POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
Reporte de proyecto integrador de TI de menos de
1. Profesional
Reporte
Nombre: Sergio Chávez Sandoval Matrícula: 2581540
Nombre del curso: Nombre del profesor:
Proyecto integrador de tecnologías MAYRA ALEJANDRA RODRIGUEZ
de información ARRIAGA
Módulo: 4. Riesgos y Plan de Actividad: practica integradora
Continuidad de Negocios.
Fecha: 12-04-2011
Bibliografía: http://bbsistema.tecmilenio.edu.mx/webapps/portal/frameset.jsp?
tabGroup=courses&url=%2Fwebapps%2Fblackboard%2Fcontent
%2FcontentWrapper.jsp%3Fcontent_id%3D_883959_1%26displayName
%3DLinked%2BFile%26course_id%3D_39590_1%26navItem%3Dcontent
%26attachment%3Dtrue%26href%3Dhttp%253A%252F
%252Fcursos.tecmilenio.edu.mx%252Fcursos%252Fat8q3ozr5p%252Fprof
%252Fas%252Fas04006%252Fcel
Objetivo:
El presente proyecto fue realizado con la finalidad de poner en práctica todos
los conocimientos adquiridos durante las cuatro semanas de clases de la
materia “Proyecto Integrador de TI”, todo esto mediante la resolución de un
caso con características específicas que requiere la aplicación de todos los
conocimientos y mucho razonamiento lógico, para que así mismo pueda
conocerse y aplicarse adecuadamente cada uno de los temas vistos en el
curso que será la meta base que perseguirá este proyecto para realizar cada
unos de los puntos pedidos en el caso.
Procedimiento:
1-Consulté la pagina Web-Tec para asistir la proyecto integrador
correspondiente a resolver.
2-Leí el caso y los temas correspondiente a resolver para comprender más
sobre la problemática del proyecto.
3- Investigue más sobre temas relevantes que pudieran ayudar en el proyecto,
consultando en diferentes fuentes de información, para así para poder pasar al
siguiente punto.
4-Ya comprendido el tema y el proyecto pase a la problemática del caso
correspondiente a resolver que pedía lo siguiente:
A. Diseñar un modelo básico de análisis de riesgos para la organización.
B. Documentar las principales diez amenazas que consideres más
relevantes.
2. Profesional
Reporte
C. Identificar, al menos diez riesgos principales que la organización debe de
atender (considerar al menos diez vulnerabilidades para calcular cada riesgo).
D. Desarrollar un análisis de impacto, considerar los procesos de negocio
descrito, mencionar cuál sería el proceso más crítico del negocio, mencionar
cuál sería el tiempo estimado de recuperación de este proceso para no causar
grandes pérdidas a la empresa.
E. Desarrollar un plan de continuidad de negocio de alto nivel considerando
un sitio alterno para los sistemas críticos del negocio.
5-Con ayuda de los resultados hice una simple conclusión de lo aprendido de la
problemática del caso para finalizar con el proyecto.
6-Los resultados fueron analizados y sintetizados, y se presentan a
continuación bajo el formato de reporte.
Resultados:
Caso: Industria Química, Empresa Química El Rey
Química El Rey se fundó hace 30 años y se encarga de fabricar productos para
el hogar como detergentes, limpiadores especiales para todo tipo de aplicación
en el hogar. Cuenta con una línea de productos de limpieza con orientación
Industrial.
Tiene sus oficinas principales en la ciudad de Monterrey N. L. y puntos
comerciales de distribución en otras 25 ciudades de México.
La planta de producción se encuentra ubicada en la ciudad de Higueras N. L., a
45 minutos de la Ciudad de Monterrey.
La Empresa cuenta con cuatro procesos principales (abastecimientos,
producción, distribución y procesos de apoyo)
Cuenta con un sistema ERP para los procesos de abastecimiento y producción,
un sistema vía Internet de ventas y pedidos (interfaz con ERP) y un sistema de
contabilidad (se alimenta del ERP).
Su infraestructura técnica de telecomunicaciones se base en una red tipo VPN
que conecta todos los puntos mencionados.
La estructura organizacional base, que labora en el área de sistemas, se
integra por un gerente de TI, un supervisor de soporte técnico, un supervisor de
desarrollo de sistemas y un supervisor de comunicaciones. El resto del
personal es contratado por honorarios y proyectos específicos.
Las bodegas de producto terminado se encuentran contiguas a la planta de
producción en la ciudad de Higueras N. L., y otras en México D. F. y
Guadalajara, Jalisco.
Objetivo:
El director de la empresa Química El Rey ha contratado a un grupo consultor
de expertos en el área de TI y seguridad de información para que lo apoyen a
reforzar el área de TI de la empresa.
La demanda comercial ha crecido a tasas de más del 50% anual desde los
últimos 5 años y el área de TI ha crecido en forma desordenada quizá por la
inadecuada planeación estratégica. En opinión de los diversos gerentes de la
empresa el área de TI, no está satisfaciendo sus solicitudes en tiempo y en
calidad.
El director de TI menciona que carece de políticas y procedimientos que le
permitan operar adecuadamente y alineado a las mejores prácticas, dado que
el crecimiento de la empresa ha sido muy rápido y a la falta de recursos
económicos y humanos asignados al área de TI.
3. Profesional
Reporte
La organización desea iniciar operaciones en Estados Unidos de Norte
América, pero al director general le preocupa que el área de TI no se encuentre
al nivel que la competitividad en aquel país piensa se va a requerir.
1.- Módulo 4. Riesgos y plan de continuidad de negocios
A)
MODELO BASICO DE ANALISIS DE RIESGO
El modelo de análisis de riesgo tiene como objetivo: Administrar los riesgos en
materia de seguridad de información de manera que sea Costo- Beneficio para
la organización a través de:
- Identificación de activos críticos y sus amenazas.
- Cuantificar los impactos al negocio debido a las amenazas.
- Calcular los riesgos.
- Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los
impactos en el negocio ($$).
- Implementación de controles que ayuden a mitigar los riesgos.
- Monitoreo de la efectividad de los controles y su impacto (reducción) en los
riesgos.
Para que el proceso de análisis de riesgo sea efectivo requiere del soporte
constante de la alta dirección, las personas que deben participar durante el
proceso son los dueños de los activos de información, los custodios y la
organización de seguridad de información, pudiendo reflejarse dichos impactos
en función de la pérdida de imagen, pérdida financiera, cuestiones legales tales
como demandas e incluso pérdida en la productividad de la compañía,
pudiéndose perder la confidencialidad, integridad o disponibilidad de la
información.
Modelo de Riesgos para la organización:
|ACTIVOS |AMENAZAS |IMPACTOS
|VULNERABILIDADES |RIESGOS |
| | |Imagen |Legal |
Financiero | | |
| | | | |
| | |
| | | | |
| | |
| | | | |
| | |
ACTIVOS
Los activos que posee la empresa simbolizan los recursos que los dueños
tienen para el desarrollo de la actividad productiva de la entidad y como
resultados de las operaciones diarias que en un futuro le traerán beneficios
económicos, siendo estos también los recursos con que cuenta la empresa u
organización, como el personal, infraestructura, hardware, software,
información, principalmente la industria o giro de la organización, así como la
información de diferentes tipos con los que una organización desarrolla su
actividad y que suelen ser vitales para el desarrollo modelo de negocio de la
organización.
4. Profesional
Reporte
AMENAZAS
Una amenaza es un fenómeno causado por el ser humano o un proceso
natural que puede poner en peligro a un grupo de personas, sus pertenencias y
su ambiente, cuando no son precavidos. Existen diferentes tipos de amenazas.
Algunas son naturales, otras son provocadas por el ser humano, como las
llamadas industriales o tecnológicas (explosiones, incendios y derrames de
sustancias tóxicas). Las guerras y el terrorismo también son amenazas creadas
por el ser humano.
- Terremotos, sismos: fuertes movimientos de la corteza terrestre que se
originan desde el interior de la Tierra y que pueden causar muchos daños.
- Erupciones volcánicas: explosiones o emanaciones de lava, ceniza y gases
tóxicos desde el interior de la Tierra, a través de los volcanes.
- Deslizamientos: tierra, piedras y vegetación que se deslizan rápida o
lentamente cuesta abajo. Se presentan sobre todo en la época lluviosa o
durante una actividad sísmica.
- Maremotos o tsunamis: serie de olas marinas gigantes que se abaten sobre
las costas, provocadas por terremotos, erupciones volcánicas o deslizamientos
submarinos.
- Huracanes: fuertes vientos que se originan en el mar y que giran en
grandes círculos a modo de torbellino; vienen acompañados de lluvias. Se les
llama también ciclones tropicales.
- Plagas: calamidad grande que aflige a un pueblo o comunidad, por ejemplo
gran cantidad de insectos o animales que pueden destruir los cultivos.
- Sequías: período de meses o años durante el cual una zona de la tierra
padece por la falta de lluvia, causando daños graves al suelo, los cultivos, los
animales y hasta a las personas, provocándoles en algunas ocasiones la
muerte.
- Inundaciones: presencia de grandes cantidades de agua, provocadas en
general por fuertes lluvias que el suelo no puede absorber.
- Incendios (forestales): fuegos destructivos en bosques, selvas y otro tipo de
zonas con vegetación. Estos incendios pueden salirse de control y esparcirse
muy fácilmente sobre extensas áreas.
- Tornados: ráfagas de viento en rotación, de gran violencia que giran sobre
la tierra.
IMPACTOS
Los impactos en el negocio se deben identificar tomando en consideración
diferentes dimensiones, tales como: El tipo de impacto, dependiendo del rango
de impacto que ocasionarán los activos de la organización.
Los impactos de los activos de información se pueden identificar en función de
las siguientes decisiones:
- Confidencialidad.
- Integridad.
- Disponibilidad.
Tipos de impactos dentro de la empresa u organización:
- Legales.
- Imagen.
- Financiero.
5. Profesional
Reporte
Pudiéndose determinar mediante las amenazas previamente identificadas,
VULNERABILIDADES
Las vulnerabilidades son debilidades de los activos de información por
ausencia de controles.
Las vulnerabilidades se identifican en función de:
- Medio ambiente.
- Personal, procedimientos, procesos, políticas, etc.
- Operación del negocio y entrega de servicios.
- Hardware, software o facilidades y equipos de comunicaciones.
Los tipos de probabilidades de las vulnerabilidades se miden en:
|Probabilidad baja: que se considera como riesgo tolerable y moderado con
poco riesgo que ocurra y se pueden corregir rápidamente.|
|Probabilidad media: Daña de manera tolerable, es de riesgo moderado, pero
es causante de riesgo importante de la organización por|
|tanto conlleva a más tiempo en su corrección.
|
|Probabilidad alta: Es ligeramente dañino, pero puede ocasionar un riesgo
importante en el desarrollo de los procesos, este tipo |
|de riesgo es intolerable, muy difícil de corregir y a veces causa muchas
pérdidas a la empresa. |
RIESGOS
El riesgo es la probabilidad de que una amenaza se convierta en un desastre.
La vulnerabilidad o las amenazas, por separado, no representan un peligro.
Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que
ocurra un desastre.
El concepto de riesgo está íntimamente relacionado al de incertidumbre, o falta
de certeza, de algo pueda acontecer y generar una pérdida del mismo,
evaluándose el grado de riesgo, Bajo, Medio o Alto.
Algunos riesgos posibles de la organización en el área de TI:
- Riesgos estáticos: Estos riesgos surgen de otras causas distintas a los
cambios de la economía tales como: deshonestidad o fallas humanas.
- Riesgos de Responsabilidades: Su peligro básico consiste en el perjuicio
de otras personas o daño de una propiedad por negligencia o descuido.
- Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido,
Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas
inadecuadas.
- Riesgo fundamental: Envuelve las pérdidas que son impersonales en
origen y consecuencia. La mayor parte son causados por fenómenos
económicos, sociales. Ellos afectan parte de una organización.
- Riesgo particular: Son pérdidas que surgen de eventos individuales antes
que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son
todos riesgos fundamentales; el incendio de una casa y el robo de un banco
son riesgos particulares.
6. Profesional
Reporte
- Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes
de las aplicaciones utilizadas en una organización.
- Interface: Los riesgos en esta área generalmente se relacionan con
controles preventivos y detectivos que aseguran que la información ha sido
procesada y transmitida adecuadamente por las aplicaciones.
- Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a
sistemas, datos e información.
- Riesgos en la infraestructura: Estos riesgos se refieren a que en las
organizaciones no existe una estructura información tecnológica efectiva
(hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades futuras y presentes de los negocios con un
costo eficiente.
B)
Principales amenazas de consideraron más relevante.
- Fuga de información.
- Pérdida de la información.
- Pérdida de equipo de TI.
- Seguridad Física.
- Seguridad de Red.
- Seguridad de aplicación.
- Conexiones no autorizadas.
- Divulgación de operación.
- Manipulación de datos.
- Amenazas de imitación de identidad.
- Divulgación de la información.
- Espionaje de redes.
- Seguridad física.
- Seguridad de la aplicación.
- Planes de contingencia inadecuados.
- Deficiente suministro de energía.
- Fallas del hardware.
- Desastres naturales (terremotos, tormentas, etc.).
C)
Identificación de los riesgos principales que la organización debe de atender.
- Riesgos de la integridad de la información.
- Procesamiento de información.
- Riesgos de administración de cambios.
- Riesgo de acceso.
- Riesgos en los procesos de negocio.
- Riesgos de la administración de la información.
7. Profesional
Reporte
- Riesgo en el entorno de procesamiento.
- Riesgos de utilidad.
- Riesgos en la infraestructura.
- Riesgos en la administración de seguridad.
- Riesgos de niveles inadecuados de energía eléctrica.
D)
ANALISIS DE IMPACTO
Al momento de producirse un ataque o eventualidad a los bienes de la empresa
química, representa una pérdida para la organización que es necesario valorar.
Interesa también clasificar la naturaleza de las posibles pérdidas derivadas de
un incidente en orden a su importancia con el objeto de seleccionar las
medidas preventivas a adoptar en cada caso.
Análisis de Impacto o Análisis de Coste/Importancia es una técnica para decidir
entre distintas opciones de diseño, relacionando las opciones con los
problemas de usabilidad y escogiendo la opción que tiene los problemas de
usabilidad más importantes, se realiza una vez que tengamos un conjunto de
problemas de usabilidad identificados en cualquier clase de actividad de la
evaluación de usabilidad.
Análisis de Impacto en el Negocio (BIA, Business Impact Analysis):
El procedimiento de analizar las pérdidas sufridas por una entidad si las
actividades clave del negocio no están disponibles The “Business Impact
Analysis (BIA)”:
Permitirá identificar y prioritizar en función del impacto económico u operacional
al negocio, lo siguiente:
• Funciones y/o procesos críticos.
• Tiempo de recuperación objetivo “Recovery Time Objective (RTO)”.
• Información crítica.
• Sistemas y aplicaciones críticas.
• Recursos requeridos y dimensionamiento de Análisis.
AREAS PRORITARIAS EN LA EMPRESA QUIMICA EL REY PARA EL
ANALISIS DE IMPACTO
La Empresa cuenta con 4 procesos principales (abastecimientos, producción,
distribución y procesos de apoyo).
Abastecimiento: Es la función logística mediante el cual se provee una
organización de todo el material fundamental para su funcionamiento.
Proceso critico del área de abastecimiento:
- RTO o máximo tiempo tolerable de duración de la interrupción del servicio
para cada proceso critico del negocio.
- Obtener y proporcionar materiales y herramientas necesarias para el
funcionamiento de la empresa.
8. Profesional
Reporte
RTO: 0 a 30min.
- Adquirir y mantener los proveedores idóneos para la empresa.
RTO: 0 a 1hr.
Producción: El objetivo de esta área es programar y analizar que se esté
obteniendo un rendimiento efectivo en las unidades producidas y asegurar que
se cumplan las metas de producción, obteniendo el cumplimiento de las
necesidades del área.
Proceso crítico del área de producción:
- RTO o máximo tiempo tolerable de duración de la interrupción del servicio
para cada proceso critico del negocio.
- Otorgarle mantenimiento y supervisión a las maquinas trabajadoras.
RTO: 0 a 24hrs.
- Falla de maquinaria y equipo de trabajo del área de producción.
RTO: 0 a 72 hrs.
Distribución: Se encarga de la gestión de los flujos físicos (materia, productos
acabados…) y se interesa a su entorno. El entorno corresponde en este caso
a:
Recursos (humanos, consumibles y electricidad, etc.).
Bienes necesarios a la realización de la prestación (almacenes propios,
herramientas, camiones propios, sistemas informáticos, etc.).
Servicios (transportes o almacenes subcontratados, etc.).
Proceso critico del área de distribución:
- RTO o máximo tiempo tolerable de duración de la interrupción del servicio
para cada proceso critico del negocio.
- Productos rezagados.
RTO: 0 a 12 hrs.
- Transporte de entrega y reparto descompuestos:
RTO: 0 a 24
Proceso critico del área de apoyo:
- RTO o máximo tiempo tolerable de duración de la interrupción del servicio
para cada proceso critico del negocio.
- Mala administración de los recursos de TI.
RTO: 0 a 12 hrs.
- Perdida de información de TI.
9. Profesional
Reporte
RTO: 0 a 24 hrs.
E)
PLAN DE CONTINUIDAD
El establecimiento de un plan de contingencia se inicia por la identificación de
los procesos críticos del negocio (o de su trabajo). La definición de estos
procesos críticos se puede hacer de manera compleja mediante una matriz de
impacto estratégico de los procesos, o simplemente identificando, por
experiencia, cuales son aquellos procesos que se tienen que ejecutar siempre.
Una vez identificados los procesos se determinan escalas horarias entre las
cuales se deban tomar acciones dependiendo del tiempo estimado en que
estará por fuera el sistema de información. Es importante reconocer que
dependiendo de la magnitud del daño y del tiempo estimado en su
recuperación, es que se deben tomar las acciones pertinentes.
(BCP, Business Continuity Plan):
Conjunto de tareas que le permitirá a la organización continuar su actividad en
la situación de que un evento afecte sus operaciones. Un plan de continuidad
afecta tanto a los sistemas informáticos como al resto de procesos de una
organización y tiene en cuenta la situación antes, durante y después de un
incidente.
Si un daño causa que el sistema esté fuera de línea unos pocos segundos, no
se requerirán mayores acciones, al menos que el sistema sea de misión crítica
y estén involucrados recursos irrecuperables. Si por contra, el daño puede
demorarse algunas horas en su reparación, el sistema de atención a los
clientes se verá duramente afectado, impactando así en la satisfacción de los
mismos. Es decir, aunque parezca obvio, que dependiendo del tamaño del mal,
será la curación.
Considerando un sitio alterno para los sistemas críticos del negocio seria el
siguiente:
Sitio alterno, Cold Site:
Un sitio frío, es un tipo de servicio de recuperación de catástrofes que
proporcione el espacio de oficina, pero esto se basa ha que el cliente
proporciona e instala todo el equipo necesario para continuar operaciones. Un
sitio caliente, por una parte, es un servicio comercial de la recuperación de
catástrofes que permite que un negocio continúe operaciones de la
computadora y de la red en caso de desastre de la computadora o del equipo.
Un sitio frío es menos costoso, pero durara para conseguir que la empresa, en
cuestión de su operación sea completa después del desastre.
MARCO DE REFERENCIA
La organización se encuentra alineado a marcos internacionales tales como
- ISACA.
10. Profesional
Reporte
- COBIT.
- ISO- 27001.
En cuanto a la definición de un Modelo Básico de Análisis de Riesgos
establece:
Que es indispensable que se rija bajo los marcos de control de COBIT que
representa un estándar mas completo con 34 objetivos de niveles altos que
cubren 215 objetivos clasificados en cuatro dominios, tales como: El plan y
Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa.
Mientras que el marco ISO 27001 se enfocara principalmente a Sistemas de
Gestión de la Seguridad de la Información (SGSI). Es así para que el marco de
COBIT o fresca una mejor solución integral para los requerimientos de la
organización, haciéndola más competitiva y más segura para su nuevo ingreso
en un mercado cambiante y competitivo, con el objetivo de implementar el
Gobierno de T.I. para que se administren los riesgos asociados, y el aumento
en los requerimientos regulatorios, así como también la gran dependencia de
los muchos procesos de negocio de TI.
Conclusión:
Para finalizar, con este proyecto he aprendido que las organizaciones deben
tener contempladas todas las eventualidades posibles para poder sortearlas en
futuro incierto sin dificultad, ya sea que trátese de contratiempos naturales,
como tormentas, huracanes y otros de índole natural, del mismo modo también
los disturbios sociales a los que no se encuentra ajena ninguna sociedad
moderna, sin embargo, dentro de la parte lógica de los procesos operativos de
las organizaciones, específicamente en los sistemas de información, es donde
más amenazas y vulnerabilidades latentes se encuentra, y dado a que las
amenazas informáticas son cada vez más complejas y a veces difíciles de
detectar, se hace necesaria una cultura de formación del personal
especializado en TI para luchar contra todas las amenazas a las que se
exponen los SI de una organización, desde la implementación de mejores
prácticas hasta la contemplación de los posibles escenarios de desastres y su
análisis de impacto.
En conclusión, puedo decir que la seguridad que se le otorgue a la
organización debe ser de manera integral, una seguridad orientada a las
cualidades propias de la organización, que se haga imprescindible, por lo tanto,
deben tomar conciencia de los riesgos a través de medidas en todos los
niveles, así como de la implementación de herramientas, técnicas de
seguridad, tales como antivirus, firewalls, software para autentificación de
usuarios o para cifrado de la información que maneje la organización.
Del mismo modo que resulte esencial la gestión de incidentes, la implantación y
gestión de medidas tecnológicas que prevengan, tal como el plan de
recuperación de negocios y el análisis de impactos, y mitigando así los riesgos,
(tal como el plan de continuidad de negocios) a los que están expuestos los
sistemas de la organización en la sociedad actual.