Please enable JavaScript.
Coggle requires JavaScript to display documents.
MAPA UNIDAD 3 - Coggle Diagram
MAPA UNIDAD 3
Planes de contingencia
Contrarrestar los efectos adversos que generen la consolidación de algún
evento/amenza
TIPOS DE CONTIGENCIA
Contingencia menor
Su recuperación es en la jornada diaria y se puede recuperar en menos de 8 horas
Contingencia grave
Se presentan daños a las instalaciones pero se puede recuperar en menos de 24 horas
Contingencia crítica
Afecta la operación y las instalaciones, no tiene una recuperación a corto plazo y puede darse por falta de normas preventivas
FASES DE CONTIGENCIA
Pre-contingencia
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización Sistemas de Información
Contingencia total
Presentada la contingencia o desastre se debe ejecutar las
siguientes actividades planificadas previamente
Post-contingencia
Contempla las medidas necesarias después de materializada y controlada laamenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
FASES PARA SU DESARROLLO
1.- Planificación:
preparación y aprobación de esfuerzos y
costos.
2.- Identificación de riesgos:
funciones y flujos del proceso de la empresa.
3.- Identificación de soluciones:
Evaluación de Riesgos de fallas o interrupciones
4.- Estrategias:
Otras opciones, soluciones alternativas,
procedimientos manuales.
5.- Documentación del proceso:
Creación de un manual del proceso.
6.- Realización de pruebas:
selección de casos soluciones que
probablemente funcionen.
7.- Implementación:
creación de las soluciones requeridas,
documentación de los casos.
8.- Monitoreo:
Probar nuevas soluciones o validar los casos
Politicas de seguridad
Conjunto de requisitos definidos por los
responsables de un sistema, que indica en
términos generales que está y que no está
permitido en el área de seguridad durante la
operación general del sistema.
¿Qué es una Política?
Establecen los procedimientos que regulan la forma en que
una organización previene, , protege y maneja los riesgos de diferentes daños, sin importar el origen de estos
¿Qué es una Norma?
Conjunto de disposiciones formales o informales que rigen el funcionamiento interno de una
organización
Amenazas
Una amenaza se representa a través de una persona, una circunstancia o un evento, una idea maliciosa o un fenómeno, las cuales pueden provocar daños en los sistemas de información, produciendo pérdidas materiales, financieras o de otro tipo.Pueden ser tanto internas como externas
TIPOS
Amenaza de Software
Se puede encontrar cualquier tipo de software
malintencionado como troyanos, virus, espias, gusanos, phishing, DDoS, etc.
Amenazas Físicas
Se encuentran todos los posibles daños causados al sistema informática por razones físicas y naturales como robos, incendios o catástrofes
Amenazas Humanas
Intrusos
como piratas informáticos que pueden entrar via web de forma
remota o físicamente al sistema
Errores humanos
RIESGOS
Es la probabilidad de que algo negativo suceda dañando los recursos tangibles o intangibles, por lo tanto, impide desarrollar la labor profesional
Riesgos de entorno
Riesgos generados por el medio ambiente natural, tales como: huracanes, vientos fuertes, lluvias, inundaciones, maremotos, sequías, olas de frío o calor, terremotos, movimientos sísmicos, erupción volcánica, etc.
Riesgos Operativos
Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos.
Riesgos Evolutivos
Aquella probabilidad debido al entorno cambiante u operación del data center
Reducción de presupuesto asignado a mantenimiento
Mapa de calor
Apetito
Cantidad y tipo de riesgo que una organización está preparada para buscar o retener
Capacidad de riesgo
La cantidad y tipo de riesgo que una organización es capaz de soportar en la persecución de sus objetivos
Mapa de calor
Representación gráfica ubicando los riesgos en n un cuadrante, dependiendo de la probabilidad de que determinado riesgo pueda ocurrir y el impacto cuantitativo o
cualitativo que este se produce en caso de que se materialice el riesgo
Matriz de riesgos en particular
Trata de recoger todas las características del riesgo, como fuentes de riesgo,
desencadenantes, variables o factores relacionados.
Matriz de análisis de riesgos
● Magnitud (Nivel de riesgo)
● Severidad (Impacto)
● Probabilidad
● Nombre del riesgo
Matriz de riesgos
Es una herramienta que aporta de manera rápida y sencilla una visión de los riesgos que afectan a la empresa. Se detalla la posibilidad de que ciertos eventos terminen sucediendo (internos/externos).
Análisis Cuantitativo
Es un tipo de análisis centrado en los componentes centrado en los costos, vulnerabilidades, las amenazas y su frecuencias para al final contrastarlo y obtener los puntos más vulnerables.
Análisis Cualitativo
Consiste en priorizar los riesgos con el fin de analizar y realizar acciones
posteriores
Análisis de Riesgos.
Es el estudio de los casos de llas posibles amenazas o eventos no deseados y los daños y consecuencias que este pueda producir.
Malas prácticas
Los Data Center, tienen una tendencia natural al caos, por lo que son necesarias buenas prácticas de operación diaria, que aseguren que todo está bajo control, cableado, etiquetado, etc., etc.
Crecimiento excesivo
Crecer más rápido de lo que nuestro Datacenter es capaz de asimilar en condiciones de seguridad, aumentamos el riesgo derivado de la explotación del mismo.
Inevitablemente, la reducción (que no optimización) del mantenimiento conlleva aparejada un aumento de riesgo de fallos.
¿Cómo analizar los riesgos?
Se puede identificar con las técnicas anteriores
● Riesgos internos
Son aquellos que dependen de la gestión que se hace de lapropia empresa ya sea de manera general o por departamento
●Riesgos externos:
Provienen del entorno y que influye o condicionan de manera directa o indirecta la marcha de la empresa
Consejos para identificar los Riesgos
1.- Situación empresaria Poner en contexto la organización con respecto a: negocio, mercado, tipo de organización
2.- Identificación de riesgos:
● Deber ser un análisis dinámico monitorización y actualización
● Disponer de la maxima informacion posible acerca de la organización -> implicación
● Enumerar categorías de riesgos que nos permitirán trabajos
a la actividad de la empresa -> mercado, funcionamiento interno
estructura de propiedad
3.- Análisis de riesgos
Analizar la relación que existe entre
● Riesgos inherentes (la causa del riesgo)
● Impacto de su materialización
● Probabilidad
VULNERABILIDADES
Son puntos débiles de un sistema que permite que un atacante comprometa la
integridad, disponibilidad o confidencialidad.
TIPOS
Existen algunos mecanismos aprovechados por los atacantes para infectar una red o robar información
● Desbordamiento de buffer
● Errores de configuración
● Errores web
● Aprovechamiento de vulnerabilidades
Vulnerabilidad Natural.
Relacionados con las condiciones de la naturaleza que
puedan colocar en riesgo la información.
Vulnerabilidad de Hardware
Defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos
Vulnerabilidad de Software.
Fallo de seguridad en una aplicación a través de la cual, un atacante puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación. por ejemplo ( Configuración e instalación inadecuada, falta de actualización o Programación insegura)
Vulnerabilidad de Medios de Almacenaje
por una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información
Vulnerabilidad de Comunicación
Cualquier falla en la comunicación que haga que la información quede no disponible para los usuarios y estar disponible para quien no posee derechos de acceso.
Vulnerabilidades Humanas.
Daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta. por ejemplo por
(Desconocimiento de las medidas de seguridad adecuadas, capacitación.)
Vulnerabilidad Física
Fallos presentes en ambientes en los cuales la información se está almacenando o manejando por ejemplo (Instalaciones inadecuadas Ausencia de recursos para el combate a incendios, Disposición desorganizada de cables de energía y de red etc).
Vulnerabilidad lógica
Son afectaciones directamente a la infraestructura y el desarrollo de operaciones,
pueden ser
● Configuración
Puede ser las configuraciones por defecto del sistema o incluso de algunas aplicaciones del servidor que tenga expuesta. Configuración de algunos firewalls que no está gestionado de una manera correcta
● Desarrollo
Las inyecciones SQL , cross site scripting, validación de datos, etc.
● Actualización
Las empresas no actualizan los sistemas
Ej. Windows XP
COMITE DE RESPONSABLES
1.Dirección General
La presidencia es la máxima autoridad que preside el desenvolvimiento del Plan de emergencias y de ella deben provenir la toma de decisiones de carácter estratégico.
2. Brigada De Comunicaciones
3. Brigada de Mantenimiento
Vigilancia
