TRABAJO FINAL

En este escenario simulado, se encuentra una oficina del estado, en una provincia del país, cuya
característica es un clima improvisado, que abundan las lluvias y relámpagos. La seguridad
ciudadana disminuye al atardecer y existe un alto índice de personas aficionadas al mundo hacker.
La vigilancia física del lugar no es adecuada y carece de controles para asegurar la confidencialidad
en el acceso al data center.

La institución cuenta con dos terabytes de información almacenadas que se encuentran soportadas
por un backup de cintas que se reciclan mensualmente.

juan.gutierrez2@unmsm.edu.pe

El equipo consultor debe realizar una propuesta en el plan de seguridad y riesgos de los sistemas de
información y tecnologías de información para asegurar el normal funcionamiento.

Por consiguiente, el equipo consultor debe elaborar y presentar a la alta gerencia, los siguientes
planes:

1. Plan de Gestión de Riesgos

2. Plan de Continuidad del Negocio.
3. Plan de Recuperación ante Desastres.
4. Plan de Seguridad de la Información.
1: PLAN DE GESTIÓN DE RIESGOS (RESPECTO AL DATACENTER)

1. Definición del contexto de la organización.

1.1. Definición del contexto interno.
En esta parte, hay que describir todo acerca del data center, como, Diagnóstico de la
situación actual, estilo de liderazgo, roles y responsabilidades de las personas, políticas de
la oficina de tecnologías, plan estratégico de tecnologías de información, procesos,
procedimientos y reglamentos.
1.2. Definición del contexto externo.
Aquellos activos tangibles o intangibles que se encuentre ajeno al data center y
relacionado con los grupos de interés.

2. Generar el perfil de activos.

Se requiere describir todos los activos internos y externos, de orden tangible o intangible,
ya sea infraestuctura, hardware, software, telecomunicaciones, registro de información,
datos originados.
2.1. A nivel de gerencia general del negocio.
2.2. A nivel de área de la oficina de tecnología.
2.3. A nivel de las personas claves de la oficina de tecnología.

3. Identificar los activos más críticos.

4. Identificar los riesgos

4.1. Elabore la lista de riesgos.
4.2. Elabore el diagrama de incidencias
4.3. Formule las causas que originan el riesgo.
4.4. Optimice la lista de riesgos.

5. Evaluación de los riesgos.

Utilice el mapa de calor y su matriz de riesgos.

6. Valoración de los riesgos

Efectúa el tratamiento de los controles
2: PLAN DE CONTINUIDAD DE NEGOCIOS

1. Marco Teórico del Plan de Continuidad de Negocios

1.1. Propósito del Plan.
1.2. Alcance del Plan de Continuidad de Negocios.
1.3. Descripción del equipo de trabajo (Formule un organigrama)
1.4. Roles y Responsabilidades.

2. Procesos Misionales y Riesgos.

2.1. Dibuje el diagrama general de los procesos misionales del negocio.
2.2. Dibuje la descomposición de cada proceso misional.
2.3. Priorice un proceso misional (Justifique porque es el más importante).
2.4. Detalle y priorice las actividades del proceso misional escogido en el 2.3.
2.5. Elabore una matriz indicando los tiempos que son usados en producción y aquellos
donde se establezcan tiempos de mínimos y máximos de recuperación.
2.6. Elabore una lista de equipos, personas y tecnologías necesarias para implementar la
continuidad de sus operaciones.
2.7. Identifique y evalúe los riesgos estrictamente para la continuidad de las operaciones.

3. Estrategias de Supervivencia.
3.1. Elabore los controles de protección previa al desastre.
3.2. Defina el método de mitigación de riesgos.
3.3. Elabore una matriz de respuesta de emergencia ante el desastre.
3.4. Dibuje las estrategias de continuidad de operaciones para su inmediata reanudación.
3.5. Elabore el presupuesto y costos para su implementación.
3.6. Elabore el procedimiento para las pruebas.

4. Elabore un flujo de mejora continua.

3: PLAN DE RECUPERACIÓN ANTE DESASTRES

1. Elabore una política de recuperación ante desastre.

2. Identifica los procesos, aplicaciones y servicios de TI.
3. Elabora una estrategia de gestión de riesgo para el datacenter.
4. Identifica los usuarios líderes según el proceso misional escogido.
5. Pondera la criticidad de las aplicaciones y servicios de TI.
6. Identifica las áreas de riesgos del datacenter.
7. Identifica los controles detectivos que puedan ser requeridos.
8. Desarrolla estrategias para llevar a cabo la recuperación ante desastres.
9. Elabora para cada estrategia una acción de respuesta.
10. Elabore un calendario de pruebas.
11. Explique el proceso de validación de las estrategias de recuperación.
4: Plan de Seguridad de la Información y Seguridad Informática.

1. Seguridad de la Información:
1. Política de seguridad aspectos organizativos de la seguridad de la
información
2. Gestión de Riesgos (Sobre la Seguridad de la Información)
3. Clasificación y control de activos
4. Seguridad ligada a los recursos humanos
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Adquisición, desarrollo y mantenimiento de sistemas
9. Gestión de incidentes en la seguridad de información

2. Seguridad Informática:
1. Alcance.
2. Caracterización del Sistema Informático.
3. Resultados del Análisis de Riesgos (De la seguridad informática).
4. Políticas de Seguridad Informática.
5. Sistema de Seguridad Informática.
6. Medios humanos.
7. Medios técnicos.
8. Medidas y Procedimientos de Seguridad Informática.
9. De protección física.
a. A las áreas con tecnologías instaladas.
b. A las tecnologías de información.
c. A los soportes de información.
10. Técnicas o lógicas.
11. Identificación de usuarios.
12. Autenticación de usuarios.
13. Control de acceso a los activos y recursos.
14. Integridad de los ficheros y datos.
15. Auditoria y alarmas.
16. De seguridad de operaciones.