2. Estructura del Plan de Contingencia
• Nombre del Riesgo.
• Análisis del riesgo. (Describir en que consiste el riesgo)
• Clasificación (Prioridad: Alta – Media – Baja)
• Planificación (Antes, durante, después, monitoreo)
3. Tip’s importantes que no pueden olvidar
• Deben ser 8 riesgos lógicos y 8 riesgos físicos como mínimo,
el máximo lo definen ustedes.
• Los riesgos lógicos se asocian principalmente a falencias del
equipo de trabajo.
• Los riesgos físicos se asocian a la pérdida de información,
vulnerabilidades, daños en el HW y en el SW, entre otros
aspectos.
• Deben de separar riesgos físicos web de los riegos físicos de
la aplicación móvil.
4. Realizar tabla con Riesgos Lógicos
Nombre del Riesgo Prioridad Alta
(catastrófico)
Prioridad Media
(Crítico)
Prioridad Baja
(Despreciable)
Riesgo Lógico 1 x
Riesgo Lógico 2 x
Riesgo Lógico 3 x
Riesgo Lógico 4 x
Riesgo Lógico 5 x
Riesgo Lógico 6 x
Riesgo Lógico 7 x
Mínimo 8 - Máximo lo que ustedes estimen necesarios.
5. Realizar tabla con Riesgos Físicos
Nombre del Riesgo Prioridad Alta Prioridad Media Prioridad Baja
Riesgo Físico 1 x
Riesgo Físico 2 x
Riesgo Físico 3 x
Riesgo Físico 4 x
Riesgo Físico 5 x
Riesgo Físico 6 x
Riesgo Físico 7 x
Mínimo 8 - Máximo lo que ustedes estimen necesarios.
6. Ejemplo de Riesgo Lógico
Nombre del Riesgo: Técnicas de Recopilación de Información mal elaboradas
Análisis: Las técnicas de recopilación de información no contenían preguntas de calidad que permitieran
obtener información relevante para obtener información de usuarios o clientes.
Los usuarios del sistema son múltiples, con características , necesidades y requerimientos diferentes
por lo que una técnica e recopilación mal elaborada puede generar un sistema poco factible.
Prioridad: Alta - Catastrófico
PLANIFICACIÓN DEL RIESGO
Antes: Elaborar una técnica de recopilación con preguntas que sean validadas por Profesor guía y que aporten
al logro del objetivo general y objetivos específicos del proyecto.
Durante: Entregar una copia de los requerimientos obtenidos por parte del usuario y del cliente de manera de
generar un respaldo . En el caso de los Clientes , es recomendable que los requerimientos sean
firmados por cada uno de los Clientes. Se recomienda acordar un máximo de 3 modificaciones a lo
largo del SW. Un cuarto cambio, tiene un valor adicional al plan contratado. Todo el equipo de trabajo
debe estar en conocimiento de esta información.
Después: Se deben analizar los resultados obtenidos durante la aplicación de cada Técnica de Recopilación
aplicada, de manera tal que se pueda identificar claramente que es lo que quieren los usuarios y que
es lo que necesitan los clientes.
Seguimiento: A lo largo del proyecto, se deben realizar varias técnicas de recopilación de información, primero para
analizar el entorno, luego para probar el Prototipo, luego para validar funcionalidades del SW y
finalmente para revisar si el sw cumple con la totalidad de los requisitos establecidos por usuarios y
clientes.
7. Ejemplo de Riesgo Físico
Nombre del Riesgo: Hackeo del sitio web
Análisis: Como todo sistema de información en línea, la página es susceptible a diferentes tipos de hackeo. Dada la
gran variedad de ataques posibles y sus consecuencias, los pasos a seguir deben cambiar de acuerdo a cada
escenario en particular. Los diferentes ataques pueden ocasionar una inhabilitación temporal del servicio,
robo de información o corrupción/pérdida de datos
Prioridad: Alta - Catastrófico
PLANIFICACIÓN DEL RIESGO
Antes: Se toman medidas preventivas para la seguridad de la información trabajando con protocolos de seguridad
y autentificación para el acceso a ella. Se revisan continuamente la integridad de los datos y posibles
vulnerabilidades que pueda poseer el sistema mediante diversos tipos de prueba. Por lo mismo, se deben
configurar los DNS primario y secundario de manera que la página se mantenga operativa. El analista
desarrollador debe tener un contrato de trabajo 24/7 de tal manera que esté asegurada la operatividad del
sistema en todo momento o bien el equipo deberá trabajar con un sistema de turnos. Mantener
actualizado el plan de respaldo del sistema web.
Durante: Se identifica la naturaleza del ataque. En caso de que el ataque tenga consecuencias mayores, se debe
informar por los medios de comunicación que posea la Empresa. Se debe investigar las consecuencias del
ataque, los tipos de acceso vulnerados o bien la pérdida de información causada. Por otro lado, en caso de
que exista riesgo de robo de información, se deben aislar los mecanismos de conexión a esta información y
protegerla de la mejor forma posible.
Después: Una vez que el ataque haya terminado y se esté seguro que las operaciones futuras están a resguardo de
nuevos problemas, se debe recuperar la información perdida (En caso de ser necesario) y restablecer el
servicio; avisando por los medios de comunicación establecidos el estado operativo del sistema.
Seguimiento: Se deben analizar las causas y medios que permitieron el ataque, tomando medidas preventivas para evitar
ataques futuros. Se deben hacer pruebas que simulen el mecanismo del hackeo para comprobar que la
información está segura. En caso de robo de información sensible, se debe investigar las consecuencias del
robo y tomar acciones al respecto, tales como informar a autoridades o sugerir cambios de contraseña para
clientes.