ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Gestión de riesgos y continuidad operacional


Enviado por   •  11 de Septiembre de 2022  •  Informe  •  2.401 Palabras (10 Páginas)  •  145 Visitas

Página 1 de 10

Plan de Proyecto

[pic 1]

Evaluación N°1

 “Gestión de riesgos y continuidad operacional ”

Sección 001D

Fecha: [07/09/2022]

Tabla de contenido

Contenido

Introducción        3

CASO 1 “GOBIERNO CORPORATIVO”        4

CASO 2 “GESTION DE RIESGOS”        5

CASO 3 “CONTINUIDAD DE NEGOCIO”        6

CASO 4 “CONTINUIDAD DE NEGOCIO”        8

CASO 5 “ESQUEMA DE ANALISIS DE RIESGO”        9

Conclusión        10

 


Introducción

En la actualidad, se generan miles de millones de ataques cada año. Y existe la necesidad de mitigar esta abrupta cantidad de ataques para que las empresas sigan siendo competitivas y ofrezcan el mejor servicio a los clientes.

Por es en este informe se presentan 5 casos donde se muestra la ausencia de una gestión de riesgos en una empresa, se demostrarán los diferentes beneficios que puede ofrecer esta gestión además de grandes cantidades de ahorro financiero al implementarlo en las diferentes empresas.

CASO 1 “GOBIERNO CORPORATIVO”

Una compañía tiene un Oficial de Seguridad (CIO) de tiempo parcial, sólo trabaja en la compañía dos mañanas a la semana, este además reporta al Gerente de Finanzas (CFO), como una forma de mantener su independencia de los aspectos de TI, este último reporta directamente al consejo de Dirección de la empresa. El consejo de dirección hace especial énfasis en su gestión, en todos los aspectos de TI. Para acceder a los datos de producción, los programadores solicitan la autorización al administrador de base de datos (DBA) y entregan el código de sus aplicaciones a un administrador de código, quien es el responsable de ponerlos en producción. Las auditorías de TI las realiza directamente el departamento de Finanzas, mensualmente y sus resultados se entregan al comité de Dirección y los gerentes de cada negocio revisan sus resultados y realizan sus observaciones al Gerente de TI, en caso de detectar alguna diferencia.

A.- Explique dos anomalías que usted observa en este caso respecto a cómo debe ser implementado el Gobierno de Seguridad de la Información.

El oficial de seguridad o CIO debería reportar al CISO o director de seguridad de la información porque el gerente de finanzas CFO al cual reporta actualmente no maneja los planes de mitigación ante posibles riesgos, para eso esta el CISO, además de eso se debería tener como mínimo 4 CIO con el fin de cubrir un horario continuado sin interrupciones durante toda la semana, es decir, 24/7.

B.- Proponga una métrica para apoyar el proceso de entrega de los códigos por parte de los programadores que ayude a validar la Integridad de dichos códigos.  

[pic 2]

RIESGO

PROBABILIDAD

IMPACTO

PUNTAJE

Venta del código fuente de la app

Bajo

Alto

5

CASO 2 “GESTION DE RIESGOS”

Una compañía vende artículos computacionales a través de una tienda en un mall y a través de un sitio web, siendo este último un 60% de las ventas totales, han sido víctima 2 veces por año de un ataque de DoS que inutiliza la página web y produce una pérdida de USD 10.000 por hora. Calcule:

A.- Las pérdidas anuales de la empresa si el incidente dura 1 hora.

Las pérdidas de negocio de la empresa serian 10.000 USD por cada hora que dure el evento o problema, llegando a costale 240.000 USD por día si es que llegara a extenderse el problema

B.- Si la compañía decide instalar un sitio de contingencia para la aplicación web. ¿A qué valor disminuye el riesgo?

La compañía reduciría el riesgo a un nivel medio ya que si bien afecta el funcionamiento de la página estará el otro sitio web como respaldo, pero aun así existe la posibilidad que los atacantes intenten botar el sitio de respaldo.

C.- La compañía decide comprar un Web Aplicación Firewall (WAF) para mitigar el ataque DoS, disminuyendo a 5 minutos el tiempo del incidente. ¿Cuánto es el ahorro en riesgo?

Consideran solo el ahorro del tiempo de operación, sin contar el costo del WAF la empresa se estaría ahorrando un total de 9.167 USD. Ya que por cada hora de caída de los servicios se pierde 10.000usd al dividirlo en 60 y descontar 5 partes nos da ese total.

D.- ¿Cuánto sería la pérdida de esta empresa si la contingencia se produce por un terremoto que afecta a toda la compañía 1 vez cada 5 años?  

Por cada día que transcurra sin servicios operativos la empresa perderá 240.000 USD siendo un terremoto el caso y considerando una semana en el restablecimiento de los servicios básicos la empresa perdería un total de 1.680.000 USD.

CASO 3 “CONTINUIDAD DE NEGOCIO”

Una compañía tiene 16 sucursales, todas conectadas al sitio central en una red estrella, en cada sucursal trabajan entre 20 y 35 empleados, 750 empleados en total, 60 servidores de aplicaciones, bases de datos, servidores de archivos, servidor de correo, todos ubicados físicamente en el sitio central. Ha tenido un crecimiento del 300% en los últimos 8 años, que fue la última vez que los planes DRP y BCP se actualizaron. Tiene además una red VPN para los usuarios que se conectan en forma remota a través de un firewall conectado a Internet. Los respaldos de la información crítica tienen una periodicidad de 1 semana y los realiza una empresa externa, quien maneja los archivos respaldados en su oficina ubicada a 56 km de distancia del sitio central. Tiene un contrato actual para contingencia de un espacio físico para 100 usuarios, 10 computadores y 25 servidores el que se renueva cada tres años.

A.- ¿Le parecen adecuadas las capacidades de contingencia contratadas por la empresa? ¿Por qué?  

R: A mi parecer actualmente sea creado una masificación en el tema de avances de seguridad de datos dentro de las empresas, es por eso la mayoría que empresas buscan actualizarse para no sufrir ataques no deseados que puedan perjudicar tanto como es la empresa, sus inversiones o como también podría ocurrir con sus empleados por esto mismo me parece que la empresa si necesita modificar sus planes de contingencia, empezando por planificar un presupuesto de lo  que costaría actualizar dispositivos, capacitar a los empleados y verificar el contrato de la empresa de seguridad, con estos factores empezar a ver el nivel de contingencia que se tiene actual y cuanto podría mejorar actualizando protocolos de seguridad, porque en el plan que se tiene en la empresa queda bastante desactualizado viendo que es una empresa en crecimiento que muchos intrusos indebidos podrían intentar vulnerar la protección de la empresa, o también alguna calamidad que interrumpa el trabajo dentro de la empresa, por esto mismo los planes de DRP contratadas deberían actualizarse más seguido.

...

Descargar como (para miembros actualizados) txt (15 Kb) pdf (128 Kb) docx (38 Kb)
Leer 9 páginas más »
Disponible sólo en Clubensayos.com