MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

PROGRAMA:

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

CURSO:

MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

TRABAJO

FASE 3. PLAN DE CONTINUIDAD DE NEGOCIO

PRESENTADO POR

Datos del Estudiante

Estudiante:        1082993618

Nombre:        LUIS MIGUEL TORRES BARRIOS

Programa Actual:        INGENIERIA DE SISTEMAS

Centro:        SANTA MARTA

PRESENTADO A

ING. SALOMÓN GONZÁLEZ

MAYO 2018

Tabla de Contenido

INTRODUCCIÓN        2

JUSTIFICACION:        2

DELIMITACIÓN        4

Espacio.        4

Tiempo        4

OBJETIVOS        5

Objetivo General:        5

Objetivos Específicos:        5

Antecedentes        6

Glosario:        8

Otros Términos:        9

Marco Teórico:        11

Riesgos operativos.        11

Riesgos legales.        11

Riesgo Reputacional.        11

Análisis de impacto en el negocio (Business Impact Analysis-BIA).        12

Tiempos de recuperación. Tanto RPO y RTO        12

Tiempo Objetivo de recuperación (RTO).        12

Punto objetivo de recuperación (RPO).        12

Evaluación de riesgos:        12

Estrategia  de  continuidad  de  negocio:        12

  Procedimientos   de   continuidad   de   negocio:        13

Ejercicios y pruebas:        13

Mejora.        13

Determinar el propósito del PCN y seleccionar el líder y el equipo responsable de llevarlo a cabo        14

Propósito        14

Propósitos adicionales:        14

a)  Integrantes:        14

b)  Funciones generales:        14

ALCANCE Y APLICABILIDAD        16

Nota:        17

Servicios que funcionan en el edificio principal        17

Servicios que funcionan adyacentes a edificio principal        18

Liderazgo en el PCN        18

RIESGOS        20

Gestión de Riesgos.        20

Metodología de gestión de riesgos        21

7.    MATERIALES Y EQUIPOS ANTI Riesgos Hospital Salud S.A:        21

7.1 Tarjetas de identificación de los pacientes        21

7.2 Alarma sonora        21

7.3 Carteles de deberes para los usuarios        21

7.4 Señaletica para evacuación        21

7.5 Planos de evacuación        21

7.6 Multicopias del plan de emergencias y desastres        21

7.7 Silbatos para responsables de la evacuación        21

7.8 Megáfono        21

7.9 Campana 7.10 Intercomunicadores        21

definir actividades y procesos Criticos:        22

Alcance de Puestos de Alto Riesgo Estos son:        22

Tipos de Desastres Hipotéticos:        27

Como recuperar cada uno de los procesos o actividades        33

Plan de Recuperación de Desastres (DRP)        33

Organización de los Equipos        35

Evaluación de riesgos        37

Respuestas a incidentes:        37

PROCEDIMIENTOS OPERATIVOS        37

FIN DE LA EMERGENCIA        45

Finalización de la Emergencia        45

Realizar el plan de pruebas:        49

Revisar el plan de continuidad:        54

SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO        54

CONCLUSIONES        54

BIBLIOGRAFÍA        55

INTRODUCCIÓN:

Cada día el creciente avance de las tecnologías y la comunicación conllevan a los usos de los servicios de Internet, por ello nace la necesidad indispensable de diseñar e implementar estrategias y nuevos componentes de seguridad para proteger los activos más importantes de una organización: la información. Ahora, con el auge e impulso que ha tomado la red de redes y su amplia masificación en todo tipo de contexto en las áreas del desenvolvimiento humano, la convierten en un blanco apetitoso, es “caldo de cultivo” para que existan un importante número de peligros y amenazas que acechan con sigilo la información que se almacena, por ello es de vital importancia saber cómo evitarlas y asegurar una transferencia segura de dicha información.

Dentro de este marco de ideas, cabe resaltar que la información es considerada como el activo más valioso que puedan tener las empresas u organizaciones, partiendo de que perder la información que éstas tengan almacenada, incurría no sólo en costos inestimables, sino del mismo modo, en la desconfianza de los clientes y usuarios, que no creerían en la buena imagen corporativa.  De aquí nace la imperiosa necesidad de que la seguridad de la información haga parte integral de los objetivos misionales, operativos y sistemáticos que las empresas u organizaciones diseñan en función de su ejercicio ejecutorio. No obstante, aún es evidente en un sinnúmero de organizaciones la carencia significativa de elementos y políticas que minimicen los riesgos ante cualquier evento que ponga en latente peligro o vulnerabilidad la información que se procese al interior de ésta.

Por supuesto, la tecnología, que progresa de manera acelerada, dado a las diversas necesidades y demandas que surgen con el constante crecimiento de la sociedad en la que se convive, da pie a que de ese mismo modo, los ataques informáticos y/o cibernéticos se tornen mucho más sofisticados, fuertes e inminentes, situación que emite una “alerta roja” a las empresas u organizaciones acoger las medidas y controles a los que haya lugar en aras de proteger y salvaguardar la información que se produzca ante cualquier situación que ponga en riesgo los activos informáticos con los que éstas cuentan.

No cabe la menor duda que actualmente, un importante número de empresas del ámbito local, nacional e incluso internacional, se encuentran estrechamente vinculadas con temáticas de alta trascendencia, como lo es, la seguridad informática y de la información al interior de éstas. Las organizaciones y/o empresas, de acuerdo a su tamaño (pequeña, mediana o grande) cuentan con un determinado número de dispositivos tecnológicos en donde son almacenadas las grandes cantidades de información que se procesan y la cual, dado a su carácter de confidencialidad, es necesario guardar bajo estrictas medidas de seguridad. No obstante, la confidencialidad es apenas una de las tantas características que debe tener la información almacenada; ésta también debe tener un carácter de “privado”, situación que restringe su acceso un número significativo de funcionarios; no todos los funcionarios de las organizaciones tienen concedidos privilegios para ingresar a las bases de datos generales y obtener todos los datos que se procesan.

Como bien es podido observar, es de gran importancia la información manejada, como por ejemplo, las instalaciones, personal administrativo y ejecutivo, la información de los usuarios y clientes, procesos generados, etc. Consiguientemente la seguridad de la información es más que una responsabilidad organizacional, es un compromiso y un apoyo a sus usuarios y clientes el control de calidad de sus procesos y servicios.

De esta forma se da la necesidad de diseñar un sistema de seguridad Informática que propicie salvaguardar los recursos informáticos con los que dispone el área de Jurídica de la Cámara de Comercio de Santa Marta, coadyuvando así a que dicho segmento de la organización a que se cumpla de forma cabal sus objetivos misionales. La gestión de la seguridad de la información es necesario desarrollarse a través de un proceso sistémico, ampliamente argumentado bajo la documentación requerida y del cual deba tener amplio conocimiento todos los funcionarios que ejecuten su ejercicio laboral al interior de dicha área organizacional.

...