Sistemas De Informacion

Enviado por • 24 de Mayo de 2015 • 4.318 Palabras (18 Páginas) • 220 Visitas

Página 1 de 18

Por qué son vulnerables los S.I. a la destrucción, el error y el abuso?

Vulnerabilidad y abuso de los sistemas Los sistemas de información concentran los datos en archivos de computadoras a los que podrían tener fácil acceso un gran número de personas y grupos externos a la organización. Por ello, los datos automatizados son más susceptibles a destrucción, fraude, error y abuso. Cuando los sistemas de computación fallan o no funciona como es debido, las compañías que dependen mucho de ellos experimentan una pérdida grave de su capacidad para operar. Si usted opera un negocio, necesita hacer de la seguridad y el control sus principales prioridades. La seguridad se refiere a las políticas, procedimientos y medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los sistemas de información.

¿Por qué son vulnerables los sistemas?

Cuando se almacenan grandes cantidades de datos en forma electrónica, estos son vulnerables a muchos tipos de amenazas a los que no están expuestos los datos asentados en papel. Los adelantos en telecomunicaciones software de computadora han intensificado esta vulnerabilidad. Gracias a las redes de telecomunicación es posible que haya acceso no autorizado, abuso o fraude, no estando limitado a un solo lugar, sino que puede darse en cualquier punto de acceso a la red. Las redes inalámbricas son aún más vulnerables a la penetración, porque es fácil explorar las bandas de radiofrecuencia. Las amenazas pueden derivarse de factores técnicos, organizacionales y del entorno combinados con decisiones administrativas deficientes. En el entorno de computación cliente/servidor multicapa existen vulnerabilidades en cada capa y en las comunicaciones que tienen lugar entre las capas. Los usuarios en la capa del cliente pueden causar daño al introducir errores, acceder al sistema sin autorización, o descargar spyware y virus sin darse cuenta. Los hackers pueden, acceder a los datos valiosos durante su transmisión o alterar mensajes sin autorización. Internet y otras redes son altamente vulnerables a alteraciones por la radiación. Los sistemas tienen un mal funcionamiento si el hardware de cómputo se descompone, si no está configurado apropiadamente o si está dañado por un uso inadecuado o por actos delictivos. Las fallas de energía, los incendios u otros desastres naturales pueden alterar los sistemas de cómputo. Sin fuertes medidas de seguridad, los datos valiosos se pueden perder o destruir, o caer en manos equivocadas y revelar secretos comerciales importantes o información que viole la privacidad personal.

2. Mencione y describa las amenazas más comunes contra los S.I.

Cuando se almacenan grandes cantidades de datos en forma electrónica, éstos son vulnerables a mu¬chos tipos de amenazas a las que no están expuestos los datos asentados en papel. En la Tabla siguiente se enumeran las amenazas más comunes que enfrentan los sistemas de información computarizados. Su origen puede estar en factores técnicos, de organización y del entorno, combinados con ma¬las decisiones gerenciales.

Amenazas para los sistemas de información computarizados

Fallos de hardware

Incendio

Fallos de software

Problemas eléctricos

Acciones del personal

Errores de usuario

Penetración por terminales

Cambios de programas

Robo de datos, servicios, equipo

Problemas de telecomunicaciones

Los sistemas computarizados son especialmente vulnerables a dichas amenazas por las siguientes razones:

- Un sistema de información complejo no se puede reproducir manualmente.

- Los procedimientos computarizados son invisibles y no es fácil entenderlos ni auditarlos.

- Aunque la probabilidad de que ocurra un desastre a un sistema automatizado no es mayor que en el caso de un sistema manual, su efecto puede ser mucho más extenso. En algunos ca¬sos podrían destruirse y perderse irremediablemente todos los registros de un sistema.

- Muchas personas tienen acceso directo a los sistemas de información en línea. Los usuarios legítimos logran obtener fácilmente acceso a porciones de los datos computarizados que no tienen permiso de ver. Personas no autorizadas también pueden obtener acceso a tales sistemas.

Los adelantos en telecomunicaciones y software de computadora han intensificado esta vulnerabilidad. Gracias a las redes de telecomunicaciones es posible conectar, entre sí, sistemas de in¬formación de diferentes lugares. Las redes inalámbricas que usan tecnologías basadas en radio son aún más vulnerables a la penetración, porque es fácil explorar las bandas de radiofrecuencias.

No es seguro conectarse a una red de puntos activos Wi-Fi, porque estas redes están abiertas y no aseguradas, lo que significa que cualquiera puede acceder a ellas, y la comunicación entre su computadora portátil y el servidor inalámbrico no está encriptada. Con frecuencia, las redes inalámbricas de los hogares no están aseguradas mediante encriptación, y los hackers que pasen por su casa pueden utilizar fácilmente su red y escuchar sus comunicaciones con su ruteador inalámbrico. Incluso los dispositivos de comunicaciones Bluetooth tienen evidentes fallas en la seguridad de sus comunicaciones. Las LANs que emplean el estándar 802.11 pueden ser fácilmente penetradas por extraños equipados con computadoras portátiles, tarjetas inalámbricas, antenas externas y software de piratería informática. Los hackers utilizan estas herramientas para detectar redes desprotegidas, monitorear el tráfico de red y, en algunos casos, obtener acceso a internet o a redes corporativas. La tecnología de trasmisión Wi-Fi fue diseñada para facilitar que las estaciones se encontraran y escucharan entre sí. Los identificadores de conjuntos de servicios (SSIDs) que identifican los puntos de acceso en una red Wi-Fi se difunden múltiples veces y pueden ser detectados con mucha facilidad por los programas husmeadores de los intrusos. Guerra móvil es aquello donde los espía conducen cerca de los edificios e intentan interceptar el tráfico de una red inalámbrica. Un hacker puede emplear una herramienta de análisis 802.11 para identificar el SSID. Un intruso que se ha asociado con un punto de acceso utilizando el SSID correcto puede acceder a otros recursos de la red y emplear el Windows para determinar qué otros usuarios están conectados a la red, acceder a los discos duros de sus Pc y abrir o copiar sus archivos. Los intrusos pueden utilizar la información para establecer puntos de acceso ilegales en un canal de radio diferente en ubicaciones físicas cercanas a los usuarios para obligar a la NIC de radio de un usuario a asociarse con el punto de acceso ilegal. Una vez que se realice esta asociación, los hackers que utilicen el punto de acceso ilegal pueden captar los nombres y contraseñas de usuarios sin que éstos lo sospechen.

WEP Privacidad Equivalente Alámbrica básica requiere que un punto de acceso y todos sus usuarios compartan la misma contraseña encriptada de 40 bits, la cual puede ser fácilmente descifrada por los hackers a partir de una pequeña cantidad de tráfico.

Software malicioso Los programas de software malicioso se conocen como malware e incluyen una diversidad e amenazas como virus de computación, gusanos y troyanos.

♣ Virus de computadora es un programa de software malintencionado al que se adjunta a sí mismo a otros programas de software o archivos de datos con el propósito de ejecutarse, sin conocimiento o permiso del usuario. La mayoría de los virus trasmiten una carga útil, que podría se benigna o sumamente destructiva. Por lo general, los virus se esparcen de pc a pc cuando los usuarios realizan una acción.

♣ Gusanos son programas de computadora independientes que se copian a sí mismos de una computadora a otras de una red. Funcionan por sí mismos sin adjuntarse a otros archivos de programas de computadora y dependen menos de los actos humanos para esparcirse. Estos destruyen datos y programas, así como alteran o incluso detienen el funcionamiento de las redes de computadoras. Ahora los virus y los gusanos se están esparciendo a los dispositivos de computación inalámbricos. El gusano Cabir busca continuamente otros dispositivos de bluetooth y con el tiempo descarga la bateria de un dispositivo. Los virus de dispositivos móviles plantean serias amenazas a la computación empresarial porque en la actualidad hay muchos dispositivos inalámbricos enlazados a sistemas de información corporativos.

♣ Caballo de troya es un programa de software que aparenta ser benigno pero que hace algo distinto a lo esperado. Constituye una manera para que los virus y otro código malicioso sean introducidos en un sistema de cómputo.

Algunos tipos de spyware actúan como software malicioso. Estos programas se instalan subrepticiamente a sí mismos en las computadoras para vigilar las actividades de navegación del usuario en la web y presentar publicidad. El spyware ofrece a los extraños la posibilidad de invadir su privacidad y robar su identidad personal.

Registradores de claves registran cada tecleo ingresado en una computadora para robar números seriales de software, para lanzar ataques por internet. Otros programas de spyware cambian las páginas de inicio del navegador web, redirigen las solicitudes de búsqueda o disminuyen el desempeño de la computadora al apoderarse de mucha memoria.

Hackers y cibervandalismo Hacker es la persona que accede sin autorización a una red de computadoras, para lucrar, causar daños, o por placer personal.

Cracker es un hacker con intenciones criminales. Las actividades de un hacker van más allá de una mera intrusión a los sistemas para incluir el robo de bienes e información, así como el daño de los sistemas y el cibervandalismo.

Cibervandalismo es la alteración intencional, destrozo o incluso la destrucción de un sitio Web o un sistema de información corporativo.

Spoofing puede involucrar la redirección de un enlace web a una dirección diferente de la que se pretende, con el sitio camuflado como la dirección pretendida y así poder recopilar y procesar pedidos, robando información empresarial así como información delicada de los clientes del sitio verdadero.

Sniffing es un tipo de programa que vigila la información que viaja a través de una red. Cuando se utilizan de manera legal, los sniffer ayudan a identificar puntos potencialmente problemáticos en la red o actividades delictivas en las redes, pero cuando se emplean con propósitos criminales, pueden ser perjudiciales y muy difíciles de detectar.

Ataques de negación de servicios (Denial of Service)los hacker inundan un servidor de red o de Web con muchos miles de comunicaciones o solicitudes de servicios falsas para que la red deje de funcionar. La red recibe tantas consultas que no pueden atenderlas todas y en consecuencia queda fuera de servicio para atender las solicitudes legítimas. Ocasionan que sobresature un sitio web imposibilitando a los usuarios legítimos el acceso.

Ataque distribuido de negación del servicio (Distributed Denial of Service)se utilizan cientos o incluso miles de Pcs para inundar o agobiar la red desde numerosos puntos de lanzamiento. Se utilizan Pcs zombies infectadas con software malicioso y organizadas en una botnet. Al infectarlas abre un acceso trasero a través del cual un atacante puede dictar instrucciones, que la pc infectada obedecerá. Una vez que se infectan suficientes Pcs, pueden utilizar los recursos acumulados de la botnet para iniciar ataques distribuidos de negación del servicio, campañas de correo electrónico no solicitado.

Delito informático y ciberterrorismo La mayor parte de las actividades de un hacker son delitos penales, y las vulnerabilidades de los sistemas los convierten en objetivos de otros tipos de delitos informáticos. Un delito informático es cualquier violación al código penal que involucre un conocimiento de tecnología de cómputo para su perpetración, investigación o prosecución. Los tipos de delitos más perjudiciales desde el punto de vista económico son los ataque Dos, la introducción de virus, el robo de servicios y la alteración de los sistemas de cómputo.

♣ Robo de identidad: es un delito en el cual el impostor obtiene fracciones de información personal clave, como nº de tarjetas de crédito, con el propósito de hacerse pasar por alguien más.

Los comercios electrónicos son fuentes estupendas de información personal de los clientes. Provistos de esta información, los delincuentes pueden asumir nuevas identidades y obtener nuevos créditos para sus propios fines.

Phishing implica el establecimiento de sitios web falso o el envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar a los usuarios datos personales confidenciales. El mensaje de correo electrónico da instrucciones a los receptores para que actualicen o confirmen registros suministrando nº “claves”, ya sea respondiendo al mensaje de correo electrónico, ingresando la información en un sitio web falso o llamando a un nº telefónico. Existen nuevas técnicas de phishing difíciles de detectar como:

●Evil twins son redes inalámbricas que fingen ofrecer conexiones Wi-Fi confiables a internet. Los defraudadores tratan de capturar contraseñas o nº de tarjetas de crédito de los usuarios involuntarios que entran a la red.

●Pharming redirige a los usuarios a una página web falsa, aún cuando estos ingresen la dirección correcta de la página web en su navegador. Esto es posible si los autores del pharming obtienen acceso a la información de las direcciones de internet almacenadas por los proveedores de servicios de internet con el fin de acelerar la navegación y si los prestadores cuentan con software deficiente en sus servidores que permiten a los defraudadores realizar actividades de piratería y cambiar las direcciones.

♣ Fraude del clic ocurre cuando un individuo o un programa de computadora hace clic de manera fraudulenta en un anuncio en línea sin la intención de conocer más sobre el anunciante o de realizar una compra. Algunas empresas contratan a terceros para hacer clic de manera fraudulenta en los anuncios de un competidor con el propósito de debilitarlo al provocar que se incrementen sus costos de Marketing. El fraude del clic también se puede realizar con programas de software que hacen el clic, y con frecuencia se utilizan las redes de robots con este propósito.

♣ Ciberterrorismo y ciberarmamento Las vulnerabilidades de internet y de otras redes pueden ser aprovechadas por terroristas, servicios de inteligencia extranjeros u otros grupos para crear disturbios y daños generalizados. Se cree que algunos países están desarrollando capacidades de ciberarmamento ofensivo y defensivo.

Amenazas internas Los empleados de una empresa plantean serios problemas de seguridad, dado que tienen acceso a información privilegiada, y si existen procedimientos de seguridad ineficientes, pueden tener la oportunidad de escudriñar en todos los sistemas de la organización sin dejar huellas La falta de conocimiento de los usuarios es la principal causa individual de las brechas de seguridad en las redes. Muchos olvidan las contraseñas para acceder a los sistemas de cómputo o permiten a sus colegas que las utilicen, lo cual pone en riesgo al sistema. Los intrusos que buscan acceso al sistema en ocasiones engañan a los empleados para que les proporcionen sus contraseñas fingiendo que son miembros legítimos de la organización y requieren información. Esta práctica se conoce como ingeniería social.

Los usuarios finales introducen errores al ingresar datos erróneos o al no seguir las instrucciones apropiadas para el procesamiento de datos y el uso del equipo de cómputo. Los especialistas en sistemas de información podrían crear errores de software a medida que diseñan y desarrollan nuevo software o cuando dan mantenimiento a los programas existentes. Por lo general, el software comercial contiene defectos que no sólo producen vulnerabilidades de desempeño sino de seguridad que dan acceso a las redes para los intrusos. Estas vulnerabilidades dan al malware la oportunidad de superar las defensas de los antivirus. Para corregir los defectos del software una vez que se han identificados, el fabricante del software crea pequeñas piezas de software conocidas como parches para reparar los defectos sin alterar el funcionamiento adecuado del software. 5 A los usuarios les toca detectar estas vulnerabilidades, probarlas y aplicar todos los parches. Este proceso se conoce como administración de parches. El malware es creado con tanta rapidez que las empresas tienen muy poco tiempo para responder entre el momento en que se anuncia la existencia de una vulnerabilidad y de su parche correspondiente, y el momento en que aparece software malicioso para explotar esa vulnerabilidad.

7. Describa los problemas de seguridad y confiabilidad de sistemas que crean los empleados

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informático, mas cuando su fuente son los empleados mismos,

Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de:

Diseño

• Debilidad en el diseño de protocolos utilizados en las redes.

• Políticas de seguridad deficientes e inexistentes.

Implementación

• Errores de programación.

• Existencia de “puertas traseras” en los sistemas informáticos.

• Descuido de los fabricantes.

Uso

• Mala configuración de los sistemas informáticos.

• Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.

• Disponibilidad de herramientas que facilitan los ataques.

• Limitación gubernamental de tecnologías de seguridad.

Vulnerabilidad del día cero

• Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución “conocida”, pero se sabe como explotarla.

Vulnerabilidades conocidas

• Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes.

En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.

• Vulnerabilidad de condición de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.

• Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.

• Vulnerabilidad de denegación del servicio.

La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.

• Vulnerabilidad de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.

8. Explique cómo es que los defectos del software afectan a la confiabilidad y seguridad de los sistemas.

Técnicas de evitación de fallos

Hardware

– Utilización de componentes fiables

– Técnicas rigurosas de montaje de subsistemas

– Apantallamiento de hardware

Software

– Especificación de requisitos rigurosa o formal

– Métodos de diseño comprobados

– Lenguajes con abstracción de datos y modularidad

– Utilización de entornos de desarrollo con computador (CASE)

adecuados para gestionar los componentes

Redundancia dinámica en software

Cuatro etapas:

1. Detección de errores

» no se puede hacer nada hasta que se detecta un error

2. Evaluación y confinamiento de los daños

» diagnosis: averiguar hasta dónde ha llegado la información errónea

3. Recuperación de errores

» llevar el sistema a un estado correcto, desde el que pueda seguir

funcionando (tal vez con funcionalidad parcial)

4. Reparación de fallos

» Aunque el sistema funcione, el fallo puede persistir y hay que

Repararlo

9. Elabore un Mapa de Riesgos de una empresa que usted conozca. (Tome como ejemplo los mapas suministrados como ejemplos o realice búsqueda en la Internet). NOTA: El mapa debe ser elaborado únicamente sobre el área de sistemas de información.

10. Elabore un Plan de Seguridad sobre la empresa seleccionada para levantar el Mapa de Riesgos, donde describa cuáles son las medidas para evitar esos riesgos. (por favor incluya los controles denominados Biométricos)

MAPA DE RIESGO SALUD COSMITET

Tabla 4. Calificación de Riesgos Número

Ref. Riesgo Identificado Probabilidad del Riesgo Impacto del Riesgo Controles actuales aplicados

CR1 Falta de seguridad en el SI 2 40 - Asignación de usuarios y contraseñas - Cambio de contraseñas cada 120 días

CR2 Falta de confidencialidad de la información 4 40 - Definición de perfiles y roles en el SI

CR3 Deficiencia en la oportunidad de acceso al SI 5 5 - Revisión de servidores

CR4 Pérdida de información 1 40 - Copias de seguridad cada seis horas

CR5 Falta de planes de contingencia activos 3 20 - No documentados

CR6 Falta de un proceso para proveer los datos en medio electrónico o en papel 5 40 - No documentado

CR7 Falta de recurso humano idóneo 3 5 - Proceso de contratación

CR8 Falta de equipos de tecnología idónea y suficiente 5 10 - Plan de compras

CR9 Falta de mantenimiento de equipos 1 5 - Cronograma mantenimiento de equipos

CR10 Baja capacidad de respuesta a las necesidades de los usuarios 3 5 - Formato de requerimientos

CR11 Falta de soporte continuo por parte del proveedor 4 5 - Formato de nuevos requerimientos en el aplicativo del SI

- Canal directo de comunicación con el proveedor

Clasificados los riesgos se procede hacer la evaluación determinando la gravedad de cada uno, clasificándoles en cuatro niveles: aceptables, tolerables, graves e inaceptables, como se describe en la siguiente Tabla .

Tabla 5. Clasificación de Riesgos Según Gravedad Clasificación Riesgo Acción

D Inaceptable: Riesgo extremo Se requiere acción inmediata, planes de tratamiento requeridos, implementados y reportados a la alta dirección.

C Grave: Riesgo alto Se requiere atención de la alta gerencia, planes de tratamiento requeridos, implementados y reportados.

B Tolerable: Riesgo Moderado La responsabilidad gerencial debe ser especificada. Administrado con procedimientos normales de control.

A Aceptable: Riesgo Bajo Se administra con procedimientos rutinarios.

Se debe tener en cuenta que para los riesgos de clasificación A y B, se beben realizar

actividades de control para que el riesgo se mitigue o como mínimo se mantenga en el nivel en que está y así evitar que se conviertan en graves o inaceptables, para ello la organización debe establecer unos límites de acuerdo al grado de aceptabilidad del riesgo. En la siguiente Tabla , definimos la matriz de evaluación de la zona de gravedad de los riesgos de acuerdo con la frecuencia y su impacto.

Valor Frecuencia

4 Muy alta 20 B 40 C 80 D 160 D

3 Alta 15 B 30 C 60 C 120 D

2 Media 10 B 20 B 40 C 80 D

1 Baja 5 A 10 B 20 B 40 C

Impacto Leve Moderado Severo Catastrófico

Valor 5 10 20 40

De acuerdo a los riesgos obtenidos y a la ponderación dada, la evaluación del riesgo para la empresa objeto de estudio quedaría como se muestra en la siguiente Tabla .

Número Ref. Riesgo Identificado Probabilidad del Riesgo Impacto del Riesgo Valoración del Riesgo Bruto Controles actuales aplicados

CR1 Falta de seguridad en el SI 2 40 80 - Asignación de usuarios y contraseñas

- Cambio de contraseñas cada 120 días

CR2 Falta de confidencialidad de la información 4 40 160 - Definición de perfiles y roles en el SI

CR3 Deficiencia en la oportunidad de acceso al SI 5 5 25 - Revisión de servidores

CR4 Pérdida de información 1 40 40 - Copias de seguridad cada seis horas

CR5 Falta de planes de contingencia activos 3 40 120 - No documentados

CR6 Falta de un proceso para proveer los datos en medio electrónico o en papel 5 40 200 - No documentado

CR7 Falta de recurso humano idóneo 3 5 15 - Proceso de contratación recurso humano

CR8 Falta de equipos de tecnología idónea y suficiente 5 10 50 - Plan de compras

CR9 Falta de mantenimiento de equipos 1 5 5 - Cronograma mantenimiento de equipos

CR10 Baja capacidad de respuesta a las necesidades de los usuarios 3 5 15 - Formato de requerimientos

CR11 Falta de soporte continuo por parte del proveedor 4 5 20 - Formato de nuevos requerimientos en el aplicativo del SI

- Canal de comunicación con el proveedor

Se selecciona los riesgos con mayor impacto o sea con mayor puntuación, los cuales requieren de una acción de tratamiento del riesgo inmediata para su eliminación, mitigación o transferencia como se puede observar en la siguiente tabla.

Número Ref. Riesgo Identificado Acción a Realizar

CR1 Falta de seguridad en el SI Riesgo inaceptable: se debe prevenir o transferirlo para proteger la empresa.

Se debe ejercer un mayor control sobre los usuarios del SI, haciéndoles seguimiento de utilización del sistema.

CR2 Falta de confidencialidad de la información Riesgo inaceptable: se debe eliminar la actividad, prevenirlo para proteger la empresa.

Se debe realizar un estudio acerca de los permisos de cada usuario del SI.

CR3 Deficiencia en la oportunidad de acceso al SI Riesgo grave: se debe prevenir o transferir para proteger la empresa. Se debe adquirir una mejor tecnología de acuerdo a los requerimientos del SI.

CR4 Pérdida de información Riesgo grave: se debe prevenir o transferir para proteger la empresa. El proveedor del SI contractualmente debe garantizar la migración de la totalidad de los datos contenidos en el sistema cuando entregue una nueva versión.

CR5 Falta de planes de contingencia activos Riesgo grave: se debe prevenir o transferirlo para proteger la empresa. La organización debe documentar todas las no conformidades que se presenten en el SI, haciéndole un seguimiento continuo e implementando planes de mejora.

CR6 Falta de un proceso para proveer los datos en medio electrónico o en papel Riesgo inaceptable: se debe prevenir o transferirlo para proteger la empresa. La alta Dirección debe generar la política del SGSI y realizar su respectiva socialización a toda la compañía.

CR8 Falta de equipos de tecnología idónea y suficiente Riesgo grave: se debe prevenir o transferir para proteger la empresa. La alta Dirección debe proveer los recursos necesarios para garantizar el SGSI.

Conclusiones

La aplicación de todos estas directrices o pasos para la elaboración de mapas de riesgos así como la evaluación o análisis de la amenaza y la vulnerabilidad aseguran que cualquier País, Estado, Municipio Comunidad, Barrio o Sector puedan superar de forma eficiente y rápida una situación de emergencia o desastre con el mínimo impacto posible para la población e infraestructura afectada.

De allí la necesidad de aplicar todas estas herramientas en esos espacios, ya que de no existir estos planes de actuación y aunado a ello el desconocimiento de los habitantes de cualquier comunidad sufriría unas gran afectación a nivel humano, estructural y social.

...

Descargar como txt (28.2 Kb)

Leer 17 páginas más »

txt

Guardar

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Sistemas Informacion
Como los SI/TI apoyan las empresas a lograr sus objetivos El BCP hace aproximadamente 6 años atrás contaba con una aplicación para la emisión de

2 Páginas • 2410 Visualizaciones
Sistema Informacion Para El Turismo En El Salvador
Sistema de información El ministerio de (MITUR), es la institución rectora en materia turística de El Salvador. Además este cuenta con una serie de instituciones

2 Páginas • 1002 Visualizaciones
PROYECTO TRABAJO SOCIAL SISTEMA INFORMACION CBA
1 INFORME DE TRABAJO SOCIAL 1.1 NOMBRE DE LA COMUNIDAD, UBICACIÓN. El trabajo social se desarrolló en el departamento administrativo del Centro de Bienestar del

9 Páginas • 1094 Visualizaciones
Sistema Información De Marketing
Resumen de Marketing I Kotler Cap. 2 Planeación Estratégica: Es el proceso administrativo de desarrollar y mantener una relación viable entre los objetivos y recursos

4 Páginas • 1128 Visualizaciones
Etapas Sistemas Informacion
Etapa de contagio o expansión  En 1989 Nortel utiliza el primer sistema que cuenta con facturación y llamada a clientes • Se inicia con

4 Páginas • 1146 Visualizaciones
Sistemas Informacion Gerencial
GLOSARIO DE TÉRMINOS: 1. Asertividad: es un modelo de relación interpersonal que consiste en conocer los propios derechos y defenderlos, respetando a los demás; tiene

2 Páginas • 1914 Visualizaciones
Sistemas Informacion
EL COMIENZO DE LOS PROYECTOS DE SISTEMAS DE INFORMACION OBJETIVOS GENERALES DEL CLIENTE AL SOLICITAR EL DESARROLLO DE UN PROYECTO DE SISTEMAS DE INFORMACION Las

3 Páginas • 1073 Visualizaciones
Sistemas Informacion Gerencial
SISTEMAS DE INFORMACION GERENCIAL. 1. Explique brevemente en qué consisten las actividades de entrada, almacenamiento, Procesamiento y salida de información de un sistema de información

8 Páginas • 3963 Visualizaciones
Sistemas Informacion Gerencial
Asignación #3 1.¿Sobre qué o quienes se recolectan los datos? Es importante destacar que los métodos de recolección de datos, se puede definir como: al

4 Páginas • 1031 Visualizaciones
SISTEMA INFORMACION GEOGRAFICA
Aplicaciones medioambientales de los SIG Definir un Sistema de información Geográfica (SIG, GIS en inglés) es algo complejo ya que contamos con múltiples definiciones de

7 Páginas • 705 Visualizaciones