Identifica el objetivo de seguridad del caso correspondiente y una justificación de implementación de un DRP o BCP.

SEGURIDAD INFORMATICA

Escuela Abierta y a Distancia

[pic 1]

UNIDAD 3 Actividad 3

Modelando estrategias de seguridad

ADRIAN GERARDO RUVALCABA LOPEZ

AL11507220

CASO

Identifica el objetivo de seguridad del caso correspondiente y una justificación de implementación de un DRP o BCP.

Identifica los recursos humanos, de hardware y software, que requieres para implementar una metodología de seguridad.

Realiza una lista de actividades que se desarrollarán, indicando el perfil de las personas que las realizarán.

Integra los elementos del BCP con base en el caso de análisis.

Para poder realizar esta actividad es necesario basarte en la empresa en la que trabajas actualmente, o si así lo prefieres, en el caso de la actividad número 2.

Una vez identificada, considera que se te solicita, como el encargado de la seguridad informática de la empresa, desarrollar el BCP, por lo cual, primero debes plantear a detalle lo siguiente:

Describir cuál es la importancia y el objetivo de realizar un BCP.

El objetivo del BCP es asegurar que la operación del negocio siga en caso de algún evento que imposibilite la operación natural.

Describir una lista del personal a contactar en caso de emergencia.

• Administración
• Ingeniero encargado del sistema
• Técnicos de mantenimiento
• Coordinadoras de áreas

Descripción de la política de protección de la información.

Al recabar datos confidenciales de las personas y en cumplimiento con la ley de protección de datos únicamente las personas autorizadas pueden utilizar el sistema de información, para tal efecto, cada persona autorizada contará con clave de acceso personal e intransferible, se prohíbe determinantemente el uso de memorias USB personales así como la transmisión de archivos por vías no autorizadas (correo electrónico, FTP, subirlos a la nube etc)

Descripción del negocio.

Una organización de la sociedad civil encargada de asistir a personas trabaja con un equipo de psicólogas, trabajadoras sociales y abogadas, las cuales cuentan con un sistema informático provisto por una universidad local así como el hospedaje de la información. Para poder accesar a esta base de datos es necesario contar con una computadora con conexión a internet y un navegador. Toda la información que se recaba por el personal es ingresada directamente al sistema de información y reducir al mínimo el consumo de papel. En el sistema se almacena los pagos de nómina de los empleados e información financiera relevante de los proyectos financiados por donantes. También se cuenta con un directorio que contiene información privada de los contactos de la organización.

Describir la ubicación de las instalaciones.

Es un edificio de 800 metros cuadrados, cuenta con 15 consultorios donde cada una cuenta con un equipo de cómputo, un área administrativa con 4 oficinas cada una con su respectiva computadora, dos salas de conferencias y una de juntas.

Describir e identificar la ubicación física alternativa para los empleados.

La alternativa será el cambio de modo de operar de pasar al sistema de cómputo a llenar formatos manualmente en lo que se reestablece la operación.

Describir a detalle la forma de respaldo y recuperación de datos (impresos y electrónicos).

Los respaldos se llevarían a cabo de manera diaria del servidor, por el ingeniero de sistemas, esta persona seria la encargada de realizar la recuperación de datos en caso de que la base de datos se vea afectada. Administración contaría con un manual de procedimientos para saber qué hacer y cómo actuar en caso de alguna emergencia y que el ingeniero no se encuentre presente. Este manual deberá ser realizado por el ingeniero y debe ser presentado al equipo de administración así como los técnicos de mantenimiento y coordinadores de área.  

Continuando con el caso, ahora la mesa directiva te solicita un análisis que determine cuáles son los sistemas de información crucial e indispensable para su sobrevivencia en caso de sufrir algún riesgo. En esta actividad propondrás la forma en que se debe de realizar la protección de los sistemas de información; es decir, se deben realizar los siguientes pasos:

Identifica por lo menos cinco sistemas de información a proteger.

• Base de datos de las usuarias
• Problemática de las usuarias
• Información del personal
• Información de los donantes
• Información financiera de la organización

Menciona a detalle la importancia que tiene cada uno de los sistemas de información

• Base de datos de las usuarias

• La importancia de este sistema es la información confidencial, la cual está protegida por la ley de protección de datos, lo que nos hace susceptibles a cuantiosas multas y arruinar el prestigio de la organización.

• Problemática de las usuarias

• Al igual que sus datos personales este tipo de información es muy sensible pues contiene el seguimiento que tiene en terapias individuales, canalizaciones, apoyos y asesorías legales.

• Información del personal

• Información que labora en nuestra organización, el cual no quiere que se divulguen (por seguridad) sus datos personales.

• Información de los donantes

• Los donantes no quieren que su información sea consultada por cualquiera, y quiere que se le reconozca sus actos filantrópicos por las vías adecuadas.

• Información financiera de la organización

• Esta es información sensible de la organización que nadie debe tener acceso, se destacan estados financieros, auditorías internas y externas, gastos mensuales etc.

Justifica tu propuesta respondiendo a la siguiente pregunta:

¿Qué pasaría si no se implementa la protección?

Si no se implementa esta protección la viabilidad de la organización se pone en juego, pues al llegarse a perder esta información, todo el proceso automatizado se viene abajo y mermaría la atención a las usuarias. Lo que conlleva a no cumplir con los lineamientos establecidos en los proyectos comprometidos con los financiadores, que dejaría en una grave situación financiera a la organización.

...