Jenifer Marcano Tema 2 Corte 1

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 10

República Bolivariana De Venezuela

Ministerio Del Poder Popular Para La Educación Superior


Instituto Universitario de Tecnología Antonio José de Sucre
Núcleo de Anaco – Estado Anzoátegui
Escuela de Informática

Plan de Contingencia en la empresa


CORPOCESAR.
Corte 1. Tema 2

Profesora Bachiller
Alexis Arnaldo Torres Jenifer Carolina Marcano C.I:
30.421.278
Materia: Seguridad Informática Escuela de Informática (78)

Anaco, 10 de Mayo de 2023


INTRODUCCIÓN.
La Corporación Autónoma Regional del Cesar, CORPOCESAR, es una
entidad de carácter público, Autónoma, cuyo objetivo principal es la
administración de los Recursos Naturales Renovables y el Medio Ambiente,
propendiendo por el desarrollo sostenible de conformidad con las
disposiciones normativas y legales.
En su estructura orgánica, dentro de la Subdirección de Planeación, se
encuentra conformado un grupo de sistemas el cual debe encargarse de
mantener la funcionalidad permanente de los diferentes sistemas de
información y servicios informáticos que actualmente tiene la entidad,
además de seguir con los lineamientos establecidos por las demás
entidades del gobierno garantizando que las acciones tendientes al
funcionamiento de la entidad cumplan la normatividad vigente.
CORPOCESAR, se conecta a la red, utilizando miles de dispositivos, la
seguridad de la información y la protección de las identidades se ha
convertido en uno de los temas más importantes, por esta razón la inversión
en CIBERSEGURIDAD que realizan empresas, organismos y gobiernos es
cada vez mayor.
Por lo anterior, es necesario organizar un plan de RIESGOS
INFORMATICOS, como instrumento de prevención para evitar la pérdida
de la información por parte los diferentes virus informáticos que existen.
PRINCIPALES RIESGOS INFORMATICOS
Fugas de información, fraude y robo de datos, vulnerabilidad en la web
o falta de un plan de continuidad en la entidad son algunos de los riesgos
en CORPOCESAR.
1. Deficiente control de acceso a las Aplicaciones
2. Existencia de vulnerabilidad web.
3. Falta de formación y concienciación
4. Procesos de gestión de incidente de seguridad.
5. Existencia de Cambios Regulatorios.
6.Control de Acceso a la Red.
7. Fuga de Información.
8. Fraude y Robo de Información.
9. Falta de planificación de continuidad en la protección de los datos.
10. Desarrollo del Software Seguro

PERSONAL PARA LA SEGURIDAD INFORMÁTICA.


 Chief Security Officer: El oficial en jefe de seguridad, es el
encargado de que tanto la seguridad informática fluya a través de
los servicios prestados como que la información cuente con la
seguridad adecuada para garantizar la continuidad del negocio.
Debe tener los siguientes conocimientos:
 Sistemas Operativos: tales como Windows, Linux, UNIX con una
profundidad avanzada.
 Mecanismos de Seguridad: diferentes metodologías y herramientas
para la implementación de la seguridad en la información.
 Protocolos de Seguridad: principales políticas aplicables a la
seguridad informática y a la Seguridad de la Información.
 Legislación: Normas, decretos, leyes y lineamientos dispuestos por
el gobierno a las entidades públicas o privadas frente al manejo,
administración y seguridad en la información.
En las entidades públicas este perfil generalmente no está establecido a
menos que sea una entidad lo suficientemente grande y a menos que la
alta dirección haya sido sensibilizada acerca de la importancia de
garantizar la seguridad informática.

POLÍTICAS DE SEGURIDAD
Es un conjunto de requisitos definidos por los responsables de la
seguridad informática, dentro de la CORPOCESAR, que indica en términos
generales que está y que no está permitido en el área de seguridad durante
la operación general del sistema." La Política de Seguridad y Privacidad de
la Información es la declaración general que representa la posición de la
administración de la CORPOCESAR, con respecto a la protección de los
activos de información (los funcionarios, contratistas, terceros. la
información, los procesos, las tecnologías de información incluido el
hardware y el software), que soportan los procesos de la Entidad y apoyan
la implementación del Sistema de Gestión de Seguridad de la Información,
por medio de la generación y publicación de sus políticas, procedimientos
e instructivos, así como de la asignación de responsabilidades generales y
específicas para la gestión de la seguridad de la información.
Con el fin de asegurar la dirección estratégica de la Entidad, la
CORPOCESAR, establece la compatibilidad de la política de seguridad de
la información y los objetivos de seguridad de la información, estos últimos
correspondientes a:
 Minimizar el riesgo de los procesos misionales de la entidad.
 Cumplir con los principios de seguridad de la información.
 Cumplir con los principios de la función administrativa.
 Mantener la confianza de los funcionarios, contratistas y terceros.
 Apoyar la innovación tecnológica. Implementar el sistema de gestión
de seguridad de la información
 Proteger los activos de información.
 Establecer las políticas, procedimientos e instructivos en materia de
seguridad de la información.
 Fortalecer la cultura de seguridad de la información en los
funcionarios, terceros, aprendices, practicantes y clientes de
CORPOCESAR.
 Garantizar la continuidad del negocio frente a incidentes.

ESTRATEGIAS DE RIESGOS
1. Articulación de las actividades del Plan de Riesgos Informático dentro
del Plan de Acción de la Corporación.
2. Apoyo especializado en temáticas de seguridad informática.
3. Apoyo directivo a la temática de seguridad informática.
4. Amplia difusión de las políticas y normas de seguridad para garantizar
su cumplimiento.
5. Cronogramas para la implementación de la seguridad informática
soportadas en concordancia con el Procedimiento de Administración de
Servidores y copias de seguridad.
6. Control y seguimiento al plan de Seguridad informática en concordancia
con el Procedimiento de Administración de Servidores y copias de
seguridad.

RECURSOS
1. Activos.
2. Servidores.
3. Firewall.
4. Documentación y consultoría.
5. Nuevos desarrollos o adaptación de los actuales a la web.
6. Ingenieros en configuración de firewall, TCP/IP, ingenieros en soporte.
7. Conectividad permanente a Internet.
8. Dispositivos de almacenamiento.
9. Infraestructura corporativa.
10. Recurso humano: Directivos, Funcionarios y/o contratistas grupo
sistemas.
ETAPAS DEL PLAN PREVIAS A LA IMPLEMENTACIÓN
Diagnóstico específico a Servicios de TI, incluyendo:

• Verificar e identificar los controles y mecanismos necesarios para el


cumplimiento del lineamiento de Control de consumo de los recursos
compartidos por Servicios tecnológicos.
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento del lineamiento de Gestión preventiva de los Servicios
tecnológicos.
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento del lineamiento de Respaldo y recuperación de los Servicios
tecnológicos.
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento lineamiento del Análisis de vulnerabilidades.
• Realizar el Diagnóstico del estado actual de los procedimientos “Copias
de
Seguridad” y “Soporte técnico y Funcional”
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento del lineamiento de Monitoreo de seguridad de infraestructura
tecnológica.
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento del elemento Seguridad, privacidad y trazabilidad de
Servicios Tecnológicos.
• Verificar e identificar los controles y mecanismos necesarios para el
cumplimiento del elemento Aseguramiento, control de calidad y
transparencia de Servicios Tecnológicos.
• Inventario detallado y clasificado de activos de información según
metodología Magerit v3.
• Compilación total de diagnóstico de seguridad de la Información de
CORPOCESAR.
EVALUACIÓN DEL PLAN
Monitoreo, medición, análisis y evaluación
• Plan de seguimiento y revisión del plan revisado y aprobado por la alta
Dirección.
o Revisión de la efectividad de los controles establecidos y su
apoyo al cumplimiento de los objetivos de seguridad.
o Revisión de la evaluación de los niveles de riesgo y riesgo
residual después de la aplicación de controles y medidas
administrativas.
o Seguimiento a la programación y ejecución de las actividades de
autorías internas y externas del plan.
o Seguimiento al alcance y a la implementación del plan.
o Seguimiento a los registros de acciones y eventos / incidentes
que podrían tener impacto en la eficacia o desempeño de la
seguridad
de la información al interior de la entidad.
o Medición de los indicadores de gestión del plan.
o Revisiones de acciones o planes de mejora (desde la segunda
revisión en adelante).

ESTRATEGIAS DEL PLAN DE CONTINGENCIA.


A continuación, se presentan estrategias para la contingencia operativa en caso
de un desastre.
Estrategias de prevención de tecnologías de la información:
a) Almacenamiento y respaldo de la información (BACKUPS)
- Gestión de copias de respaldo (Backup) de la información almacenada y
procesada en el Centro de Datos, en donde se define la frecuencia de los respaldos
de información considerando la criticidad de los datos, así como los criterios de
identificación de los medios, la frecuencia de rotación y transporte al sitio externo.
- Realización de copias de instaladores de las aplicaciones, de software base,
sistema operativo, utilitarios, etc.
- Verificar la ejecución periódica de las tareas programadas de respaldo de
información y comprobación de los medios de respaldo-
- Se utilizan lugares alternativos externos para el almacenamiento de las copias
de respaldo a cargo de proveedor externo.
b) Sitios Alternos para el Centro de Datos El plan incluye una estrategia para
recuperar y ejecutar operaciones de sistemas en instalaciones alternativas por un
periodo extendido; los sitios alternativos podrán ser:
- Propios de la entidad.
- Instalaciones alquiladas.
Para tal efecto, se debe identificar un ambiente adecuado como lugar alterno para
la recuperación de equipos y servicios de tecnologías de la información del Centro
de Datos.
c) Evaluación y gestión de proveedores
- Listado de proveedores claves de servicios y recursos de TI, con sus datos de
contacto actualizados.
- Mantener listas detalladas de necesidades de equipos y sus especificaciones
técnicas.
d) Entrenamiento y personal de reemplazo
- Todo el personal, debe entrenarse en el proceso de recuperación de los servicios
de TI. La capacitación debe ser planificada, estructurada y acorde con las
exigencias de recuperación. El entrenamiento se debe evaluar para verificar que
ha logrado sus objetivos.
- Se debe elaborar un programa de vacaciones que garantice la presencia
permanente del personal crítico de las diferentes áreas y procesos de la empresa,
tales como soporte técnico, redes y comunicaciones, sistemas de información y
bases de datos, así como seguridad de la información.
- Elaboración de una base de datos de conocimiento, en caso el personal
encargado de ciertos procedimientos, tanto principal, como de reemplazo se
encuentren indispuestos.
e) Renovación tecnológica
- Programación de dos revisiones anuales de obsolescencia tecnológica de las
partes internas de los servidores informáticos, para realizar la renovación de las
mismas, en caso se requiera.
- Registrar las incidencias de deterioro de los equipos de almacenamiento,
procesamiento y comunicaciones, para en base a las estadísticas de este registro
adquirir equipos de contingencia.
f) Activación de trabajo remoto
- Verificación y validación de acceso seguro, en remoto, a los sistemas y servicios
TICs.
- Activación de redes virtuales VPN, siempre y cuando el equipo a conectarse
cuente con los mecanismos de seguridad informáticos necesarios.
- En caso el usuario no cuente con un equipo para realizar su trabajo remoto, se le
pueda habilitar el equipo asignado, para entregársela en su domicilio a fin de que
cuente con las herramientas necesarias, siguiendo los protocolos dados por la
Oficina de Abastecimiento
- Realizar el Trámite Certificados digitales, para instalarlos en los equipos de los
usuarios, fuera de la institución.
- Activación del desvío de las llamadas telefónicas a los usuarios asignados
encarados de la atención de la central telefónica.
Estrategia frente a emergencias en tecnologías de la información
El alcance de las estrategias frente a emergencias involucra las acciones que
deben realizarse durante una emergencia o desastre, a fin de salvaguardar la
información y garantizar la continuidad de los servicios informáticos para lo cual
se definen las acciones para mitigar las pérdidas que puedan producirse en una
emergencia o desastre. A continuación, se citan las acciones que se realizarán
durante y después de una contingencia:
Acciones durante la contingencia:
- Estudiar y evaluar el alcance del desastre en cada área de responsabilidad.
- Notificar y reunir a los demás integrantes del equipo de Emergencia y
Restauración de TIC.
- Informar al responsable del Grupo de Comando de Continuidad Operativa sobre
la situación presentada, para decidir la realización de la Declaración de
Contingencia y activación del sitio alterno o de respaldo.
- Determinar si el área afectada es segura para el personal (en caso de catástrofe).
- Estudiar y evaluar la dimensión de los daños a los equipos y sus facilidades, y
elaborar un informe de los daños producidos.
- Proveer facilidades al personal encargado de la recuperación, con la finalidad de
asegurar que se realicen las tareas asignadas en los procedimientos que forman
parte de este plan.

También podría gustarte