TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
Plan de contingencia para la empresa atoland S.A.
1. República bolivariana de Venezuela
Ministerio del poder popular para la educación
Universidad Antonio José de sucre
Plan de contingencia para la empresa Atoland S.A.
Estudiante: Luis Delgado
C.I: 26.961.952
Asignatura: Seguridad Informática
Carrera: Informática
Maracay Mayo, 2021
2. Identificación de problemas
Identificación de recursos prioritarios e activos importante
- Protección de información sensible de la empresa: Datos de los clientes, empleados, y
transacciones bancarias importantes.
- Operatividad ininterrumpida del área CPD de la empresa.
- Cuidado de los equipos informáticos
- Protección de confidencialidad de los contractos de la empresa.
Identificación de riesgos:
1- Falta de organización y planificación en la ampliación en la empresa.
Que la empresa no tenga un plan de acción de crecimiento acarrea problemas y costó de
manera imperceptible. Por otra parte, la falta de una planificación, ocasiona asignación
inadecuada de recursos, beneficiando más a unas áreas en detrimento de otras, a su vez se
corre el riesgo de no tomar en cuenta los factores de seguridad y protección. Siendo que, al
ampliar los activos, también aumentara la posibilidad de que ocurran incidentes. Por otra parte,
la falta de una planificación adecuada, disminuye su eficacia y pocas veces los resultados no
son los esperados.
2- Los empleados a pesar de tener asignado sus respectivos cargos realizan trabajos que
no les corresponde.
Es un problema de organización que puede afectar tanto al flujo de trabajo en la empresa, que
si bien la empresa parece funcionar puede acarrear de inconvenientes a futuro. Además de
que puede ocurrir incidentes al realizar ciertas tareas a lo que no se tiene mejor dominio que
un especialista puede evitar. Por no hablar de que es un fallo de seguridad en el que la persona
puede llegar acceder a lugares que no le corresponde, y así manipular o robar información a
la empresa. Por otra parte, cuando los empleados manejan tarea que no le competen, harán
3. las cosas de la forma que entienda mejor, generando pérdida de tiempo e ineficiencia en las
operaciones.
3- En el apartado de recursos humanos recurren a medios de registros no impresos a la
hora de registrar los usuarios. A su vez que se les pide a dichos usuarios que tipo de
privilegios puedan tener.
Esto es potencialmente peligroso debido a que se corra el riesgo de que un empleado se le de
privilegios que pueden ser mayores a lo que su puesto corresponde, lo cual puede implicar a
que haya accidentes en la manipulación de datos vitales de la empresa. Asu vez de que existe
el riesgo de que dicho empleado solicite dichos privilegios y programas a propósito, con el fin
de que pueda robar información sensible a la empresa, Siendo esto, una vulnerabilidad
importante en la empresa.
4- No existe un plan de contingencia en la empresa nada más que una aseguradora.
Lo anterior representaría una debilidad en la seguridad empresarial, ya que de ocurrir un
accidente provocaría grandes daños a la empresa, produciendo perdida mayor de lo esperado.
Por otra parte, la aseguradora solo cubriría los gastos de activos tangibles como equipos, pero
no solventaría los daños de la información digital respaldada en discos duros y en los
servidores. Con lo que será un impacto muy grave a la empresa.
5- Existe un medio de respaldo importante y un lugar para su almacenamiento seguro.
Pero no hay otros tipos de respaldo o monitoreo de quien llevo a cabo dichos respaldos.
Que se tenga un respaldo físico para la información de la empresa es vital para cualquier
problema técnico, de igual modo se debe de considerar otros medios para respaldar la
información, previniendo que otros incidentes que perjudiquen los respaldos. A su vez se debe
tomar en cuenta, de que se tiene que tener un orden al momento de guardar la información
digital y un responsable que lleve a cabo dicha tarea, porque al momento de realizar una
auditoría por accidente o extravío de datos, de no tener un orden, no se podría monitorear
4. quien o quienes manipularon la información, si fue un agente externo o interno de la propia
empresa.
6- Acceso libre al CPD por parte de cualquier usuario.
Este punto, representa un problema grave a nivel de seguridad, dado a la vulnerabilidad que
eso supone, ya que al ser un lugar donde se concentra todos procesamientos y
almacenamiento, cualquier usuario de manera intencional pueda sustraer información e
incluso perjudicar programas operativos del mismo, por no decir que se tendría siquiera
validado quienes han entrado a dicho lugar. Lo que supone una gran vulnerabilidad de
seguridad. Lo que repercute en un enorme impacto a la empresa.
7- No existe medidas de acceso a la red
Se indica que los usuarios tienen acceso a internet y los emails, pero no se percibe que haya
medidas restrictivas se su uso. Cosa importante ya que limita las posibilidades de contagio de
virus por parte de los empleados, al acceder a webs poco seguras o de ataques en contra de
ellos. A su vez que permitiría varias maneras de ataque para los Hacker/Craker, Sea por medio
directos o indirectos.
8- El SIG desarrollado por una persona.
Debido a que el SIG fue desarrollado por una persona para la empresa, y este lo uso para
asociarse con otra persona es un inconveniente. debido a que la información puede ser
manipulada y el programador obtiene beneficio de una creación enfocada a la empresa a la
que trabaja, por tal motivo la empresa debe proponer y aplicar una normativa donde todos los
programadores firmen documentos de confidencialidad, comprometiéndose a ceder los
derechos de sus creaciones propuestas a la empresa. evitando que cualquier programador
que desarrolle proyectos enfocados para la empresa lo utilice para su propio beneficio, a su
vez que traer pérdidas para la empresa.
5. Análisis del plan de riesgos
Situación Observación Riesgo
Probable
Impacto Costo
Ha sufrido un creci-
miento en los últimos
años. Este crecimiento
explosivo ha generado
que la función TI de la
empresa fuese adaptán-
dose al crecimiento del
negocio de manera
adaptativa y no planifi-
cada.
- Falta de planificación
- Inversión
inadecuada de
recursos
- Falta de perspectiva
a mediano y largo
plazo
- Aumento de riesgos
informáticos
Probable Muy Alto Muy Alto
Cada persona tiene
asignado su cargo, en
la práctica las posicio-
nes se superponen.
- Interrupción del flujo
de trabajo
- Acceso indebido a
estaciones no
correspondiente
Poco
probable
Bajo Bajo
Un formulario pre
impreso y pre-numerado
En el cual el usuario
llena cuáles son sus
datos y cuáles son las
aplicaciones y funciones
a las cuales necesita
tener acceso.
- Capacidad de
manipulación de
privilegios indebido.
- Acceso a software
no correspondiente
po r los usuarios.
Probable Alto Moderado
No se ha identificado
la existencia de un
plan de contingencia.
excepto un contrato
con un tercero.
- Perdida de
información vital.
- Falta de prevención y
capacitación de los
empleados.
- Agravamiento de
costo por accidente.
Muy
probable
Moderado Alto
El respaldo se realiza en
doble copia las cuales
se guardan en una caja
fuerte ignífuga dentro
del centro de cómputos.
Los respaldos los realiza
el último programador
que se retira en el día.
- Falta de
organización.
- Inexistencia de
respaldo alternativo.
- Riegos de incidentes
varios.
Poco
probable
Alto Moderado
6. hoy día se cuenta con
una política de puertas
abiertas. Por lo cual los
usuarios son libres de
ingresar al CPD.
- Robo de información
sensible.
- Sabotaje interno.
Probable Muy alto Alto
Todos los usuarios tie-
nen acceso a e-mail e
Internet. Para ello se
ha definido un servidor
de correo y un servi-
dor de Internet.
- Acceso libre a la red
- Libre acceso a email
sin protección contra
spam entre otros.
- Posible contagio de
virus ya sea por email
o al navegar en la
red.
Muy
probable
Moderado Bajo
El SIG desarrollado
internamente ha sido
idea de un programador.
Dado el éxito de esta
aplicación en la
empresa, esta persona
se asoció con otra
persona creando la
empresa Osoft, la cual
comercializa el mismo
en el mercado.
- No existe acuerdo
directo con la actual
empresa.
- Posible
Transferencia de
información
privilegiada.
- Falta de acuerdos
para comercializar
productos de la
empresa.
Improbable Moderado Bajo
7. Evaluación de riesgo
Se Representará en un cuadro vectorial en el que se evalúa de manera gráfica el impacto de
los riesgos de cada situación.
8. Plan de Acción
Plan contra desastres naturales
- Incendio: Dependiendo de la magnitud gravedad puede ser parcial o total. En tanto a
los inmuebles como a su contenido.
Una vez aplacado el incendio se debe, hacer inventario de los equipos afectados. Hecho
esto se debe procurar realizar las operaciones mientras se restablece los equipos
faltantes usando los respaldos físicos.
- Temblor: Depende mucho de la magnitud, pero en esos casos puede ocasionar daños
insignificantes a un desplome de ciertas pararte de la instalación.
Al pasar el temblor, se debe hacer inventario de los equipos afectados. Hecho esto se
debe procurar realizar las operaciones mientras se restablece los equipos faltantes
usando los respaldos físicos. Si los respaldos físicos llegan a ser perjudicados se debe
recurrir al respaldo en la nube para su pronta recuperación de las operaciones.
- Pandemia: Un escenario poco común, pero de gran impacto tanto financiero como
logístico.
En caso de pandemia se debe de tomar las medidas preventivas de salud, tanto para la
protección de los empleados, como de las medidas que plante los entes
gubernamentales. Por lo que se debe de adquirir también equipos adicionales para
solventar obstrucción por parte de la inoperatividad de la empresa. Otorgando equipos
como laptops a los empleados para que puedan realizar sus labores de manera remota
en caso de que no se pueda acceder a las instalaciones.
9. Plan contra virus informáticos
- Infección de los equipos: Este tipo de amenaza dependerá si afecta a un equipo o
varios de ellos. Si el virus afecta a uno se debe aislar a dicho equipo para inspeccionar
la gravedad, los archivos afectados, el tipo de virus, y su posible procedencia. Si afecta
a varios equipos se debe de detener momentáneamente la red de comunicación entre
los equipos de la oficina afectados.
Si solo es un equipo afectado debe ser quitado de la red del departamento para su
correctivo. Si no ocurre impacto alguno y es eliminado, se vuelve a poner en
operatividad. Si se elimina, pero afecto a varios archivos se restaura los archivos
afectados. Si no se elimina o afecto a muchos archivos se debe recurrir al formateo
completo del equipo. Si afecto a varios equipos se debe recurrir (si es que se tiene) a
otros equipos de manera temporal para su uso. Una vez solucionado el problema se
vuelve a poner los equipos a su uso y devolución de los prestados.
Plan contra robos
- Robos activo tangibles: Una amenaza común que puede ocurrir en cualquier
empresa, y más sino se tiene un buen sistema de seguridad.
Si llega ocurrir este escenario se debe evaluar cuales fueron los activos afectados. Si
fue un robo de equipos informáticos se debe denunciar el robo de todos los activos, y
después se hará inventario de los equipos afectados para su reposición.
- Robos activos intangibles: Esto es una amenaza común y que a su vez es perjudicial
por el tipo de contenido que poder afectado.
De ser posible se debe realizar una investigación sobre el posible tipo de robo afectado
y de ser posible si es por empleados internos. A su vez se investigar qué tipo de
10. información pudo a haber sido robado y realizar medidas para prevenir, como
filtraciones, extorción o utilización indebida para beneficiar al delincuente.
Plan contra daños de los equipos de cómputo (hardware)
- Daños de los equipos informático: Puede ocurrir por ser un equipo defectuoso o por
el mal manejo de ello.
Se le debe encargar a los técnicos correspondiente para realizar el mantenimiento. De
no resolverse el problema se debe remplazar o adquirir uno nuevo. Lugo se debe
inspeccionar cual pudo ser causante para para tomar medidas preventivas a futuro. Si
es que fue producto mal uso de un usuario, por ejemplo.
Plan contra daños de los equipos de cómputo (Software)
- Inoperatividad del software: Producido por algún bug, fallo del software, mal uso del
software o mala implementación. Un fallo que puede llegar a ocurrir en cualquier
empresa.
En este tipo de casos lo que se debe revisar el posible fallo del software, o contactar
con soporte técnico para facilitar la solución (si este fue adquirido). Si no se da con
ninguna resolución se debe volver a instalar dicho software al equipo.
- Inoperatividad del Sistema operativo: Producido por algún fallo en el sistema
operativo, debido a bug o falta de actualizaciones.
Se debe actualizar el sistema operativo con el fin de que si esta desactualizado, los
parches correspondientes solucionen el problema. De lo contrario contactar con soporte
técnico para dar con la solución. De no darse el caso se deberá fomentar el equipo
restaurando con el sistema y el software correspondiente.
11. Plan contra infracciones legales
- Violación de la normativas o contratos establecidos: Producido por un uno o más
integrante que sea realizado acciones en contra de los contratos establecidos por la
empresa. Como confidencialidad o transferencia de activos no pactado.
Si hubo una violación inminente de una de las normativas se debe realizar consultaría
con los asesores legales (abogados) para explicar la situación y revisar los contratos
que se usaron. Para así poder inspeccionar alguna irregularidad en esto. Luego se
denuncia a la persona correspondiente para evitar mayor daño a la empresa.
Políticas de seguridad
Una de las políticas de seguridad que se debe implementar en la empresa seria:
- Evitar que los empleados realicen trabajos de puestos ajenos al suyo.
- Que exista una serie de parámetros en los cuales cada nuevo empleado se le otorgue
una cuenta con un nivel de prioridad dado de ante mano según el puesto que este.
- Un encargado o supervisor debe hacer auditaría semanalmente para validar y
comprobar los accesos del CPD por parte de los usuarios.
- Se debe asignar de manera rotativa al empleado que deba realizar los respaldos de la
empresa. Siendo uno distintos cada 3 días.
- Se debe realizar respaldos en distintos medios tanto físicos como en la nube esto con
una frecuencia acorde a la escala de la información. Siendo diariamente los datos de
los programas y base de datos. Y cada dos meses respaldo de todos los programas
necesarios para las empresas.
- El plan de contingencia deberá ser revisado y actualizado anualmente.
12. - La base de daros debe tener configuradas usuarios con privilegios específicos de
pendiendo del trabajador.
- No permitir uso de dispositivos portátiles extraíbles como pendrives a los trabajadores
que no sea de centro de cómputo. A menos que se tenga el permiso del supervisor.
- No permitir la ejecución o instalación de cualquier tipo de software que no sea el
permitido para la empresa.
- Se deberá de actualizar las contraseñas de los usuarios mensualmente.
Preferiblemente con el uso de un software orientado a ellos para su accesibilidad.
- Se deberá tener un acuerdo de confidencialidad para evitar que cualquier miembro de
la empresa pueda utilizar información o los productos de la empresa a terceros si estas
no están relacionadas previamente o que no se haya llegado a un acuerdo a la gerencia.
- Impedir que los empleados inserten, manipulen los programas o equipos con el fin de
evitar de posibles sabotajes.
- Se debe configurar adecuadamente la red de la empresa para evitar accesos remotos
a los equipos y limitar el acceso indebido a páginas que no estén permitidos navegar.
- Se deberá configurar los correos electrónicos que se le otorgará para los empleados. Y
se deberá evitar el contacto con personas no correspondientes a la empresa o de SPAM.
- Los distintos administradores de la empresa deberán garantizar la aplicabilidadde estas
políticas de pendiendo del área encargada. Siendo el administrador de red garantizar
todas las pautas hechas en lo que se refiere a la red y el acceso de ellas. Y así con los
distintos administradores pertinentes. Siendo el gerente de área el que supervise si
alguna de estas pautas sea han cumplido.
- En caso de que algún empleado no sigas las pautas deberá ser, reportados al respectivo
gerente o jefe encargado para su penalización.