SlideShare una empresa de Scribd logo

Plan de contingencia para la empresa atoland S.A.

G
GwenWake

Plan de contingencia para el caso práctico.

Educación
1 de 12
Descargar para leer sin conexión
República bolivariana de Venezuela Ministerio del poder popular para la educación Universidad Antonio José de sucre Plan de contingencia para la empresa Atoland S.A. Estudiante: Luis Delgado C.I: 26.961.952 Asignatura: Seguridad Informática Carrera: Informática Maracay Mayo, 2021
Identificación de problemas Identificación de recursos prioritarios e activos importante - Protección de información sensible de la empresa: Datos de los clientes, empleados, y transacciones bancarias importantes. - Operatividad ininterrumpida del área CPD de la empresa. - Cuidado de los equipos informáticos - Protección de confidencialidad de los contractos de la empresa. Identificación de riesgos: 1- Falta de organización y planificación en la ampliación en la empresa. Que la empresa no tenga un plan de acción de crecimiento acarrea problemas y costó de manera imperceptible. Por otra parte, la falta de una planificación, ocasiona asignación inadecuada de recursos, beneficiando más a unas áreas en detrimento de otras, a su vez se corre el riesgo de no tomar en cuenta los factores de seguridad y protección. Siendo que, al ampliar los activos, también aumentara la posibilidad de que ocurran incidentes. Por otra parte, la falta de una planificación adecuada, disminuye su eficacia y pocas veces los resultados no son los esperados. 2- Los empleados a pesar de tener asignado sus respectivos cargos realizan trabajos que no les corresponde. Es un problema de organización que puede afectar tanto al flujo de trabajo en la empresa, que si bien la empresa parece funcionar puede acarrear de inconvenientes a futuro. Además de que puede ocurrir incidentes al realizar ciertas tareas a lo que no se tiene mejor dominio que un especialista puede evitar. Por no hablar de que es un fallo de seguridad en el que la persona puede llegar acceder a lugares que no le corresponde, y así manipular o robar información a la empresa. Por otra parte, cuando los empleados manejan tarea que no le competen, harán
las cosas de la forma que entienda mejor, generando pérdida de tiempo e ineficiencia en las operaciones. 3- En el apartado de recursos humanos recurren a medios de registros no impresos a la hora de registrar los usuarios. A su vez que se les pide a dichos usuarios que tipo de privilegios puedan tener. Esto es potencialmente peligroso debido a que se corra el riesgo de que un empleado se le de privilegios que pueden ser mayores a lo que su puesto corresponde, lo cual puede implicar a que haya accidentes en la manipulación de datos vitales de la empresa. Asu vez de que existe el riesgo de que dicho empleado solicite dichos privilegios y programas a propósito, con el fin de que pueda robar información sensible a la empresa, Siendo esto, una vulnerabilidad importante en la empresa. 4- No existe un plan de contingencia en la empresa nada más que una aseguradora. Lo anterior representaría una debilidad en la seguridad empresarial, ya que de ocurrir un accidente provocaría grandes daños a la empresa, produciendo perdida mayor de lo esperado. Por otra parte, la aseguradora solo cubriría los gastos de activos tangibles como equipos, pero no solventaría los daños de la información digital respaldada en discos duros y en los servidores. Con lo que será un impacto muy grave a la empresa. 5- Existe un medio de respaldo importante y un lugar para su almacenamiento seguro. Pero no hay otros tipos de respaldo o monitoreo de quien llevo a cabo dichos respaldos. Que se tenga un respaldo físico para la información de la empresa es vital para cualquier problema técnico, de igual modo se debe de considerar otros medios para respaldar la información, previniendo que otros incidentes que perjudiquen los respaldos. A su vez se debe tomar en cuenta, de que se tiene que tener un orden al momento de guardar la información digital y un responsable que lleve a cabo dicha tarea, porque al momento de realizar una auditoría por accidente o extravío de datos, de no tener un orden, no se podría monitorear
quien o quienes manipularon la información, si fue un agente externo o interno de la propia empresa. 6- Acceso libre al CPD por parte de cualquier usuario. Este punto, representa un problema grave a nivel de seguridad, dado a la vulnerabilidad que eso supone, ya que al ser un lugar donde se concentra todos procesamientos y almacenamiento, cualquier usuario de manera intencional pueda sustraer información e incluso perjudicar programas operativos del mismo, por no decir que se tendría siquiera validado quienes han entrado a dicho lugar. Lo que supone una gran vulnerabilidad de seguridad. Lo que repercute en un enorme impacto a la empresa. 7- No existe medidas de acceso a la red Se indica que los usuarios tienen acceso a internet y los emails, pero no se percibe que haya medidas restrictivas se su uso. Cosa importante ya que limita las posibilidades de contagio de virus por parte de los empleados, al acceder a webs poco seguras o de ataques en contra de ellos. A su vez que permitiría varias maneras de ataque para los Hacker/Craker, Sea por medio directos o indirectos. 8- El SIG desarrollado por una persona. Debido a que el SIG fue desarrollado por una persona para la empresa, y este lo uso para asociarse con otra persona es un inconveniente. debido a que la información puede ser manipulada y el programador obtiene beneficio de una creación enfocada a la empresa a la que trabaja, por tal motivo la empresa debe proponer y aplicar una normativa donde todos los programadores firmen documentos de confidencialidad, comprometiéndose a ceder los derechos de sus creaciones propuestas a la empresa. evitando que cualquier programador que desarrolle proyectos enfocados para la empresa lo utilice para su propio beneficio, a su vez que traer pérdidas para la empresa.
Análisis del plan de riesgos Situación Observación Riesgo Probable Impacto Costo Ha sufrido un creci- miento en los últimos años. Este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptán- dose al crecimiento del negocio de manera adaptativa y no planifi- cada. - Falta de planificación - Inversión inadecuada de recursos - Falta de perspectiva a mediano y largo plazo - Aumento de riesgos informáticos Probable Muy Alto Muy Alto Cada persona tiene asignado su cargo, en la práctica las posicio- nes se superponen. - Interrupción del flujo de trabajo - Acceso indebido a estaciones no correspondiente Poco probable Bajo Bajo Un formulario pre impreso y pre-numerado En el cual el usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales necesita tener acceso. - Capacidad de manipulación de privilegios indebido. - Acceso a software no correspondiente po r los usuarios. Probable Alto Moderado No se ha identificado la existencia de un plan de contingencia. excepto un contrato con un tercero. - Perdida de información vital. - Falta de prevención y capacitación de los empleados. - Agravamiento de costo por accidente. Muy probable Moderado Alto El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignífuga dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira en el día. - Falta de organización. - Inexistencia de respaldo alternativo. - Riegos de incidentes varios. Poco probable Alto Moderado
hoy día se cuenta con una política de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD. - Robo de información sensible. - Sabotaje interno. Probable Muy alto Alto Todos los usuarios tie- nen acceso a e-mail e Internet. Para ello se ha definido un servidor de correo y un servi- dor de Internet. - Acceso libre a la red - Libre acceso a email sin protección contra spam entre otros. - Posible contagio de virus ya sea por email o al navegar en la red. Muy probable Moderado Bajo El SIG desarrollado internamente ha sido idea de un programador. Dado el éxito de esta aplicación en la empresa, esta persona se asoció con otra persona creando la empresa Osoft, la cual comercializa el mismo en el mercado. - No existe acuerdo directo con la actual empresa. - Posible Transferencia de información privilegiada. - Falta de acuerdos para comercializar productos de la empresa. Improbable Moderado Bajo
Evaluación de riesgo Se Representará en un cuadro vectorial en el que se evalúa de manera gráfica el impacto de los riesgos de cada situación.
Plan de Acción Plan contra desastres naturales - Incendio: Dependiendo de la magnitud gravedad puede ser parcial o total. En tanto a los inmuebles como a su contenido. Una vez aplacado el incendio se debe, hacer inventario de los equipos afectados. Hecho esto se debe procurar realizar las operaciones mientras se restablece los equipos faltantes usando los respaldos físicos. - Temblor: Depende mucho de la magnitud, pero en esos casos puede ocasionar daños insignificantes a un desplome de ciertas pararte de la instalación. Al pasar el temblor, se debe hacer inventario de los equipos afectados. Hecho esto se debe procurar realizar las operaciones mientras se restablece los equipos faltantes usando los respaldos físicos. Si los respaldos físicos llegan a ser perjudicados se debe recurrir al respaldo en la nube para su pronta recuperación de las operaciones. - Pandemia: Un escenario poco común, pero de gran impacto tanto financiero como logístico. En caso de pandemia se debe de tomar las medidas preventivas de salud, tanto para la protección de los empleados, como de las medidas que plante los entes gubernamentales. Por lo que se debe de adquirir también equipos adicionales para solventar obstrucción por parte de la inoperatividad de la empresa. Otorgando equipos como laptops a los empleados para que puedan realizar sus labores de manera remota en caso de que no se pueda acceder a las instalaciones.
Plan contra virus informáticos - Infección de los equipos: Este tipo de amenaza dependerá si afecta a un equipo o varios de ellos. Si el virus afecta a uno se debe aislar a dicho equipo para inspeccionar la gravedad, los archivos afectados, el tipo de virus, y su posible procedencia. Si afecta a varios equipos se debe de detener momentáneamente la red de comunicación entre los equipos de la oficina afectados. Si solo es un equipo afectado debe ser quitado de la red del departamento para su correctivo. Si no ocurre impacto alguno y es eliminado, se vuelve a poner en operatividad. Si se elimina, pero afecto a varios archivos se restaura los archivos afectados. Si no se elimina o afecto a muchos archivos se debe recurrir al formateo completo del equipo. Si afecto a varios equipos se debe recurrir (si es que se tiene) a otros equipos de manera temporal para su uso. Una vez solucionado el problema se vuelve a poner los equipos a su uso y devolución de los prestados. Plan contra robos - Robos activo tangibles: Una amenaza común que puede ocurrir en cualquier empresa, y más sino se tiene un buen sistema de seguridad. Si llega ocurrir este escenario se debe evaluar cuales fueron los activos afectados. Si fue un robo de equipos informáticos se debe denunciar el robo de todos los activos, y después se hará inventario de los equipos afectados para su reposición. - Robos activos intangibles: Esto es una amenaza común y que a su vez es perjudicial por el tipo de contenido que poder afectado. De ser posible se debe realizar una investigación sobre el posible tipo de robo afectado y de ser posible si es por empleados internos. A su vez se investigar qué tipo de
información pudo a haber sido robado y realizar medidas para prevenir, como filtraciones, extorción o utilización indebida para beneficiar al delincuente. Plan contra daños de los equipos de cómputo (hardware) - Daños de los equipos informático: Puede ocurrir por ser un equipo defectuoso o por el mal manejo de ello. Se le debe encargar a los técnicos correspondiente para realizar el mantenimiento. De no resolverse el problema se debe remplazar o adquirir uno nuevo. Lugo se debe inspeccionar cual pudo ser causante para para tomar medidas preventivas a futuro. Si es que fue producto mal uso de un usuario, por ejemplo. Plan contra daños de los equipos de cómputo (Software) - Inoperatividad del software: Producido por algún bug, fallo del software, mal uso del software o mala implementación. Un fallo que puede llegar a ocurrir en cualquier empresa. En este tipo de casos lo que se debe revisar el posible fallo del software, o contactar con soporte técnico para facilitar la solución (si este fue adquirido). Si no se da con ninguna resolución se debe volver a instalar dicho software al equipo. - Inoperatividad del Sistema operativo: Producido por algún fallo en el sistema operativo, debido a bug o falta de actualizaciones. Se debe actualizar el sistema operativo con el fin de que si esta desactualizado, los parches correspondientes solucionen el problema. De lo contrario contactar con soporte técnico para dar con la solución. De no darse el caso se deberá fomentar el equipo restaurando con el sistema y el software correspondiente.
Plan contra infracciones legales - Violación de la normativas o contratos establecidos: Producido por un uno o más integrante que sea realizado acciones en contra de los contratos establecidos por la empresa. Como confidencialidad o transferencia de activos no pactado. Si hubo una violación inminente de una de las normativas se debe realizar consultaría con los asesores legales (abogados) para explicar la situación y revisar los contratos que se usaron. Para así poder inspeccionar alguna irregularidad en esto. Luego se denuncia a la persona correspondiente para evitar mayor daño a la empresa. Políticas de seguridad Una de las políticas de seguridad que se debe implementar en la empresa seria: - Evitar que los empleados realicen trabajos de puestos ajenos al suyo. - Que exista una serie de parámetros en los cuales cada nuevo empleado se le otorgue una cuenta con un nivel de prioridad dado de ante mano según el puesto que este. - Un encargado o supervisor debe hacer auditaría semanalmente para validar y comprobar los accesos del CPD por parte de los usuarios. - Se debe asignar de manera rotativa al empleado que deba realizar los respaldos de la empresa. Siendo uno distintos cada 3 días. - Se debe realizar respaldos en distintos medios tanto físicos como en la nube esto con una frecuencia acorde a la escala de la información. Siendo diariamente los datos de los programas y base de datos. Y cada dos meses respaldo de todos los programas necesarios para las empresas. - El plan de contingencia deberá ser revisado y actualizado anualmente.
- La base de daros debe tener configuradas usuarios con privilegios específicos de pendiendo del trabajador. - No permitir uso de dispositivos portátiles extraíbles como pendrives a los trabajadores que no sea de centro de cómputo. A menos que se tenga el permiso del supervisor. - No permitir la ejecución o instalación de cualquier tipo de software que no sea el permitido para la empresa. - Se deberá de actualizar las contraseñas de los usuarios mensualmente. Preferiblemente con el uso de un software orientado a ellos para su accesibilidad. - Se deberá tener un acuerdo de confidencialidad para evitar que cualquier miembro de la empresa pueda utilizar información o los productos de la empresa a terceros si estas no están relacionadas previamente o que no se haya llegado a un acuerdo a la gerencia. - Impedir que los empleados inserten, manipulen los programas o equipos con el fin de evitar de posibles sabotajes. - Se debe configurar adecuadamente la red de la empresa para evitar accesos remotos a los equipos y limitar el acceso indebido a páginas que no estén permitidos navegar. - Se deberá configurar los correos electrónicos que se le otorgará para los empleados. Y se deberá evitar el contacto con personas no correspondientes a la empresa o de SPAM. - Los distintos administradores de la empresa deberán garantizar la aplicabilidadde estas políticas de pendiendo del área encargada. Siendo el administrador de red garantizar todas las pautas hechas en lo que se refiere a la red y el acceso de ellas. Y así con los distintos administradores pertinentes. Siendo el gerente de área el que supervise si alguna de estas pautas sea han cumplido. - En caso de que algún empleado no sigas las pautas deberá ser, reportados al respectivo gerente o jefe encargado para su penalización.

Recomendados

Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Seguridad
SeguridadSeguridad
SeguridadAna María Citlali Díaz Hernández
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentaciónAna María Citlali Díaz Hernández
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaSergio Salazar Ontiveros
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática Steed10
 
redes y seguridad Proyecto final
redes y seguridad Proyecto finalredes y seguridad Proyecto final
redes y seguridad Proyecto finalCarlos Andres Perez Cabrales
 

Recomendados

Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Seguridad
SeguridadSeguridad
SeguridadAna María Citlali Díaz Hernández
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentaciónAna María Citlali Díaz Hernández
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaSergio Salazar Ontiveros
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática Steed10
 
redes y seguridad Proyecto final
redes y seguridad Proyecto finalredes y seguridad Proyecto final
redes y seguridad Proyecto finalCarlos Andres Perez Cabrales
 
Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadJesús Daniel Mayo
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crsJesus Ortiz
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_visionUTZAC Unidad Académica de Pinos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaSergio Salazar Ontiveros
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAnita Blacio
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Practica 1
Practica 1Practica 1
Practica 1HenriGabrielCalvario
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informáticoCarlos Andres Perez Cabrales
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011tecnodelainfo
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 
Diapositivas
DiapositivasDiapositivas
Diapositivasandrea0712
 
Diapositivas
DiapositivasDiapositivas
Diapositivasandrea0712
 
Casos de Fundamentos de Sistemas de Informacion
Casos de Fundamentos de Sistemas de InformacionCasos de Fundamentos de Sistemas de Informacion
Casos de Fundamentos de Sistemas de InformacionDavid Valentín Riquelme Reyna
 
Casos
CasosCasos
CasosDavid Valentín Riquelme Reyna
 

Más contenido relacionado

La actualidad más candente

Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadJesús Daniel Mayo
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAnita Blacio
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011tecnodelainfo
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 

La actualidad más candente (18)

Proyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y SeguridadProyecto Final CRS - Redes y Seguridad
Proyecto Final CRS - Redes y Seguridad
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Practica 1
Practica 1Practica 1
Practica 1
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informático
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
 

Similar a Plan de contingencia para la empresa atoland S.A.

Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
10 consejos sobre seguridad informática de las empresas en verano
10 consejos sobre seguridad informática de las empresas en verano10 consejos sobre seguridad informática de las empresas en verano
10 consejos sobre seguridad informática de las empresas en veranoCastilla y León Económica
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosAllan Rayo
 
Seguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxSeguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxIESTPPISCO
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mataManuelMataArocha1
 
Gerencia trabajo
Gerencia trabajo Gerencia trabajo
Gerencia trabajo hinryw
 
Seguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxSeguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxLuis Manotas
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosMarcel Castillo
 

Similar a Plan de contingencia para la empresa atoland S.A. (20)

Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Casos de Fundamentos de Sistemas de Informacion
Casos de Fundamentos de Sistemas de InformacionCasos de Fundamentos de Sistemas de Informacion
Casos de Fundamentos de Sistemas de Informacion
 
Casos
CasosCasos
Casos
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
10 consejos sobre seguridad informática de las empresas en verano
10 consejos sobre seguridad informática de las empresas en verano10 consejos sobre seguridad informática de las empresas en verano
10 consejos sobre seguridad informática de las empresas en verano
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxSeguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptx
 
Recomendaciones de seguridad
Recomendaciones de seguridadRecomendaciones de seguridad
Recomendaciones de seguridad
 
10 mandamientos2.0
10 mandamientos2.010 mandamientos2.0
10 mandamientos2.0
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Contenido examen final
Contenido examen finalContenido examen final
Contenido examen final
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mata
 
Gerencia trabajo
Gerencia trabajo Gerencia trabajo
Gerencia trabajo
 
Seguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxSeguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptx
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
 
El fraude informatico
El fraude informaticoEl fraude informatico
El fraude informatico
 
Proyecto final redes y seguridad
Proyecto final redes y seguridad Proyecto final redes y seguridad
Proyecto final redes y seguridad
 

Último

La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 

Último (20)

La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 

Plan de contingencia para la empresa atoland S.A.

  • 1. República bolivariana de Venezuela Ministerio del poder popular para la educación Universidad Antonio José de sucre Plan de contingencia para la empresa Atoland S.A. Estudiante: Luis Delgado C.I: 26.961.952 Asignatura: Seguridad Informática Carrera: Informática Maracay Mayo, 2021
  • 2. Identificación de problemas Identificación de recursos prioritarios e activos importante - Protección de información sensible de la empresa: Datos de los clientes, empleados, y transacciones bancarias importantes. - Operatividad ininterrumpida del área CPD de la empresa. - Cuidado de los equipos informáticos - Protección de confidencialidad de los contractos de la empresa. Identificación de riesgos: 1- Falta de organización y planificación en la ampliación en la empresa. Que la empresa no tenga un plan de acción de crecimiento acarrea problemas y costó de manera imperceptible. Por otra parte, la falta de una planificación, ocasiona asignación inadecuada de recursos, beneficiando más a unas áreas en detrimento de otras, a su vez se corre el riesgo de no tomar en cuenta los factores de seguridad y protección. Siendo que, al ampliar los activos, también aumentara la posibilidad de que ocurran incidentes. Por otra parte, la falta de una planificación adecuada, disminuye su eficacia y pocas veces los resultados no son los esperados. 2- Los empleados a pesar de tener asignado sus respectivos cargos realizan trabajos que no les corresponde. Es un problema de organización que puede afectar tanto al flujo de trabajo en la empresa, que si bien la empresa parece funcionar puede acarrear de inconvenientes a futuro. Además de que puede ocurrir incidentes al realizar ciertas tareas a lo que no se tiene mejor dominio que un especialista puede evitar. Por no hablar de que es un fallo de seguridad en el que la persona puede llegar acceder a lugares que no le corresponde, y así manipular o robar información a la empresa. Por otra parte, cuando los empleados manejan tarea que no le competen, harán
  • 3. las cosas de la forma que entienda mejor, generando pérdida de tiempo e ineficiencia en las operaciones. 3- En el apartado de recursos humanos recurren a medios de registros no impresos a la hora de registrar los usuarios. A su vez que se les pide a dichos usuarios que tipo de privilegios puedan tener. Esto es potencialmente peligroso debido a que se corra el riesgo de que un empleado se le de privilegios que pueden ser mayores a lo que su puesto corresponde, lo cual puede implicar a que haya accidentes en la manipulación de datos vitales de la empresa. Asu vez de que existe el riesgo de que dicho empleado solicite dichos privilegios y programas a propósito, con el fin de que pueda robar información sensible a la empresa, Siendo esto, una vulnerabilidad importante en la empresa. 4- No existe un plan de contingencia en la empresa nada más que una aseguradora. Lo anterior representaría una debilidad en la seguridad empresarial, ya que de ocurrir un accidente provocaría grandes daños a la empresa, produciendo perdida mayor de lo esperado. Por otra parte, la aseguradora solo cubriría los gastos de activos tangibles como equipos, pero no solventaría los daños de la información digital respaldada en discos duros y en los servidores. Con lo que será un impacto muy grave a la empresa. 5- Existe un medio de respaldo importante y un lugar para su almacenamiento seguro. Pero no hay otros tipos de respaldo o monitoreo de quien llevo a cabo dichos respaldos. Que se tenga un respaldo físico para la información de la empresa es vital para cualquier problema técnico, de igual modo se debe de considerar otros medios para respaldar la información, previniendo que otros incidentes que perjudiquen los respaldos. A su vez se debe tomar en cuenta, de que se tiene que tener un orden al momento de guardar la información digital y un responsable que lleve a cabo dicha tarea, porque al momento de realizar una auditoría por accidente o extravío de datos, de no tener un orden, no se podría monitorear
  • 4. quien o quienes manipularon la información, si fue un agente externo o interno de la propia empresa. 6- Acceso libre al CPD por parte de cualquier usuario. Este punto, representa un problema grave a nivel de seguridad, dado a la vulnerabilidad que eso supone, ya que al ser un lugar donde se concentra todos procesamientos y almacenamiento, cualquier usuario de manera intencional pueda sustraer información e incluso perjudicar programas operativos del mismo, por no decir que se tendría siquiera validado quienes han entrado a dicho lugar. Lo que supone una gran vulnerabilidad de seguridad. Lo que repercute en un enorme impacto a la empresa. 7- No existe medidas de acceso a la red Se indica que los usuarios tienen acceso a internet y los emails, pero no se percibe que haya medidas restrictivas se su uso. Cosa importante ya que limita las posibilidades de contagio de virus por parte de los empleados, al acceder a webs poco seguras o de ataques en contra de ellos. A su vez que permitiría varias maneras de ataque para los Hacker/Craker, Sea por medio directos o indirectos. 8- El SIG desarrollado por una persona. Debido a que el SIG fue desarrollado por una persona para la empresa, y este lo uso para asociarse con otra persona es un inconveniente. debido a que la información puede ser manipulada y el programador obtiene beneficio de una creación enfocada a la empresa a la que trabaja, por tal motivo la empresa debe proponer y aplicar una normativa donde todos los programadores firmen documentos de confidencialidad, comprometiéndose a ceder los derechos de sus creaciones propuestas a la empresa. evitando que cualquier programador que desarrolle proyectos enfocados para la empresa lo utilice para su propio beneficio, a su vez que traer pérdidas para la empresa.
  • 5. Análisis del plan de riesgos Situación Observación Riesgo Probable Impacto Costo Ha sufrido un creci- miento en los últimos años. Este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptán- dose al crecimiento del negocio de manera adaptativa y no planifi- cada. - Falta de planificación - Inversión inadecuada de recursos - Falta de perspectiva a mediano y largo plazo - Aumento de riesgos informáticos Probable Muy Alto Muy Alto Cada persona tiene asignado su cargo, en la práctica las posicio- nes se superponen. - Interrupción del flujo de trabajo - Acceso indebido a estaciones no correspondiente Poco probable Bajo Bajo Un formulario pre impreso y pre-numerado En el cual el usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales necesita tener acceso. - Capacidad de manipulación de privilegios indebido. - Acceso a software no correspondiente po r los usuarios. Probable Alto Moderado No se ha identificado la existencia de un plan de contingencia. excepto un contrato con un tercero. - Perdida de información vital. - Falta de prevención y capacitación de los empleados. - Agravamiento de costo por accidente. Muy probable Moderado Alto El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignífuga dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira en el día. - Falta de organización. - Inexistencia de respaldo alternativo. - Riegos de incidentes varios. Poco probable Alto Moderado
  • 6. hoy día se cuenta con una política de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD. - Robo de información sensible. - Sabotaje interno. Probable Muy alto Alto Todos los usuarios tie- nen acceso a e-mail e Internet. Para ello se ha definido un servidor de correo y un servi- dor de Internet. - Acceso libre a la red - Libre acceso a email sin protección contra spam entre otros. - Posible contagio de virus ya sea por email o al navegar en la red. Muy probable Moderado Bajo El SIG desarrollado internamente ha sido idea de un programador. Dado el éxito de esta aplicación en la empresa, esta persona se asoció con otra persona creando la empresa Osoft, la cual comercializa el mismo en el mercado. - No existe acuerdo directo con la actual empresa. - Posible Transferencia de información privilegiada. - Falta de acuerdos para comercializar productos de la empresa. Improbable Moderado Bajo
  • 7. Evaluación de riesgo Se Representará en un cuadro vectorial en el que se evalúa de manera gráfica el impacto de los riesgos de cada situación.
  • 8. Plan de Acción Plan contra desastres naturales - Incendio: Dependiendo de la magnitud gravedad puede ser parcial o total. En tanto a los inmuebles como a su contenido. Una vez aplacado el incendio se debe, hacer inventario de los equipos afectados. Hecho esto se debe procurar realizar las operaciones mientras se restablece los equipos faltantes usando los respaldos físicos. - Temblor: Depende mucho de la magnitud, pero en esos casos puede ocasionar daños insignificantes a un desplome de ciertas pararte de la instalación. Al pasar el temblor, se debe hacer inventario de los equipos afectados. Hecho esto se debe procurar realizar las operaciones mientras se restablece los equipos faltantes usando los respaldos físicos. Si los respaldos físicos llegan a ser perjudicados se debe recurrir al respaldo en la nube para su pronta recuperación de las operaciones. - Pandemia: Un escenario poco común, pero de gran impacto tanto financiero como logístico. En caso de pandemia se debe de tomar las medidas preventivas de salud, tanto para la protección de los empleados, como de las medidas que plante los entes gubernamentales. Por lo que se debe de adquirir también equipos adicionales para solventar obstrucción por parte de la inoperatividad de la empresa. Otorgando equipos como laptops a los empleados para que puedan realizar sus labores de manera remota en caso de que no se pueda acceder a las instalaciones.
  • 9. Plan contra virus informáticos - Infección de los equipos: Este tipo de amenaza dependerá si afecta a un equipo o varios de ellos. Si el virus afecta a uno se debe aislar a dicho equipo para inspeccionar la gravedad, los archivos afectados, el tipo de virus, y su posible procedencia. Si afecta a varios equipos se debe de detener momentáneamente la red de comunicación entre los equipos de la oficina afectados. Si solo es un equipo afectado debe ser quitado de la red del departamento para su correctivo. Si no ocurre impacto alguno y es eliminado, se vuelve a poner en operatividad. Si se elimina, pero afecto a varios archivos se restaura los archivos afectados. Si no se elimina o afecto a muchos archivos se debe recurrir al formateo completo del equipo. Si afecto a varios equipos se debe recurrir (si es que se tiene) a otros equipos de manera temporal para su uso. Una vez solucionado el problema se vuelve a poner los equipos a su uso y devolución de los prestados. Plan contra robos - Robos activo tangibles: Una amenaza común que puede ocurrir en cualquier empresa, y más sino se tiene un buen sistema de seguridad. Si llega ocurrir este escenario se debe evaluar cuales fueron los activos afectados. Si fue un robo de equipos informáticos se debe denunciar el robo de todos los activos, y después se hará inventario de los equipos afectados para su reposición. - Robos activos intangibles: Esto es una amenaza común y que a su vez es perjudicial por el tipo de contenido que poder afectado. De ser posible se debe realizar una investigación sobre el posible tipo de robo afectado y de ser posible si es por empleados internos. A su vez se investigar qué tipo de
  • 10. información pudo a haber sido robado y realizar medidas para prevenir, como filtraciones, extorción o utilización indebida para beneficiar al delincuente. Plan contra daños de los equipos de cómputo (hardware) - Daños de los equipos informático: Puede ocurrir por ser un equipo defectuoso o por el mal manejo de ello. Se le debe encargar a los técnicos correspondiente para realizar el mantenimiento. De no resolverse el problema se debe remplazar o adquirir uno nuevo. Lugo se debe inspeccionar cual pudo ser causante para para tomar medidas preventivas a futuro. Si es que fue producto mal uso de un usuario, por ejemplo. Plan contra daños de los equipos de cómputo (Software) - Inoperatividad del software: Producido por algún bug, fallo del software, mal uso del software o mala implementación. Un fallo que puede llegar a ocurrir en cualquier empresa. En este tipo de casos lo que se debe revisar el posible fallo del software, o contactar con soporte técnico para facilitar la solución (si este fue adquirido). Si no se da con ninguna resolución se debe volver a instalar dicho software al equipo. - Inoperatividad del Sistema operativo: Producido por algún fallo en el sistema operativo, debido a bug o falta de actualizaciones. Se debe actualizar el sistema operativo con el fin de que si esta desactualizado, los parches correspondientes solucionen el problema. De lo contrario contactar con soporte técnico para dar con la solución. De no darse el caso se deberá fomentar el equipo restaurando con el sistema y el software correspondiente.
  • 11. Plan contra infracciones legales - Violación de la normativas o contratos establecidos: Producido por un uno o más integrante que sea realizado acciones en contra de los contratos establecidos por la empresa. Como confidencialidad o transferencia de activos no pactado. Si hubo una violación inminente de una de las normativas se debe realizar consultaría con los asesores legales (abogados) para explicar la situación y revisar los contratos que se usaron. Para así poder inspeccionar alguna irregularidad en esto. Luego se denuncia a la persona correspondiente para evitar mayor daño a la empresa. Políticas de seguridad Una de las políticas de seguridad que se debe implementar en la empresa seria: - Evitar que los empleados realicen trabajos de puestos ajenos al suyo. - Que exista una serie de parámetros en los cuales cada nuevo empleado se le otorgue una cuenta con un nivel de prioridad dado de ante mano según el puesto que este. - Un encargado o supervisor debe hacer auditaría semanalmente para validar y comprobar los accesos del CPD por parte de los usuarios. - Se debe asignar de manera rotativa al empleado que deba realizar los respaldos de la empresa. Siendo uno distintos cada 3 días. - Se debe realizar respaldos en distintos medios tanto físicos como en la nube esto con una frecuencia acorde a la escala de la información. Siendo diariamente los datos de los programas y base de datos. Y cada dos meses respaldo de todos los programas necesarios para las empresas. - El plan de contingencia deberá ser revisado y actualizado anualmente.
  • 12. - La base de daros debe tener configuradas usuarios con privilegios específicos de pendiendo del trabajador. - No permitir uso de dispositivos portátiles extraíbles como pendrives a los trabajadores que no sea de centro de cómputo. A menos que se tenga el permiso del supervisor. - No permitir la ejecución o instalación de cualquier tipo de software que no sea el permitido para la empresa. - Se deberá de actualizar las contraseñas de los usuarios mensualmente. Preferiblemente con el uso de un software orientado a ellos para su accesibilidad. - Se deberá tener un acuerdo de confidencialidad para evitar que cualquier miembro de la empresa pueda utilizar información o los productos de la empresa a terceros si estas no están relacionadas previamente o que no se haya llegado a un acuerdo a la gerencia. - Impedir que los empleados inserten, manipulen los programas o equipos con el fin de evitar de posibles sabotajes. - Se debe configurar adecuadamente la red de la empresa para evitar accesos remotos a los equipos y limitar el acceso indebido a páginas que no estén permitidos navegar. - Se deberá configurar los correos electrónicos que se le otorgará para los empleados. Y se deberá evitar el contacto con personas no correspondientes a la empresa o de SPAM. - Los distintos administradores de la empresa deberán garantizar la aplicabilidadde estas políticas de pendiendo del área encargada. Siendo el administrador de red garantizar todas las pautas hechas en lo que se refiere a la red y el acceso de ellas. Y así con los distintos administradores pertinentes. Siendo el gerente de área el que supervise si alguna de estas pautas sea han cumplido. - En caso de que algún empleado no sigas las pautas deberá ser, reportados al respectivo gerente o jefe encargado para su penalización.