Académique Documents
Professionnel Documents
Culture Documents
FACULTAD DE INGENIERA
AUDITORA INFORMTICA
2017
TRABAJO PRCTICO N 2
TRABAJO PRCTICO N 2
No, se prevn tambin las amenazas ocasionadas por el hombre, disturbios y sabotajes internos y
externos liberados
Debe construirse un piso falso instalado sobre el piso real hecho con materiales incombustibles y
resistentes al fuego.
4. Qu es el mtodo RAID?
El RAID 4.
7. Cules son los niveles en los que se lleva a cabo el mantenimiento de los sistemas
informticos?
Los niveles que se lleva a cabo el mantenimiento de los sistemas informticos son:
Nivel Hardware
Nivel Software
Una contingencia es algo que probablemente ocurra, no se tiene certeza al respecto, por lo tanto
es aquello que puede o no concretarse.
Un plan de contingencia desde el punto de vista informtico es un programa alternativo para que
una empresa pueda recuperarse de un desastre informtico y reestablecer sus operaciones
rpidamente.
El objetivo del plan de contingencias es que garantice la continuidad de las actividades, ante
eventos que alteren el normal funcionamiento de la tecnologa de la informacin y
comunicaciones, con el fin de minimizar el riesgo no previsible, crticos o de emergencia y de
responder inmediatamente hacia la recuperacin de las actividades normales.
13. Aplique los 8 pasos del plan de contingencia al siguiente enunciado (el mismo del TP 1)
3
1. PLANIFICACIN
Diagnstico
Uno de los aspectos que se toma en cuenta para que una organizacin sea seria es la que este
siempre preparada para afrontar cualquier contingencia o dificultad de cualquier tipo que puedan
superarlos o que le permitan afrontarlos de la mejor manera mientras el problema pase.
Por tal razn es que es necesario hacer un Plan de contingencia informtico de manera
responsable y formal que relacione e involucre a todo la organizacin ya sea en mayor o menor
grado en el Plan de prevencin, ejecucin y Recuperacin, definiendo responsables de la
realizacin, validacin y mantenimiento.
Comit Contingencia y
Seguridad
Director Ejecutivo
Director administrativo
Jefe de la unidad de
informtica
Otros (que el director
considere a incluir)
La coordinacin ejecutora del plan estar a cargo del Director Ejecutivo quien definir las
polticas y acciones que se deben llevar a cabo tambin ser el responsable de que todas las
actividades se lleven a cabo segn lo planeado.
Comit de contingencias
El comit de contingencias es el rgano donde se coordinan y aprueban todas las actividades que
se haban planificado.
Este comit deber reunirse peridicamente en el cual se definiran los reglamentos a travs de
los cuales se basara el plan.
La Oficina de Auditora Interna sera el rgano que supervise todos los elementos y recursos
descritos para intervenir en una situacin de contingencia estn disponibles y sean perfectamente
viables de modo tal que se garantice que no se presenten carencias y/o fallas en una situacin real
bajo las Funciones y Roles siguientes:
- Desarrollo de sistemas
- Soporte tcnico
- Consultoras de sistemas
Los clientes ms frecuentes que requieren de desarrollo de sistemas son las empresas en general
que necesitan automatizar algn sistema, para el soporte tcnico los clientes frecuentes son las
personas y empresas que requieren del servicio del mantenimiento de sus computadoras o
porttiles.
La energa elctrica es la que se utiliza de forma vital para que la empresa est en funcionamiento.
Equipamiento
- Servidores
- PCs
- Notebook
- Impresoras, fotocopiadoras, scanner
- Lectora de Cdigos de Barra
- Equipos multimedia
- Equipo de comunicaciones Router y LAN.
- Equipo de Telefona fija
- Enlaces de cobre y fibra ptica
- Cableado de Red de Datos
Programas
- Windows 10
- Note Pad++
- Paquete de office
- C#, php, bootstrap y laravel
- Software de Base de Datos (Oracle,SQL, PostgreSQL )
6
- Aplicativos utilizados por la empresa.
- Software de Aplicaciones (WebLogic, Apache).
- Software Base (Sistemas operativos y Ofimtica).
- Antivirus para proteccin de servidores y estaciones de trabajo.
Equipos diversos
- Grupo Electrgeno
- UPS
- Aire Acondicionado
- Infraestructura Fsica
- Oficinas
- Logstica operativa (suministros Informticos).
Servicios Pblicos
Recursos Humanos
IDENTIFICACIN DE RIESGOS
El presente implica realizar un anlisis de todas las posibles causas que pueden estar sometidas o
expuestas los equipos de trabajo de la empresa, adems de la informacin que pueda estar
contenida en los medios de almacenamiento.
Se realiza el anlisis de riesgos y el plan de operacin para reducir el las probabilidades de que
ocurra y si se da poder reconstruir el sistema ya sea de red o informacin en caso de catstrofes.
Anlisis de riesgos
Tabla 1. Disponibilidad
Valor Criterio
0 No aplica / No es relevante
1 Debe estar disponible al menos el 10% del tiempo
2 Debe estar disponible al menos el 50% del tiempo
3 Debe estar disponible al menos el 99% del tiempo
Tabla 2. Integridad
Valor Criterio
0 No aplica / No es relevante
1 No es relevante los errores que tenga o la informacin que falte
2 Tiene que estar correcto y completo al menos en un 50%
7
3 Tiene que estar correcto y completo al menos en un 95%
Tabla 3. Confidencialidad
Valor Criterio
0 No aplica / No es relevante
1 Daos muy bajos, el incidente no trascendera del rea afectada
2 Los daos seran relevantes, el incidente implicara a otras reas
Los daos seran catastrficos, la reputacin y la imagen de la organizacin se
3
veran comprometidas
in
Tabla 6. Riesgos
elctrico
Inundaci
suminist
Divulgac
humano
Falla del
autoriza
informa
Errores
Acceso
Riesgo
in de
activo
Fuego
Valor
Robo
Virus
cin
del
do
n
no
ro
s
Probabilidad de 10
20% 40% 40% 80% 60% 20% 40%
amenaza %
Activos
Planta fijo 7 0.7 1.4 2.8 2.8 5.6 4.2 1.4 2.8 2.7
Contratado 7 0.7 1.4 2.8 2.8 5.6 4.2 1.4 2.8 2.7
Pasante 5 0.5 1.0 2.0 2.0 4.0 3.0 1.0 2.0 1.9
Servidores 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
PC 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
Porttiles 8 0.8 1.6 3.2 3.2 6.4 4.8 1.6 3.2 3.1
de Gestin 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
Ofimtica 5 0.5 1.0 2.0 2.0 4.0 3.0 1.0 2.0 1.9
en papel 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
Se tomar como valor del riesgo para el activo el valor promedio que arrojen los valores
individuales de cada amenaza.
Activo:
Personal de planta fijo, contratado y pasantes
Accin:
Transferirlo, pasarlo a la aseguradora para cubrir los daos y perjuicios que este pueda provocar.
Activo:
Servidores
Accin:
Mitigarlo, contratando servicios de almacenamiento en la nube para que la disponibilidad no sea
afectada.
Activo:
PCs y porttiles
Accin:
Mitigarlo, evitar el riesgo agregando ms activos para evitar el retraso del trabajo en la empresa o
tener equipos de respaldo para ese tipo de situaciones.
Activo:
9
Aplicaciones de gestin y ofimtica
Accin:
Mitigarlo, Evitar el riesgo teniendo un encargado de realizar los controles necesarios y estar
disponible en cuanto exista algn problema
Activo:
Documentos en papel
Accin:
Mitigarlo, Evitar el riesgo teniendo cuidado y resguardndolo en un lugar donde se tenga el menor
riesgo.
IDENTIFICACION DE SOLUCIONES
El valor o costo total en el caso que hubiera desastres completos dentro del edificio ya sea de
terremotos, se relacionara con el valor de los equipos ya que no fueron informados en su tiempo.
El valor o costo total en el caso de desastres menores ya sea de terremotos de grado menor a 7 o
incendios pequeos est dado por el valor no asegurado de equipos ms el costo de oportunidad
que significa, el costo menor tiempo de recuperacin estratgica, si hubiese equipos que se hayan
recuperado, este plan de restablecimiento estratgico del sistema de red, software y equipos
informticos se accionara en las actividades posteriores la desastre.
En los siguientes cuadros se resumen los siguientes eventos de riesgo segn la categora o nivel de
eventos que se pueden o no controlar:
N Eventos Tipo
1 Incendio Controlable
2 Inundacin oleajes anmalos Controlable
3 Interrupcin de energa elctrica No controlable
4 Ausencia imprevista del personal de soporte tcnico No controlable
5 Infeccin de equipos virus Controlable
6 Sustraccin de equipos y software diversos Controlable
Ya identificados los eventos de contingencia y los elementos que afectan pasamos a realizar los
planes de contingencia.
Incendio
Plan de prevencin
Descripcin: Es el proceso de combustin que se caracteriza por emitir calor que va acompaado
de humo, llamas o a veces ambas, esta se propaga de manera inmediata. Son producidos en
materiales slidos, lquidos combustibles inflamables y equipos o oficinas bajo carga elctrica.
Objetivo: Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar el tiempo
de interrupcin de las operaciones sin exponer la seguridad de las personas.
Criticidad Se determina que el presente evento realiza un evento de gran nivel de impacto en su
funcionamiento y se lo ha identificado como CRITICO.
10
Entorno: Se puede dar en las oficinas de la empresa.
Condiciones de Prevencin de Riesgo
Realizar inspecciones a la seguridad de manera trimestral.
Charlas sobre el uso y manejo de extintores de cada uno de los tipos.
Mantener las conexiones elctricas seguras en el rango de su vida til.
Tener siempre visible o a mano los telfonos de emergencia donde vayan los nmeros de
los bomberos, ambulancias y personal de la empresa responsable de las acciones de
prevencin y ejecucin de la continencia.
La instalacin de detectores de humo en el centro de datos.
Plan de Ejecucin
Eventos que activan la contingencia
La contingencia se activara al ocurrir un incendio y el proceso de contingencia inmediatamente
despus que haya ocurrido el evento.
Descripcin de las actividades despus de activar la contingencia
Intentar apagar el incendio con los extintores
Evacuar el rea
Comunicar al personal responsable de la empresa
Luego de que el fuego haya cesado se realizar las siguientes actividades:
Evaluar los daos ocasionados al personal, los bienes o instalaciones.
Si hay daos en el personal prestar atencin mdica.
Se realiza el inventario general de documentacin, personal, equipos, etc adems de los recursos
que fueron afectados agregando el estado de los mismos.
En el caso de que haya bienes afectados se realiza la evaluacin para determinar su restauracin
o reemplazo.
Duracin
La duracin del evento depender del tiempo que se requiera para poder controlar el fuego.
Plan de recuperacin
Descripcin: El plan de recuperacin esta echo para realizar en el menor tiempo posible la
reparacin y funcionamiento de los servicios.
Mecanismos de Comprobacin
El jefe del rea que ha sido afectada va a realizar un informe a la Coordinacin Ejecutora del Plan
especificando las partes de las actividades o acciones han sido afectadas y cules seran las
acciones tomadas.
Mecanismos de Recuperacin
Se realizara de acuerdo a las instrucciones que han sido impartidas y se desactivara el plan de
contingencia una vez se haya terminado de realizar las acciones escritas en el Plan de
Recuperacin misma que se comunicara a la Coordinacin Ejecutora del Plan.
Proceso de Actualizacin
Este proceso estar basado al informe presentado por el Director de Administracin una vez echo
se determinara las acciones a tomar.
11
Infraestructura: Las oficinas
Operativo: Archivos y documentacin
Equipos: Computadoras, servidores, etc.
Objetivo: Establecer las acciones que se ejecutaran ante una inundacin por oleajes anmalos a
fin de minimizar el tiempo de interrupcin de las operaciones sin exponer la seguridad de las
personas.
Criticidad Se determina que el presente evento realiza un evento de gran nivel de impacto en su
funcionamiento y se lo ha identificado como CRITICO.
Entorno: Se puede dar en las oficinas de la empresa.
Condiciones de Prevencin de Riesgo
Mantener una comunicacin constante con Hidrografa para eventos como maremotos.
Mantener muros de contencin cercadas a las oficinas de la empresa.
Tener un pozo de agua de agua debajo de las oficinas de la empresa para hacer que
acumule el agua para su posterior bombeo, debe ser revisado constantemente.
Plan de Ejecucin
Eventos que activan la contingencia
La contingencia se activara al ocurrir un maremoto, el proceso de contingencia iniciara
inmediatamente despus que haya ocurrido el evento.
Descripcin de las actividades despus de activar la contingencia
Desconectar la fuente de electricidad y cerrar las llaves de gas o lquidos inflamables si
corresponde.
En caso de maremotos se debe evacuar de acuerdo a disposiciones a zonas altas donde el agua
del mar no alcance a llegar.
Realizar la evacuacin del agua por el sistema de bombeo.
Evaluar la totalidad de daos ocasionados por el agua sobre las oficinas, documentos, equipos,
etc.
Realizar el inventario general de recursos afectados, indicando el estado de su operatividad.
Limpieza de las reas afectadas por la inundacin, en el caso sea necesario se utilizan
herramientas especializadas para hacer el trabajo.
Fumigacin de los predios para evitar la aparicin de hongos.
En todo momento se realizara la coordinacin con el personal de mantenimiento, para indicar las
acciones que se deben efectuarse por ellos.
Duracin
La duracin del evento depender la gravedad del oleaje anmalo.
Plan de recuperacin
Descripcin: El plan de recuperacin esta echo para realizar en el menor tiempo posible la
reparacin y funcionamiento de los servicios.
Mecanismos de Comprobacin
El jefe del rea que ha sido afectada va a realizar un informe a la Coordinacin Ejecutora del Plan
especificando las partes de las actividades o acciones han sido afectadas y cules seran las
acciones tomadas.
Proceso de Actualizacin
Este proceso estar basado al informe presentado por el Director de Administracin una vez echo
es quien determinara las acciones a tomar.
12
Descripcin: Falla general del suministro de energa elctrica.
Este evento afecta a los siguientes elementos:
Servicios pblicos: suministro de energa elctrica
Hardware: servidores, computadoras.
Equipos diversos: UPS
Objetivo: restaurar las funciones consideradas como crticas para el servicio.
Criticidad Se lo ha identificado como CRITICO.
Entorno: Se puede dar en las oficinas de la empresa.
Condiciones de Prevencin de Riesgo
Durante las operaciones o servicios diarios en la empresa se contara con los UPS
necesarios para asegurar el suministro elctrico en las oficinas que son consideradas como
crticas.
Asegurarse que los equipos UPS estn en constante mantenimiento y con energa
suficiente para aguantar una operacin continua de 30 minutos como mximo, esto puede
variar de acuerdo a la funcin que cada UPS tenga.
Realizar las pruebas continuas de los UPS para asegurar el funcionamiento correcto de los
mismos.
Contar con UPS para proteger y asegurar el funcionamiento de las cmaras de seguridad y
los sistemas de control de acceso.
Plan de Ejecucin
Eventos que activan la contingencia
Corte de suministro de energa elctrica en las instalaciones de la empresa.
Descripcin de las actividades despus de activar la contingencia
Informar al jefe de informtica del problema presentado.
Informar del aviso de corte de energa elctrica de forma oportuna a todas las oficinas de
la empresa para coordinar las acciones necesarias.
Las actividades que son afectadas por la falta de uso de aplicaciones debern iniciar de
inmediato el plan de contingencia para as no afectar sus operaciones.
En el caso de los equipos que funciones con los UPS se debe controlar que el equipo no
exceda el tiempo del indicado anteriormente.
En el caso que la energa elctrica falte por ms de 15 minutos se debern apagar todos
los equipos hasta que vuelva a regresar.
Duracin
La duracin del evento depender del proveedor externo de la energa elctrica.
Plan de recuperacin
Descripcin: El evento ser evaluado y registrado mucho mejor si es en formato de ocurrencia de
eventos.
Se informara a la Coordinacin Ejecutora del plan el problema que se haya presentado y el
procesamiento usado para atender el problema.
En funcin a ello se tomaran las medidas pertinentes para el caso.
Mecanismos de Comprobacin
El jefe del rea que ha sido afectada va a realizar un informe a la Coordinacin Ejecutora del Plan
especificando las partes de las actividades o acciones han sido afectadas y cules seran las
acciones preventivas o correctivas a tomar.
Proceso de Actualizacin
Este proceso estar basado al informe presentado por el Director de Administracin una vez echo
es quien determinara las acciones a tomar.
13
Ausencia de imprevista del personal de soporte tcnico
Plan de prevencin
Descripcin: Ausencia del personal de soporte tcnico relevante ya sea por enfermedad o
renuncia, en toma de decisiones claves que garantice el normal funcionamiento de servidores y
redes de la institucin.
Este evento afecta a los siguientes elementos:
Recursos Humanos: Personal
Objetivo: asegurar la continuidad del Servicio informtico de la empresa
Criticidad Se lo ha identificado como CRITICO.
Entorno: Se puede dar en las oficinas de la empresa.
Condiciones de Prevencin de Riesgo
El jefe de informtica debe asegurarse en capacitar a los analistas de sistemas del rea de
soporte tcnico con el fin que pueda cumplir el perfil, conocimiento y capacidad para
reemplazar la ausencia ante el suceso de este evento.
El jefe de informtica se debe asegurar de tener como mnimo a dos profesionales en el
rea de soporte tcnico y aun asistente.
Se deber incluir como parte de las funciones del personal el comunicar con anticipacin
la inasistencia o falta a su centro de labores.
Se cuenta con un sistema de control de asistencia de donde se prev informacin al jefe
de informtica, para que tome las acciones preventivas.
Plan de Ejecucin
Eventos que activan la contingencia
Reporte de inasistencia del personal de soporte tcnico: administrador de red, administrador de
base de datos, etc.
El proceso de contingencia se activara las horas iniciales del da.
Procesos Relacionados Antes del evento.
Se podra dar por:
Conocimiento del jefe de informtica por parte del reporte de la ausencia del sistema de
control de asistencia.
Conocimiento del jefe de informtica por comunicacin telefnica por parte del personal
de soporte tcnico ausente o algn familiar.
Personal que autoriza la contingencia
El Jefe de Informtica
Descripcin de las actividades despus de activar la contingencia
Una vez se confirme la ausencia del personal de soporte tcnico, el jefe de informtica
debe asignar la responsabilidad al asistente del rea capacitado que reemplace las
funciones que el personal titular posea.
El jefe de informtica solicita al Director de la empresa el reemplazo del personal.
Duracin
La duracin del evento ser de un mximo de 8 horas el fin es de conseguir el reemplazo que se
responsabilice hasta que se confirme el regreso del personal tcnico o en caso de renuncia o
fuera mayor.
Plan de recuperacin
Descripcin:
Regularizacin en los servicios pendiente durante la ausencia.
Revisin de los servicios atendidos si fuera el caso.
Definir los ajustes para asegurar rpida y mejora en la accin y prevencin del presente evento.
Mecanismos de Comprobacin
El jefe del rea que ha sido afectada va a realizar un informe a la Coordinacin Ejecutora del Plan
14
especificando las partes de las actividades o acciones han sido afectadas y cules seran las
acciones preventivas o correctivas a tomar.
Proceso de Actualizacin
Este proceso estar basado al informe presentado por el Director de Administracin una vez echo
es quien determinara las acciones a tomar.
16