Вы находитесь на странице: 1из 9

ZONAL PIURA – Computación e Informática

“AÑO DEL BUEN SERVICIO AL CIUDADANO”

Nombre: Sandy Yarleque Olaya


Curso: Auditoría Informática
Carrera: Computación e Informática
Docente: Edy Javier García Córdova
Ciclo: VI-B

Piura_ Perú
2018

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

PRESENTACIÓN:

Para realizar el Plan de contingencia informático se tiene en cuenta la


información como uno de los activos más importantes de la Organización,
además que la infraestructura informática está conformada por el hardware,
software y elementos complementarios que soportan la información o datos
críticos para la función de la Entidad. Este Plan implica realizar un análisis de los
posibles riesgos a los cuales pueden estar expuestos nuestros equipos de
cómputo y sistemas de información, de forma que se puedan aplicar medidas de
seguridad oportunas y así afrontar contingencias y desastres de diversos tipos.

Conscientes de esta premisa, podemos indicar que se debe adoptar medidas de


seguridad para la información y así mismo estar preparados para poder afrontar
contingencias y desastres de tipo diverso. La Unidad de Sistemas e Informática,
en adelante USI, tiene, entre otros, el propósito de proteger la información y así
asegurar su procesamiento y desarrollo de funciones institucionales. En base a
ello presenta el Plan de Contingencia Informático de la Municipalidad de Distrital
de Colàn.

En la actualidad, los profesionales y técnicos de la informática tienen como una


de sus principales actividades y preocupaciones la seguridad de estos sistemas,
que constituyen una base y respaldo a las funciones institucionales realizadas a
través de los años, así como en la actualidad facilitan a sobre manera las tareas
que se desarrollan en la ejecución de los diferentes procesos administrativos,
logísticos, ejecutivos, informativos, sociales de planeamiento y de servicios.

Los responsables del servicio informático están obligados a hacer de


conocimiento y explicar con lenguaje entendible a estos directivos las posibles
consecuencias que la inseguridad insuficiente o inexistente pueda acarrear; de
esa manera proponer y poner a consideración las medidas de seguridad
inmediatas y a mediano plazo, que han de tomarse para prevenir los desastres
que pueda provocar el colapso de los sistemas.

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

OBJETIVO GENERAL:

Formular un adecuado Plan de Contingencias, que permita la continuidad en los


procedimientos informáticos de la Unidad de Sistemas e Informática, así como
enfrentarnos a fallas y eventos inesperados; con el propósito de asegurar y
restaurar los equipos e información con las menores pérdidas posibles en forma
rápida, eficiente y oportuna.

OBJETIVOS ESPECIFICOS:

 Definir las actividades de planeamiento, preparación y ejecución de tareas


destinadas a proteger la Información contra los daños y perjuicios
producidos por corte de servicios, fenómenos naturales o humanos.
 Garantizar la continuidad de las operaciones de los principales elementos
que componen los Sistemas de Información.
 Establecer actividades que permitan evaluar los resultados y
retroalimentación del plan general.

ANÀLISIS DE EVALUACION DE RIESGOS Y ESTRATEGIAS

Metodologìa aplicada:

Para la clasificación de los activos de las Tecnologias de Informaciòn de la


Contraloría

En el àrea se han considerado tres criterios:

 Grado de negatividad: Un evento se define con grado de negatividad


(Leve, moderada, grave y muy severo).
 Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periòdico y
continuo).
 Impacto:El impacto de un evento puede ser (Leve, moderado, grave y
muy severo).
Existen distintos tipos de riesgo:

Riesgos Naturales: tales como mal tiempo, terremotos, etc.

Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y


accidentes de transmisión y transporte.

Riesgos Sociales: como actos terroristas y desordenes.

Para realizar un análisis de todos los elementos de riesgos a los cuales esta
expuesto el conjunto de equipos informáticos y la información procesada de la
entidad iniciaremos describiendo los activos que se pueden encontrar dentro
de las tecnologias de informaciòn en el àrea:

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

Activos susceptibles de daño

 Personal
 Hardware
 Software y utilitarios
 Datos e información
 Documentación
 Suministro de energía eléctrica
 Suministro de telecomunicaciones

Fuentes de daño

• Acceso no autorizado

• Ruptura de las claves de acceso a los sistema computacionales

• Desastres Naturales (Movimientos telúricos, Inundaciones, Fallas en los


equipos de soporte causadas por el ambiente, la red de energía eléctrica
o el no

acondicionamiento atmosférico necesario.

• Fallas de Personal Clave (Enfermedad, Accidentes, Renuncias,


Abandono de sus puestos de trabajo y Otros).

• Fallas de Hardware (Falla en los Servidores o Falla en el hardware


de Red

Switches, cableado de la Red, Router, FireWall).

Clases de Riesgos

• Incendio o Fuego
• Pueden ser algunos de los principales riesgos a los que enfrenta la
seguridad de nuestra información, ya que las unidades de almacenaje,
son propensas a ser dañadas.
• Robo de información por personas no autorizadas.
• Falla en los equipos
• Equivocaciones
• Acción virus informático
• Fenómenos naturales
• Accesos no autorizados
• Ausencia del personal de sistemas.

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

MINIMIZACIÒN DEL RIESGO

Teniendo en cuenta lo anterior, corresponde al presente Plan de Contingencia


minimizar estos índices con medidas preventivas y correctivas sobre cada caso
de Riesgo. Es de tener en cuenta que en lo que respecta a Fenómenos
naturales, nuestra región ha registrado en estos últimos tiempos movimientos
telúricos de poca intensidad; sin embargo, las lluvias fuertes producen mayores
estragos, originando filtraciones de agua en los edificios detechos, produciendo
cortes de energìa elèctrica , cortos circuitos (que podrían desencadenar en
incendios).

Incendio o Fuego

Grado de Negatividad: Muy Severo Frecuencia de Evento: Aleatorio Grado de


Impacto: Alto

Situación Actual Acción Correctiva


La oficina donde están ubicados los Se cumple
servidores cuenta con un extintor cargado,
ubicado muy cerca a esta oficina. De igual
forma cada piso cuenta con un extintor
debidamente cargado.

No se ha ejecutado un programa de Realizar capacitación para el manejo de


capacitación sobre el uso de elementos de extintores y primeros auxilios.
seguridad y primeros auxilios, a los

funcionarios nuevos, lo que no es eficaz


para enfrentar un incendio y sus efectos
El servidor realiza backups de la información Realizar backups del servidor de forma
diariamente, pero no existe ninguna otra mensual, almacenada en DVD y ubicarlos
copia de respaldo.
estratégicamente cerca a la salida principal
de la Entidad.

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

Es vital que toda organización tenga definido claramente los planes de


contingencia a seguir después que se presente un evento que afecte la
seguridad de la información, ya que al momento de entablar una acción legal,
sea de carácter civil o penal contra un individuo la evidencia debe ser
recolectada, retenida y presentada conforme a las reglas para la evidencia
establecidas en la jurisdicción relevante, esto es lo que es conoce cómo
Informática Forense.

Se hace anual una auditoría de seguridad informática, poniendo en práctica el


hacking ético, se contrata a un experto en el tema para determinar que tan
inseguras son mis redes, mis sistemas, sistemas operativos y mis servidores,
escanea con todas sus herramientas, cuales determina son los problemas de
seguridad informática.

Ejemplo: Incidente del servidor principal

Protección del Servidor La parte más importante de la red lo conforman los


servidores. La concentración de los datos en el servidor, en términos de cantidad
e importancia, hace que sea necesario protegerlo de todas las eventualidades.
Los controles necesarios serían:

• Verificar los procedimientos que se emplearan para almacenar y


recuperar los datos (Backups).

• Comprobar el correcto funcionamiento del disco extraíble, y del software


encargado de realizar dicho Backups.

• Contamos con un generador eléctrico en caso de corte de energía entra


en funcionamiento y los servicios no paran.

Extensiones eléctricas y capacidades

Las computadoras ocupan rápidamente toda la toma de corriente. Pocas oficinas


se encuentran equipadas con las suficientes placas de pared. Dado que
es necesario conectar además algún equipo que no es informático, es fácil ver
que son muy necesarias las extensiones eléctricas múltiples. El uso de estas
extensiones eléctricas debe ser controlado con cuidado. No solo para que no
queden a la vista, sino también porque suponen un peligro considerable para
aquellos que tengan que pasar por encima. A parte del daño físico que puede
provocar engancharse repentinamente con el cable, apaga de forma rápida un
sistema completo.

Error de Memoria RAM

En este caso se dan los siguientes síntomas:

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

• El servidor no responde correctamente, por lentitud de proceso o por no


rendir ante el
• ingreso masivo de usuarios.
• Ante procesos mayores se congela el proceso.
• Arroja errores con mapas de direcciones hexadecimales.
Error de Tarjeta(s) Controladora(s) de Disco

Para los errores de cambio de Memoria RAM o Tarjeta Controladora de disco se


deben tomar las siguientes acciones:

• Avisar a los usuarios que deben salir del sistema, utilizar mensajes por
red y teléfono a jefes de área.
• El servidor debe estar apagado, dando un correcto apagado del sistema.
• Ubicar la posición de la pieza a cambiar.

Bloqueos a páginas restringidas:

Contamos con un Sistema de usuario lo manejamos con active directory, dicho


sistema es un servicio de directorio administrativo ahí se crean todos los usuarios
a trabajar dentro de la organización. Aquí se dan los principales filtros de
usuarios.

Para que luego mediante un proxy controlar todos los accesos, que no tienen
nada que ver con su labor:

• Abrir Páginas de Facebook

• Abrir páginas de YouTube

• Virus

• Y otros accesos.

Planes de contingencia en área se subdivide en:

El plan de respaldo. Contempla las contramedidas preventivas antes de que se


materialice una amenaza. Su Respaldo de datos Vitales:

 Sistemas en Red.

 Sistemas no conectados a Red.

 Sitio WEB.

Medidas que realizamos:

 En caso de los servidores contamos con un servidor de respaldo en caso


falla el principal.

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

 Hacemos Backups de información diaria y mensual.

 Contamos con un generador eléctrico en caso de corte de energía entra


en funcionamiento y los servicios no paran.

El plan de emergencia. Contempla las contramedidas necesarias durante la


materialización de una amenaza, o inmediatamente después.

El plan de recuperación. Contempla las medidas necesarias después de


materializada y controlada la amenaza. Su finalidad es restaurar el estado de las
cosas tal y como se encontraban antes de la materialización de la amenaza.

Los objetivos del plan de Recuperación son:

 Determinación de las políticas y procedimientos para respaldar las


aplicaciones y datos.

 Planificar la reactivación dentro de las 12 horas de producido un desastre,


todo el sistema de procesamiento y sus funciones asociadas.

 Permanente mantenimiento y supervisión de los sistemas y aplicaciones.

 Establecimiento de una disciplina de acciones a realizar para garantizar


una rápida y oportuna respuesta frente a un desastre.

CONCLUSIONES

El presente Plan de contingencias y Seguridad en Información de la Contraloría


en el are de unidad de sistemas e informática, tiene como fundamental objetivo
el salvaguardar la infraestructura de la Red y Sistemas de Información. Este Plan
está sujeto a la infraestructura física y las funciones que realiza el Área de
Sistemas.

El Plan de Contingencia, es un conjunto de procedimientos alternativos al orden


normal de una empresa, cuyo fin es permitir su funcionamiento continuo, aun
cuando alguna de sus funciones se viese dañada por un accidente interno o
externo. Que una Entidad prepare su Plan de Contingencia, supone un avance
a la hora de contrarrestar cualquier eventualidad, que puedan acarrear
importantes pérdidas y llegado el caso no solo materiales sino personales y de
información.

Las principales actividades requeridas para la implementación del Plan de


Contingencia son: Identificación de riesgos, Minimización de riesgos,
Identificación de posibles eventos para el Plan de Contingencia, Establecimiento
del Plan de Recuperación y Respaldo, Plan de Emergencias y Verificación e
implementación del plan.

AUDITORÍA NFORMÁTICA
ZONAL PIURA – Computación e Informática

No existe un plan único para todas las organizaciones, esto depende de la


infraestructura física y las funciones que realiza en Centro de Procesamiento de
Datos más conocido como Centro de Cómputo.

Lo único que realmente permite a la institución reaccionar adecuadamente ante


procesos críticos, es mediante la elaboración, prueba y mantenimiento de un
Plan de Contingencia.

RECOMENDACIONES

Adicionalmente al plan de contingencias se deben desarrollar las acciones


correctivas planteadas para minimizar los riesgos identificados.

Es importante tener actualizados los contratos de garantía y licencias tanto de


hardware como de software, así como pólizas de aseguramiento.

Cuando el administrador de la red se encuentre ausente se recomienda capacitar


a una persona que pueda hacer lo mínimo indispensable para levantar todos los
servicios, a fin de que la operación básica del área no se vea interrumpida.

AUDITORÍA NFORMÁTICA

Вам также может понравиться