratamiento
Omar Jimenez Rueda
Plazo para la Revisin del Riesgo
Aceptado
No Aceptado
Severa
Motivos: Se debern implementar

disear y aplicar seguridad fsica en
las oficinas, habitaciones y medios
de la empresa
4 meses
Se enviar un informe a la Alta Direccin indicando la
aplicacin del control.
3 meses

Decisin:
Riesgo
Identificado:
Compilado por:
No hay un control de acceso fsico al armario

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Se deben
implementar medidas de
proteger las reas seguras
mediante controles de
entradas apropiadas para
asegurar que slo se
permita el acceso a
personal autorizado al
armario.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se debern implementar

medidas para proteger las reas
seguras mediante controles de
entradas apropiadas para asegurar
el acceso al armario
2 meses
1 mes

Decisin:
Riesgo
Identificado:
Compilado por:
Inexistencia de proteccin fsica contra

desastres naturales en el armario

tratamiento
Fecha:

Aceptar el riesgo
Probabilidad
Motivo: Se debe disear y

aplicar proteccin fsica
contra dao por fuego,
inundacin, terremoto,
explosin disturbios civiles
y otras formas de
desastres naturales o
creado por el hombre.
Consecuencia
Nivel de Riesgo

Casi Seguro

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Extrema
Severa
Motivos: Se implementar
proteccin fsica contra dao por
inundaciones, fuego, terremoto y
otras formas de desastres naturales
o creado por el hombre para la
empresa.
6 meses
2 mes

Decisin:
Riesgo
Identificado:
Compilado por:
Los puntos de acceso de las reas seguras

de entrada no estn controladas

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Se debe utilizar

permetros de seguridad
(barreras tales como
paredes y puertas de
ingreso controlado por
recepcionistas) para
proteger reas que
contienen informacin y
medios de procesamiento
de informacin para la
empresa.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
permetros de seguridad para
proteger reas que contienen
armarios de la empresa
5 meses
2 meses

Decisin:
Riesgo
Identificado:
Compilado por:
Inexistencia de una poltica de control de

acceso al armario

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Se debe
establecer, documentar y
revisar la poltica de control
de acceso en base a los
requerimientos de
seguridad y comerciales.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se implementar polticas

de control de acceso para personas
autorizadas para as documentar y
revisar todos los puntos de accesos
al armario de la empresa.
3 meses
2 meses

Decisin:
Compilado por:
Riesgo
Identificado:
No existe un procedimiento formal de

registro de usuarios
Fecha:

tratamiento

Aceptar el riesgo

Probabilidad
Motivo: Debe existir un

procedimiento formal para
la inscripcin y desinscripcin para otorgar
acceso a todos los
sistemas y servicios de
informacin.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
procedimientos para el registros a
los usuarios de la empresa.

3 meses
2 meses

Decisin:
Riesgo
Identificado:
Compilado por:
No existe una administracin correcta de

privilegios

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Debe restringir y

controlar la asignacin y
uso de los privilegios.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se implementar las

restricciones para controlar las
asignaciones de uso de los
privilegios para los usuarios de la
empresa.
1 meses
1 meses

Decisin:
Riesgo
Identificado:
Compilado por:
Asignacin de contraseas no controlada

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Debe asignar

claves se debe controlar a
travs de proceso de
gestin formal.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Aceptado
No Aceptado
Severa
Motivos: Se implementar los

procesos para controlar las claves
de los usuarios de la empresa

Tratamiento
Omar Jimenez Rueda

1 meses
1 meses

Decisin:
Compilado por:
Riesgo
Identificado:
No se revisan los derechos de acceso
Fecha:

tratamiento

Aceptar el riesgo

Probabilidad
Motivo: Debe asignar a la

gerencia de revisar los
derechos de acceso de los
usuarios a intervalos
regulares utilizando un
proceso formal.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se asignar a la gerencia

las revisiones de los derechos de
acceso de los usuarios de la
empresa
1 meses
1 meses

Riesgo 010: Continuidad del Servicio
Decisin:
Riesgo
Identificado:

La seguridad no est incluida en el proceso
de continuidad del negocio

tratamiento
Compilado por:
Fecha:

Aceptar el riesgo
Motivo: Debe desarrollar y

mantener un proceso
gerencial para la
continuidad del negocio a
travs de toda la

Probabilidad
organizacin para tratar los

requerimientos de
seguridad de la
informacin necesarios
para la continuidad
comercial de la
organizacin.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se implementar procesos

gerenciales para la continuidad del
negocio a travs de toda la
organizacin para tratar los
requerimientos de la seguridad de la
informacin de la empresa.
4 meses
2 meses

Decisin:
Riesgo
Identificado:
Compilado por:
No estn identificados los eventos que

pueden causar interrupciones a los procesos
del negocio

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Severa

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
2 meses
Motivo: Debe identificar los

eventos que causan
interrupciones en los
procesos comerciales,
junto con la probabilidad e
impacto de dichas
interrupciones y sus
consecuencias para la
seguridad de la
informacin
Motivos: Se identificarn los eventos

que causan las interrupciones de los
procesos de negocio de la empresa.

1 meses

Decisin:
Compilado por:
Riesgo
Identificado:
Inexistencia de planes que incluyan la

seguridad de la informacin
Fecha:

tratamiento

Aceptar el riesgo

Probabilidad
Motivo: Deben desarrollar

e implementar planes para
mantener o restaurar las
operaciones y asegurar la
disponibilidad de la
informacin en el nivel
requerido y en las escalas
de tiempo requeridas
despus de la interrupcin
o falla en los procesos
comerciales crticos.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se desarrollar e
implementar planes para mantener
y restaurar las operaciones y
asegurar la disponibilidad de la
informacin de la empresa
3 meses
2 meses

Decisin:
Riesgo
Identificado:

Inexistencia de un marco nico de planes
para la continuidad del negocio

tratamiento
Compilado por:
Fecha:

Aceptar el riesgo
Motivo: Deben mantenerse

en un solo marco
referencial de planes de

Probabilidad
continuidad comercial para

asegurar que todos los
planes sean consistentes y
para tratar
consistentemente los
requerimientos de la
seguridad de la
informacin e identificar las
prioridades de pruebas y
mantenimiento.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se desarrollar marco

referencial de planes de continuidad
del negocio para la empresa para
tratar consistentemente los
requerimientos de la seguridad de la
informacin.
6 meses
2 meses

Decisin:
Riesgo
Identificado:
Compilado por:
Los planes de continuidad no son probados

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Deben probar y

actualizar regularmente
para asegurar que estn
actualizados y sean
efectivos los planes de
continuidad comercial.
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se probar los planes de

continuidad comercial de la empresa
para asegurar que estn
actualizados y sean efectivos.
6 meses
2 meses

Riesgo 015: Proteccin contra cdigos dainos
Decisin:
Riesgo
Identificado:
Compilado por:
Controles de cdigo malicioso deficiente

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: Se deben
implementar controles de
deteccin, prevencin y
recuperacin para
protegerse de cdigos
malicioso y se deben
implementar
procedimientos de
conciencia apropiados
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se implementar controles

de deteccin, prevencin y
recuperacin para protegerse de
cdigos malicioso para as
implementar procedimientos de
conciencia apropiados.
3 meses
1 meses

Riesgo 016: Proteccin contra cdigos dainos
Decisin:
Riesgo
Identificado:

No existe una alineacin entre el mvil y la
poltica de seguridad

tratamiento
Compilado por:
Fecha:

Aceptar el riesgo
Motivo: Se debe autorizar

el uso de un cdigo mvil,
la configuracin debe
asegurar que el cdigo
mvil autorizado opere de
acuerdo a una poltica de
seguridad claramente

Probabilidad
definida, y se debe evitar

que se ejecute un cdigo
mvil no-autorizado
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se autorizar el uso de un

cdigo mvil con la configuracin
que asegure que el cdigo
autorizado opere de acuerdo a
polticas de seguridad de la
empresa.
6 meses
3 meses

Riesgo 017: Seguridad en los Equipos
Decisin:
Riesgo
Identificado:
Compilado por:
El equipamiento no est necesariamente

bien ubicado

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: El equipo debe

estar ubicado o protegido
para reducir los riesgos de
las amenazas y peligros
ambientales, y las
oportunidades para el
acceso no autorizado
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se identificar la ubicacin

y proteger el equipo y as reducir los
riesgos de amenazas y peligros
ambientales como tambin las
oportunidades para el acceso no
autorizado al equipo.
1 meses
1 meses

Decisin:
Riesgo
Identificado:
Compilado por:
Mantenimiento no cotidiano

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: El equipo debe ser

mantenido correctamente
para permitir su continua
disponibilidad e integridad
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se realizar un cronograma

de mantenimiento para todo el ao
para realizar los respectivos
mantenimientos preventivos y
correctivos a los equipos.
12 meses
1 meses

Decisin:
Riesgo
Identificado:

Baja o reutilizacin de equipamiento no
controlada

tratamiento
Compilado por:
Fecha:

Aceptar el riesgo
Motivo: Todos los tems de

equipo que contengan
medio de almacenaje
deben ser chequeados
para asegurar que se haya
removido o sobre-escrito
de manera segura
cualquier data confidencial
y software con licencia
antes de su eliminacin

Probabilidad
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema
Severa

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Motivos: Se realizar a todos los

tems de equipo que contengan
medio de almacenaje.
12 meses
1 meses

Decisin:
Riesgo
Identificado:
Compilado por:
La red no est adecuadamente administrada

y controlada

tratamiento
Fecha:

Aceptar el riesgo

Probabilidad
Motivo: El cableado de la
energa y las
telecomunicaciones que
llevan data o sostienen los
servicios de informacin
deben ser protegidos de la
intercepcin o dao
Consecuencia
Nivel de Riesgo
Casi Seguro
Extrema

Tratamiento
Omar Jimenez Rueda
Aceptado
No Aceptado
Severa
Motivos: Se realizar un cableado

estructurado donde se basaran en
normas de cableado para la
empresa
2 meses
1 meses
6. Polticas de Plan de Contingencia:
El objetivo principal es asegurar y proteger la informacin financiera y los

recursos humanos de la cooperativa tanto en situacin normal como en
situacin de contingencia.
El responsable de la gestin de los riesgos para la continuidad operativa de
los procesos considerados crticos para la Organizacin, as como tambin del
desarrollo de los planes de accin tomando en cuenta todas las reas y
servicios crticos.
Contratara un servicio de mantenimiento, aseguramiento y actualizacin de
los equipos y software, realizando continuamente la revisin, prueba y, en su
caso, mejoras de forma peridica o ante cambios significativos en premisas,
personas, procesos, tecnologas o estructura organizativa.
Garantizara que todo el personal de las distintas reas de Negocio y de
Soporte est informado de las responsabilidades que le competen en el marco
de la Continuidad, mediante labores peridicas de formacin, divulgacin y
actualizacin de los Planes de Accin.
Dispondr todos sus recursos para que los procesos crticos sean recuperados
en el menor tiempo posible teniendo en cuenta los Planes de Accin.
Garantizara la elaboracin de planes de comunicacin apropiadas, tanto
internos como externos que sern revisados y actualizados de forma
peridica, creando una cultura de seguridad tanto con el personal como con
los usuarios.
7.Estrategias:
Respaldar toda la informacin importante as como las aplicaciones en
mediosmagnticos,porejemploenCDROM.
Protegerlainformacinexistenteenlabasededatossegnperfilesdeusuario
(privilegios segn el tipo de usuario) o realizar auditoras para evitar
alteracionesporpersonalmalintencionado.
Guardarunacopiaimpresadeladocumentacindelossistemaseinterfaces,
aligualquelosplanesdecontingencia.
Llevar un registro del proceso de control de cambios que se haga en los
sistemas para evitar cualquier confusin en caso de formatear equipos o
desinstalaraplicaciones.
Hacerunseguimientodelplandeaccinbasndoseenlamatrizderiesgos.
Tenerunantivirusactualizadoparaproteccincontracdigodemalicioso.
Realizarmantenimientopermanenteysupervisarlossistemasyaplicaciones.
DisponerdeunaSalaBlancaoColdStartequipadaconcapacidadealbergar
elhardwaredebackup.
En casos de corte de energia poseer un UPS de respaldo en una sala
ambientadaenfrioparamantenerlacontinuidadeelsistemayelservicio.
8. Conclusiones.-
Un plan de contingencia permite, mediante el reconocimiento de la

informacin,serviciosynecesidadescriticasdeunaempresaoinstitucin;
asegurarengranmedida,sufuncionamientocorrectoluegodequesuceda
algndesastreodao.
Determinamoslosprocesosentreellosestnlaseguridad,finanzas,redesy
hardware, adems del recursohumanolos que garantizanla calidad en el
cumplimientodelosserviciosqueprestalaempresa.
Losservicioscrticosqueidentificamosenlainstitucinsonrelacionadosala
basededatos,sistemafinanciero,softwareyhardwareporloquenoshemos
centradoenlosmismosparaelrespectivoplandecontingencia.
Sehizouninventariodelainformacincategorizndolaendiferentesniveles
de acuerdo al contenido, as se tiene: informacin pblica, informacin
confidencialeinformacinsensibleodelicada,paraentendermejormanera
losriesgos.
Para la elaboracin de la matriz se parti de la determinacin de las
vulnerabilidad, para identificar las amenazas y con ellas el riesgo, con la
responsabilidaddeocurrenciadelosmismosysurespectivoescala.
Unelementoimportantedelamatrizderiesgoseselplandeaccinquenos
permite establecer mecanismos antes y despus de ocurrido un dao o
desastre.
DIPLOMADO: EN REDES Y SEGURIDAD

Alumnos: Ing. Walter Pablo Pinto Sivila
Ing. Leticia Mur Lagraba
Ing. Omar Jimenez Rueda

Caso de Estudio 4 Nuevo2

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Caso de Estudio 4 Nuevo2

Diunggah oleh

Hak Cipta:

Format Tersedia

CASO DE ESTUDIO 4

PLAN DE CONTINGENCIA PARA LA EMPRESA MILCAST S.R.L.

Este plan de contingencia se basara en los posibles riesgos de la

Sus consecuencias afectan en forma total el

Despus de la definicin de los niveles de impacto se proceder a

Ya definidos los niveles de criticidad para el departamento de

DESCRIPCION DEL RIESGO

No se aplica un permetro de seguridad fsica, ya que a pesar de

contar con las barreras necesarias para proteger, no se las utiliza

adecuadamente, arriesgando los activos.

No existe un control preciso de quienes de acceso fsico al

acceso fsico al armario

armario de infraestructura de red, poniendo en riesgo los activos

El armario no est diseado para soportar la embestida de

proteccin fsica contra

desastres naturales como incendio, inundacin, etc. Lo que

expone al S.I. a sufrir daos irreversibles.

Los puntos de acceso de

No existen puntos de entrega controlados, por lo que personas sin

las reas de entrega no

autorizacin pueden llegar a entrar al armario.

No existe una poltica de control de acceso al armario, lo que

decrementa la seguridad del mismo.

No existe un registro formal para el registro de alta y baja de

registros para otorgar o revocar acceso a los sistemas de

informacin a los usuarios, lo que incrementa el riesgo en la

corrupcin del S.I.

Lamentablemente los privilegios de los usuarios del S.I. no ests

controlados, lo que puede suponer elevacin de privilegios en

lugares no requeridos o deseados, disminuyendo la seguridad del

La asignacin de contraseas a los usuarios no est siendo

controlada mediante un proceso formal, lo cual impide llevar un

registro adecuado sobre su uso.

La alta direccin no revisa los derechos de acceso de los usuarios,

lo que dificulta a la direccin saber con exactitud el nivel de

acceso de los usuarios en el S.I.

DESCRIPCION DEL RIESGO

No est desarrollado un proceso de gestin de continuidad

del negocio que dirija los requerimientos de seguridad de la

continuidad del negocio.

informacin, lo que puede causar prdidas econmicas

No se encuentran identificados los eventos que puedan

los eventos que pueden

causar interrupciones a los procesos de negocio ni su

los procesos del negocio.

No existen planes desarrollados que permitan mantener o

restablecer las operaciones y asegurar la disponibilidad de la

informacin a niveles requeridos.

No existe un marco nico de planes para la continuidad del

nico de planes para la

negocio que permita garantizar que todos los planes sean

continuidad del negocio.

consistentes para cumplir con los requerimientos de

Los planes de continuidad no son probados ni actualizados

peridicamente, por lo que no pueden garantizar que se

encuentren al da y que continen siendo efectivos.

DESCRIPCION DEL RIESGO

Proteccin contra cdigos dainos

La organizacin cuenta con antivirus, el cual no es

actualizado con frecuencia, lo que arriesga la infeccin de

cdigo malicioso en los S.I.

No existe una alineacin

Se debe alienar el uso del cdigo mvil con una poltica de

entre el cdigo mvil y