MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
lmtb07Trabajo12 de Septiembre de 2018
25.380 Palabras (102 Páginas)293 Visitas
PROGRAMA:
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CURSO:
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
TRABAJO
FASE 3. PLAN DE CONTINUIDAD DE NEGOCIO
PRESENTADO POR
Datos del Estudiante
Estudiante: 1082993618
Nombre: LUIS MIGUEL TORRES BARRIOS
Programa Actual: INGENIERIA DE SISTEMAS
Centro: SANTA MARTA
PRESENTADO A
ING. SALOMÓN GONZÁLEZ
MAYO 2018
Tabla de Contenido
INTRODUCCIÓN 2
JUSTIFICACION: 2
DELIMITACIÓN 4
Espacio. 4
Tiempo 4
OBJETIVOS 5
Objetivo General: 5
Objetivos Específicos: 5
Antecedentes 6
Glosario: 8
Otros Términos: 9
Marco Teórico: 11
Riesgos operativos. 11
Riesgos legales. 11
Riesgo Reputacional. 11
Análisis de impacto en el negocio (Business Impact Analysis-BIA). 12
Tiempos de recuperación. Tanto RPO y RTO 12
Tiempo Objetivo de recuperación (RTO). 12
Punto objetivo de recuperación (RPO). 12
Evaluación de riesgos: 12
Estrategia de continuidad de negocio: 12
Procedimientos de continuidad de negocio: 13
Ejercicios y pruebas: 13
Mejora. 13
Determinar el propósito del PCN y seleccionar el líder y el equipo responsable de llevarlo a cabo 14
Propósito 14
Propósitos adicionales: 14
a) Integrantes: 14
b) Funciones generales: 14
ALCANCE Y APLICABILIDAD 16
Nota: 17
Servicios que funcionan en el edificio principal 17
Servicios que funcionan adyacentes a edificio principal 18
Liderazgo en el PCN 18
RIESGOS 20
Gestión de Riesgos. 20
Metodología de gestión de riesgos 21
7. MATERIALES Y EQUIPOS ANTI Riesgos Hospital Salud S.A: 21
7.1 Tarjetas de identificación de los pacientes 21
7.2 Alarma sonora 21
7.3 Carteles de deberes para los usuarios 21
7.4 Señaletica para evacuación 21
7.5 Planos de evacuación 21
7.6 Multicopias del plan de emergencias y desastres 21
7.7 Silbatos para responsables de la evacuación 21
7.8 Megáfono 21
7.9 Campana 7.10 Intercomunicadores 21
definir actividades y procesos Criticos: 22
Alcance de Puestos de Alto Riesgo Estos son: 22
Tipos de Desastres Hipotéticos: 27
Como recuperar cada uno de los procesos o actividades 33
Plan de Recuperación de Desastres (DRP) 33
Organización de los Equipos 35
Evaluación de riesgos 37
Respuestas a incidentes: 37
PROCEDIMIENTOS OPERATIVOS 37
FIN DE LA EMERGENCIA 45
Finalización de la Emergencia 45
Realizar el plan de pruebas: 49
Revisar el plan de continuidad: 54
SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO 54
CONCLUSIONES 54
BIBLIOGRAFÍA 55
INTRODUCCIÓN:
Cada día el creciente avance de las tecnologías y la comunicación conllevan a los usos de los servicios de Internet, por ello nace la necesidad indispensable de diseñar e implementar estrategias y nuevos componentes de seguridad para proteger los activos más importantes de una organización: la información. Ahora, con el auge e impulso que ha tomado la red de redes y su amplia masificación en todo tipo de contexto en las áreas del desenvolvimiento humano, la convierten en un blanco apetitoso, es “caldo de cultivo” para que existan un importante número de peligros y amenazas que acechan con sigilo la información que se almacena, por ello es de vital importancia saber cómo evitarlas y asegurar una transferencia segura de dicha información.
Dentro de este marco de ideas, cabe resaltar que la información es considerada como el activo más valioso que puedan tener las empresas u organizaciones, partiendo de que perder la información que éstas tengan almacenada, incurría no sólo en costos inestimables, sino del mismo modo, en la desconfianza de los clientes y usuarios, que no creerían en la buena imagen corporativa. De aquí nace la imperiosa necesidad de que la seguridad de la información haga parte integral de los objetivos misionales, operativos y sistemáticos que las empresas u organizaciones diseñan en función de su ejercicio ejecutorio. No obstante, aún es evidente en un sinnúmero de organizaciones la carencia significativa de elementos y políticas que minimicen los riesgos ante cualquier evento que ponga en latente peligro o vulnerabilidad la información que se procese al interior de ésta.
Por supuesto, la tecnología, que progresa de manera acelerada, dado a las diversas necesidades y demandas que surgen con el constante crecimiento de la sociedad en la que se convive, da pie a que de ese mismo modo, los ataques informáticos y/o cibernéticos se tornen mucho más sofisticados, fuertes e inminentes, situación que emite una “alerta roja” a las empresas u organizaciones acoger las medidas y controles a los que haya lugar en aras de proteger y salvaguardar la información que se produzca ante cualquier situación que ponga en riesgo los activos informáticos con los que éstas cuentan.
No cabe la menor duda que actualmente, un importante número de empresas del ámbito local, nacional e incluso internacional, se encuentran estrechamente vinculadas con temáticas de alta trascendencia, como lo es, la seguridad informática y de la información al interior de éstas. Las organizaciones y/o empresas, de acuerdo a su tamaño (pequeña, mediana o grande) cuentan con un determinado número de dispositivos tecnológicos en donde son almacenadas las grandes cantidades de información que se procesan y la cual, dado a su carácter de confidencialidad, es necesario guardar bajo estrictas medidas de seguridad. No obstante, la confidencialidad es apenas una de las tantas características que debe tener la información almacenada; ésta también debe tener un carácter de “privado”, situación que restringe su acceso un número significativo de funcionarios; no todos los funcionarios de las organizaciones tienen concedidos privilegios para ingresar a las bases de datos generales y obtener todos los datos que se procesan.
Como bien es podido observar, es de gran importancia la información manejada, como por ejemplo, las instalaciones, personal administrativo y ejecutivo, la información de los usuarios y clientes, procesos generados, etc. Consiguientemente la seguridad de la información es más que una responsabilidad organizacional, es un compromiso y un apoyo a sus usuarios y clientes el control de calidad de sus procesos y servicios.
De esta forma se da la necesidad de diseñar un sistema de seguridad Informática que propicie salvaguardar los recursos informáticos con los que dispone el área de Jurídica de la Cámara de Comercio de Santa Marta, coadyuvando así a que dicho segmento de la organización a que se cumpla de forma cabal sus objetivos misionales. La gestión de la seguridad de la información es necesario desarrollarse a través de un proceso sistémico, ampliamente argumentado bajo la documentación requerida y del cual deba tener amplio conocimiento todos los funcionarios que ejecuten su ejercicio laboral al interior de dicha área organizacional.
...