1. INSTITUTO TECNOLÓGICO SUPERIOR
“JOSÉ OCHOA LEÓN”
PLAN DE CONTINGENCIA PARA LA EMPRESA
MAOSOFT
INTEGRANTES:
GALARZA AGUILAR DAYSI PIEDAD
IMBAQUINGO DUEÑAS VICTOR HUGO
JACHO RIOFRÍO KEVIN DARIO
OLMEDO PARRA JENNIFFER JULISSA
SOLANO SÁNCHEZ JOHN JAIRO
TUTOR:
ING. MAYRA SALDAÑA
CURSO:
Sexto Nocturno “B”
PASAJE - EL ORO – ECUADOR
9 DE OCTUBRE DE 2018
2. 2
Índice
1. INTRODUCCIÓN............................................................................................................3
2. PROPÓSITO.....................................................................................................................4
3. OBJETIVOS.....................................................................................................................4
3.1 Objetivo General...............................................................................................................4
3.2 Objetivos Específicos .......................................................................................................4
4. ALCANCE .......................................................................................................................4
5. DESARROLLO ..................................................................................................................4
5.1IDENTIFICACIÓN DE RIESGOS ...................................................................................4
5.2 VALORACIÓN DE RIESGOS ........................................................................................6
5.3ANÁLISIS DEL RIESGO .................................................................................................7
5.3.1 Tipos de Contingencia:..................................................................................................7
5.3.2 TERREMOTO ...............................................................................................................7
5.3.3 INCENDIO ....................................................................................................................8
5.3.4 ROBO ............................................................................................................................9
5.3.5 FALLAS EN LOS EQUIPOS ..................................................................................9
5.3.6 VIRUS INFORMÁTICOS ............................................................................................9
5.3.7 PLAN DE RESPALDO ...............................................................................................12
6. CONCLUSIONES............................................................................................................14
7. RECOMENDACIONES...................................................................................................14
8. REFERENCIAS BIBLIOGRÁFICAS .............................................................................15
3. 3
1. INTRODUCCIÓN
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta una
estructura estratégica y operativa que ayudará a controlar una situación de emergencia y a
minimizar sus consecuencias negativas.
La Empresa Maosoft tiene como principal responsabilidad, conservar la tranquilidad,
seguridad de nuestros clientes, e incluso de los equipos tecnológicos, con la finalidad de
poder seguir brindando un excelente servicio para todos. Es por ello que se presenta en el
siguiente plan, las actividades a tomar en cuenta, tanto antes, durante y después de la
contingencia.
La finalidad del presente documento es pretender ayudar a comprender los sucesos
imprevisibles debido a que el plan de contingencia es una herramienta principal para dar
una repuesta oportuna y así lograr tomar las medidas de seguridad adecuadas para proteger
los sistemas de información importantes soportados por el computador y el personal que
labora dentro en la Empresa Maosoft para de esta manera estar prevenido de lo que pueda
ocurrir en cualquier momento.
4. 4
2. PROPÓSITO
El propósito de realizar este plan de contingencia, es dar a conocer a todos, la
preocupación, hacia todo tipo de desastre común.
3. OBJETIVOS
3.1 Objetivo General
Prevenir sucesos no planificados, como previsibles y las actividades de respuesta
inmediata mediante las reglas establecidas para controlar las emergencias de manera
oportuna y eficaz.
3.2 Objetivos Específicos
Capacitar al personal en materias de actuación ante emergencias.
Ejecutar las acciones de control y rescate durante y después de la ocurrencia de
desastres.
Minimizar el daño permanente a los recursos informáticos.
4. ALCANCE
El plan de contingencia permitirá durante el suceso, proveer una guía de las principales
acciones a seguir ante una contingencia y será aplicado al personal de la Empresa Maosoft.
5. DESARROLLO
5.1 IDENTIFICACIÓN DE RIESGOS
El propósito de la identificación de riesgos es analizar cada uno de los eventos que se
presenten en la Empresa Maosoft para poder mantener el control adecuado y llegar a las
posibles soluciones.
5. 5
Vulnerabilidades Amenazas Riesgos Solución
Perjudica la
seguridad de la
base de datos.
Inyección SQL Integridad de
aplicación web.
Mantener actualizadas las
bases de datos, recurrir a
herramientas como el
análisis de código estático,
que ayudan a reducir los
problemas de inyección de
SQL y hacer copias de
seguridad frecuentes.
Equipos
indispuestos
Fallos de
seguridad
Instalaciones
inadecuadas de los
cables de energía y
red.
Tener un cableado bien
estructurado para que no
afecte en nada a los equipos
tecnológicos.
Daños de los
equipos
Virus
informáticos
Denegación de
servicios
Tener todas las aplicaciones
actualizadas, un antivirus
bueno y no bajar archivos
de sitios que no sean
conocidos.
Contraseñas
inseguras
Robo de
información
Perdida de
confidencialidad,
integridad de la
información
Realizar un backups de la
información, colocar
cámaras de vigilancia o
alarmas que eviten robos y
plataformas de anclaje en
los diferentes elementos del
computador.
6. 6
5.2 VALORACIÓN DE RIESGOS
El presente propósito de la valoración de riesgos consiste en identificar cada uno de los
riesgos para de esta manera determinar una posible solución.
PP: Promedio Probabilidad
PI: Promedio Impacto
VR: Valoración de Riesgos
Resumen de Valoración de Riesgos
N° Riesgos PP PI VR
1 Integridad de aplicación web 3 2 6
2 Instalaciones inadecuadas de
los cables de energía y red.
1 2 2
3 Denegación de servicios 3 3 9
4 Perdida de confidencialidad,
integridad de la información
1 2 2
Análisis: Según la tabla de valoración de riesgos se muestra que el riesgo más alto es la
denegación de servicios, la cual su posible solución sería mantener los equipos con antivius
actualizados, adecuar los sistemas de la empresa a la demanda de tráfico web y recurrir a
herramientas como el análisis de código estático, que ayudan a reducir los problemas de
inyección de SQL.
1. PP: Promedio Probabilidad
2. PI: Promedio Impacto
3. VR: Valoración de Riesgos
1. Bajo
2. Medio
3. Alto
7. 7
5.3 ANÁLISIS DEL RIESGO
El presente realiza un análisis de todos los elementos de riesgos a los cuales está expuesto
tanto a un evento humano o natural en cualquier momento.
5.3.1 Tipos de Contingencia:
Naturales: Causados por fenómenos de la naturaleza. Un riesgo natural se define como la
probabilidad, pequeña o grande, de que la población de una zona sufra un daño o una
catástrofe como consecuencia de un proceso natural.
Tecnológicos: Causados por fallas en las instalaciones o equipos. Un riesgo tecnológicoes
la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o
dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal
de distribución de Información que la empresa dispone para prestar sus servicios.
Sociales: Causados por los seres humanos.
5.3.2 TERREMOTO
En caso de un evento en las instalaciones de la empresa Maosoft, por su naturaleza, deberá
ser desalojado de inmediato.
Antes de que ocurra el evento lo que debe hacer:
1. Realización de simulacros.
2. Dar capacitación o instruir.
3. Preparar botiquín de primeros auxilios y equipos de emergencia.
Durante el evento:
1. Mantenga la calma.
2. Si se encuentra en el interior de las instalaciones, manténgase dentro del mismo,
póngase a cubierto debajo de una mesa, escritorio u otro mueble fuerte; si es posible,
recostado contra una pared interior protegiéndose la cabeza y el cuello.
3. Si se encuentra fuera de las instalaciones, aléjese de edificios, paredes y líneas
eléctricas u otros servicios.
Después del evento:
1. Examinar si hay heridos y proveer los primeros auxilios.
8. 8
2. Verificar si hay personas atrapadas o desaparecidas y notificar
Inmediatamente.
3. Verificar daños a las instalaciones y problemas potenciales de seguridad durante
los movimientos sísmicos secundarios.
4. Sintonice la radio y/o noticieros para que esté pendiente a las instrucciones.
Daños que ocurría en caso de un terremoto
Perdida de equipos tecnológicos.
Perdida de información.
5.3.3 INCENDIO
Antes de la emergencia:
1. Realizar inspecciones periódicas para verificar el buen funcionamiento de los
extintores.
2. Realizar inspecciones de las instalaciones eléctricas.
3. Verificar periódicamente que funcionen los sensores de humo.
En la emergencia:
1. Atacar el fuego con extintores cercanos al área de conflicto.
2. Si logra apagar el fuego, dará aviso al cuerpo de bomberos.
3. Si no se logra apagar el fuego, se dirigirse a un al Punto de Encuentro.
Después de la emergencia:
1. Acatar las órdenes del cuerpo de bomberos.
2. Ayudar a la limpieza de la oficina luego de la emergencia.
¿Cómo evitar un incendio?
1. En referencia a los equipos tecnológicos, el personal responsable debe almacenar toda
la información en un lugar diferente para que de esta manera tener una restauración,
para que la empresa siga con sus labores sin ningún problema.
2. No debe estar permitido fumar en el área de proceso.
3. La temperatura no debe sobrepasar los 18º C y el límite de humedad no debe superar el
65% para evitar el deterioro.
4. Deben instalarse extintores manuales o automáticos
9. 9
5.3.4 ROBO
Lo que afecta a la seguridad de la empresa Maosoft:
Muy probablemente que suceda un robo de cualquier equipo tecnológico ya que no
cuenta con seguridad avanzada como cámaras de vigilancia o alarmas que eviten robos.
Lo que afecte a la integridad de datos:
El robo de un equipo tecnológico que pertenece a la alta gerencia implica que toda esa
información de la empresa pierde su confidencialidad.
¿Cómo evitar el robo?
1. Colocar plataformas de anclaje en los diferentes elementos del computador (monitor,
cpu, impresora, etc.).
2. Colocar a los equipos tecnológicos dentro de vitrinas, por ejemplo: mouses, teclados,
parlantes, micrófonos, cámaras, etc.
3. Diseñar muebles para ordenadores de forma que se pueda asegurar fácilmente la
máquina y los periféricos (Tapas con llave, puertas, etc.).
4. Evitar que quiten la tapa del ordenador y se lleven la unidad y tarjetas adaptadoras.
5. Ingresar contraseñas seguras.
6. Realizar backups de la información.
5.3.5 FALLAS EN LOS EQUIPOS
Se posee un buen mantenimiento de equipos e instalaciones adecuadas y acondicionadas con buena
ventilación, sin embargo, no se está exento a que los equipos fallen y que de esta forma pueda haber
pérdida de información.
5.3.6 VIRUS INFORMÁTICOS
Tipos de virus informáticos:
Troyano
Una amenaza típica. Se trata de un programa malicioso que se camufla como uno normal e
inocente. En realidad, oculta archivos programados para tomar el control de un dispositivo.
Ransomware
10. 10
Es un término se ha puesto de moda en los últimos tiempos. Es un programa diseñado
para secuestrar un ordenador. El atacante posteriormente pide una cantidad económica a la
víctima para liberar estos archivos.
Spyware
Se trata de un software malicioso que está programado para espiarnos. Lo normal es que el
objetivo sea robar datos personales de la víctima.
Keyloggers
Un keylogger tiene como objetivo robar datos. Más concretamente averiguar contraseñas o
nombres de usuario. Su funcionamiento consiste en registrar las pulsaciones de teclado que
realizamos. Por ejemplo, a la hora de poner nuestro usuario y contraseña en el correo,
quedaría guardado.
Adware
Es una de las amenazas más molestas para el usuario. Básicamente su función es
inundarnos de publicidad intrusiva, las muy conocidas ventanas emergentes, banners a la
hora de navegar y barras en el navegador.
Dado el caso crítico de que se presente virus en las computadoras se procederá a lo
siguiente:
1. Presentado el problema el gerente evaluará si es necesario declarar el estado de
Contingencia en caso que se encuentre en la ejecución de un proceso crítico, si es
así comunicará al personal a su cargo sobre tal hecho.
2. La alta gerencia, realizará una investigación del hecho, para detectar cómo es
que los equipos de cómputo se han infectado y proponer una nueva medida
preventiva para este caso.
3. Si los archivos infectados son aislados y aún persiste el mensaje de que existe virus
en el sistema, lo más probable es que una de las estaciones es la que causó la
infección, debiendo el equipo de emergencia retirarla del ingreso al sistema y
proceder a su revisión.
4. La alta gerencia deberá hacer una evaluación general de todos los equipos de
cómputo para detectar posibles amenazas de este tipo con la utilización de un
antivirus.
11. 11
5. La alta gerencia en su proceso de evaluación encontrará virus, deberá dar la opción
de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendará borrar
el archivo, tomar nota de los archivos que se borren.
6. Si el virus causó suficiente daño como para evitar que los equipos de cómputo operen
normalmente, el gerente deberá proceder a formatear el equipo, instalando el mismo
software base y operacional. A si como los backups de la Base de Datos.
7. Una vez solucionado el problema, el gerente levantará el estado de Contingencia,
notificará al personal involucrado.
¿Qué se debe hacer para prevenir un ataque de los virus informáticos?
1. Los equipos deben tener un antivirus instalado y actualizado.
2. Mantener actualizado el sistema operativo y sus respectivos programas.
3. Desconfía, por sistema, de los mensajes no conocidos que llegan por correo
electrónico. Si tienen prisa, te adulan, te regalan, te amenazan, etc.
4. Revisa siempre el remitente. Si tienes alguna duda de quién te envía o
el canal que usa, ponte en contacto con esa persona por otro canal
por ejemplo: teléfonos para verificar que es quien te lo está enviando.
5. No hagas clic sobre nada (enlace, dirección de correo, enlace, imagen, etc.) Antes
de eso, pasa el ratón sobre él para ver a qué página te dirige y si el lugar es
legítimo¡Ojo! Algunos enlaces se disfrazan como si fueran Dropbox, Google
Driveo OneDrive.
6. Desconfía de las URL acortadas (estilo bit.ly y similares). Si un
enlace de esos te pide algún tipo de datos, desconfía.
7. Antes de meter tus datos en una web, comprueba que ésta comienza por
https://. Es una Web segura.
8. No, des tus datos reales, email, teléfono, dirección en cualquier
lugar. Hazlo sólo en aquellos en los que confíes. Recuerda, si es gratis, el
producto eres tú y pagas con tus datos.
12. 12
5.3.7 PLAN DE RESPALDO
El Plan de Respaldo trata de cómo se llevan a cabo las acciones críticas entre la pérdida de
un servicio o recurso, y su recuperación o reestablecimiento. Todos los nuevos diseños de
Sistemas, Proyectos, tendrán sus propios Planes de Respaldo.
Respaldo de datos Vitales
Identificar las áreas para realizar respaldos:
1. Sistemas en Red.
2. Sistemas no conectados a Red.
3. Sitio Web.
Las precauciones para los equipos informáticos:
1. Haz un respaldo de toda tu información y mantenla a salvo.
No hagas tus respaldos en USB: Estos dispositivos, aunque son muy prácticos,
están diseñados para transportar la información, no para protegerla.
Lo idóneo es que tengas un disco duro portátil destinado únicamente como tu
respaldo emergente, así que invierte en uno de calidad.
2. Ten todo conectado a un No-Break o regulador (una batería recargable)
Es común que con los sismos fuertes o incluso, con las lluvias muy intensas, se
vaya a la luz: sólo basta con un apagón de unos cuantos minutos para que lo pierdas
todo.
Invierte en un no-break o regulador de calidad, es decir, que tenga la suficiente
resistencia para proteger tus equipos si hay un apagón fuerte, y por tanto, tu
información.
Recuerda que, aunque tus equipos estén apagados, si hay descargas súbitas de
energía, se pueden afectar. Así que a menos que lo creas muy necesario, siempre
déjalos desconectados si no estás.
Activos a Proteger.
La documentación, Base de datos y los sistemas Informáticos con los que cuenta la
Empresa Maosoft.
13. 13
Equipos de cómputo y conectividad.
Software de aplicaciones y copias de respaldo.
Se puede identificar los siguientes bienes afectados a riesgos:
1. Personal
2. Hardware
3. Software y utilitarios
4. Datos e información
5. Documentación
6. Suministro de energía eléctrica
14. 14
6. CONCLUSIONES
La Empresa Maosotf debe tener en cuenta que es muy importante contar con un Plan de
Contingencias ya que de esta manera tendrían en consideración que tanto los seres humanos
como los equipos tecnológicos somos vulnerables a sufrir riesgos de todo tipo por muy
buena que sea la empresa tampoco esta excenta de sufrir algún incidente. El plan de
contingencia nos guía acerca de los procedimientos o pasos a seguir en caso de que
ocurriera algún evento.
El presente plan de contingencia es una herramienta para reaccionar adecuadamente ante
eventos críticos, se debe tener en cuenta una seguridad orientada a proteger todos los
recursos informáticos desde un dato más simple hasta lo más valioso, la finalidad es de
instruir al personal de la empresa Maosoft para así tomar medidas de precaución que pueda
afectar la pérdida de la información y demás recursos tecnológicos de dicha empresa.
7. RECOMENDACIONES
El plan de contingencia debe ser revisado periódicamente, generalmente la revision
deberá ser consecuencia de un análisis de riesgo.
Hacer de conocimiento general el contenido del presente plan de contingencia, con
la finalidad de instruir al personal de la empresa Maosoft.
Capacitar al personal de la empresa ante cualquier evento que ocurra.