4to avance practica final

  • Published on
    14-Jun-2015

  • View
    870

  • Download
    0

Embed Size (px)

DESCRIPTION

proyecto intergarador de tecnologias de informacion

Transcript

  • 1. Profesional Reporte Nombre: Sergio Chvez Sandoval Matrcula: 2581540 Nombre del curso: Proyecto integrador de tecnologas de informacin Nombre del profesor: MAYRA ALEJANDRA RODRIGUEZ ARRIAGA Mdulo: 4. Riesgos y Plan de Continuidad de Negocios. Actividad: practica integradora Fecha: 12-04-2011 Bibliografa: http://bbsistema.tecmilenio.edu.mx/webapps/portal/frameset.jsp? tabGroup=courses&url=%2Fwebapps%2Fblackboard%2Fcontent %2FcontentWrapper.jsp%3Fcontent_id%3D_883959_1%26displayName %3DLinked%2BFile%26course_id%3D_39590_1%26navItem%3Dcontent %26attachment%3Dtrue%26href%3Dhttp%253A%252F %252Fcursos.tecmilenio.edu.mx%252Fcursos%252Fat8q3ozr5p%252Fprof %252Fas%252Fas04006%252Fcel Objetivo: El presente proyecto fue realizado con la finalidad de poner en prctica todos los conocimientos adquiridos durante las cuatro semanas de clases de la materia Proyecto Integrador de TI, todo esto mediante la resolucin de un caso con caractersticas especficas que requiere la aplicacin de todos los conocimientos y mucho razonamiento lgico, para que as mismo pueda conocerse y aplicarse adecuadamente cada uno de los temas vistos en el curso que ser la meta base que perseguir este proyecto para realizar cada unos de los puntos pedidos en el caso. Procedimiento: 1-Consult la pagina Web-Tec para asistir la proyecto integrador correspondiente a resolver. 2-Le el caso y los temas correspondiente a resolver para comprender ms sobre la problemtica del proyecto. 3- Investigue ms sobre temas relevantes que pudieran ayudar en el proyecto, consultando en diferentes fuentes de informacin, para as para poder pasar al siguiente punto. 4-Ya comprendido el tema y el proyecto pase a la problemtica del caso correspondiente a resolver que peda lo siguiente: A. Disear un modelo bsico de anlisis de riesgos para la organizacin. B. Documentar las principales diez amenazas que consideres ms relevantes.

2. Profesional Reporte C. Identificar, al menos diez riesgos principales que la organizacin debe de atender (considerar al menos diez vulnerabilidades para calcular cada riesgo). D. Desarrollar un anlisis de impacto, considerar los procesos de negocio descrito, mencionar cul sera el proceso ms crtico del negocio, mencionar cul sera el tiempo estimado de recuperacin de este proceso para no causar grandes prdidas a la empresa. E. Desarrollar un plan de continuidad de negocio de alto nivel considerando un sitio alterno para los sistemas crticos del negocio. 5-Con ayuda de los resultados hice una simple conclusin de lo aprendido de la problemtica del caso para finalizar con el proyecto. 6-Los resultados fueron analizados y sintetizados, y se presentan a continuacin bajo el formato de reporte. Resultados: Caso: Industria Qumica, Empresa Qumica El Rey Qumica El Rey se fund hace 30 aos y se encarga de fabricar productos para el hogar como detergentes, limpiadores especiales para todo tipo de aplicacin en el hogar. Cuenta con una lnea de productos de limpieza con orientacin Industrial. Tiene sus oficinas principales en la ciudad de Monterrey N. L. y puntos comerciales de distribucin en otras 25 ciudades de Mxico. La planta de produccin se encuentra ubicada en la ciudad de Higueras N. L., a 45 minutos de la Ciudad de Monterrey. La Empresa cuenta con cuatro procesos principales (abastecimientos, produccin, distribucin y procesos de apoyo) Cuenta con un sistema ERP para los procesos de abastecimiento y produccin, un sistema va Internet de ventas y pedidos (interfaz con ERP) y un sistema de contabilidad (se alimenta del ERP). Su infraestructura tcnica de telecomunicaciones se base en una red tipo VPN que conecta todos los puntos mencionados. La estructura organizacional base, que labora en el rea de sistemas, se integra por un gerente de TI, un supervisor de soporte tcnico, un supervisor de desarrollo de sistemas y un supervisor de comunicaciones. El resto del personal es contratado por honorarios y proyectos especficos. Las bodegas de producto terminado se encuentran contiguas a la planta de produccin en la ciudad de Higueras N. L., y otras en Mxico D. F. y Guadalajara, Jalisco. Objetivo: El director de la empresa Qumica El Rey ha contratado a un grupo consultor de expertos en el rea de TI y seguridad de informacin para que lo apoyen a reforzar el rea de TI de la empresa. La demanda comercial ha crecido a tasas de ms del 50% anual desde los ltimos 5 aos y el rea de TI ha crecido en forma desordenada quiz por la inadecuada planeacin estratgica. En opinin de los diversos gerentes de la empresa el rea de TI, no est satisfaciendo sus solicitudes en tiempo y en calidad. El director de TI menciona que carece de polticas y procedimientos que le permitan operar adecuadamente y alineado a las mejores prcticas, dado que el crecimiento de la empresa ha sido muy rpido y a la falta de recursos econmicos y humanos asignados al rea de TI. 3. Profesional Reporte La organizacin desea iniciar operaciones en Estados Unidos de Norte Amrica, pero al director general le preocupa que el rea de TI no se encuentre al nivel que la competitividad en aquel pas piensa se va a requerir. 1.- Mdulo 4. Riesgos y plan de continuidad de negocios A) MODELO BASICO DE ANALISIS DE RIESGO El modelo de anlisis de riesgo tiene como objetivo: Administrar los riesgos en materia de seguridad de informacin de manera que sea Costo- Beneficio para la organizacin a travs de: - Identificacin de activos crticos y sus amenazas. - Cuantificar los impactos al negocio debido a las amenazas. - Calcular los riesgos. - Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). - Implementacin de controles que ayuden a mitigar los riesgos. - Monitoreo de la efectividad de los controles y su impacto (reduccin) en los riesgos. Para que el proceso de anlisis de riesgo sea efectivo requiere del soporte constante de la alta direccin, las personas que deben participar durante el proceso son los dueos de los activos de informacin, los custodios y la organizacin de seguridad de informacin, pudiendo reflejarse dichos impactos en funcin de la prdida de imagen, prdida financiera, cuestiones legales tales como demandas e incluso prdida en la productividad de la compaa, pudindose perder la confidencialidad, integridad o disponibilidad de la informacin. Modelo de Riesgos para la organizacin: |ACTIVOS |AMENAZAS |IMPACTOS |VULNERABILIDADES |RIESGOS | | | |Imagen |Legal | Financiero | | | | | | | | | | | | | | | | | | | | | | | | | | | ACTIVOS Los activos que posee la empresa simbolizan los recursos que los dueos tienen para el desarrollo de la actividad productiva de la entidad y como resultados de las operaciones diarias que en un futuro le traern beneficios econmicos, siendo estos tambin los recursos con que cuenta la empresa u organizacin, como el personal, infraestructura, hardware, software, informacin, principalmente la industria o giro de la organizacin, as como la informacin de diferentes tipos con los que una organizacin desarrolla su actividad y que suelen ser vitales para el desarrollo modelo de negocio de la organizacin. 4. Profesional Reporte AMENAZAS Una amenaza es un fenmeno causado por el ser humano o un proceso natural que puede poner en peligro a un grupo de personas, sus pertenencias y su ambiente, cuando no son precavidos. Existen diferentes tipos de amenazas. Algunas son naturales, otras son provocadas por el ser humano, como las llamadas industriales o tecnolgicas (explosiones, incendios y derrames de sustancias txicas). Las guerras y el terrorismo tambin son amenazas creadas por el ser humano. - Terremotos, sismos: fuertes movimientos de la corteza terrestre que se originan desde el interior de la Tierra y que pueden causar muchos daos. - Erupciones volcnicas: explosiones o emanaciones de lava, ceniza y gases txicos desde el interior de la Tierra, a travs de los volcanes. - Deslizamientos: tierra, piedras y vegetacin que se deslizan rpida o lentamente cuesta abajo. Se presentan sobre todo en la poca lluviosa o durante una actividad ssmica. - Maremotos o tsunamis: serie de olas marinas gigantes que se abaten sobre las costas, provocadas por terremotos, erupciones volcnicas o deslizamientos submarinos. - Huracanes: fuertes vientos que se originan en el mar y que giran en grandes crculos a modo de torbellino; vienen acompaados de lluvias. Se les llama tambin ciclones tropicales. - Plagas: calamidad grande que aflige a un pueblo o comunidad, por ejemplo gran cantidad de insectos o animales que pueden destruir los cultivos. - Sequas: perodo de meses o aos durante el cual una zona de la tierra padece por la falta de lluvia, causando daos graves al suelo, los cultivos, los animales y hasta a las personas, provocndoles en algunas ocasiones la muerte. - Inundaciones: presencia de grandes cantidades de agua, provocadas en general por fuertes lluvias que el suelo no puede absorber. - Incendios (forestales): fuegos destructivos en bosques, selvas y otro tipo de zonas con vegetacin. Estos incendios pueden salirse de control y esparcirse muy fcilmente sobre extensas reas. - Tornados: rfagas de viento en rotacin, de gran violencia que giran sobre la tierra. IMPACTOS Los impactos en el negocio se deben identificar tomando en consideracin diferentes dimensiones, tales como: El tipo de impacto, dependiendo del rango de impacto que ocasionarn los activos de la organizacin. Los impactos de los activos de informacin se pueden identificar en funcin de las siguientes decisiones: - Confidencialidad. - Integridad. - Disponibilidad. Tipos de impactos dentro de la empresa u organizacin: - Legales. - Imagen. - Financiero. 5. Profesional Reporte Pudindose determinar mediante las amenazas previamente identificadas, VULNERABILIDADES Las vulnerabilidades son debilidades de los activos de informacin por ausencia de controles. Las vulnerabilidades se identifican en funcin de: - Medio ambiente. - Personal, procedimientos, procesos, polticas, etc. - Operacin del negocio y entrega de servicios. - Hardware, software o facilidades y equipos de comunicaciones. Los tipos de probabilidades de las vulnerabilidades se miden en: |Probabilidad baja: que se considera como riesgo tolerable y moderado con poco riesgo que ocurra y se pueden corregir rpidamente.| |Probabilidad media: Daa de manera tolerable, es de riesgo moderado, pero es causante de riesgo importante de la organizacin por| |tanto conlleva a ms tiempo en su correccin. | |Probabilidad alta: Es ligeramente daino, pero puede ocasionar un riesgo importante en el desarrollo de los procesos, este tipo | |de riesgo es intolerable, muy difcil de corregir y a veces causa muchas prdidas a la empresa. | RIESGOS El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. El concepto de riesgo est ntimamente relacionado al de incertidumbre, o falta de certeza, de algo pueda acontecer y generar una prdida del mismo, evalundose el grado de riesgo, Bajo, Medio o Alto. Algunos riesgos posibles de la organizacin en el rea de TI: - Riesgos estticos: Estos riesgos surgen de otras causas distintas a los cambios de la economa tales como: deshonestidad o fallas humanas. - Riesgos de Responsabilidades: Su peligro bsico consiste en el perjuicio de otras personas o dao de una propiedad por negligencia o descuido. - Riesgos fsicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminacin inadecuada, exposicin a radiaciones, instalaciones elctricas inadecuadas. - Riesgo fundamental: Envuelve las prdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenmenos econmicos, sociales. Ellos afectan parte de una organizacin. - Riesgo particular: Son prdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflacin, terremotos son todos riesgos fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares. 6. Profesional Reporte - Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. - Interface: Los riesgos en esta rea generalmente se relacionan con controles preventivos y detectivos que aseguran que la informacin ha sido procesada y transmitida adecuadamente por las aplicaciones. - Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. - Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. B) Principales amenazas de consideraron ms relevante. - Fuga de informacin. - Prdida de la informacin. - Prdida de equipo de TI. - Seguridad Fsica. - Seguridad de Red. - Seguridad de aplicacin. - Conexiones no autorizadas. - Divulgacin de operacin. - Manipulacin de datos. - Amenazas de imitacin de identidad. - Divulgacin de la informacin. - Espionaje de redes. - Seguridad fsica. - Seguridad de la aplicacin. - Planes de contingencia inadecuados. - Deficiente suministro de energa. - Fallas del hardware. - Desastres naturales (terremotos, tormentas, etc.). C) Identificacin de los riesgos principales que la organizacin debe de atender. - Riesgos de la integridad de la informacin. - Procesamiento de informacin. - Riesgos de administracin de cambios. - Riesgo de acceso. - Riesgos en los procesos de negocio. - Riesgos de la administracin de la informacin. 7. Profesional Reporte - Riesgo en el entorno de procesamiento. - Riesgos de utilidad. - Riesgos en la infraestructura. - Riesgos en la administracin de seguridad. - Riesgos de niveles inadecuados de energa elctrica. D) ANALISIS DE IMPACTO Al momento de producirse un ataque o eventualidad a los bienes de la empresa qumica, representa una prdida para la organizacin que es necesario valorar. Interesa tambin clasificar la naturaleza de las posibles prdidas derivadas de un incidente en orden a su importancia con el objeto de seleccionar las medidas preventivas a adoptar en cada caso. Anlisis de Impacto o Anlisis de Coste/Importancia es una tcnica para decidir entre distintas opciones de diseo, relacionando las opciones con los problemas de usabilidad y escogiendo la opcin que tiene los problemas de usabilidad ms importantes, se realiza una vez que tengamos un conjunto de problemas de usabilidad identificados en cualquier clase de actividad de la evaluacin de usabilidad. Anlisis de Impacto en el Negocio (BIA, Business Impact Analysis): El procedimiento de analizar las prdidas sufridas por una entidad si las actividades clave del negocio no estn disponibles The Business Impact Analysis (BIA): Permitir identificar y prioritiza...