4to avance practica final

  • Published on
    14-Jun-2015

  • View
    870

  • Download
    0

DESCRIPTION

proyecto intergarador de tecnologias de informacion

Transcript

  • 1. Profesional Reporte Nombre: Sergio Chvez Sandoval Matrcula: 2581540 Nombre del curso: Proyecto integrador de tecnologas de informacin Nombre del profesor: MAYRA ALEJANDRA RODRIGUEZ ARRIAGA Mdulo: 4. Riesgos y Plan de Continuidad de Negocios. Actividad: practica integradora Fecha: 12-04-2011 Bibliografa: http://bbsistema.tecmilenio.edu.mx/webapps/portal/frameset.jsp? tabGroup=courses&url=%2Fwebapps%2Fblackboard%2Fcontent %2FcontentWrapper.jsp%3Fcontent_id%3D_883959_1%26displayName %3DLinked%2BFile%26course_id%3D_39590_1%26navItem%3Dcontent %26attachment%3Dtrue%26href%3Dhttp%253A%252F %252Fcursos.tecmilenio.edu.mx%252Fcursos%252Fat8q3ozr5p%252Fprof %252Fas%252Fas04006%252Fcel Objetivo: El presente proyecto fue realizado con la finalidad de poner en prctica todos los conocimientos adquiridos durante las cuatro semanas de clases de la materia Proyecto Integrador de TI, todo esto mediante la resolucin de un caso con caractersticas especficas que requiere la aplicacin de todos los conocimientos y mucho razonamiento lgico, para que as mismo pueda conocerse y aplicarse adecuadamente cada uno de los temas vistos en el curso que ser la meta base que perseguir este proyecto para realizar cada unos de los puntos pedidos en el caso. Procedimiento: 1-Consult la pagina Web-Tec para asistir la proyecto integrador correspondiente a resolver. 2-Le el caso y los temas correspondiente a resolver para comprender ms sobre la problemtica del proyecto. 3- Investigue ms sobre temas relevantes que pudieran ayudar en el proyecto, consultando en diferentes fuentes de informacin, para as para poder pasar al siguiente punto. 4-Ya comprendido el tema y el proyecto pase a la problemtica del caso correspondiente a resolver que peda lo siguiente: A. Disear un modelo bsico de anlisis de riesgos para la organizacin. B. Documentar las principales diez amenazas que consideres ms relevantes.

2. Profesional Reporte C. Identificar, al menos diez riesgos principales que la organizacin debe de atender (considerar al menos diez vulnerabilidades para calcular cada riesgo). D. Desarrollar un anlisis de impacto, considerar los procesos de negocio descrito, mencionar cul sera el proceso ms crtico del negocio, mencionar cul sera el tiempo estimado de recuperacin de este proceso para no causar grandes prdidas a la empresa. E. Desarrollar un plan de continuidad de negocio de alto nivel considerando un sitio alterno para los sistemas crticos del negocio. 5-Con ayuda de los resultados hice una simple conclusin de lo aprendido de la problemtica del caso para finalizar con el proyecto. 6-Los resultados fueron analizados y sintetizados, y se presentan a continuacin bajo el formato de reporte. Resultados: Caso: Industria Qumica, Empresa Qumica El Rey Qumica El Rey se fund hace 30 aos y se encarga de fabricar productos para el hogar como detergentes, limpiadores especiales para todo tipo de aplicacin en el hogar. Cuenta con una lnea de productos de limpieza con orientacin Industrial. Tiene sus oficinas principales en la ciudad de Monterrey N. L. y puntos comerciales de distribucin en otras 25 ciudades de Mxico. La planta de produccin se encuentra ubicada en la ciudad de Higueras N. L., a 45 minutos de la Ciudad de Monterrey. La Empresa cuenta con cuatro procesos principales (abastecimientos, produccin, distribucin y procesos de apoyo) Cuenta con un sistema ERP para los procesos de abastecimiento y produccin, un sistema va Internet de ventas y pedidos (interfaz con ERP) y un sistema de contabilidad (se alimenta del ERP). Su infraestructura tcnica de telecomunicaciones se base en una red tipo VPN que conecta todos los puntos mencionados. La estructura organizacional base, que labora en el rea de sistemas, se integra por un gerente de TI, un supervisor de soporte tcnico, un supervisor de desarrollo de sistemas y un supervisor de comunicaciones. El resto del personal es contratado por honorarios y proyectos especficos. Las bodegas de producto terminado se encuentran contiguas a la planta de produccin en la ciudad de Higueras N. L., y otras en Mxico D. F. y Guadalajara, Jalisco. Objetivo: El director de la empresa Qumica El Rey ha contratado a un grupo consultor de expertos en el rea de TI y seguridad de informacin para que lo apoyen a reforzar el rea de TI de la empresa. La demanda comercial ha crecido a tasas de ms del 50% anual desde los ltimos 5 aos y el rea de TI ha crecido en forma desordenada quiz por la inadecuada planeacin estratgica. En opinin de los diversos gerentes de la empresa el rea de TI, no est satisfaciendo sus solicitudes en tiempo y en calidad. El director de TI menciona que carece de polticas y procedimientos que le permitan operar adecuadamente y alineado a las mejores prcticas, dado que el crecimiento de la empresa ha sido muy rpido y a la falta de recursos econmicos y humanos asignados al rea de TI. 3. Profesional Reporte La organizacin desea iniciar operaciones en Estados Unidos de Norte Amrica, pero al director general le preocupa que el rea de TI no se encuentre al nivel que la competitividad en aquel pas piensa se va a requerir. 1.- Mdulo 4. Riesgos y plan de continuidad de negocios A) MODELO BASICO DE ANALISIS DE RIESGO El modelo de anlisis de riesgo tiene como objetivo: Administrar los riesgos en materia de seguridad de informacin de manera que sea Costo- Beneficio para la organizacin a travs de: - Identificacin de activos crticos y sus amenazas. - Cuantificar los impactos al negocio debido a las amenazas. - Calcular los riesgos. - Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). - Implementacin de controles que ayuden a mitigar los riesgos. - Monitoreo de la efectividad de los controles y su impacto (reduccin) en los riesgos. Para que el proceso de anlisis de riesgo sea efectivo requiere del soporte constante de la alta direccin, las personas que deben participar durante el proceso son los dueos de los activos de informacin, los custodios y la organizacin de seguridad de informacin, pudiendo reflejarse dichos impactos en funcin de la prdida de imagen, prdida financiera, cuestiones legales tales como demandas e incluso prdida en la productividad de la compaa, pudindose perder la confidencialidad, integridad o disponibilidad de la informacin. Modelo de Riesgos para la organizacin: |ACTIVOS |AMENAZAS |IMPACTOS |VULNERABILIDADES |RIESGOS | | | |Imagen |Legal | Financiero | | | | | | | | | | | | | | | | | | | | | | | | | | | ACTIVOS Los activos que posee la empresa simbolizan los recursos que los dueos tienen para el desarrollo de la actividad productiva de la entidad y como resultados de las operaciones diarias que en un futuro le traern beneficios econmicos, siendo estos tambin los recursos con que cuenta la empresa u organizacin, como el personal, infraestructura, hardware, software, informacin, principalmente la industria o giro de la organizacin, as como la informacin de diferentes tipos con los que una organizacin desarrolla su actividad y que suelen ser vitales para el desarrollo modelo de negocio de la organizacin. 4. Profesional Reporte AMENAZAS Una amenaza es un fenmeno causado por el ser humano o un proceso natural que puede poner en peligro a un grupo de personas, sus pertenencias y su ambiente, cuando no son precavidos. Existen diferentes tipos de amenazas. Algunas son naturales, otras son provocadas por el ser humano, como las llamadas industriales o tecnolgicas (explosiones, incendios y derrames de sustancias txicas). Las guerras y el terrorismo tambin son amenazas creadas por el ser humano. - Terremotos, sismos: fuertes movimientos de la corteza terrestre que se originan desde el interior de la Tierra y que pueden causar muchos daos. - Erupciones volcnicas: explosiones o emanaciones de lava, ceniza y gases txicos desde el interior de la Tierra, a travs de los volcanes. - Deslizamientos: tierra, piedras y vegetacin que se deslizan rpida o lentamente cuesta abajo. Se presentan sobre todo en la poca lluviosa o durante una actividad ssmica. - Maremotos o tsunamis: serie de olas marinas gigantes que se abaten sobre las costas, provocadas por terremotos, erupciones volcnicas o deslizamientos submarinos. - Huracanes: fuertes vientos que se originan en el mar y que giran en grandes crculos a modo de torbellino; vienen acompaados de lluvias. Se les llama tambin ciclones tropicales. - Plagas: calamidad grande que aflige a un pueblo o comunidad, por ejemplo gran cantidad de insectos o animales que pueden destruir los cultivos. - Sequas: perodo de meses o aos durante el cual una zona de la tierra padece por la falta de lluvia, causando daos graves al suelo, los cultivos, los animales y hasta a las personas, provocndoles en algunas ocasiones la muerte. - Inundaciones: presencia de grandes cantidades de agua, provocadas en general por fuertes lluvias que el suelo no puede absorber. - Incendios (forestales): fuegos destructivos en bosques, selvas y otro tipo de zonas con vegetacin. Estos incendios pueden salirse de control y esparcirse muy fcilmente sobre extensas reas. - Tornados: rfagas de viento en rotacin, de gran violencia que giran sobre la tierra. IMPACTOS Los impactos en el negocio se deben identificar tomando en consideracin diferentes dimensiones, tales como: El tipo de impacto, dependiendo del rango de impacto que ocasionarn los activos de la organizacin. Los impactos de los activos de informacin se pueden identificar en funcin de las siguientes decisiones: - Confidencialidad. - Integridad. - Disponibilidad. Tipos de impactos dentro de la empresa u organizacin: - Legales. - Imagen. - Financiero. 5. Profesional Reporte Pudindose determinar mediante las amenazas previamente identificadas, VULNERABILIDADES Las vulnerabilidades son debilidades de los activos de informacin por ausencia de controles. Las vulnerabilidades se identifican en funcin de: - Medio ambiente. - Personal, procedimientos, procesos, polticas, etc. - Operacin del negocio y entrega de servicios. - Hardware, software o facilidades y equipos de comunicaciones. Los tipos de probabilidades de las vulnerabilidades se miden en: |Probabilidad baja: que se considera como riesgo tolerable y moderado con poco riesgo que ocurra y se pueden corregir rpidamente.| |Probabilidad media: Daa de manera tolerable, es de riesgo moderado, pero es causante de riesgo importante de la organizacin por| |tanto conlleva a ms tiempo en su correccin. | |Probabilidad alta: Es ligeramente daino, pero puede ocasionar un riesgo importante en el desarrollo de los procesos, este tipo | |de riesgo es intolerable, muy difcil de corregir y a veces causa muchas prdidas a la empresa. | RIESGOS El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. El concepto de riesgo est ntimamente relacionado al de incertidumbre, o falta de certeza, de algo pueda acontecer y generar una prdida del mismo, evalundose el grado de riesgo, Bajo, Medio o Alto. Algunos riesgos posibles de la organizacin en el rea de TI: - Riesgos estticos: Estos riesgos surgen de otras causas distintas a los cambios de la economa tales como: deshonestidad o fallas humanas. - Riesgos de Responsabilidades: Su peligro bsico consiste en el perjuicio de otras personas o dao de una propiedad por negligencia o descuido. - Riesgos fsicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminacin inadecuada, exposicin a radiaciones, instalaciones elctricas inadecuadas. - Riesgo fundamental: Envuelve las prdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenmenos econmicos, sociales. Ellos afectan parte de una organizacin. - Riesgo particular: Son prdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflacin, terremotos son todos riesgos fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares. 6. Profesional Reporte - Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. - Interface: Los riesgos en esta rea generalmente se relacionan con controles preventivos y detectivos que aseguran que la informacin ha sido procesada y transmitida adecuadamente por las aplicaciones. - Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. - Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. B) Principales amenazas de consideraron ms relevante. - Fuga de informacin. - Prdida de la informacin. - Prdida de equipo de TI. - Seguridad Fsica. - Seguridad de Red. - Seguridad de aplicacin. - Conexiones no autorizadas. - Divulgacin de operacin. - Manipulacin de datos. - Amenazas de imitacin de identidad. - Divulgacin de la informacin. - Espionaje de redes. - Seguridad fsica. - Seguridad de la aplicacin. - Planes de contingencia inadecuados. - Deficiente suministro de energa. - Fallas del hardware. - Desastres naturales (terremotos, tormentas, etc.). C) Identificacin de los riesgos principales que la organizacin debe de atender. - Riesgos de la integridad de la informacin. - Procesamiento de informacin. - Riesgos de administracin de cambios. - Riesgo de acceso. - Riesgos en los procesos de negocio. - Riesgos de la administracin de la informacin. 7. Profesional Reporte - Riesgo en el entorno de procesamiento. - Riesgos de utilidad. - Riesgos en la infraestructura. - Riesgos en la administracin de seguridad. - Riesgos de niveles inadecuados de energa elctrica. D) ANALISIS DE IMPACTO Al momento de producirse un ataque o eventualidad a los bienes de la empresa qumica, representa una prdida para la organizacin que es necesario valorar. Interesa tambin clasificar la naturaleza de las posibles prdidas derivadas de un incidente en orden a su importancia con el objeto de seleccionar las medidas preventivas a adoptar en cada caso. Anlisis de Impacto o Anlisis de Coste/Importancia es una tcnica para decidir entre distintas opciones de diseo, relacionando las opciones con los problemas de usabilidad y escogiendo la opcin que tiene los problemas de usabilidad ms importantes, se realiza una vez que tengamos un conjunto de problemas de usabilidad identificados en cualquier clase de actividad de la evaluacin de usabilidad. Anlisis de Impacto en el Negocio (BIA, Business Impact Analysis): El procedimiento de analizar las prdidas sufridas por una entidad si las actividades clave del negocio no estn disponibles The Business Impact Analysis (BIA): Permitir identificar y prioritizar en funcin del impacto econmico u operacional al negocio, lo siguiente: Funciones y/o procesos crticos. Tiempo de recuperacin objetivo Recovery Time Objective (RTO). Informacin crtica. Sistemas y aplicaciones crticas. Recursos requeridos y dimensionamiento de Anlisis. AREAS PRORITARIAS EN LA EMPRESA QUIMICA EL REY PARA EL ANALISIS DE IMPACTO La Empresa cuenta con 4 procesos principales (abastecimientos, produccin, distribucin y procesos de apoyo). Abastecimiento: Es la funcin logstica mediante el cual se provee una organizacin de todo el material fundamental para su funcionamiento. Proceso critico del rea de abastecimiento: - RTO o mximo tiempo tolerable de duracin de la interrupcin del servicio para cada proceso critico del negocio. - Obtener y proporcionar materiales y herramientas necesarias para el funcionamiento de la empresa. 8. Profesional Reporte RTO: 0 a 30min. - Adquirir y mantener los proveedores idneos para la empresa. RTO: 0 a 1hr. Produccin: El objetivo de esta rea es programar y analizar que se est obteniendo un rendimiento efectivo en las unidades producidas y asegurar que se cumplan las metas de produccin, obteniendo el cumplimiento de las necesidades del rea. Proceso crtico del rea de produccin: - RTO o mximo tiempo tolerable de duracin de la interrupcin del servicio para cada proceso critico del negocio. - Otorgarle mantenimiento y supervisin a las maquinas trabajadoras. RTO: 0 a 24hrs. - Falla de maquinaria y equipo de trabajo del rea de produccin. RTO: 0 a 72 hrs. Distribucin: Se encarga de la gestin de los flujos fsicos (materia, productos acabados) y se interesa a su entorno. El entorno corresponde en este caso a: Recursos (humanos, consumibles y electricidad, etc.). Bienes necesarios a la realizacin de la prestacin (almacenes propios, herramientas, camiones propios, sistemas informticos, etc.). Servicios (transportes o almacenes subcontratados, etc.). Proceso critico del rea de distribucin: - RTO o mximo tiempo tolerable de duracin de la interrupcin del servicio para cada proceso critico del negocio. - Productos rezagados. RTO: 0 a 12 hrs. - Transporte de entrega y reparto descompuestos: RTO: 0 a 24 Proceso critico del rea de apoyo: - RTO o mximo tiempo tolerable de duracin de la interrupcin del servicio para cada proceso critico del negocio. - Mala administracin de los recursos de TI. RTO: 0 a 12 hrs. - Perdida de informacin de TI. 9. Profesional Reporte RTO: 0 a 24 hrs. E) PLAN DE CONTINUIDAD El establecimiento de un plan de contingencia se inicia por la identificacin de los procesos crticos del negocio (o de su trabajo). La definicin de estos procesos crticos se puede hacer de manera compleja mediante una matriz de impacto estratgico de los procesos, o simplemente identificando, por experiencia, cuales son aquellos procesos que se tienen que ejecutar siempre. Una vez identificados los procesos se determinan escalas horarias entre las cuales se deban tomar acciones dependiendo del tiempo estimado en que estar por fuera el sistema de informacin. Es importante reconocer que dependiendo de la magnitud del dao y del tiempo estimado en su recuperacin, es que se deben tomar las acciones pertinentes. (BCP, Business Continuity Plan): Conjunto de tareas que le permitir a la organizacin continuar su actividad en la situacin de que un evento afecte sus operaciones. Un plan de continuidad afecta tanto a los sistemas informticos como al resto de procesos de una organizacin y tiene en cuenta la situacin antes, durante y despus de un incidente. Si un dao causa que el sistema est fuera de lnea unos pocos segundos, no se requerirn mayores acciones, al menos que el sistema sea de misin crtica y estn involucrados recursos irrecuperables. Si por contra, el dao puede demorarse algunas horas en su reparacin, el sistema de atencin a los clientes se ver duramente afectado, impactando as en la satisfaccin de los mismos. Es decir, aunque parezca obvio, que dependiendo del tamao del mal, ser la curacin. Considerando un sitio alterno para los sistemas crticos del negocio seria el siguiente: Sitio alterno, Cold Site: Un sitio fro, es un tipo de servicio de recuperacin de catstrofes que proporcione el espacio de oficina, pero esto se basa ha que el cliente proporciona e instala todo el equipo necesario para continuar operaciones. Un sitio caliente, por una parte, es un servicio comercial de la recuperacin de catstrofes que permite que un negocio contine operaciones de la computadora y de la red en caso de desastre de la computadora o del equipo. Un sitio fro es menos costoso, pero durara para conseguir que la empresa, en cuestin de su operacin sea completa despus del desastre. MARCO DE REFERENCIA La organizacin se encuentra alineado a marcos internacionales tales como - ISACA. 10. Profesional Reporte - COBIT. - ISO- 27001. En cuanto a la definicin de un Modelo Bsico de Anlisis de Riesgos establece: Que es indispensable que se rija bajo los marcos de control de COBIT que representa un estndar mas completo con 34 objetivos de niveles altos que cubren 215 objetivos clasificados en cuatro dominios, tales como: El plan y Organiza, Adquiere y Pone en prctica, Entrega y Apoya, y Supervisa y Evala. Mientras que el marco ISO 27001 se enfocara principalmente a Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Es as para que el marco de COBIT o fresca una mejor solucin integral para los requerimientos de la organizacin, hacindola ms competitiva y ms segura para su nuevo ingreso en un mercado cambiante y competitivo, con el objetivo de implementar el Gobierno de T.I. para que se administren los riesgos asociados, y el aumento en los requerimientos regulatorios, as como tambin la gran dependencia de los muchos procesos de negocio de TI. Conclusin: Para finalizar, con este proyecto he aprendido que las organizaciones deben tener contempladas todas las eventualidades posibles para poder sortearlas en futuro incierto sin dificultad, ya sea que trtese de contratiempos naturales, como tormentas, huracanes y otros de ndole natural, del mismo modo tambin los disturbios sociales a los que no se encuentra ajena ninguna sociedad moderna, sin embargo, dentro de la parte lgica de los procesos operativos de las organizaciones, especficamente en los sistemas de informacin, es donde ms amenazas y vulnerabilidades latentes se encuentra, y dado a que las amenazas informticas son cada vez ms complejas y a veces difciles de detectar, se hace necesaria una cultura de formacin del personal especializado en TI para luchar contra todas las amenazas a las que se exponen los SI de una organizacin, desde la implementacin de mejores prcticas hasta la contemplacin de los posibles escenarios de desastres y su anlisis de impacto. En conclusin, puedo decir que la seguridad que se le otorgue a la organizacin debe ser de manera integral, una seguridad orientada a las cualidades propias de la organizacin, que se haga imprescindible, por lo tanto, deben tomar conciencia de los riesgos a travs de medidas en todos los niveles, as como de la implementacin de herramientas, tcnicas de seguridad, tales como antivirus, firewalls, software para autentificacin de usuarios o para cifrado de la informacin que maneje la organizacin. Del mismo modo que resulte esencial la gestin de incidentes, la implantacin y gestin de medidas tecnolgicas que prevengan, tal como el plan de recuperacin de negocios y el anlisis de impactos, y mitigando as los riesgos, (tal como el plan de continuidad de negocios) a los que estn expuestos los sistemas de la organizacin en la sociedad actual.