Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

4to avance practica final

1,004 views

Published on

proyecto intergarador de tecnologias de informacion

Published in: Art & Photos, Travel, Technology
  • Be the first to comment

  • Be the first to like this

4to avance practica final

  1. 1. Profesional Reporte Nombre: Sergio Chávez Sandoval Matrícula: 2581540 Nombre del curso: Proyecto integrador de tecnologías de información Nombre del profesor: MAYRA ALEJANDRA RODRIGUEZ ARRIAGA Módulo: 4. Riesgos y Plan de Continuidad de Negocios. Actividad: practica integradora Fecha: 12-04-2011 Bibliografía: http://bbsistema.tecmilenio.edu.mx/webapps/portal/frameset.jsp? tabGroup=courses&url=%2Fwebapps%2Fblackboard%2Fcontent %2FcontentWrapper.jsp%3Fcontent_id%3D_883959_1%26displayName %3DLinked%2BFile%26course_id%3D_39590_1%26navItem%3Dcontent %26attachment%3Dtrue%26href%3Dhttp%253A%252F %252Fcursos.tecmilenio.edu.mx%252Fcursos%252Fat8q3ozr5p%252Fprof %252Fas%252Fas04006%252Fcel Objetivo: El presente proyecto fue realizado con la finalidad de poner en práctica todos los conocimientos adquiridos durante las cuatro semanas de clases de la materia “Proyecto Integrador de TI”, todo esto mediante la resolución de un caso con características específicas que requiere la aplicación de todos los conocimientos y mucho razonamiento lógico, para que así mismo pueda conocerse y aplicarse adecuadamente cada uno de los temas vistos en el curso que será la meta base que perseguirá este proyecto para realizar cada unos de los puntos pedidos en el caso. Procedimiento: 1-Consulté la pagina Web-Tec para asistir la proyecto integrador correspondiente a resolver. 2-Leí el caso y los temas correspondiente a resolver para comprender más sobre la problemática del proyecto. 3- Investigue más sobre temas relevantes que pudieran ayudar en el proyecto, consultando en diferentes fuentes de información, para así para poder pasar al siguiente punto. 4-Ya comprendido el tema y el proyecto pase a la problemática del caso correspondiente a resolver que pedía lo siguiente: A. Diseñar un modelo básico de análisis de riesgos para la organización. B. Documentar las principales diez amenazas que consideres más relevantes.
  2. 2. Profesional Reporte C. Identificar, al menos diez riesgos principales que la organización debe de atender (considerar al menos diez vulnerabilidades para calcular cada riesgo). D. Desarrollar un análisis de impacto, considerar los procesos de negocio descrito, mencionar cuál sería el proceso más crítico del negocio, mencionar cuál sería el tiempo estimado de recuperación de este proceso para no causar grandes pérdidas a la empresa. E. Desarrollar un plan de continuidad de negocio de alto nivel considerando un sitio alterno para los sistemas críticos del negocio. 5-Con ayuda de los resultados hice una simple conclusión de lo aprendido de la problemática del caso para finalizar con el proyecto. 6-Los resultados fueron analizados y sintetizados, y se presentan a continuación bajo el formato de reporte. Resultados: Caso: Industria Química, Empresa Química El Rey Química El Rey se fundó hace 30 años y se encarga de fabricar productos para el hogar como detergentes, limpiadores especiales para todo tipo de aplicación en el hogar. Cuenta con una línea de productos de limpieza con orientación Industrial. Tiene sus oficinas principales en la ciudad de Monterrey N. L. y puntos comerciales de distribución en otras 25 ciudades de México. La planta de producción se encuentra ubicada en la ciudad de Higueras N. L., a 45 minutos de la Ciudad de Monterrey. La Empresa cuenta con cuatro procesos principales (abastecimientos, producción, distribución y procesos de apoyo) Cuenta con un sistema ERP para los procesos de abastecimiento y producción, un sistema vía Internet de ventas y pedidos (interfaz con ERP) y un sistema de contabilidad (se alimenta del ERP). Su infraestructura técnica de telecomunicaciones se base en una red tipo VPN que conecta todos los puntos mencionados. La estructura organizacional base, que labora en el área de sistemas, se integra por un gerente de TI, un supervisor de soporte técnico, un supervisor de desarrollo de sistemas y un supervisor de comunicaciones. El resto del personal es contratado por honorarios y proyectos específicos. Las bodegas de producto terminado se encuentran contiguas a la planta de producción en la ciudad de Higueras N. L., y otras en México D. F. y Guadalajara, Jalisco. Objetivo: El director de la empresa Química El Rey ha contratado a un grupo consultor de expertos en el área de TI y seguridad de información para que lo apoyen a reforzar el área de TI de la empresa. La demanda comercial ha crecido a tasas de más del 50% anual desde los últimos 5 años y el área de TI ha crecido en forma desordenada quizá por la inadecuada planeación estratégica. En opinión de los diversos gerentes de la empresa el área de TI, no está satisfaciendo sus solicitudes en tiempo y en calidad. El director de TI menciona que carece de políticas y procedimientos que le permitan operar adecuadamente y alineado a las mejores prácticas, dado que el crecimiento de la empresa ha sido muy rápido y a la falta de recursos económicos y humanos asignados al área de TI.
  3. 3. Profesional Reporte La organización desea iniciar operaciones en Estados Unidos de Norte América, pero al director general le preocupa que el área de TI no se encuentre al nivel que la competitividad en aquel país piensa se va a requerir. 1.- Módulo 4. Riesgos y plan de continuidad de negocios A) MODELO BASICO DE ANALISIS DE RIESGO El modelo de análisis de riesgo tiene como objetivo: Administrar los riesgos en materia de seguridad de información de manera que sea Costo- Beneficio para la organización a través de: - Identificación de activos críticos y sus amenazas. - Cuantificar los impactos al negocio debido a las amenazas. - Calcular los riesgos. - Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). - Implementación de controles que ayuden a mitigar los riesgos. - Monitoreo de la efectividad de los controles y su impacto (reducción) en los riesgos. Para que el proceso de análisis de riesgo sea efectivo requiere del soporte constante de la alta dirección, las personas que deben participar durante el proceso son los dueños de los activos de información, los custodios y la organización de seguridad de información, pudiendo reflejarse dichos impactos en función de la pérdida de imagen, pérdida financiera, cuestiones legales tales como demandas e incluso pérdida en la productividad de la compañía, pudiéndose perder la confidencialidad, integridad o disponibilidad de la información. Modelo de Riesgos para la organización: |ACTIVOS |AMENAZAS |IMPACTOS |VULNERABILIDADES |RIESGOS | | | |Imagen |Legal | Financiero | | | | | | | | | | | | | | | | | | | | | | | | | | | ACTIVOS Los activos que posee la empresa simbolizan los recursos que los dueños tienen para el desarrollo de la actividad productiva de la entidad y como resultados de las operaciones diarias que en un futuro le traerán beneficios económicos, siendo estos también los recursos con que cuenta la empresa u organización, como el personal, infraestructura, hardware, software, información, principalmente la industria o giro de la organización, así como la información de diferentes tipos con los que una organización desarrolla su actividad y que suelen ser vitales para el desarrollo modelo de negocio de la organización.
  4. 4. Profesional Reporte AMENAZAS Una amenaza es un fenómeno causado por el ser humano o un proceso natural que puede poner en peligro a un grupo de personas, sus pertenencias y su ambiente, cuando no son precavidos. Existen diferentes tipos de amenazas. Algunas son naturales, otras son provocadas por el ser humano, como las llamadas industriales o tecnológicas (explosiones, incendios y derrames de sustancias tóxicas). Las guerras y el terrorismo también son amenazas creadas por el ser humano. - Terremotos, sismos: fuertes movimientos de la corteza terrestre que se originan desde el interior de la Tierra y que pueden causar muchos daños. - Erupciones volcánicas: explosiones o emanaciones de lava, ceniza y gases tóxicos desde el interior de la Tierra, a través de los volcanes. - Deslizamientos: tierra, piedras y vegetación que se deslizan rápida o lentamente cuesta abajo. Se presentan sobre todo en la época lluviosa o durante una actividad sísmica. - Maremotos o tsunamis: serie de olas marinas gigantes que se abaten sobre las costas, provocadas por terremotos, erupciones volcánicas o deslizamientos submarinos. - Huracanes: fuertes vientos que se originan en el mar y que giran en grandes círculos a modo de torbellino; vienen acompañados de lluvias. Se les llama también ciclones tropicales. - Plagas: calamidad grande que aflige a un pueblo o comunidad, por ejemplo gran cantidad de insectos o animales que pueden destruir los cultivos. - Sequías: período de meses o años durante el cual una zona de la tierra padece por la falta de lluvia, causando daños graves al suelo, los cultivos, los animales y hasta a las personas, provocándoles en algunas ocasiones la muerte. - Inundaciones: presencia de grandes cantidades de agua, provocadas en general por fuertes lluvias que el suelo no puede absorber. - Incendios (forestales): fuegos destructivos en bosques, selvas y otro tipo de zonas con vegetación. Estos incendios pueden salirse de control y esparcirse muy fácilmente sobre extensas áreas. - Tornados: ráfagas de viento en rotación, de gran violencia que giran sobre la tierra. IMPACTOS Los impactos en el negocio se deben identificar tomando en consideración diferentes dimensiones, tales como: El tipo de impacto, dependiendo del rango de impacto que ocasionarán los activos de la organización. Los impactos de los activos de información se pueden identificar en función de las siguientes decisiones: - Confidencialidad. - Integridad. - Disponibilidad. Tipos de impactos dentro de la empresa u organización: - Legales. - Imagen. - Financiero.
  5. 5. Profesional Reporte Pudiéndose determinar mediante las amenazas previamente identificadas, VULNERABILIDADES Las vulnerabilidades son debilidades de los activos de información por ausencia de controles. Las vulnerabilidades se identifican en función de: - Medio ambiente. - Personal, procedimientos, procesos, políticas, etc. - Operación del negocio y entrega de servicios. - Hardware, software o facilidades y equipos de comunicaciones. Los tipos de probabilidades de las vulnerabilidades se miden en: |Probabilidad baja: que se considera como riesgo tolerable y moderado con poco riesgo que ocurra y se pueden corregir rápidamente.| |Probabilidad media: Daña de manera tolerable, es de riesgo moderado, pero es causante de riesgo importante de la organización por| |tanto conlleva a más tiempo en su corrección. | |Probabilidad alta: Es ligeramente dañino, pero puede ocasionar un riesgo importante en el desarrollo de los procesos, este tipo | |de riesgo es intolerable, muy difícil de corregir y a veces causa muchas pérdidas a la empresa. | RIESGOS El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. El concepto de riesgo está íntimamente relacionado al de incertidumbre, o falta de certeza, de algo pueda acontecer y generar una pérdida del mismo, evaluándose el grado de riesgo, Bajo, Medio o Alto. Algunos riesgos posibles de la organización en el área de TI: - Riesgos estáticos: Estos riesgos surgen de otras causas distintas a los cambios de la economía tales como: deshonestidad o fallas humanas. - Riesgos de Responsabilidades: Su peligro básico consiste en el perjuicio de otras personas o daño de una propiedad por negligencia o descuido. - Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas. - Riesgo fundamental: Envuelve las pérdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenómenos económicos, sociales. Ellos afectan parte de una organización. - Riesgo particular: Son pérdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares.
  6. 6. Profesional Reporte - Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. - Interface: Los riesgos en esta área generalmente se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones. - Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. - Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. B) Principales amenazas de consideraron más relevante. - Fuga de información. - Pérdida de la información. - Pérdida de equipo de TI. - Seguridad Física. - Seguridad de Red. - Seguridad de aplicación. - Conexiones no autorizadas. - Divulgación de operación. - Manipulación de datos. - Amenazas de imitación de identidad. - Divulgación de la información. - Espionaje de redes. - Seguridad física. - Seguridad de la aplicación. - Planes de contingencia inadecuados. - Deficiente suministro de energía. - Fallas del hardware. - Desastres naturales (terremotos, tormentas, etc.). C) Identificación de los riesgos principales que la organización debe de atender. - Riesgos de la integridad de la información. - Procesamiento de información. - Riesgos de administración de cambios. - Riesgo de acceso. - Riesgos en los procesos de negocio. - Riesgos de la administración de la información.
  7. 7. Profesional Reporte - Riesgo en el entorno de procesamiento. - Riesgos de utilidad. - Riesgos en la infraestructura. - Riesgos en la administración de seguridad. - Riesgos de niveles inadecuados de energía eléctrica. D) ANALISIS DE IMPACTO Al momento de producirse un ataque o eventualidad a los bienes de la empresa química, representa una pérdida para la organización que es necesario valorar. Interesa también clasificar la naturaleza de las posibles pérdidas derivadas de un incidente en orden a su importancia con el objeto de seleccionar las medidas preventivas a adoptar en cada caso. Análisis de Impacto o Análisis de Coste/Importancia es una técnica para decidir entre distintas opciones de diseño, relacionando las opciones con los problemas de usabilidad y escogiendo la opción que tiene los problemas de usabilidad más importantes, se realiza una vez que tengamos un conjunto de problemas de usabilidad identificados en cualquier clase de actividad de la evaluación de usabilidad. Análisis de Impacto en el Negocio (BIA, Business Impact Analysis): El procedimiento de analizar las pérdidas sufridas por una entidad si las actividades clave del negocio no están disponibles The “Business Impact Analysis (BIA)”: Permitirá identificar y prioritizar en función del impacto económico u operacional al negocio, lo siguiente: • Funciones y/o procesos críticos. • Tiempo de recuperación objetivo “Recovery Time Objective (RTO)”. • Información crítica. • Sistemas y aplicaciones críticas. • Recursos requeridos y dimensionamiento de Análisis. AREAS PRORITARIAS EN LA EMPRESA QUIMICA EL REY PARA EL ANALISIS DE IMPACTO La Empresa cuenta con 4 procesos principales (abastecimientos, producción, distribución y procesos de apoyo). Abastecimiento: Es la función logística mediante el cual se provee una organización de todo el material fundamental para su funcionamiento. Proceso critico del área de abastecimiento: - RTO o máximo tiempo tolerable de duración de la interrupción del servicio para cada proceso critico del negocio. - Obtener y proporcionar materiales y herramientas necesarias para el funcionamiento de la empresa.
  8. 8. Profesional Reporte RTO: 0 a 30min. - Adquirir y mantener los proveedores idóneos para la empresa. RTO: 0 a 1hr. Producción: El objetivo de esta área es programar y analizar que se esté obteniendo un rendimiento efectivo en las unidades producidas y asegurar que se cumplan las metas de producción, obteniendo el cumplimiento de las necesidades del área. Proceso crítico del área de producción: - RTO o máximo tiempo tolerable de duración de la interrupción del servicio para cada proceso critico del negocio. - Otorgarle mantenimiento y supervisión a las maquinas trabajadoras. RTO: 0 a 24hrs. - Falla de maquinaria y equipo de trabajo del área de producción. RTO: 0 a 72 hrs. Distribución: Se encarga de la gestión de los flujos físicos (materia, productos acabados…) y se interesa a su entorno. El entorno corresponde en este caso a: Recursos (humanos, consumibles y electricidad, etc.). Bienes necesarios a la realización de la prestación (almacenes propios, herramientas, camiones propios, sistemas informáticos, etc.). Servicios (transportes o almacenes subcontratados, etc.). Proceso critico del área de distribución: - RTO o máximo tiempo tolerable de duración de la interrupción del servicio para cada proceso critico del negocio. - Productos rezagados. RTO: 0 a 12 hrs. - Transporte de entrega y reparto descompuestos: RTO: 0 a 24 Proceso critico del área de apoyo: - RTO o máximo tiempo tolerable de duración de la interrupción del servicio para cada proceso critico del negocio. - Mala administración de los recursos de TI. RTO: 0 a 12 hrs. - Perdida de información de TI.
  9. 9. Profesional Reporte RTO: 0 a 24 hrs. E) PLAN DE CONTINUIDAD El establecimiento de un plan de contingencia se inicia por la identificación de los procesos críticos del negocio (o de su trabajo). La definición de estos procesos críticos se puede hacer de manera compleja mediante una matriz de impacto estratégico de los procesos, o simplemente identificando, por experiencia, cuales son aquellos procesos que se tienen que ejecutar siempre. Una vez identificados los procesos se determinan escalas horarias entre las cuales se deban tomar acciones dependiendo del tiempo estimado en que estará por fuera el sistema de información. Es importante reconocer que dependiendo de la magnitud del daño y del tiempo estimado en su recuperación, es que se deben tomar las acciones pertinentes. (BCP, Business Continuity Plan): Conjunto de tareas que le permitirá a la organización continuar su actividad en la situación de que un evento afecte sus operaciones. Un plan de continuidad afecta tanto a los sistemas informáticos como al resto de procesos de una organización y tiene en cuenta la situación antes, durante y después de un incidente. Si un daño causa que el sistema esté fuera de línea unos pocos segundos, no se requerirán mayores acciones, al menos que el sistema sea de misión crítica y estén involucrados recursos irrecuperables. Si por contra, el daño puede demorarse algunas horas en su reparación, el sistema de atención a los clientes se verá duramente afectado, impactando así en la satisfacción de los mismos. Es decir, aunque parezca obvio, que dependiendo del tamaño del mal, será la curación. Considerando un sitio alterno para los sistemas críticos del negocio seria el siguiente: Sitio alterno, Cold Site: Un sitio frío, es un tipo de servicio de recuperación de catástrofes que proporcione el espacio de oficina, pero esto se basa ha que el cliente proporciona e instala todo el equipo necesario para continuar operaciones. Un sitio caliente, por una parte, es un servicio comercial de la recuperación de catástrofes que permite que un negocio continúe operaciones de la computadora y de la red en caso de desastre de la computadora o del equipo. Un sitio frío es menos costoso, pero durara para conseguir que la empresa, en cuestión de su operación sea completa después del desastre. MARCO DE REFERENCIA La organización se encuentra alineado a marcos internacionales tales como - ISACA.
  10. 10. Profesional Reporte - COBIT. - ISO- 27001. En cuanto a la definición de un Modelo Básico de Análisis de Riesgos establece: Que es indispensable que se rija bajo los marcos de control de COBIT que representa un estándar mas completo con 34 objetivos de niveles altos que cubren 215 objetivos clasificados en cuatro dominios, tales como: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa. Mientras que el marco ISO 27001 se enfocara principalmente a Sistemas de Gestión de la Seguridad de la Información (SGSI). Es así para que el marco de COBIT o fresca una mejor solución integral para los requerimientos de la organización, haciéndola más competitiva y más segura para su nuevo ingreso en un mercado cambiante y competitivo, con el objetivo de implementar el Gobierno de T.I. para que se administren los riesgos asociados, y el aumento en los requerimientos regulatorios, así como también la gran dependencia de los muchos procesos de negocio de TI. Conclusión: Para finalizar, con este proyecto he aprendido que las organizaciones deben tener contempladas todas las eventualidades posibles para poder sortearlas en futuro incierto sin dificultad, ya sea que trátese de contratiempos naturales, como tormentas, huracanes y otros de índole natural, del mismo modo también los disturbios sociales a los que no se encuentra ajena ninguna sociedad moderna, sin embargo, dentro de la parte lógica de los procesos operativos de las organizaciones, específicamente en los sistemas de información, es donde más amenazas y vulnerabilidades latentes se encuentra, y dado a que las amenazas informáticas son cada vez más complejas y a veces difíciles de detectar, se hace necesaria una cultura de formación del personal especializado en TI para luchar contra todas las amenazas a las que se exponen los SI de una organización, desde la implementación de mejores prácticas hasta la contemplación de los posibles escenarios de desastres y su análisis de impacto. En conclusión, puedo decir que la seguridad que se le otorgue a la organización debe ser de manera integral, una seguridad orientada a las cualidades propias de la organización, que se haga imprescindible, por lo tanto, deben tomar conciencia de los riesgos a través de medidas en todos los niveles, así como de la implementación de herramientas, técnicas de seguridad, tales como antivirus, firewalls, software para autentificación de usuarios o para cifrado de la información que maneje la organización. Del mismo modo que resulte esencial la gestión de incidentes, la implantación y gestión de medidas tecnológicas que prevengan, tal como el plan de recuperación de negocios y el análisis de impactos, y mitigando así los riesgos, (tal como el plan de continuidad de negocios) a los que están expuestos los sistemas de la organización en la sociedad actual.

×