Entre los distintos requisitos que forman parte de la norma ISO 9001, encontramos la relacionada con la evaluacin de los

proveedores, que nos puede contribuir de manera significativa en la prestacin de nuestro servicio. Nuestros insumos o materias primas afectan a la calidad de la mayora de la organizaciones, aunque no en igual grado de importancia. En definitiva, se establece una cadena entre nuestro proveedor y nuestro cliente, ya que, no hay ninguna organizacin que no requiera de algn producto ajeno para prestar su servicio.
- See more at: http://www.isotools.org/2013/12/09/evaluacion-de-proveedores-segun-la-iso-9001/#sthash.gm2c5wdT.dpuf

La norma ISO 9001 implica tener una evaluacin/control en los siguientes trminos: Determinacin de los requisitos de los productos. Seleccin de los proveedores en funcin de la prestacin de los productos con los estndares o caractersticas marcadas. De ah que se establezcan procesos de seleccin de proveedores y de evaluacin de proveedores. Aseguramiento por parte de la organizacin de que los productos comprados cumplen con los requisitos establecidos. Para ellos deben desarrollarse inspecciones o auditoras que nos muestren las evidencias del cumplimiento o no de los estndares marcados. Estas actividades deben de desarrollarse de forma continua.

Cualquier organizacin debe de aspirar a fortalecer las relaciones con los proveedores. Para ello pueden aplicarse las siguientes actividades: 1. Generacin de un contacto fluido entre nosotros y el proveedor para crear una relacin de confianza mutua que nos ayude a mejorar. 2. Implicar al proveedor solicitndole aportaciones para la mejora continua, pidindolo como se puede ayudar a que el proveedor nos suministre un producto con mejores estndares. 3. Creacin de un sistema de medicin que nos sirva para la comparacin entre proveedores y que permita el seguimiento de cada uno de ellos de forma individual. La informacin obtenida se debe utilizar no slo para seleccionar los proveedores, sino para ayudarles a mejorar. 4. Cada proveedor debe de poseer objetivos. De esta forma, podremos estimar los costes de la no calidad derivados de los errores de cada proveedor.

Es aquel que logra abastecerme del producto que necesito, en el tiempo requerido y con la calidad y el precio adecuado. El proveedor debe considerarse como una extensin de la empresa, es decir como un socio estratgico.

Desarrollar una relacin gana-gana

Adquisicin de Software: Proveedor:

prestigio mundial y nacional. Personal especializado. Comunicacin rpida. Capacitacin Cartera de clientes Documentacin Negociacin de contrato: Actualizaciones, Asesora Tcnica, Licencias, Financiamiento.

Costos:
Condicin de pago. Inclusin de entrenamiento Costos de mantenimiento.

ORCA

Adquisicin de Hardware son: Equipos: - Tecnologa y configuracin del equipo - capacidad de crecimiento vertical, horizontal - Prestigio mundial. -Tiempo de garanta. Proveedor: -Reconocido prestigio local. -Soporte de mantenimiento -Atencin a clientes -Cartera de clientes. -Tiempo de entrega oportuno. Precios: -Condiciones de pago. -Detallado por componentes. - Descuentos por volumen. -Costo de mantenimiento.

1. Convocatoria de licitacin pblica.

2. Contrato de servicios profesionales.

 Anlisis de Vulnerabilidades y Anlisis de

Riesgos: El primero indica las vulnerabilidades (falta o debilidad), y la segunda indica si existe amenaza (Indica el nivel de seguridad). Enfoque Cuantitativo y Enfoque Cualitativo del Anlisis de Riesgo:
Anlisis de Riesgo y Evaluacin de Riesgos:

Las dos calculan la posibilidad de que ocurran cosas negativas y estiman el coste del impacto, pero la segunda realiza un plan

Piensa mal y .ACERTARS

A m no me va a pasar NADA

Lo que hoy es seguro.NO LO SER La seguridad corre en sentido opuesto a la operacin

ANLISIS
VULNERABILIDAD: (Debilidad o falta) AMENAZA: (lo que puede pasar)

RIESGO: La relacin de vulnerabilidad con

amenaza. IMPACTO: el nio ya se ahog CONTROL: tapar el pozo

EVALUACIN DEL RIESGO

RIESGO A accesos no autorizados, filtrndose datos importantes Cunta competencia hay para la Institucin? Qu probabilidad hay que un competidor intente hacer un acceso no autorizado? El modem se usa para llamar fuera y tambin se puede utilizar para comunicarse hacia dentro?
BAJO MEDIO ALTO

Contamos con Sistemas de Seguridad en el Correo Electrnico o Internet? Al robo de datos; difundindose los datos. Cunto valor tienen actualmente las Bases de Datos? Cunta prdida podra causar en caso de que se hicieran pblicas? Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el robo? La lista de sospechosos, es amplia o corta? Al fraude, desviando fondos merced a la computadora. Cuntas personas se ocupan de la contabilidad de la Institucin? El sistema de contabilidad es confiable? Las personas que trabajan en el departamento de contabilidad, qu tipo de antecedentes laborales tienen? Personas?

DICTAMEN:_____________

Participacin. PLAN DE RIESGO

RESPOSABLE: ADMINISTRADOR DE SISTEMAS

causa Los protocolos de seguridad en las transacciones bancarias electrnicas

consecuencia Desvo de dinero Alteraciones en los datos de las cuentas

PR IMP OB

RIE A.PREVENT A.CORRECTIV SGO I A Implementar un modelo ms seguro en protocolos de seguridad. Monitoreo constante de las transaccione s Desarrollar un programa que genere constanteme nte nuevas contrasea Detectar y corregir la informacin alterada.

Contraseas muy fciles de descifrar para los usuarios de correos electrnicos

ORCA

Robaran informacin muy valiosa que los usuarios manejan, violando la

Cancelar la cuenta del usuario. Y crear una nueva.

SEGURIDAD LOGICA
SW, Control de Acceso, Datos y Comunicaciones
Un sistema puede ser causa de violacin de su seguridad, debido a :

La naturaleza de la organizacin y de sus operaciones. Los tipos de aplicaciones y de bases de datos en el sistema de proceso de datos. La posibilidad de beneficio econmico para los delincuentes. El tamao de la poblacin Y disponibilidad de usuarios al sistema. Las amenazas potenciales contra un sistema de proceso de datos y las prdidas que pueden producirse, por ello debe administrarse el riesgo sobre: 1. Control de Acceso, Datos y Software. Administrador del Sistema y de la base de datos. 2. Comunicacin a) Administrador de la red. Clasifica a los usuarios de la red con el objeto de adjudicarles el nivel de seguridad adecuado, b)Administracin de Firewall. Implementa cortafuegos, IDS - anti-

PROBLEMAS EN REDES.
1.

El anfitrin promiscuo. Si un intruso es paciente, l puede simplemente mirar con una red debugger o anfitrin promiscuo los paquetes fluyen de aqu para all a travs de la red.

2. Autenticacin. El procedimiento de login remoto ilustra el problema de autenticacin. Cmo presenta usted credenciales al anfitrin remoto para probar que usted es usted?. 3. Autorizacin. An cuando usted puede probar que usted es quien dice que es, Qu informacin debera permitir el sistema local accesar desde a travs de una red?. 4. Contabilidad. Hay que asumir que hay otros con un conocimiento mayor de sistemas. Cunta contabilidad tiene que hacer el sistema para crear una pista de revisin y luego

1. TECNICAS DE ASEGURAMIENTO DEL SISTEMA

Codificar la informacin:

Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar. CARACTERISTICAS que determinan la aplicacin del cifrado son: -El valor de la informacin a proteger -Dimensiones y dinmica (volumen de mensajes o registros que deben transmitirse o almacenarse, las velocidades y tiempos de respuesta). TECNICAS a) Cifradores de Substitucin b) Cifradores de Transposicin

2. IMPLEMENTACION DE CONTROLES:
a) De acceso no Autorizado al reas de Sistemas.
b) c) d)

e) f) g) h) i) j)

De acceso a PC o Terminales de la Red. (Por el uso de contraseas o direccin IP) De acceso a la informacin. ( Por actualizacin peridica de password). De Programas de aplicacin o Base de Datos. (Por asignacin de privilegios a los usuarios, ya sea por grupos o individualmente). De instalacin de Software. (inventario de Sw) De transferencia de la Informacin. (Encriptacin) En la operacin del sistema. (manual de operacin) De Respaldo de informacin.(copias de seguridad) De la Distribucin de la Informacin. (mantener un rastro de copias mltiples indicando confidencialidad.) DE la Destruccin de la Informacin. (deben ser descartados o eliminados, debiendo recurrirse a destructores de papel)

FORO. DICTAMEN. TRANSMISION DE INFORMACIN

EMPRESA: R.F.C.: CONTROL DE TRANSFERENCIA DE INFORMACION ASOCIACION AGRICOLA DE PRODUCTORES DE PLATANO DEL SOCONUSCO AAPPS-940505-BA1 FOLIO:

FECHA:
No. 1

16/03/2009 Las cuentas de usuario, se encuentran clasificadas por niveles?

Si No No s Cmo se controla el acceso de usuarios a la red inalmbrica? Clave WEP Clave WPA Filtrado de MAC Ocultacin de SSID Ninguna Otro CONTRASEA DE USUARIO Para el envo de informacin confidencial va email, cmo se realiza? Mensaje cifrado Protegido por contrasea Ninguno Otro CODIFICADO

Dictamen: ADMINISTRADOR AUDITOR

SEGURIDAD FISICA. Tipos de Desastres

INCENDIOS el centro de cmputo est lleno de material

combustible como papel, cajas. Incluyendo al hardware y al cableado del suelo falso. INUNDACIONES el Centros de Cmputo es vulnerables a por el suelo, falso techo o paredes. LA HUMEDAD es perjudicial a los computadores. FALLAS EN INSTALACIONES ELECTRICAS Para que funcionen las computadoras necesitan de una fuente de alimentacin elctrica fiable. Si se interrumpe inesperadamente, pueden perderse o daarse los datos que hay en memoria, se puede daar el Hw, interrumpirse las operaciones activas y la informacin podra quedar temporal o definitivamente inaccesible.

Las computadoras toman la electricidad de los circuitos elctricos domsticos normales. Esta corriente es alterna, por ello incluyen una fuente de alimentacin que la convierte a continua de baja potencia que soporta las anomalas del suministro elctrico. a) Problemas de energa ms frecuente: Fallas de energa, Transistores y pulsos, Bajo voltaje, Ruido electromagntico, Distorsin, Alto voltaje, Variacin de frecuencia. b) Dispositivos protectores: Supresores de picos, Estabilizadores y Sistemas de alimentacin ininterrumpida
FALLAS EN LOS CIRTUITOS ELECTRICOS. Se producen

cuando un aislante no trabaja adecuadamente. La electricidad llega desde la central elctrica hasta los enchufes de la oficina, sale por el hilo activo y a continuacin vuelve a la central a travs del neutro; lo que

a) Tomas de Tierra. Es la comunicacin entre un circuito elctrico y el suelo natural para dar seguridad a las personas protegindolas de los peligros procedentes de una rotura del aislamiento elctrico. Se hacen por medio de tubos de cobre enterrados en la tierra hmeda.
CADAS Y SUBIDAS DE TENSIN. Las cadas y subidas de

tensin y los picos tienen un impacto negativo en todo tipo de aparato electrnico, entre los que se incluyen las computadoras personales, los monitores, las impresoras y los dems perifricos. Un tpico multmetro digital, dar una medicin del voltaje si introduce sus terminales en el enchufe.
RUIDO ELCTRONICO

Las computadoras personales corren el riesgo de sufrir tanto interferencias externas como emisiones electromagnticas y de radio creadas por las propias computadoras. Para describir el ruido se utilizan dos trminos: RFI y EMI

PROTECCIONES ANTE EL RUIDO. A) Ruido en la lnea de alimentacin y en la red de comunicaciones. Los SUPRESORES de subidas de tensin y picos estn diseados con una circuitera que filtra el ruido de la fuente de alimentacin y la interferencia en la red.
B) Situacin de los Aparatos, Las computadoras y los aparatos elctricos de gran consumo no congenian. Por eso se instalan lejos de gras, ascensores, prensas de imprenta y los soldadores elctricos. Y en casos extremo ser necesario encerrar la computadora personal en una caja metlica.
CONMUTACIN, Cuando se abren o cierran los

conmutadores, algo de electricidad se escapa como chispa o corto. No enchufar ni desenchufar aparatos elctricos que estn encendidos

SEGURIDAD FISICA. Acciones Hostiles

EL ROBO de equipos de cmputo , de tiempo mquina y de

informacin puede ser fcilmente sustrada. A) Cmo evitar el robo: Colocar plataformas de anclaje en los diferentes elementos del computador. Disear muebles para ordenadores de forma que se pueda asegurar fcilmente la mquina y los perifricos. B) Cmo prevenir contra los robos con computadora: -Creacin de un equipo formado por representantes de procesamiento de datos, seguridad, auditora y usuarios. - Ejecucin de un anlisis de riesgos para establecer un sistema de defensa con tcnicas de seguridad.

C) COMO EVITAR ROBOS Establecer inspecciones: Estado fsico del Centro de Cmputo y departamentos. De las medidas de seguridad Documentacin. Segregacin de deberes. Trabajo excesivo del personal. Conocer el entorno general personal. Prestar atencin especial a la informacin contable. Evitar Depender de una sola persona para las funciones vitales. Trabajo no supervisado, especialmente durante el turno de noche. Malas tcnicas de contratacin, evaluacin y de despido de personal.

 EL FRAUDE . Principales causas:

1. Manipulacin de informacin de entrada, fcil de realizar y muy difcil de detectar, por ser conocidos por muchos empleados. 2. Alteracin o creacin de archivos de informacin. 3. Transmisin ilegal. Interceptar informacin de teleproceso. a) Entornos que conducen al fraude con computadoras: Baja moral entre el personal Falta de segregacin de deberes Deficiente control del sistema. Falta de control de documentos y de procedimientos de autorizacin, regulando cambios del sistema y alteraciones a los ficheros de datos.

 EL SABOTAJE

Puede ser un empleado o un sujeto ajeno a la empresa. a) La proteccin contra el sabotaje requiere: Buena administracin de los recursos humanos. Buenos controles administrativos. Buena seguridad fsica en los ambientes donde estn los principales componentes del equipo.

b) Acciones para evitar sabotajes:

EVITAR PAREDES Y VENTANAS DE VIDRIOS

EXTERIORES. TENER UNA FUERZA DE VIGILANCIA. TENER UNA COMPRENSION REALISTA DE COMO LOS MAGNETOS PUEDEN DAAR EL ALMACENAMIENTO MAGNETICO.

SEGURIDAD FISICA. Control de Acceso

Niveles de Control: Existen dos tipos de activos. Los equipos fsicos y la informacin contenida. Estos activos son susceptibles de robo o dao del equipo, revelacin o destruccin no autorizada de la informacin clasificada, o interrupcin del soporte a los procesos del negocio, etc. El valor de los activos a proteger, est determinado por el nivel de clasificacin de la informacin y por el impacto en el negocio, causado por prdida o destruccin del Equipo o informacin. Hay que distinguir los activos en nivel clasificado y no clasificado. Para los de nivel no clasificado, no ser necesario control y para el nivel clasificado, deben observarse todas las medidas de seguridad de la informacin.

Administracin del control de acceso al sistema. Administracin del almacn de medios magnticos. Administracin de Impresoras. Administracin de la Red.

MEDIDAS DE PRECAUCION

Las computadoras no estn ubicadas en las reas de alto trfico de personas o con un alto nmero de invitados. . permiten la entrada del sol y calor, y adems puede ser un riesgo para la seguridad.

Evitar las grandes ventanales que

Evitar en la construccin del Centro de Cmputo materiales altamente inflamables o bien paredes que despidan polvo.

reas operativas limpias.

Se debe establecer un medio de control de entrada y salida de visitas al centro de cmputo. o crear rea de visitas.
Para reclutar personal debe hacerse exmenes psicolgicos y mdico y

Para reclutar personal debe hacerse exmenes psicolgicos y mdico y tener en cuenta sus antecedentes de trabajo. Controlar el acceso a los sistemas compartidos por mltiples usuarios y a los archivos de informacin contenidos en dichos sistemas. Controles los intentos no autorizados de acceder a los sistemas y a los archivos de informacin que contienen. Establecer polticas para la creacin de los password .. Establecer polticas de control de entrada y salida del personal , as como de los paquetes u objetos que portan. Establecer polticas para la proteccin de los equipos en cada rea.

RESPUESTAS A INCIDENTES
Plan de Continuidad (PCN). Se puede considerar como un repositorio que recoge toda la gestin necesaria para la ejecucin, mantenimiento, pruebas, de todas las acciones a tomar para recuperar la continuidad del negocio despus de una interrupcin. En este sentido, se afrontar los siguiente: Los procesos crticos para el negocio, las personas responsables de procesos y activos, el personal implicado en el PCN, el proceso de alerta y activacin del PCN y los procesos de prueba y mantenimiento. El objetivo es que los servicios o procesos del negocio vuelvan al estado normal de produccin que tenan antes de la interrupcin. Estos planes de respuesta y respaldo se gestionan mediante planes de contingencias. Planes de Contingencia. Es la parte prctica, Consiste en los pasos que se debe realizar (de acuerdo con las directrices del PCN) para hacer frente a las situaciones inesperadas que pueden afectar a la continuidad de su negocio. Puesto que el tiempo es un factor crucial en las situaciones de emergencia, se hace necesario disponer de planes de respaldo que permitan una rpida reaccin ante cualquier incidencia producida por hackers, virus, desastres naturales, cadas de redes. En caso especfico, se estudia no slo los sistemas informticos, sino tambin la integracin de los mismos con su modelo de negocio y desarrollamos las situaciones hipotticas que pudieran afectar a la continuidad del servicio de los sistemas informticos.

BENEFICIOS Reduccin de riesgos que, en caso de materializarse las amenazas que les originan, pueden representar prdidas ingentes de capital. Ahorro de tiempo y dinero al afrontar y corregir situaciones nefastas antes de que ocurran y nos obliguen a resolverlas con prisas y a cualquier precio. Mejora de la imagen y revalorizacin de la confianza en la empresa de los accionistas, inversores, empleados, proveedores y clientes al mostrarles que se toman medidas diarias para garantizar la continuidad del negocio RECOMENDACIONES GENERALES No existe receta para resolver el problema de mitigacin y preparacin ante desastres naturales.

Riesgos por la formulacin e implementacin de Planes de Contingencia 1. No priorizar los escenarios de riesgos, que dificulte identificar acciones estratgicas para evitar impactos catastrficos. 2. Confusa cuantificacin de daos o inventario de recursos que dificulta la toma de decisiones adecuadas y oportunas. 3. Ser poco participativo, el proceso de construccin de un plan de contingencia debe comprometer a todos los actores en las diferentes fases de formulacin e implementacin de las acciones. 4. No incorporar el plan sectorial al espacio local genera duplicidad de funciones y prdida de sinergia en los esfuerzos por disminuir los impactos generados por el incidente. 5. Ignorancia de las autoridades que toman decisiones sobre la existencia de Planes de Contingencia. 6. Aprovechamiento poltico en la implementacin de acciones de respuesta.

El conjunto de soluciones que usted desarrolle deber estar hecho a la medida de la naturaleza, tamao, servicios bsicos, caractersticas geogrficas y cultura organizacional de los actores del municipio.

La trampa de la planificacin de contingencia es creer que todos los escenarios de riesgos los

informacin en caso de ser necesario a travs de la metodologa definida para recuperar el procesamiento de los recursos crticos. 2. Responsables del cumplimiento Las Direcciones y jefaturas, el responsable del rea de Seguridad Informtica, de Desarrollo Tecnolgico y del rea de Auditora Interna, son responsables de la definicin y la implementacin del Plan de Contingencia . 3. Incumplimientos Sanciones por incumplimientos Manual de Gestin de Seguridad de la Informacin. 4. Definiciones Anlisis de los riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la informacin contenida en los medios de almacenamiento, por que pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por ESO es necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres - DRP, QUE restaurar el Servicio de Procesamiento en forma rpida, eficiente y con el menor costo y prdidas posibles.

PLAN DE CONTIGENCIA DE SEGURIDAD DE INFORMACION Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos: 1.- Plan de Reduccin de Riesgos . 2.- Plan de Recuperacin de Desastres. 2.1.- Actividades Previas al Desastre. 2.1.1.- Establecimiento del Plan de Accin. 2.1.2.- Formacin de Equipos Operativos. 2.1.3.- Formacin de Equipos de Evaluacin 2.2.- Actividades durante el Desastre. 2.2.1.- Plan de Emergencias. 2.2.2.- Formacin de Equipos. 2.2.3.- Entrenamiento. 2.3.- Actividades despus del Desastre. 2.3.1.- Evaluacin de Daos. 2.3.2.- Priorizacin de Actividades del Plan de Accin sealadas en 2.1.1 2.3.3.- Ejecucin de Actividades 2.3.4.- Evaluacin de Resultados.

1.1 PLAN DE RIESGOS

Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una lista de todos los riesgos conocidos, para lo cual se deber realizar un anlisis de riesgos.
El anlisis de riesgo; calcular la posibilidad de que ocurran cosas negativas y obtener una evaluacin econmica del impacto de estos sucesos negativos. Este valor se podr utilizar para contrastar el costo de la proteccin de la Informacin en anlisis, versus el costo de volverla a producir (reproducir). Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. (bajo, medio, alto) Luego se efectuar un resumen de los riesgos: TIPO DE RIESGOS FACTOR DE RIESGO Robo Alto

1.1.1 ANALISIS DE RIESGOS

Vandalismo Medio
Fallas en los equipos Medio Accin de virus Medio Equivocaciones Bajo Terremotos Bajo Accesos no autorizados Bajo Robo de datos Bajo

ANALISIS DE FALLAS EN LA SEGURIDAD Esto supone estudiar las computadoras, su software, localizacin y utilizacin con el objeto de identificar los resquicios en la seguridad que pudieran suponer un peligro. PROTECCIONES ACTUALES 1. Generales, se hace una copia casi diaria de los archivos que son vitales para la Institucin. 2. Robo comn, se cierran las puertas de entrada y ventanas. 3. Vandalismo, se cierra la puerta de entrada. 4. Falla de los equipos, se realiza el mantenimiento de forma regular, no se permite fumar, est previsto el prstamo de otros equipos. 5. Dao por virus, todo el software que llega se analiza en un sistema utilizando software antivirus. 6. Equivocaciones, los empleados tienen buena formacin. 7. Terremoto, nada.. 8. Acceso no autorizado, llave de bloqueo del teclado. 9. Robo de datos, llave de bloqueo del teclado 10. Fuego, Sistemas contra incendios, extinguidores, en sitios estratgicos y se brinda entrenamiento en el manejo de los sistemas o extinguidores al personal, en forma peridica

1.2 PLAN DE RECUPERACION DE DESASTRES

Plan de accin para el caso de un siniestro en el rea Informtica. Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de los encargados de la realizacin de los mismos, debiendo haber procesos de verificacin de su cumplimiento. Difusin y estricto cumplimiento del plan de recuperacin de desastres. clasificacin por etapas:

1.2.1 Actividades Previas al Desastre. 1.2.2 Actividades Durante el Desastre. 1.2.3 Actividades Despus del Desastre. 1.2.1 ACTIVIDADES PREVIAS AL DESASTRE

De planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin con el menor costo posible a nuestra Institucin. Actividades Generales:

1.2.1.1 Establecimiento del Plan de Accin. 1.2.1.2 Formacin de Equipos Operativos. 1.2.1.3 Formacin de Equipos de Evaluacin

1.2.1.1 ESTABLECIMIENTO DE PA En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: a) Sistemas e Informacin. -Relacin de los Sistemas de Informacin 1. Nombre del Sistema. 2. Lenguaje o Paquete con el que fue creado el Sistema. 3. La Direccin que genera la informacin base (el dueo del Sistema). 4. Las unidades que usan la informacin del Sistema. 5. El volumen de los archivos que trabaja el Sistema. 6. El volumen de transacciones diarias, semanales y mensuales que maneja el sistema. 7. El equipamiento necesario para un manejo ptimo del Sistema. 8. La(s) fecha(s) en las que la informacin es necesitada con carcter

b) Equipos de Cmputo. Inventario actualizado de los equipos de manejo de informacin , especificando su contenido , su ubicacin y nivel de uso Institucional.
1. Plizas de Seguros. Haciendo la salvedad en el contrato, que en casos de siniestros, la restitucin del Computador siniestrado se podr hacer por otro de mayor potencia (por actualizacin tecnolgica), siempre y cuando est dentro de los montos asegurados. 2. etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuacin. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). 1. Sistema Operativo 2. Hardware y Software

3. Bases de Datos, ndices, tablas de validacin, passwords,

4. del sitio Web (Aplicativo y Bases de Datos, ndices, ficheros de descarga, contraseas d) Polticas (Normas y Procedimientos de Backups) 1. Registro y control de Backups y Backups incrementales

condiciones ambientales ptimas.

1.2.1.2 EQUIPOS OPERTIVOS A) responsable de la seguridad de la Informacin de su unidad. Labores: 1. Contactar a los propietarios de las aplicaciones y trabajar con ellos. 2. Soporte tcnico para las copias de respaldo de las aplicaciones. 3. Planificar y establecer los requerimientos de los sistemas operativos en cuanto a archivos, 4. Supervisar procedimientos de respaldo y restauracin. 5. Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los respaldos incrementales. 6. Coordinar redes, lneas, terminales, mdems, otros aditamentos para comunicaciones. 7. Establecer procedimientos de seguridad en los sitios de recuperacin. 8. Organizar la prueba de hardware

1.2.1.3 FORMACIN DE EQUIPOS DE EVALUACIN Realizada por el personal de Auditoria, funciones: Revisar que los procedimientos con respecto a Backups y seguridad de equipos y data se cumpla.
1.

1.2.2.2 FORMACIN DE EQUIPOS Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones claramente definidas a ejecutar durante el siniestro. 1.2.2.3 ENTRENAMIENTO Establecer un programa de prcticas peridicas de todo el personal en contra diferentes siniestros. 1.2.3 ACTIVIDAD DESPUS DEL DESASTRE Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin elaborado en el punto 1.2.1.1 1.2.3.1 EVALUACIN DE DAOS Inmediatamente despus que el siniestro ha concluido, se evaluar el dao que se ha producido, se deber pre-avisar a la Institucin con la cual tenemos el convenio de respaldo. 1.2.3.2 PRIORIZACIN DE ACTIVIDADES DEL PLAN DE ACCIN En una prdida total, el Plan, nos dar la lista

Supervisar la realizacin peridica de los backups, por parte de los equipos operativos,
2. 3.

Revisar la correlacin entre la relacin de Sistemas e Informaciones necesarios

4. Informar de los cumplimientos e

incumplimientos para las acciones de correccin respectivas. 1.2.2 ACTIVIDADES DURANTE EL DESASTRE 1.2.2.1 PLAN DE EMERGENCIAS a) Escenarios de ocurrencia del siniestro: Durante el da, Durante la noche o madrugada. b) Detalles de especificar: 1. Vas de salida o escape.

1.3.2.3 EJECUCIN DE ACTIVIDADES Implica la creacin de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de accin (1.2.1.1). Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.

Dos etapas, la primera la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institucin o local de respaldo. 1.3.2.4 EVALUACIN DE RESULTAD De las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron las actividades del plan de accin, como se comportaron los equipos de trabajo, etc.

De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro. 1.3.2.5 RETROALIMENTACIN DEL PLAN DE ACCIN Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando

las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que

Un plan de contingencia se inicia cuando se declara la emergencia, y entran a operar una serie de procedimientos que especifican las tareas que hay que hacer antes, durante y despus de la contingencia, adems de los responsables de cada accin; pueden ser engorrosos de ejecutar, en especial cuando hay que sincronizar la informacin y restablecer el servicio en un periodo de 12-72 hrs. El enfoque del plan de contingencia se basa en la minimizacin del impacto financiero que pueda tener un desastre en la compaa, mientras que el plan de continuidad est orientado a asegurar la continuidad financiera, satisfaccin del cliente y productividad a pesar de una catstrofe. Mientras que el plan de contingencia se concentra en la recuperacin de eventos nicos que producen una interrupcin prolongada del servicio, el plan de continuidad se ejecuta permanentemente a travs de la administracin de riesgos tanto en la informacin como en la operacin. Hoy los riesgos son casi todos de muy alto impacto por las implicaciones que tienen en la empresa ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las empresas estn expuestas a ataques con virus, problemas de seguridad en la informacin, calidad del software, almacenamiento de datos inapropiado, arquitecturas tecnolgicas complejas y hasta polticas poco efectivas de administracin de recursos que pueden abrirle las puertas a una catstrofe con el mismo impacto en el negocio (y hasta mayor) que el impacto causado por una amenaza fsica como un incendio o un terremoto.

La velocidad a la que se mueven los negocios y su dependencia en la tecnologa exigen planes de continuidad
Un plan de continuidad se finca sobre las tecnologas emergentes (como unidades de discos para redes, SAN, y cintas para copias de respaldo de altsima velocidad), y la excelencia operativa del centro de cmputo. Un plan de continuidad es costoso porque debe incluir: un plan de recuperacin de desastres, el cual especifica la estrategia de un negocio para implementar procedimientos despus de una falla; un plan de reanudacin que especifica los medios para mantener los servicios crticos en la ubicacin de la crisis; un plan de recuperacin que especifica los medios para recuperar las funciones del negocio en una ubicacin alterna; y un plan de contingencia que especifica los medios para manejar eventos externos que puedan tener serio impacto en la organizacin. Se requiere un adecuado estudio de riesgos y balancear el costo de la implementacin de un plan de continuidad con el riesgo de no tenerlo. Sigue siendo el primer paso todava determinar la criticidad de cada proceso dentro de la empresa ampliada. Para los de muy alta criticidad se deber implementar un plan de continuidad, para otros, bastar con un plan de

FASE 1.-ANLISIS Subfase 1.1.-Conocimiento del Medio Ambiente.

Actividad 1.1.1.-Identificar y obtener la Misin, Visin, Planes, Objetivo, Funciones, Actividades de la Empresa u Organizacin. Actividad 1.1.2.-Identificar el rea en Particular dnde se implementar el Sistema. Actividad 1.1.3.-Elaborar Diagrama de Flujo de Datos del Sistema Actividad 1.1.4.-Identificar Procesos Involucrados Subfase 1.2.-Identificacin y anlisis de necesidades. Actividad 1.2.1.-Identificacin de posibles entradas, salidas, procesos, archivos y/o bases de datos, controles, volmenes y tiempos. FASE 2.-DISEO Subfase 2.1.-Revisin de la propuesta del anlisis y creacin de las fases estructurales del sistema.
Actividad 2.1.1.-Diseo de la estructura bsica del Sistema de Informacin Actividad 2.1.2.-Creacin de una versin preliminar del diccionario de datos. Subfase 2.2.-Diseo Preliminar Actividad 2.2.1.-Diseo de la arquitectura del sistema Actividad 2.2.2.-Diseo de las pantallas de entrada y salida Actividad 2.2.3.-Diseo del flujo de procesos Actividad 2.2.4.-Modelo Entidad-Relacin del Sistema

FASES 3 y 4.-CONSTRUCCIN E IMPLANTACIN DEL SISTEMA DE INFORMACIN. Subfase 3.1 y 4.1.-Construccin e implantacin del Sistema de Informacin Actividad 3.1.1, 4.1.1.-Implantacin de la Base de Datos Actividad 3.1.2 y 4.1.2.-Implantacin de las pantallas de entrada Actividad 3.1.3 y 4.1.3.-Implantacin de las pantallas de salida Actividad 3.1.4 y 4.1.4.-Contruccin e Implantacin de los reportes impresos Actividad 3.1.5 y 4.1.5.- Conclusiones Fecha de entrega del proyecto: LUNES 2 DE JUNIO DE 2014 a las 10:00 hrs.