Plan de gestion de riesgos.
Gerardo Garcia VTarea7 de Diciembre de 2016
2.444 Palabras (10 Páginas)300 Visitas
Documento - Plan Gestión de Riesgos
Introducción
Uno de los factores más importantes cuando se trata de asegurar el éxito de una empresa u organización en temas de cumplir plazos, calidad de los servicios, costos, es desde mi punto de vista la gestión de Riesgos. Implementar una gestión de riesgos adecuada es un elemento de suma importancia a la hora de ofrecer un servicio de calidad mediante la identificación de riesgos potenciales que podrían afectar a nuestros clientes y por ende a nuestra organización. Así mismo la elaboración de las acciones a tomar en caso de alguna contingencia para minimizar el de contingencia adecuadas para evitar su aparición o para minimizar el daño.
Propósito
En el presente documento se presentará el análisis de los riesgos identificados que se podrían presentar durante el desarrollo de nuestras actividades y a la hora de ofrecer nuestros servicios a nuestros clientes.
Para cada uno de los riesgos observados se valorarán sus efectos y contexto de aparición para el caso en que llegue a suceder. Además, se plantearán las estrategias para reducir la probabilidad de riesgo o bien controlar sus posibles efectos.
.
Alcance
El alcance del presente documento es contemplar los procesos y actividades en donde se vean comprometida la seguridad de la información, privacidad y propiedad intelectual de nuestros clientes.
Durante el desarrollo del presente documento se analizarán y actualizarán los contenidos del análisis de riesgos, esto en caso de detectar nuevos riesgos no visibles en este momento
Definiciones, siglas y abreviaturas.
- S.O. = Sistema Operativo
- D.D. = Disco Duro
.
Gestión del Riesgo
Identificación de Riesgos
Listado de Riesgos, Tipo de Riesgo
ID | Descripción del Riesgo | Tipo de Riesgo |
R01 | Formateo de equipo sin respaldo previo. | Riesgo del Producto |
R02 | Riesgo de daño o robo del equipo del cliente durante el transporte. | Riesgo del Producto |
R03 | Robo o alteración de información del cliente respaldada en nuestros equipos. | Riesgo del Producto |
R04 | Robo o extracción de información del cliente por parte de nuestro personal. | Riesgo del Producto |
R05 | Respaldos de información con Virus, malware, etc. | Riesgo del Producto |
Análisis del Riesgo
ID | Análisis del Riesgo |
R01 | Magnitud Medio Descripción Algún miembro de nuestro personal haya al momento de dar un servicio no haya realizado el respaldo del equipo de computo Impacto El daño que se pudiera generar por este fatal error, nos puede significar muchas pérdidas debido a que se podría eliminar información muy importante del cliente. Indicadores Al realizar la consulta al cliente sobre lo que se tendría que respaldar, . |
R02 | Magnitud Alta Descripción Cuando después de la recolección de un equipo de cómputo de las oficinas del cliente y durante el traslado a nuestras oficinas pudiera llegar a presentar alguna falla a consecuencia del mal manejo del equipo durante el traslado o que en el trayecto de la oficina del cliente a la nuestra sufra de robo o pérdida del equipo. Impacto El daño de algún equipo de cómputo cuando se encuentra bajo nuestra custodia, si el daño fuera físico tendríamos que reparar el daño, pero en caso de daño lógico o que a consecuencia de algún golpe en el equipo el disco duro fallara y ya no se pudiera acceder a la información nos generaría perdidas económicas o la pérdida del contrato. Indicadores Diferencia entre equipos recolectados contra equipos que presentan alguna falla a consecuencia del traslado. |
R03 | Magnitud Alta. Descripción Después de que los respaldos a los equipos fueron realizados se depositan en un equipo de almacenamiento donde permanecen los respaldos mientras se trabaja con el equipo de cómputo, dicha información pudiera estar comprometida si nuestra seguridad se ve vulnerada. Impacto El impacto que generaría esto sería devastador considerando que la información del cliente puede ser de muchos tipos como desarrollo de productos, planes de negocio, planes de Marketing. Indicadores Hash cuando se realiza el respaldo y hash al restaurar dicho respaldo, se haría un formato de en cuantas ocasiones que es diferente. |
R04 | Magnitud Alta Descripción Cuando se descubre que alguien que es parte de nuestro personal pudiera estar filtrando información de nuestros clientes ya sea a la competencia del cliente. Impacto Es casi el mismo caso que el R03 ya que se filtra información del cliente y derivado de esto pudiéramos perder la cuenta y hasta una demanda por parte del cliente. Indicadores No procede. |
R05 |
Magnitud Media
Descripción El problema se presenta cuando al momento de trabajar con un equipo del cliente se extrae la información o el respaldo solicitado por el cliente, pero este respaldo va contaminado con Virus o Malware Impacto Si el respaldo extraído lleva incluidos virus o malware puede repercutir en problemas futuros o las mismas causas que ocasionaron el problema y esto ocasionara re trabajos.
|
Acciones de Prevención y de Corrección
ID | Plan de Prevención | Plan de Corrección |
R01 | En caso de que la reparación del equipo requiera que se instale de nuevo el S.O. se deberá de consultar con el cliente si es posible realizar el formateo y en caso de que el cliente acepte deberá de dar el consentimiento ya sea vía correo o firmando el formato para este fin, en cualquiera de las dos opciones el cliente deberá de plasmar por escrito las carpetas e información requiere que sean respaldadas. Aun así, se deberá de realizar un respaldo de la imagen completa del disco duro y una vez que el equipo reparado haya sido entregado al cliente este haya recibido y firmado de conformidad, mantendremos el respaldo de la imagen realizada al D.D. solo por quince días más y después se procederá a la eliminación del mismo conforme al protocolo. | En caso de que por alguna razón el respaldo de la información no se haya realizado conforme al requerimiento del cliente y se haya procedido con el formateo del disco duro para la carga del S.O. se deberá de informar en primer lugar al gerente del área y este deberá de coordinar la extracción del respaldo de la imagen hecha al equipo a fin de restaurar la imagen al equipo de cómputo del cliente y realizar de nuevo proceso del respaldo y formateo del equipo, se deberá de documentar el proceso y llenar el documento para registrar una no conformidad. |
R02 | Para prevenir este tipo de incidente se siempre de acudir a la recolección en equipos de dos personas y se deberá de tener en los vehículos de recolección el material necesario para embalaje y transporte de los equipos del cliente. (cuerdas,cinta,cajas,etc.) El vehículo que trasporta el equipo del cliente deberá dirigirse directamente de la oficina del cliente a las instalaciones de la empresa en caso de que se requiera hacer una escala siempre y cuando sea justificado un equipo del personal se quedara siempre resguardando el vehículo . | En caso de que se presente el incidente se tendrá que reponer al cliente el daño al equipo ya sea con la refacción o bien el remplazo del equipo dañado y se le deberá de notificar al cliente de lo sucedido al momento de la entrega del equipo. . |
R03 | Se deberá de contar con el equipo necesario para seguridad perimetral así como aislar en un segmento aparte de la red de la empresa a fin de que no se pueda ver desde ningún punto de la red y solo desde los equipos del laboratorio (ip10.16.60.30,10.16.60.31,10.16.60.32) además de adoptar las medidas de seguridad necesarias para resguardar la información de los clientes, se informara previamente al cliente que cualquier información solo estará disponible durante 15 días en nuestro servidor y después de esto será eliminada. | En caso de detectar que la seguridad fue vulnerada y se logró acceder a la información del cliente se tendrá que realizar una investigación forense a fin de evaluar la información que estuvo comprometida e identificar la vulnerabilidad con la cual tuvieron acceso para poder reparar el hueco de seguridad. Se deberá de realizar un informe completo e informar al cliente de lo sucedido. |
R04 | Se deberá de contar con personal adecuado asi como realizar evaluación de control y confianza a dicho personal Se deberá de contar con medios de control de acceso biométrico y contar con cámaras de cctv en el datacenter donde este físicamente el equipo. Se deberá de llevar una bitácora de acceso a datacenter y siempre en compañía de encargado del área. | Se espera que con las medidas de seguridad implementadas evitar este incidente, pero en caso de que se detecte se deberá de levantar ante las autoridades competentes la denuncia del delito contra quien resulte responsable, se deberá de revisar la bitácora de acceso al Data center revisar los logs de acceso del sistema biométrico, revisar los videos de CCTV para detectar y dar con el responsable. |
R05 | Se deberá de examinar los respaldos con herramientas como antivirus o anti Malware | En caso de que al momento de cargar el respaldo en el equipo del cliente y esté presente problemas se deberá de realizar nuevamente el trabajo y no se cobrar al cliente por el servicio. |
...