Analisis de Riesgos de la Empresa Sitso S, A.

Evento

Probabilidad
0-100%

Impacto
1-5

Nivel de Riesgo

Acceso
facil
a
carpetas
compartida
s

80.00%

320

Dejan a la
vista
archivos de
confi guraci
n de BD

80.00%

400

Comparten
archivos de
backups

80.00%

400

Carece
de
un
control
de
seguridad
que
pueda
impedir
que
las
maquinas
puedan ser
apagadas
remotamen
te

65.00%

195

Se
puede
ver
informaci
n
de
bitcora de
las
maquinas

60.00%

120

Nombres
de
host
fciles
de
descifrar

100.00%

200

Se
puede
obtener
informaci
n
del
servi dor
web
con
solo
agregar un
texto
X
segui do de
colocar
la
pagina
web

100.00%

400

Se
tiene
una
mala
confi guraci
n
de
accesos no
permi tidos
dentro
de
la
pagi na
web

80.00%

400

Vulnerabili
dad
en
ataques de
fal sificaci
n de DNS

100.00%

500

Con
un
poco
de
escaneo se
logra
ver
que existen
segmentos
dentro
de
la red de la
empresa

100.00%

300

100.00%

400

Se
puede
obtener
el
rango
de
las IPs que
se
tienen
en
la
empresa.

Ataque
sql
inj ection
por mostrar
parametros
que van en
la url.

probabilida
d
de
ataque con
spam
en
correo
interno.

ataque
a
fuerza
bruta
para
obtener
acceso
a
servi dores

80.00%

400

60.00%

300

350
4,685. 00 $

70
B (c arga minima $ necesaria para s olv entar)

Como se puede observar para que la carga B sea mayor que P*L donde P es la probabilidad que suceda
una vulnerabilidad y el impacto L(ponderado de 1 a 5), es de $4685.00

Plan de Contingencia
Generalidades
El plan de contingencia radia en el anlisis de los riesgos asociados a
los cuales estn expuestos todo aquel equipo informtico, datos y
archivos, personal e infraestructura perteneciente a la Organizacin.
Pese a todas las medidas de seguridad tomadas, an as pueden
ocurrir desastres, por tanto es necesario que el Plan de Contingencias
incluya un Plan de Recuperacin de Desastres, el cual tendr como
objetivo restaurar los servicios prestados en forma rpida, eficiente y
con el menor costo y perdidas posibles.
Objetivos
Asegurar la continuidad de las Operaciones, de los
elementos considerados crticos.
Definir acciones y procedimientos a ejecutar en caso
de fallas de los elementos que componen un Sistema de
Informacin.
Minimizar la posibilidad de prdida de Informacin
crtica para los Servicios.
Minimizar el proceso de toma de decisiones durante
una contingencia.
Reducir efectos negativos para la Organizacin.
Garantizar la seguridad fsica, la integridad de los
activos humanos, lgicos y materiales de la un Sistema de
Informacin.
Permitir realizar un conjunto de acciones con el fin de
evitar el fallo, o en su caso, disminuir las consecuencias que
d l se puedan derivar.
Permitir definir contratos de seguros, que viene a
compensar, en mayor o menor medida las prdidas, gastos,
responsabilidades
asociadas
a
los
desastres
y
contratiempos.
Riesgos Asociados
El anlisis de riesgos determina la posibilidad de ocurrencia de los
mismos, as tambin del impacto que estos tienen sobre los activos

Empresariales. Esto se realiza con el fin de determinar prioridades y

acciones a seguir.
El presente anlisis de todos los elementos de riesgo a los cuales
estn expuestos los Sistemas de Informacin y la propia Informacin
procesada.
Bienes susceptibles a los riesgos:
- Personal
- Hardware
- Software
- Datos e Informacin
- Documentacin
- Equipos de Comunicacin
- Instalaciones de la Empresa
Definicin de Riesgos asociados:
- Imposibilidad de acceso a los recursos debido a
problemas fsicos en las instalaciones, ya sean estos
naturales o humanos.
- Imposibilidad de acceso a los recursos informticos, sean
estos por cambio involuntarios o intencionales, tales
como cambio de claves de acceso, eliminacin o borrado
fsico/lgico de informacin clave, mal procesamiento de
la informacin.
- Divulgacin de informacin a instancias fuera de la
Organizacin y que afecte el patrimonio Estratgico.
- Accesos no Autorizados.
- Rupturas de las claves de accesos al sistema.
- Fallas en los Suministros Elctricos y de Internet
- Desastres Naturales
o Movimientos telricos.
o Inundaciones.
o Fallas en los Equipos de Soporte (por factores
Naturales)
- Fallas de Personal Clave para la Organizacin
o Enfermedad
o Accidentes
o Renuncias
o Abandono de su puesto de Trabajo
- Fallas de Hardware y Software
o Falla en los Servidores de Datos
o Falla en el Hardware de Red (switches, cableado,

router, firewall, etc.)

- Incendios.

Plan de Accin ante Desastres

La determinacin de procedimiento y planes de accin para el
control y mitigacin de una posible falla o desastre, es necesaria para
la seguridad de los activos organizacionales. Esto se realiza para que
cuando llegue a ocurrir una contingencia, ya existan antecedentes y
acciones a seguir, lo que permitira recuperar en el menor tiempo
posible el proceso perdido. Esta informacin abarcara en detalle el
anlisis del riesgo asociado, el motivo que lo origino y los daos y
prdidas ocasionadas.
Los procedimientos debern ser de ejecucin obligatoria y bajo la
responsabilidad de los encargados de la realizacin de los mismos,
adems debe haber procesos de verificacin de su cumplimiento. En
estos procedimientos estar involucrado todo el personal de la
Organizacin.
La organizacin del plan de accin en contra de desastres conllevara
tres fases, la primera sern las acciones preventivas a realizarse antes
de que se d la contingencia, el segunda fase sern las acciones que
se efectuaran durante la contingencia, y la ltima fase se encarga de
determinar los procedimientos y acciones a seguir luego de haber
pasado la contingencia.

Actividades Previas al Desastre

Son todas aquellas actividades de prevencin y resguardo los
cuales permitirn la recuperacin de los procesos y servicios con un
menor costo posible para la Organizacin. Estas actividades son de
planeamiento, preparacin, entrenamiento y ejecucin de acciones
necesarias.
El primer pas a seguir en el plan de accin, en cuanto a las
actividades previas al desastre; es necesario contar con la
identificacin, clasificacin y documentacin de los activos ms
importantes y necesarios para las actividades de la empresa. Para ello
se debern tomar en cuenta los siguientes mbitos:
- Sistemas de Informacin
Se deber tener documentada la relacin de los sistemas de
informacin con los que cuenta la organizacin, tomando en
cuenta la informacin contenida que sea necesaria para la buena
marcha empresarial.
La documentacin acerca de la relacin de los Sistemas de
Informacin deber detallar lo siguiente
Nombre del Sistema
-Lenguaje Fuente del Sistema.
-Programas que lo Conforman.
-Programas Objetos, rutinas, etc.
Departamento que genera la Informacin
Departamentos, unidades y reas de
trabajo asociadas, que utilizan la
Informacin del Sistema
El volumen de transacciones diarias,
semanales y mensuales que maneja el
sistema.
El equipamiento necesario para un
manejo optimo del Sistema.
Las fechas en las que la Informacin es
necesitada con carcter de urgencia., Ej.
Reportes
Financieros,
Informes
Gerenciales, etc.
El nivel de importancia Estratgica que
tiene la informacin de este Sistema
para la Organizacin (medido en das u
horas en las que Organizacin pudiera
funcionar ptimamente sin necesidad de

disponer de la informacin proporcionada

por el Sistema.)
Actividades a realizar para volver a
contar con el funcionamiento del Sistema
de Informacin)
Con la informacin obtenida de cada sistema es necesario realizar
una lista de prioridades, mediante un ranking para determinar la
importancia del funcionamiento de dichos sistemas para priorizar
su recuperacin.
- Equipos de Cmputo y Equipos Informticos
Para un nivel ptimo de seguridad del equipo informtico es
necesario respetar las Polticas Tecnolgicas y de Seguridad de la
Informacin; adems de las siguientes disposiciones:
o Inventario actualizado de los equipos de manejo de la
Informacin. Especificando su contenido (software y
archivos almacenados) y, su ubicacin y nivel de uso
dentro de la Organizacin.
o Plizas de Seguros Comerciales. Como parte de la
proteccin de los Activos de la Empresa,
o Clasificacin y Etiquetado de los equipos Informticos
de acuerdo a la Importancia de su contenido, para ser
priorizados en caso de evacuacin.
- Respaldos de Informacin
Para la correcta funcionalidad de los sistemas y actividades de la
Organizacin es necesario contar con procedimientos de resguardo
de la informacin, por lo cual es necesario:
o Backups del Sistema Operativo.
o Backups de Software Base (paquetes y/o lenguajes de
programacin con los cuales han sido desarrollados
software propio de la Organizacin.)
o Backups de los Datos ( Bases de Datos, ndices, tablas
de validacin, passwords, y todo archivo necesario para la
correcta ejecucin del Software y Sistemas Informticos de
la Empresa)
o Backups del Hardware. Se implementara bajo dos
modalidades:

 Externa:
Mediante
convenios
con
otras
Instituciones para facilitar los equipos necesarios
para la operatividad de la Empresa.
Interna: Mediante almacenamiento en bodega de
equipos necesarios para la operatividad de la
Empresa.

Formacin de Equipos Operativos

En cada departamento, unidad y/o rea operativa de la
organizacin se deber conforma un equipo operativo encargado
de la gestin de las acciones a realizar ante una contingencia. Se
determinara un encargado de equipo el cual deber coordinar las
siguientes labores:
o Proporcionar Soporte Tcnico para las copias de respaldo
de las aplicaciones.
o Planificar y establecer requerimientos de los Sistemas
Informticos necesarios para la Operatividad de la
Organizacin.
o Supervisar procedimientos de respaldo y restauracin de
la Informacin.
o Establecer procedimientos de seguridad en los sitios de
recuperacin.
o Organizar pruebas de hardware y software
o Ejecutar trabajos de recuperacin.
o Cargar y probar los archivos necesarios para el
funcionamiento de los sistemas de informacin.
o Realizar procedimientos de control de inventario y
seguridad del almacenamiento de la informacin.

Actividades Durante el Desastre

Al momento de presentarse una contingencia o siniestro se deber

llevar a cabo las acciones y actividades previamente planificadas para
el correcto actuar ante tal situacin
Plan de Emergencia
En este Plan se establecen las acciones que se deben realizar
cuando se presenta una contingencia o un siniestro, para ello es
necesario prever los posibles escenarios de ocurrencia de la
Contingencia o Siniestro. Deber incluir la participacin de
colaboradores y actividades a realizar por todas y cada una de
las unidades y reas donde ocurre la contingencia o siniestro,
debiendo detallar debidamente:
Es necesario establecer las acciones que se realizaran durante la
ocurrencia de un siniestro o contingencia, por lo cual se deber
prever los escenarios posibles y as mismo involucrar a todos los
colaboradores para poder actuar debidamente acorde a la
situacin. Es necesario tomar en cuenta el siguiente:
o Vas de salida o escape.
o Plan de evacuacin del Personal.
o Plan de puesta a salvo de los activos Organizacionales.
o Ubicacin y sealizacin de los elementos contra
siniestros.

Formacin de Equipos
Establecer claramente cada equipo (nombres, puestos,
ubicacin, etc.) con funciones claramente definidas a ejecutar
durante el siniestro.
Debern existir dos grupos necesarios para afrontar la
contingencia o siniestro, uno que actuara para combatir el
siniestro y otro para el resguardo de los recursos informticos de
acuerdo a lineamientos y clasificacin de prioridades.
Entrenamiento
Establecer un programa de prcticas peridicas de todo el
personal en la lucha contra los diferentes riesgos, contingencias
y siniestro, de acuerdo a los roles que se les hayan asignado en
los planes de evacuacin del personal y recursos informticos y
organizacionales.

Actividades Despus del Desastre

Cuando la contingencia o siniestro haya terminado se necesitara
llevar a cabo los procedimientos para la recuperacin y continuidad de
las actividades y operacin de la Organizacin.
Evaluacin de Daos
Luego de concluido el siniestro, se determinara la magnitud del
dao producido, que activos se vieron afectados, que sistemas y
operaciones se pueden recuperar y el tiempo de restauracin.
Actividades para recuperar la Operatividad
La evaluacin de daos reales revelaran las actividades
necesarias para recuperar las actividades y operaciones de la
organizacin. Priorizando estas para una pronta recuperacin.
Los trabajos de recuperacin tendrn dos etapas, la primera ser
la restauracin del servicio usando los recursos de la
organizacin local o de respaldo, y la segunda etapa es volver a
contar con todos los recursos requeridos por los sistemas
informticos en las cantidades y lugares designados.
Evaluacin de Resultados y Retroalimentacin
Cuando toda actividad de restauracin de la operatividad de la
Organizacin haya concluido, se evaluara objetivamente para
determinar y medir que tan bien se hicieron, el tiempo que tomo
ejecutarla, las circunstancias en las cuales se dio,
comportamiento de los equipos de accin, etc.
De la evaluacin de resultados y del siniestro en s, deberan salir
dos tipos de conclusiones, una la retroalimentacin para el plan
de Contingencias y otra para una lista de recomendaciones para
minimizar los riesgos y prdidas que ocasionaron el siniestro.

Definicin de procedimientos para

Otorgar, limitar y revocar accesos
Estructura y disposicin del rea de recepcin
En las reas de alta seguridad se necesita considerar tambin la
posibilidad de ataque fsico se debe identificar tanto a los empleados
como a las personas visitantes de uno en uno. Se recomienda utilizar
dispositivos como tarjetas electrnicas, lector de huellas digitales,
lector de retina, cmara de seguridad con percepcin infrarroja. Si es
necesario tambin se recomienda utilizar vidrio y paredes reforzadas.
Acceso de terceras personas
Dentro de las terceras personas es de suma importancia incluir a las
personas de mantenimiento del aire acondicionado y de cmputo, los
visitantes y el personal de limpieza. Estos y cualquier otro personal
ajeno a las instalaciones del hotel deber ser: identificados
plenamente, controlados y vigilados en sus actividades durante el
acceso. El personal de mantenimiento y cualquier otra persona ajena
a las instalaciones se debe identificar antes de entrar al rea de
sistemas. El riesgo de que provenga de este personal es tan grande
como del cualquier otro visitante ajeno al hotel.
Identificacin del personal
Para la identificacin del personal, es necesario seguir ciertos
parmetros:
Dispositivos electrnicos:
Consiste en la identificacin mediante algn objeto que porta tal
como, tarjetas electrnicas y llaves. Por ejemplo, las tarjetas
electrnicas pueden incluir un cdigo en especfico, pueden estar
codificadas de acuerdo a un color en especial (rojo
programadores, azul analistas, verde personal de limpieza y
otros), debe llevar una foto personal. Uno de los mayores
problemas con estas tcnicas es que personas no autorizada
pueda clonar los nmeros de las tarjetas. Es por esta razn que
esta tcnica se utilizar en conjuncin con otros identificadores

como lector de huella de digitales y scanner de retina de esta

forma tener una mayor seguridad.
Palabas claves:
Implica el conocimiento de algn dato especfico, que el cual ser
reconocido por un Scanner de voz.
Caractersticas fsicas especiales:
Este tipo de identificacin se realiza en base a caractersticas
fsicas nicas. Estas caractersticas se dividen en dos categoras:
Neuromuscular: tales como firma o escritura.
Gentica: tales como la geomtrica del cuerpo (mano, iris,
retina, etc.), huellas digitales reconocimiento de patrones de
voz, apariencia facial, impresin de las huellas de los labios,
etc.
Asimismo se recomienda utilizar los siguientes elementos:
Guardias y escoltas especiales
Estas personas pueden estar ubicadas en lugares estratgicos donde
exista ms vulnerabilidad. Se recomienda que todos los visitantes que
tengan permisos especiales para recorrer el centro de cmputo sean
acompaados por una persona designada como escolta.
Regostos de firma de entrada y salida
Esto consiste en que todas las personas que entren en el centro de
cmputo firmen un registro que indique fecha, nombre, procedencia,
asunto, hora de entrada, hora de salida y firma.

Puertas con chapa de control electrnico

Estos dispositivos son muy utilices, estos funcionan al teclearse un
cdigo para abrirla, disponer de una tarjeta electrnica y se
recomienda tener implementado algn dispositivo para el
reconocimiento de alguna caracterstica fsica en especial tal como la

huella digital, la geomtrica de la mano, etc.

Tarjetas de acceso y gafetes de identificacin
Puede tratarse de simples gafetes que identifiquen a la persona, hasta
tarjetas electrnicas que permitan abrir la puerta. Asimismo, los
dispositivos de lectura de las tarjetas puede ser conectadas a una
computadora que contenga informacin sobre la identidad del
propietario. La autorizacin puede manejarse individualmente para
cada puerta, y controlar aspectos como la hora y el da de las
funciones, de esta forma, la actividad puede monitorearse, y cualquier
intento de entrar que no sea autorizado ser detectado de inmediato.
Entradas de doble puerta
De esta forma, la entrada a travs de la primera puerta deja un rea
donde la persona queda atrapada y fuera del acceso a los servidores.
Una segunda puerta debe ser abierta para entrar al departamento de
sistemas.
Equipo de monitoreo
La utilizacin de dispositivos de circuito cerrado de televisin, tales
como monitores, cmaras y sistemas de intercomunicacin
conectados a un panel de control manejado por guardias de
seguridad. Estos dispositivos permiten controlar reas grandes,
concentrando la vigilancia en los puntos de entra y salida principales.

Alarmas anti robos

Cada rea del departamento de sistemas debe est protegida
con la introduccin fsica. Las alarmas contra robos, las
armaduras y el blindaje de deben usar hasta donde sea posible,
de una manera discreta, de tal forma no llame la atencin sobre
el hecho de que existe un dispositivo de alta seguridad.