Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ALUMNO:
RODRIGO GARRIDO Y.
CONCEPCION, 2014
AGRADECIMIENTOS
Primero que todo agradezco a Dios, por llevarme por el camino hacia la superacin personal,
a mis amados padres que siempre tuvieron una palabra de aliento y apoyo cuando las cosas no
se vean muy bien, a mis profesores y profesor ayudante que pese a su agenda ocupada
siempre estuvieron presentes orientndome hacia la obtencin de las metas, aportando con su
granito de arena para hacer de mi un profesional, por sus consejos y su palabra siempre
acertada y alegre para cuando pens que no poda.
Especialmente, quisiera agradecer a la mujer maravillosa que ha estado a mi lado, que
siempre crey en m, aun cuando yo dude, la que me empujo a ser un mejor hombre, esposo y
a crecer profesionalmente, que me contuvo cuando ya no daba ms, que me apoyo
incondicionalmente, y me levanto una y otra vez con una palabra de aliento, la que me
sostuvo y me enseo a mirar siempre el lado positivo de la vida, que solo uno es el dueo de
su futuro y que siempre puedes lograr tus sueos con perseverancia, empeo y dedicacin, y
que pese a lo oscuro que se vea el camino, siempre habr una luz para guiarte, la luz de dios ,
mis padres, mis profesores y mi amada esposa.
INTRODUCCION..6
1.2
1.3
JUSTIFICACION11
1.4
OBJETIVO GENERAL...11
1.5
OBJETIVOS ESPECIFICOS...12
1.6
METODOLOGIA13
MARCO CONCEPTUAL.15
2.2
CONCEPTOS GENERALES.15
PLANES Y SUBPLANES..19
CONCEPTOS BASICOS33
2.6
CAPITULO III...44
3.1
INTRODUCCIN
Dibujando en cuevas,
con el fin de mantener la informacin en el tiempo, para que otras generaciones pudiesen
tener acceso a ella.
Con la informacin aparecieron las ciencias, se pudo observar y analizar y por medio de la
Ciencia nace la Tecnologa,
practico. esta Tecnologa parte en la Edad de Piedra, las primeras herramientas estaban
asociadas a la supervivencia del hombre, en las Edades posteriores solo se dejo entre ver los
avances de ella, posteriormente el hombre en base a toda esta informacin creo las
civilizaciones, Egipto, Grecia, Roma, China, India. Incas y Mayas, algunas inexistentes, pero
gracias al conocimiento, avances tecnolgicos y escrituras, sobre ellas se les conoce, hoy en
da. Posteriormente el hombre dara un gran salto con la revolucin industrial que llevo todo
este conocimiento al desarrollo de la sustentacin, mediante la economa, conocida tambin
como el conjunto de cambios
a la sociedad industrial
informacin durante las distintas edades o eras, siempre ha existido un alto riesgo sobre ella
la mantencin y resguardo de estos conocimientos siempre se ha visto afectada, por una serie
de factores, ya sea naturales como terremotos, inundaciones, incendios, guerras, y adems
por eventualidades como cortes de energa , o actuacin de hacker, cracker, que vulneran la
seguridad de las empresas con el fin de la sustraccin, divulgacin, y eliminacin poniendo en
riesgo a la organizacin ya sea privada o pblica.
Por ende las Organizaciones invierten grandes cantidades de dinero con el fin de mantener
segura la informacin, es as como nace un conjunto de medidas preventivas y reactivas para
empresa
informacin financiera de tres grandes entidades, mediante memorias USB, sustrayendo los
datos de ms de 20 millones de personas, la cual fue vendida a empresas de mercadeo
telefnico, la empresa en cuestin segn un agente de ella confirmo que la sustraccin de los
datos se debi a la precaria seguridad de las firmas financieras.
Las entidades pblicas de nuestro pas no se encuentran ajenas a este tipo de eventualidades
ya que la seguridad de sus sistemas de informacin puede ser violada inclusive desde el
interior.
En chile el diario la tercera en su edicin del 22/03/2014 publico, el robo de una base de
datos del registro civil, el 30 de octubre del 2013, la directora de la entidad Claudia Gallardo,
denuncio el hecho y pidi a la fiscala norte indagar la extraccin la cual se realizo mediante
una copia de la base de datos que contena registros 50.481.298 relativos a documentacin
de Cedula de identidad y pasaportes de todos los chilenos, por parte de un funcionario a
honorarios del servicio, el cual fue desvinculado de la institucin.
10
11
12
Entrevistas al personal clave: Encargado rea Informtica de las Entidades Pblicas. Las
entrevistas sern realizadas al encargado del rea TIC de cada Entidad evaluada.
Diagnostico mediante check list
Anlisis de la Entidad.
Entrevistas con personal clave
13
CAPITULO II:
14
MARCO CONCEPTUAL
Conceptos Generales
Es de vital importancia explicar la conceptualizacin bsica, y la terminologa que en el
presente estudio se utiliza, con el objeto de profundizar en los temas asociados al plan de
contingencia y recuperacin de la informacin.
15
Sistemas de Informacin
Un sistema de informacin es un conjunto de elementos interrelacionados con el propsito de
prestar atencin a las demandas de informacin de una organizacin, para elevar el nivel de
conocimientos que permitan un mejor apoyo a la toma de decisiones y desarrollo de acciones.
(Pea, 2006).
En cuanto a los sistemas de informacin podemos sealar.
Otro autor define que Un sistema de informacin es el sistema de personas, registros de
datos y actividades que procesa los datos y la informacin en cierta organizacin, incluyendo
manuales de procesos o procesos automatizados. (s/a, 2008).
Segn Peralta Manuel (2008) un sistema de informacin es un conjunto de elementos que
interactan entre si con el fin de apoyar las actividades de una empresa o negocio, la cual
realiza cuatro actividades bsicas.
Entrada de Informacin: Es el proceso mediante el cual el Sistema de Informacin toma
los datos que requiere para procesar la informacin. Las entradas pueden ser manuales o
automticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario,
mientras que las automticas son datos o informacin que provienen o son tomados de otros
sistemas o mdulos. Esto ltimo se denomina interfaces automticas. Las unidades tpicas de
entrada de datos a las computadoras son las terminales, las cintas magnticas, las unidades de
16
17
Fuente: www.cibertareas.com
Adems los Sistemas de Informacin segn Peralta (2008) cumplen tres objetivos bsicos
dentro de las organizaciones.
1. Automatizacin de procesos operativos: Lo Sistemas de Informacin que logran la
automatizacin de procesos operativos dentro de una Organizacin o entidad, son
llamados Transaccionales, ya que su funcin primordial consiste en procesar
transacciones tales como pagos, cobros, plizas, entradas, salidas, etc.
2. Proporcionar Informacin que sirva de apoyo al proceso de toma de decisiones:
Los Sistemas de Informacin que apoyan en el proceso de toma de decisiones son
18
Planes y Sub-planes
Plan de Continuidad del Negocio
Plan de Continuidad del Negocio (Business Continuity Planning - BCP) Es el proceso de
desarrollar planes y procedimientos dentro de la organizacin con el propsito de responder
ante un desastre o interrupcin significativa del negocio, de forma tal que las operaciones
crticas del negocio puedan continuar sus operaciones dentro de un lmite aceptable de
tiempo, de acuerdo a lo establecido por la gerencia general. Adems puede ser definido como
un conjunto formado por planes de actuacin, planes de emergencia, planes financieros,
planes de comunicacin y planes de contingencias destinados a mitigar el impacto provocado
por la concrecin de determinados riesgos sobre la informacin y los procesos de negocio de
una compaa.
19
20
integridad de la misma.
Aspectos Generales de la Seguridad de la Informacin
1. Seguridad Fsica
21
Compartimentacin.
Elementos de la construccin.
Potencia elctrica.
Control de accesos.
Seleccin de personal.
Medidas de proteccin.
22
Duplicacin de medios.
Durante
Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es
cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de
una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podra ser
tan grande que resultara fatal para la organizacin. Por otra parte, no es corriente que un
negocio responda por s mismo ante un acontecimiento como el que se comenta, se deduce la
necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos
en el Plan de Recuperacin de Desastres que junto con el Centro Alternativo de Proceso de
Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las
operaciones de recuperacin del mismo.
Son puntos imprescindibles del plan de contingencia:
Realizar un anlisis de riesgos de sistemas crticos que determine la tolerancia de los
sistemas
Establecer un periodo crtico de recuperacin, en la cual los procesos debe de ser
reanudados antes de sufrir prdidas significativas o irrecuperables.
Realizar un Anlisis de Aplicaciones Crticas por que se establecern las prioridades del
proceso.
23
24
25
Seguridad Lgica
Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
26
Transacciones: Aqu se pueden manejar los cambios de estado del sistema, ya que las
transacciones estn compuestas por varios procesos que se han de aplicar uno despus de otro.
En esta etapa se pueden implementar controles a travs de mecanismos estndar para manejar
los cambios como por ejemplo cada transaccin poseer una clave que la distinguir del resto,
y se sabr que usuario la utiliz o realiz el cambio.
Limitaciones a los Servicios: Las limitaciones son controles de restriccin que detendr un
proceso dependiendo de los parmetros propios de la utilizacin de las aplicaciones.
Modalidades de Acceso: Las modalidades de acceso son las formas de entrada que permiten
al usuario ingresar sobre los recursos y a la informacin. Estas pueden ser:
-
Escritura: Este tipo permite al usuario agregar datos, modificar o borrar informacin.
27
Creacin: Entrega al usuario los permisos para crear nuevos registros, campos y
archivo.
Bsqueda: permite enumerar, registrar, inventariar los archivos de un directorio
determinado.
Ubicacin y Horario: Este tipo de control puede ser clave en la seguridad de la informacin
por que determina los accesos a ciertos recursos de los sistemas tanto en su ubicacin fsica o
lgica de los datos de personas.
Los horarios son tipo de controles que permiten acotar, localizar, restringir los accesos de
usuarios a determinadas horas, das, meses, aos. Con esto se busca mantener un control
limitado de los usuarios y los lugares de ingreso.
Se debe destacar que estos dos controles deben ser siempre acompaados de algunos de los
controles antes mencionados para su ptimo funcionamiento.
28
29
Mens
Vistas sobre la Base de Datos
Lmites fsicos sobre la interfaz de usuario
30
31
Definicin de puestos
Determinacin de la sensibilidad del puesto
Eleccin de la persona para cada puesto
Entrenamiento inicial y continuo del empleado
32
Privacidad: Se define como el derecho que tienen los individuos y organizaciones para
determinar, ellos mismos, a quin, cundo y qu informacin referente a ellos sern
difundidos o transmitidos a otros.
Integridad: Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las tcnicas de integridad sirven para prevenir que existan
valores errados en los datos provocados por el software de la base de datos, por fallas de
programas, del sistema, hardware o errores humanos.
El concepto de integridad abarca la precisin y la fiabilidad de los datos, as como la
discrecin que se debe tener con ellos.
Datos: Los datos son hechos y cifras que al ser procesados constituyen una informacin, sin
embargo, muchas veces datos e informacin se utilizan como sinnimos.
33
34
35
monetarias o por
prdidas ocasionadas
Mitigacin: Medidas de intervencin dirigidas a reducir o atenuar el riesgo. La mitigacin es
el resultado de una decisin poltica y social en relacin con un nivel de riesgo aceptable,
obtenido del anlisis del mismo y teniendo en cuenta que dicho riesgo es imposible de reducir
totalmente.
Recuperacin: Proceso de restablecimiento de condiciones adecuados y sostenibles de vida
mediante la rehabilitacin, reparacin o reconstruccin del rea afectada, los
36
bienes
desarrollo
37
Information Segurity-Management).
Es una gua de buenas prcticas a partir de objetivos de control y controles recomendables a
nivel de seguridad de la informacin. A diferencia de ISO 27001, no es un estndar
certificable. Cuenta con 39 objetivos de control y 133 controles agrupados en 11 dominios,
abordando ms controles y dominios que los establecidos en el estndar certificable ISO
27001.
ISO/IEC 27005 (Information technology Security techniques Information security
risk management)
Se trata de un estndar internacional denominado ISO 27005, creado el ao 2008,
que
38
39
40
Fuente: http://www.secureit.es/wp-content/uploads/2013/03/itil.png
El ciclo de vida ITIL, consta de cinco fases,
reduciendo las variaciones en el rendimiento y los errores conocidos y garantizando que este
cumple con los requisitos del negocio. Para lograr esto, se vale de los siguientes pasos:
planificacin y preparacin, construccin y pruebas, pilotos, y planificacin y preparacin del
despliegue
Operacin del servicio:
Tiene como objetivos la coordinacin y ejecucin de las actividades y procesos necesarios
para entregar y gestionar servicios para usuarios y clientes con el nivel especificado. Tambin
tiene la responsabilidad de gestionar la tecnologa necesaria para la prestacin y el soporte de
los servicios.
Mejora continua del servicio:
Se centra en las actividades que mejoran la calidad del servicio. Para esto utiliza el ciclo
Planear, hacer, verificar actuar, que establece una fase de consolidacin para cada mejora,
con el fin de incorporar nuevos procedimientos en la organizacin. Las medidas y anlisis
42
CAPITULO III
43
operaciones en caso de
incidentes o desastres, sirviendo como punto de partida y aportando una gua de acciones que
se deben ejecutar para una adecuada respuesta en caso de emergencia.
El Plan de Contingencia debe cubrir todos los aspectos que se van a adoptar tras una
Interrupcin, lo que implica suministrar el servicio alternativo y para lograrlo no solo se
deben revisar las operaciones cotidianas, sino que tambin debe incluirse el anlisis de los
principales componentes de la infraestructura en riesgo. Esto incluye cubrir los siguientes
puntos: hardware, software, documentacin, talento humano y soporte logstico; debe ser lo
ms detallado posible y fcil de comprender. Los responsables de la planificacin, deben
evaluar frecuentemente los planes creados, as como analizar otras situaciones que se
pudieran llegar a presentar. Un Plan de Contingencia esttico se queda rpidamente obsoleto y
produce una falsa sensacin de seguridad, por lo cual debe ser un documento vivo,
actualizndose, corrigindose, y mejorndose constantemente, de manera que se pueda
confiar en que las medidas adoptadas son apropiadas y pertinentes. Tambin es necesario
considerar como ser divulgado.
Un Plan de Contingencia debe ser exhaustivo, evitando entrar en demasiados detalles;
44
Debe estar preparado para alguna interrupcin o desastre, por lo que debe ser capaz
de dar respuesta a todos los incidentes que puedan afectar los procesos crticos de la
organizacin
Procedimientos de evacuacin
45
Determinar la relacin costo beneficio y tener argumentos para la decisin del valor de
la prdida de.
Clasificar los componentes de la plataforma tecnolgica en trminos de riesgo ya
Dentro de las prioridades podemos decir que una buena evaluacin del riesgo minimizara la
ocurrencia de prdidas de informacin.
Tambin debe contar con una Jerarquizacin de aplicaciones, sea se debe definir con
antelacin cuales son las aplicaciones primordiales para la organizacin, teniendo en cuenta
46
requerido,
justificacin del costo de implantar las medidas de seguridad, anlisis y evaluacin del
plan,
definir un tiempo prudente y viable para lograr que el sistema se libere y pueda entrar
en operacin.
Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su
ejecucin cuyas conclusiones pueden servir para mejorar ste ante eventualidades que se
puedan presentar con posterioridad.
47
comprender otros aspectos del sistema y puede ser apoyo para la empresa en caso de ocurrir
un incidente o desastre. Debe incluir los procedimientos detallados que expliquen el paso a
paso de las tareas de instalacin y recuperacin necesarias, procurando que sean entendibles y
fciles de seguir.
La documentacin del plan de contingencia se debe desarrollar a medida que se avanza en la
definicin del plan y desde el mismo momento que nace, pasando por todas sus etapas; en
ningn caso se debe dejar de lado esta labor, esperando a realizarla cuando se concluyan las
48
50
Fuente: www.consultinginformationtechnology.com
En una encuesta de 95 compaas realizada por la firma Sepaton en 2012, 41% de los
encuestados report que su estrategia de DRP consiste en un centro de datos configurado
51
1. Hot site: son sitios de respaldo, que tienen una imagen espejo virtual del centro de
datos de la organizacin, con todos los sistemas configurados y esperando solamente
por los ltimos respaldos de los datos de sus usuarios, desde las facilidades de
almacenamiento fuera del sitio. Los Hot site, son recomendados para organizaciones
en la cuales su tiempo de ruptura no supera las 24 a 48 horas.
2. Cold site: son sitios que tienen solo el ambiente bsico, para realizar una instalacin
de proceso de informacin, como el cableado elctrico, aire acondicionado, piso, entre
otros. Estos sitios, estn listos para recibir los equipos, pero no ofrecen ningn
componente en el lugar, antes que se requiera su uso. La activacin del lugar puede
llevar varias semanas.
52
o sin
interrumpir al usuario.
5. Acuerdos recprocos: son acuerdos entre dos o ms organizaciones, con equipo o
instalaciones similares, el cual prometen proveerse mutuamente de tiempo de
procesamiento, en caso de alguna emergencia.
6. Sitios mviles: estos sitios, son un remolque especialmente diseado que puede ser
transportado rpidamente a un lugar de negocio o a un sitio alterno, para proveer una
instalacin acondicionada y lista para el procesamiento de informacin. Estos sitios
son una alternativa til, cuando no hay instalaciones de recuperacin en el rea
geogrfica inmediata.
7. Modalidad externa: son acuerdos mediante un convenio con otra institucin que
posee equipos similares o mayores y que brindan la seguridad de poder procesar la
informacin de la organizacin, y ser puestas a disposicin de ella, en caso de
producirse alguna interrupcin o desastre, y mientras se busca una solucin definitiva.
Este tipo de convenios debe tener tanto las consideraciones de equipamiento como de
ambientes y facilidades de trabajo que cada institucin se compromete a brindar, y
debe de ser actualizado cada vez que se efecten cambios importantes de sistemas que
afecten a cualquiera de las organizaciones.
53
Fuente: www.consultinginformationtechnology.com
CAPITULO IV
4.1 AUDITORIA AL PLAN DE CONTINGENCIA Y RECUPERACION
ANTE DESASTRES
54
55
Disminuye los costos de la mala calidad (re-procesos, rechazos, reclamos, entre otros).
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
* Gobierno corporativo
56
Proteccin y Seguridad
57
58
CAPITULO V
RESULTADOS
59
Organigrama Municipal
60
Encargado rea Informtica, Municipalidad San Pedro de la Paz: Ricardo Tapia Almendra,
Servicios contratados: sistemas de Adquisiciones, Bienes, Bienestar, Bodega, Contabilidad,
Gestin documental, Juzgado polica local, licencias, Patentes municipales, Patenten
Vehiculares, Personal, Reloj control, Tesorera y Remuneraciones.
61
62
63
64
65
SENDA dar continuidad a las labores que cumpla el Consejo Nacional para el
Control de Estupefacientes (CONACE), creado mediante el Decreto Nro. 683 del 21 de
Septiembre de 1990.
Centros de tratamiento 17
Senda Previene 31
Oficina regional ubicada en calle Tucapel 194 concepcin.
5.4.2 Organigrama Senda Regional
66
67
Este Capitulo presenta los resultados obtenidos de los Check List, aplicados a cuatro
Servicios Pblicos de la Regin del Biobo. En funcin de los objetivos propuestos en la
presente investigacin. Los resultados se describen de acuerdo a:
68
69
100%
25%
25%
75%
50%
SE EFECTUARON PRUEBAS DE SEGURIDAD FSICA, LGICA, REDES Y SISTEMAS, DOCUMENTANDO SUS RESULTADOS
50%
este plan no identifica todos los riesgos asociados, solo un 25% contempla
70
71
Munc.Chiguayante
Munc. Hualqui
SENDA
SE EFECTUARON PRUEBAS DE SEGURIDAD FSICA, LGICA, REDES Y SISTEMAS, DOCUMENTANDO SUS RESULTADOS
Del Mayor Conocimiento del Plan de Contingencia, cada rectngulo de color representa un
25%, respectivamente de
muestra que el 100% de las entidades no poseen un plan de contingencia, plan que identifica
los riesgos asociados y tampoco un plan de recuperacin ante desastres del rea TI. Adems
un 75 % no cumple con los criterios sobre el cumplimiento de alternativas o estrategias en
caso de fallas
72
73
25
100
100
EXISTE UN CRITERIO PARA VALORAR CUALES SON LOS ELEMENTOS CRTICOS DEL INVENTARIO
25
SE DISTINGUE EN ESE CRITERIO: RIESGOS PARA EL NEGOCIO, RIESGO PARA EL SERVICIO PRESTADO A LOS CLIENTES Y RIESGO DE PARLISIS DE LA GESTIN DE LA INSTITUCIN0
CRITERIO VALIDADO POR LOS JEFES DE GESTIN Y JEFES DE INFORMTICA0
SE HA REALIZADO UN RANKING DE LOS ELEMNTOS MS CRTICOS0
SE INICIARN PRUEBAS Y ACTUALIZACIONES SIGUIENDO EL ORDEN DEL RANKING0
74
EXISTE UN CRITERIO PARA VALORAR CUALES SON LOS ELEMENTOS CRTICOS DEL INVENTARIO
SE DISTINGUE EN ESE CRITERIO: RIESGOS PARA EL NEGOCIO, RIESGO PARA EL SERVICIO PRESTADO A LOS CLIENTES Y RIESGO DE PARLISIS DE LA GESTIN DE LA INSTITUCIN
75
76
Seguridad Fsica
n=4
50%
100%
100%
Tiene polticas de seguridad de los equipos sobre alimentos, lquidos o cualquier tipo de sustancia que dae los equipos
0%
100%
25%
El personal conoce mtodos y procedimientos que ayuden a ser frente a las emergencias o riesgos por desastre
25%
75%
Cuenta con sealamientos que ayuden a identificar zonas restringidas, donde solo personal autorizado pueda ingresar
50%
Existe un sealamiento que obligue al registro de la persona para el acceso a las instalaciones
100%
75%
50%
75%
100%
Las condiciones elctricas, iluminacin, y climticas son adecuadas para el uen funcionamiento de los equipos de cmputo
100%
50%
Cuenta con las herramientas necesarias para dar mantenimiento a los equipos
Se asigna al personal una carta responsiva por el equipo que est utilizando
25%
75%
Se documenta la entrega-recepcin a la organizacin por parte de los empleados que dejan de formar parte de la organizacin
Cuenta con cmaras monitoreando el site de la organizacin
50%
77
Munc.Chiguayante
SENDA
78
79
Seguridad Lgica
n=4
75%
100%
100%
25%
25%
75%
50%
100%
75%
50%
50%
25%
50%
50%
Los usuarios de bajo nivel tienen restringido el acceso a las partes ms delicadas de las aplicaciones
75%
75%
100%
El equipo de cmputo cuenta con suficiente HD en funcin de los servicios que otorga
100%
El equipo de cmputo cuenta con sufiiente memoria RAM en funcin de los servicios que otorga
100%
La velocidad del procesador es el adecuado para los programas que son utilizados en los equipos
80
75%
Munc.Chiguayante
SENDA
La velocidad del procesador es el adecuado para los programas que son utilizados en los equipos
El equipo de cmputo cuenta con sufiiente memoria RAM en funcin de los servicios que otorga
El equipo de cmputo cuenta con suficiente HD en funcin de los servicios que otorga
realizan mantenimiento correctivo al equipo de cmputo
Realizan mantenimiento preventivo al equipo de cmputo
Los usuarios de bajo nivel tienen restringido el acceso a las partes ms delicadas de las aplicaciones
Se sanciona al integrante del departamento si instala softwere no permitido
Existe un proceso para adquirir nuevas licencias
Existe un proceso para mantener las licencias actualizadas
Cuenta con licencias de softwere
Se tienen instaladas anti malwere en los equipos de cmputo
Cuentan con antivirus actualizado
Se tiene Softwere antivirus instalados en los equipos de cmputo
La organizacin cuenta con un proceso para dar mantenimiento correctivo al softwere
La organizacin cuenta con un proceso para dar mantenimiento preventivo al softwere
Se obliga, cada cierto tiempo a cambiar la contrasea
Las contraseas cuentan con letras, nmeros y smbolos
Existe algn estndar para la creacin de contraseas
Existe un administrador de sistemas que controle las cuentas de los usuarios
Se realizan respandos de informacin peridicamente
Existen metodologas de respaldo de informacin
81
82
Seguridad en Redes
n=4
Las salidas de corriente elctrica son trifsfica
100%
Los interruptores de energa estn debidamente protegidas y sin obstculos para alcanzarlos
100%
75%
100%
75%
75%
75%
25%
75%
100%
50%
Cuenta con administracin de red y documentacin cuendo se han hecho cambios en la misma
Se apega a algn estndar para asignar el cableado elctrico al inmueble
0%
Se cumple con el estndar de tierra fsica segn requisito establecido en las normas
50%
50%
75%
25%
Cuentan con un sistema de proteccin de descargas electro atmosfrica para el rea de servidores
25%
83
84
50%
100%
100%
75%
100%
75%
Se cuenta con personal especializado para que monitoree el rendimiento del sistema
75%
100%
50%
85
Munc.Chiguayante
SENDA
El sistema fue creado bajo un modelo para la mejora y evaluacin de los procesos de desarrollo y mantenimiento de sistema
Se cuenta con personal especializado para que monitoree el rendimiento del sistema
86
87
Fuente: www.protegete.wordpress.com
88
TERREMOT
OS
FUEGO
INTENCION
AL
FALLAS DE
ELECTRICID
AD
TZUNAMIS
ATAQUE
TERRORIST
A
HUELGAS
INTERURPC
ION
DELIBERAD
A
FALLAS DE
SISTEMAS
FALLAS DE
EQUIPOS
ERRORES
HUMANOS
VIRUS Y
AMENAZAS
ATAQUE
HACKER Y
CRACKER
CODIGOS
MALISIOSO
S
PIRATERIA
SPAM
PROBABLID
AD DE
OCURENCIA
IMPCTO O
MAGNITUD
S.
P
S.
P
Chigt
e
Sn
Pedro
Hualq
ui
Senda
12
12
12
12
12
1
1
1
1
1
1
1
1
1
2
2
2
2
2
3
2
1
2
2
2
2
2
3
2
2
2
2
2
2
2
2
2
3
4
2
4
4
3
3
3
6
8
4
8
8
6
6
6
12
12
12
12
12
12
12
1
2
2
2
2
3
1
3
3
1
2
2
2
2
2
2
3
2
4
4
4
6
2
6
89
12
12
16
12
TIPO DE
RIESGO
12
ERRORES
HUMANOS
VIRUS Y
AMENAZAS
12
90
12
CODIGOS
MALISIOSO
S
PIRATERIA
SPAM
FUGAS DE
INFORMACI
ON
ROBO
EQUIPOS
ROBOS
SFOTWARE
3
2
8
4
4
9
4
6
12
2
6
9
12
16
LICENCIAS
VENCIDAS
12
18
16
14
12
10
NIVELES DE RIESGO Chiguayante
8
6
4
2
0
NIVELES DE RIESGO Senda
91
1. PLANIFICACIN
1.1 Diagnstico
Es necesario siempre la revisin exhaustiva de cada uno de los componentes que conforman
nuestro sistema, por ello, debemos realizar una etapa de diagnostico para poder asegurar que
las acciones de solucin propuestas tengan un fundamento realista y no tener que volver a
rehacer toda propuesta.
92
Computadoras.
Programas.
Aplicativos Informticos.
Equipos Empotrados
.
El procesamiento de este inventario puede ser de dos tipos:
93
El conocimiento del Inventario de estos recursos nos permitir hacer una Evaluacin de los
Riesgos de la operatividad de los sistemas de informacin. Cada formato consta de dos partes:
a.- Datos componentes: Donde se registran los datos bsicos de ubicacin, identificacin y
caractersticas primarias, as como tambin su importancia, compatibilidad y adaptabilidad.
b.- Anlisis del proceso de adaptacin del componente:
Incluye datos de costos, fecha de culminacin, medios utilizados y medidas de contingencia.
nivel.
Identificacin y asignacin de los grupos de trabajo iniciales. definicin de los roles y
responsabilidades.
Definicin de las partes ms importantes de un cronograma maestro y su patrn
principal.
Identificacin de las fuentes de financiamiento y revisin del impacto sobre los
negocios.
Enfoque y comunicacin de las metas y objetivos, incluyendo los objetivos de la
empresa.
Definicin de estrategias para la integracin, consolidacin, rendicin de informes y
arranque.
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
94
2.
IDENTIFICACIN DE RIESGOS
Busca minimizar las fallas generadas por cualquier caso en contra del normal desempeo de
los sistemas de informacin.
En primer lugar se debe realizar un anlisis del impacto que causara en la organizacin una
falla e incidente en la plataforma tecnolgica o un desastre natural.
Se identifican los procesos crticos y consecuencias que se presentan en caso de no estar en
funcionamiento, el primer componente del plan debe ser
tambin es recomendable
95
Mediante fases:
Fuente:
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/anali
sis_riesgos_pasos_sencillo
96
Fuente: http://www.eoi.es/blogs/innovando/
98
99
Fuente:https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/an
alisis_riesgos_pasos_sencillo
100
Organizacin.
101
102
103
Planifique la necesidad de personal adicional para atender los problemas que ocurran.
Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si fallan los
sistemas automatizados.
Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se
consideran en riesgo.
Instale generadores si no tiene acceso a la red de energa pblica.
Disponga del suministro adicional de combustible para los generadores, en caso
de fallas elctricas prolongadas.
No haga nada y vea qu pasa esta estrategia es algunas veces llamada arreglar
Sobre falla.
para sustituir.
Fallas del Sistema (datos corruptos en informes o pantallas, transacciones prdidas,
entre otros).
Fallas de interfaces intercambios de datos no cumplen los requisitos.
104
financieros)
Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).
Aseveraciones falsas o errneas sobre el cumplimiento, descubiertas demasiado tarde
para iniciar las acciones de cumplimiento.
las soluciones.
La definicin e identificacin de equipos de accin rpida o equipos de
105
acceso el proceso.
Descuido del operador. Un intruso puede engaar a un operador y hacer que cargue un
106
infructuosos.
Entrampamiento al intruso. Los sistemas deben contener mecanismos de
entrampamiento para atraer al intruso inexperto. Es una buena primera lnea de
como caballo de Troya: puede robar o alterar los archivos del usuario que los prest.
Residuos. A menudo el intruso puede encontrar una lista de contraseas con slo
buscar en una papelera. Los residuos se dejan a veces en el almacenamiento despus
de las operaciones rutinarias del sistema. La informacin delicada debe ser siempre
destruida antes de liberar o descargar el medio que ocupa (almacenamiento, papel,
107
momento.
Cdigo clandestino. Se hace un parche en el sistema operativo bajo la pretensin de
una depuracin. El cdigo contiene trampas que permiten realizar a continuacin
desconexin.
Disfraz. El intruso asume la identidad de un usuario legtimo, despus de haber
computador y hacer que realice una accin que comprometa la seguridad del sistema.
Parsito. El intruso utiliza un terminal especial para conectarse a una lnea de
comunicacin. El intruso intercepta los mensajes entre el usuario y el procesador,
posteriores
no
autorizados.
El
caballo
de
Troya
puede
dejarse
penetracin.
Parmetros inesperados. El intruso suministra valores inesperados a una
llamada al supervisor, para aprovechar una debilidad de los mecanismos de
verificacin de la legalidad del sistema.
108
a. El Anfitrin Promiscuo
El anfitrin promiscuo es uno de los principales problemas de seguridad y uno de los
problemas ms urgentes de cualquier red. Si un intruso es paciente, l puede simplemente
mirar (con una red debugger o anfitrin promiscuo) que los paquetes fluyen de aqu para all
a travs de la red.
No toma mucha programacin el anlisis de la informacin que fluye sobre la red.
Un ejemplo simple es un procedimiento de login remoto. En el procedimiento login, el
sistema pedir y recibir el nombre y contrasea del usuario a travs de la red. Durante la
transmisin, esta informacin no es codificada o encriptada de cualquier forma. Una persona
paciente simplemente puede esperar, y as recolectar toda la informacin que necesita para
romper cualquier cuenta.
b. Autenticacin
El procedimiento de login remoto ilustra el problema de autenticacin.
Cmo presenta usted credenciales al anfitrin remoto para probar que usted es usted?.
Cmo hace usted esto, de forma que no se repita por el mecanismo simple de una jornada
registrada?.
c. Autorizacin
An cuando usted puede probar que usted es quien dice que es, simplemente, Qu
informacin debera permitir el sistema local accesar desde a travs de una red?. Este
problema de autorizacin parecera ser simple en concepto, pero considerar los problemas de
control de acceso, cuando todo el sistema tiene su identidad remota de usuario, el problema de
autorizacin sera un problema de seguridad bastante serio, en donde intervienen los
conceptos de funciones autorizadas, niveles de autorizacin, etc.
109
d. Contabilidad
Finalmente, considerar el problema de contabilidad. Hay que recordar que nosotros debemos
asumir que hay otros con un conocimiento mayor de sistemas. Cunta contabilidad tiene que
hacer el sistema para crear una pista de revisin y luego examinar?
3.6.2 Componentes de Seguridad
Para un intruso que busque acceder a los datos de la red, la lnea de ataque ms prometedora
ser una estacin de trabajo de la red. Estas se deben proteger con cuidado. Debe habilitarse
un sistema que impida que usuarios no autorizados puedan conectarse a la red y copiar
informacin fuera de ella, e incluso imprimirla.
Por supuesto, una red deja de ser eficiente si se convierte en una fortaleza inaccesible. El
administrador de la red tal vez tenga que clasificar a los usuarios de la red con el objeto de
adjudicarles el nivel de seguridad adecuado.
Restringir el acceso a las reas en que estn las estaciones de trabajo mediante llaves,
110
Proteccin con clave de todas las reas sensitivas de datos y restriccin de acceso a los
111
4. ESTRATEGIAS
Las estrategias de contingencia - continuidad de los negocios estn diseadas para identificar
prioridades y determinar en forma razonable, eficiente y eficaz las soluciones a ser
seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hay que
tomar la decisin si se adoptarn las soluciones a gran escala, como las opciones de
recuperacin de desastres para un centro de datos.
identificado.
La revisin y depuracin del cronograma maestro. La consolidacin de soluciones de
acuerdo a las funciones o reas de negocios ms importantes e identificar las
estrategias globales.
La identificacin de los impactos de las soluciones y estrategias para ahorrar
Costos, se deben de considerar varios elementos de costo: como el costo de crear la
solucin, el costo de implementar la solucin, y el costo de mantener vigente dicha
solucin.
112
la solucin.
La identificacin de los beneficios es un elemento clave para asegurar que el costo del
proyecto est equilibrado con los retornos reales de la organizacin
polvo.
El acceso al Centro de Cmputo debe estar restringido al personal autorizado.
Se debe establecer un medio de control de entrada y salida de visitas al centro de
cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas.
113
Temperatura : 4C a 32C
Humedad Relativa : 20 % a 80 %
114
La forma ms fcil y comn de reducir la fatiga en la visin que resulta de mirar a una
115
por delante.
Finalmente apague su monitor cuando no lo est usando
3.3.4
Teclado: Mantener fuera del teclado grapas y clips pues, de insertarse entre las teclas, puede
causar un cruce de funcin.
Cpu: Mantener la parte posterior del cpu liberado en por lo menos 10 cm. Para asegurar as
una ventilacin mnima adecuada.
Mouse: Poner debajo del mouse una superficie plana y limpia, de tal manera que no se
ensucien los rodillos y mantener el buen funcionamiento de ste.
Protectores de pantalla: Estos sirven para evitar la radiacin de las pantallas a color que
causan irritacin a los ojos.
Impresora: El manejo de las impresoras, en su mayora, es a travs de los botones, tanto para
avanzar como para retroceder el papel.
116
Cuadro de descripcin de los equipos y las tareas para ubicar las soluciones a las
contingencias.
La documentacin de los riesgos, opciones y soluciones por escrito y en detalle.
6. PRUEBAS Y VALIDACIONES
6.1 Plan de Recuperacin de Desastres
Es importante definir los procedimientos y planes de accin para el caso de una posible falla,
siniestro o desastre en el rea Informtica, considerando como tal todas las reas de los
usuarios que procesan informacin por medio de la computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la
origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso
perdido.
La elaboracin de los procedimientos que se determinen como adecuados para un caso de
emergencia, deben ser planeados y probados fehacientemente.
117
Plan de Emergencias.
Formacin de Equipos.
Entrenamiento.
118
Evaluacin de Daos.
Priorizacin de Actividades del Plan de Accin.
Ejecucin de Actividades.
Evaluacin de Resultados.
Retroalimentacin del Plan de Accin.
7. IMPLEMENTACIN
La fase de implementacin se da cuando han ocurrido o estn por ocurrir los problemas para
este caso se tiene que tener preparado los planes de contingencia para poder aplicarlos. Puede
tambin tratarse esta etapa como una prueba controlada.
De los diferentes tipos de emergencia que pueden ocurrir se pueden encontrar diferentes casos
o posibles escenarios:
Emergencia Fsica:
119
120
1. Niveles de Prueba
Se recomiendan tres niveles de prueba:
121
122
123
124
CONCLUSION
125
126
127
BIBLIOGRAFIA
128
LINKOGRAFIA
www.iso27000.es/glosario.html
www.elespectador/noticia/elmundo/el-hombre-robo-informacion-financiera-de-20millones-articulo-470037),
www.latercera.com/noticia/nacional/2014/03/680-570673-9-registro-civil-denunciacopia-irregular-de-base-de-datos-de-carnes-y-pasaportes.shtml),
www.eoi.es/blogs/innovando/
http://calidadtic.blogspot.com/2011/01/como-hacer-un-plan-de-contingencia.html
http://www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf
http://ceur-ws.org/Vol-488/paper13.pdf
http://searchdatacenter.techtarget.com/es/cronica/Pasos-para-un-Plan-de-
Recuperacion-de-Desastres-DR
ANEXOS
Checklist de Seguridad Fsica
129
Proceso ITIL
Norma /
Estndar
Criterio
Nro.
Libro 2
Gestin de la
seguridad de la
informacin
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Existen polticas
de seguridad de la
informacin?
Cuenta con
extintores dentro
de la organizacin?
Libro 1
Gestin
financiera
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Tiene polticas de
seguridad de los
equipos sobre
alimentos, lquidos
o cualquier tipo de
sustancia que
dae los quipos?
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Cuenta con
sealamientos de
rutas de
evacuacin?
Estn
documentadas las
polticas de
seguridad?
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Libro 2
Gestin de la
seguridad de la
informacin
130
ISO/IEC
27002
NOM-003SEGOB2008
NOM 002
STPS
2000
NOM-100SPTS-1994
ISO/IEC
17799
NOM-003SEGOB2008
ISO/IEC
27002
Obs
Cumple erv
el
aci
criterio one
s
Si No
10
11
12
13
14
El personal
conoce mtodos y
procedimientos
parahacer frente a
las emergencias o
riesgos por
desastres?
Cuenta con
sealamientos que
ayuden a
identificar zonas
restringidas, donde
solo personal
autorizado pueda
ingresar?
Existe un
sealamiento que
obligue al registro
de la persona para
el acceso a las
instalaciones?
Se le da un
seguimiento a las
plizas de
garantas de los
equipos utilizados
en la organizacin?
Existe un control
de las prdidas de
informacin dentro
de la organizacin?
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Libro 2
Gestin de la
seguridad de la
informacin
Libro 2
Gestin de la
seguridad de la
informacin
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Libro 2
Gestin de la
seguridad de la
informacin
Cuenta con
alarmas de
incendio?
Libro 2
Gestin de la
seguridad de la
informacin
Las reas de
trabajo se
encuentran
Libro 2
Gestin de la
continuidad de
131
NOM-003SEGOB2008
NOM-003SEGOB2008
NOM-003SEGOB2008
ISO/IEC
17799
ISO/IEC
17799
NOM-002STPS-2000
Justificacin
8
NOM 001
STPS
1999
15
16
17
18
19
20
los servicios de
TI
Libro 2
Gestin de la
continuidad de
los servicios de
TI
Libro 2
Gestin de la
continuidad
de los servicios
de TI
Libro 1
Gestin
financiera
Libro 2
Gestin de la
seguridad de la
informacin
Libro 2
Gestin de la
seguridad de la
informacin
Libro 1
Gestin
financiera
NOM-003SEGOB2008
ISO/IEC
17799
ISO/IEC
17799
Justificacin
12
ISO/IEC
27002.
ISO/IEC
27002.
Justificacin
18
HDCCTV
Criterio
Proceso ITIL
Norma /
Estndar
Nro
1
Existen
metodologas de
respaldo de
informacin?
Se realizan
respaldos de
informacin
peridicamente?
Existe un
administrador de
sistemas que
controle las
cuentas de los
usuarios?
Libro 2
Gestin de la
seguridad de
la informacin
Libro 2
Gestin de la
seguridad de
la informacin
ISO/IEC
17799
Libro 4
Gestin de
Acceso a los
Servicios TI
ISO/IEC
17799
Existe algn
estndar para la
creacin de
contraseas?
Libro 2
Gestin de la
seguridad de
la informacin
Las contraseas
cuentan con letras,
nmeros y
smbolos?
Se obliga, cada
cierto tiempo a
cambiar la
contrasea?
La organizacin
cuenta con un
proceso para dar
mantenimiento
preventivo al
software?
La organizacin
cuenta con un
proceso para dar
mantenimiento
Libro 2
Gestin de la
seguridad de
la informacin
Libro 2
Gestin de la
seguridad de
la informacin
Libro 2
Gestin de la
continuidad
de los
servicios de TI
Libro 2
Gestin de la
continuidad
de los
133
ISO/IEC
17799
Data
Encryption
Standard
(DES)
ISO/IEC
17799
ISO/IEC
17799
IEEE1219
IEEE1219
Cumple
el
criterio
Si No
Obs
erva
cion
es
10
11
correctivo al
software?
Se tienen
software antivirus
instalados en los
equipos de
cmputo?
Cuentan con
antivirus
actualizado?
hay instalados
anti malware en
los equipos de
cmputo?
servicios de TI
Libro 2
Gestin de la
seguridad de
la informacin
Libro 3
Gestin de
cambios
Libro 3
Gestin de
cambios
12
Cuenta con
licencias de
software?
Libro 3
Gestin de
cambios
13
Existe un proceso
para mantener las
licencias
actualizadas?
Libro 3
Gestin de
cambios
14
Existe un proceso
para adquirir
nuevas licencias?
Libro 3
Gestin de
cambios
15
16
17
Se sanciona al
integrante del
departamento si
instala software no
permitido?
Los usuarios de
bajo nivel tienen
restringido el
acceso a las partes
ms delicadas de
las aplicaciones?
Realizan
mantenimiento
preventivo al
equipo de
cmputo?
Libro 2
Gestin de la
seguridad de
la informacin
Libro 4
Gestin de
Acceso a los
Servicios TI
Libro 2
Gestin de la
Disponibilidad
134
ISO 17799
ISO 17799
SGSI
SISTESEG
ISO/IEC
19770
ISO/IEC
19770
ISO/IEC
19770
NEG001
ISO/IEC
17799
Justificacin
5
NOM-004STPS-1999
18
19
20
21
Realizan
mantenimiento
correctivo al
equipo de
cmputo?
El equipo de
cmputo cuenta
con suficiente
espacio en HD en
funcin de los
servicios que
otorga?
El equipo de
cmputo cuenta
con suficiente
memoria RAM en
funcin de los
servicios que
otorga?
La velocidad del
procesador es el
adecuado para los
programas que son
utilizados en los
equipos?
Libro 2
Gestin de la
Disponibilidad
Libro 2
Gestin de la
Disponibilidad
Libro 2
Gestin de la
Disponibilidad
Libro 2
Gestin de la
Disponibilidad
NOM-004STPS-1999
ISO/IEC
20000
ISO/IEC
20000
ISO/IEC
20000
Proceso
ITIL
Nro
135
Norma /
Estndar
Cumple Obser
el
vacio
criterio
nes
Si
No
7
8
Las salidas de
corriente elctrica
son trifsicas?
Los interruptores
de energa estn
debidamente
protegidos y sin
obstculos para
alcanzarlos?
La instalacin
elctrica del
equipo de cmputo
es independiente
de otras
instalaciones?
Los firewalls
estn configurados
conforme a las
necesidades de la
organizacin?
El acceso de la
red inalmbrica es
a travs de
contraseas?
El trfico de la red
por medio
inalmbrico se
encuentra
protegido
(encriptado)?
Los dispositivos
inalmbricos
intermediarios
estn fsicamente
protegidos?
Cada PC cuenta
con un regulador
de energa?
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 1
Gestin
financiera
136
NOM-001SCFI-1993
NOM-001SCFI-1993
NOM-001SCFI-1993
IEEE
802.10
IEEE
802.11
IEEE
802.11
IEEE
802.11
NOM-001SCFI-1993
El cableado del
edificio es
accesible para una
revisin fsica?
10
Los cables de
equipos se
encuentran
debidamente
aislados del paso
de personas?
11
Cuenta con
administracin de
red y
documentacin
cuando se han
hecho cambios en
la misma?
12
Se apega a algn
estndar para
asignar el
cableado elctrico
al inmueble?
13
Se cumple con el
estndar de tierra
fsica segn
requisitos
establecidos en las
normas?
14
La topologa de
cableado est
definida bajo un
estndar
establecido?
15
El cableado
cuenta con una
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
137
ANSI/EIA/TI
A-569
TIA/EIA568
ANSI/TIA/EI
A-606
NOM-001SCFI-1993
NOM-022STPS-1999
ANSI/TIA/EI
A-607
TIA/EIA568
ANSI/TIA/EI
A-606
16
17
debida
administracin en
cuanto a la
identificacin de
etiquetas?
Los tipos de
cables, distancias,
conectores,
Arquitecturas,
terminaciones de
cables y
caractersticas de
rendimiento
estn definidos por
estndar?
Cuentan con un
sistema de
proteccin de
descargas electro
atmosfricas para
el rea de
servidores?
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
TIA/EIA568
NOM-022STPS-1999
Criterio
Proceso
ITIL
138
Norma /
Estndar
Cumple
el
criterio
Si
No
Obser
vacion
es
Las bases
cuentan con un
modelo o
esquema de
organizacin de
los datos?
Existe backup
para respaldar
informacin de
las bases de
datos?
El cuentan con
un administrador
del sistema?
Las bases de
datos son
seguras?
El sistema fue
creado bajo un
modelo para la
mejora y
evaluacin de los
procesos de
desarrollo y
mantenimiento
de sistemas?
Se cuenta con
personal
especializado
para que
monitoree el
rendimiento del
sistema?
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 2
Gestin de la
seguridad de
informacin
Libro 2
Gestin de la
continuidad
de los
servicios de
TI
Libro 2
Gestin de la
seguridad de
informacin
Libro 3
Gestin de
entregas y
despliegues
Libro 2
Gestin de la
seguridad de
la
informacin
139
ISO/IEC
27001
ISO 9001
ISO 9001
ISO 9001
ISO 9001
ISO 9001
ISO 9001
10
Se realiza
adecuadamente
la documentacin
del sistema,
manuales de
usuario,
mantenimiento y
recomendaciones
?
Se utiliza
encriptacin para
la informacin
que se almacena
en las bases de
datos?
El sistema es
escalable para
nuevas
aplicaciones?
Libro 3
Gestin de
entregas y
despliegues
Libro 2
Gestin de la
seguridad de
la
informacin
Libro 3
Gestin de
entregas y
despliegues
ISO 9001
ISO 9001
ISO 9001
Fuente: http://auditoriasistemas10c.blogspot.com/
140
NO
N/A
141
SI
142
NO
NoSab
e