MATRIZ DE RIEGOS.

Caractersticas y justificacin. Una matriz de riesgo es una herramienta de control y de gestin que es utilizada para identificar procesos, tipo y nivel de riesgos inherentes de estos. Es por esto que una matriz de riesgo permite evaluar la efectividad de una adecuada gestin en temas de prevencin de riesgos informticos. Otorgando valores que permiten actuar frente a estos riesgos, graficando esta matriz de manera clara expresando la severidad y probabilidad que sean identificados en el anlisis realizado.

Identificacin y clasificacin de riesgos Riesgos originados por vandalismo comn y motivacin poltica: Allanamiento (ilegal/legal). Sabotaje (ataque fsico y electrnico). Dao por vandalismo. Fraude/Estafa. Robo (Hurto fsico). Robo (Hurto de informacin electrnica). Infiltracin. Virus/Ejecucin no autorizada de programas. Violacin a derechos de autor. Riegos de origen fsico: Incendio. Inundacin/Deslave. Sismo. Polvo. Falta de ventilacin.

Electromagnetismo. Sobrecarga elctrica. Falla de corriente (Corte elctrico). Falla de sistema/Dao Disco Duro. Riesgos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales: Falta de induccin, capacitacin y sensibilizacin sobre riesgos. Mal manejo de sistemas y herramientas. Utilizacin de programas no autorizados / software 'pirateado'. Perdida de datos. Infeccin de sistemas a travs de unidades portables sin escaneo. Manejo inadecuado de datos crticos (codificar, borrar, etc.) Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada). Compartir contraseas o permisos a terceros no autorizados. Exposicin o extravo de equipo, unidades de almacenamiento, etc. Falta de definicin de perfil, privilegios y restricciones del personal. Falta de mantenimiento fsico (proceso, repuestos e insumos). Red inalmbrica expuesta al acceso no autorizado. Falta de normas y reglas claras. Falta de mecanismos de verificacin de normas y reglas. Ausencia de documentacin.

ASIGNACION DE PROBABILIDAD DE OCURRENCIA Y DE NIVEL DE IMPACTO.

Magnitud de Dao: [1 = Insignificante, 2 = Bajo, 3 = Medio, 4 = Alto] Probabilidad de Ocurrencia: [1 = Insignificante, 2 = Bajo, 3 = Medio, 4 = Alto] Riegos o sucesos. Probabilidad ocurrencia 1 y 2 2 1 2 3 2 4 1 2 1 2 2 1 1 2 3 2 2 4 3 de Nivel de impacto 4 4 2 4 3 3 4 2 4 4 3 2 2 2 2 3 3 4 2 3 1

Allanamiento (ilegal/legal). Sabotaje (ataque fsico electrnico). Dao por vandalismo. Fraude/Estafa. Robo (Hurto fsico). Robo (Hurto de informacin electrnica). Infiltracin. Virus/Ejecucin no autorizada de programas. Violacin a derechos de autor. Incendio. Inundacin/Deslave. Sismo. Polvo. Falta de ventilacin. Electromagnetismo. Sobrecarga elctrica. Falla de corriente (Corte elctrico). Falla de sistema/Dao Disco Duro. Falta de induccin, capacitacin y sensibilizacin sobre riesgos. Mal manejo de sistemas y herramientas. Utilizacin de programas no autorizados / software 'pirateado'.

Perdida de datos. Infeccin de sistemas a travs de unidades portables sin escaneo. Manejo inadecuado de datos crticos (codificar, borrar, etc.) Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada). Compartir contraseas o permisos a terceros no autorizados. Exposicin o extravo de equipo, unidades de almacenamiento, etc. Falta de definicin de perfil, privilegios y restricciones del personal. Falta de mantenimiento fsico (proceso, repuestos e insumos). Red inalmbrica expuesta al acceso no autorizado. Falta de normas y reglas claras. Falta de mecanismos de verificacin de normas y reglas. Ausencia de documentacin.

2 3

4 1

2 3

3 3

2 1 3 2 4

3 2 2 1 3

Cabe decir que la probabilidad de ocurrencia es mayor respecto a errores cometidos por la falta de experiencia y/o negligencia de los usuarios y la organizacin.

CONSTRUCCION DE MATRIZ Y ANALISIS DE RIESGOS

Bajo Riesgo = 1 6 (Verde) Medio Riesgo = 8 9 (Amarillo) Alto Riesgo = 12 16 (Rojo)

Riegos o sucesos.

Probabilidad Mtodos de de ocurrencia Control Allanamiento Insignificante Uso de guardia (ilegal/legal). de seguridad calificada. Sabotaje (ataque Bajo Utilizacin de fsico y electrnico). distintos software de seguridad e infraestructura adecuada. Dao por Bajo Uso de guardia vandalismo. de seguridad calificada. Fraude/Estafa. Insignificante Robo (Hurto fsico). Bajo Uso de detectores de metales. Robo (Hurto de Medio informacin electrnica). Infiltracin. Bajo Constante monitoreo del personal Virus/Ejecucin no Alto Uso de autorizada de software de programas. seguridad actualizado Violacin a derechos Insignificante de autor. Incendio. Bajo Creacin y uso de cortafuego para la base de datos Inundacin/Deslave. Insignificante Sismo. Bajo Polvo. Bajo Limpieza preventiva de los ordenadores Falta de ventilacin. Bajo Electromagnetismo. Insignificante Sobrecarga elctrica. Bajo Uso de disyuntores sobrecarga

Nivel de Riesgo impacto Alto 4

Alto

Bajo

Alto Medio

4 6

Medio

Alto

Bajo

Alto Alto

4 8

Medio Bajo Bajo

3 4 4

Bajo Bajo Medio

4 2 6

Falla de corriente Medio (Corte elctrico). Falla de Bajo sistema/Dao Disco Duro. Falta de induccin, Bajo capacitacin y sensibilizacin sobre riesgos.

Mal manejo de sistemas y herramientas. Utilizacin de programas no autorizados / software 'pirateado'. Perdida de datos. Infeccin de sistemas a travs de unidades portables sin escaneo. Manejo inadecuado de datos crticos (codificar, borrar, etc.) Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada). Compartir contraseas o permisos a terceros no autorizados. Exposicin o extravo de equipo, unidades de almacenamiento, etc. Falta de definicin de perfil, privilegios y restricciones del

Alto

Medio

elctrica Uso de generadores elctricos Respaldo cada 15 dias de la informacin Individuos calificados a dar una induccin respecto al software. Equipo calificado y seleccionado Fiscalizacin de licencias de software

Medio

Alto

Bajo

Medio

12

Bajo

Bajo Medio

Bajo

Alto Actualizacin Bajo constante del software de seguridad Medio

8 6

Medio

Inducciones Medio sobre seguridad al equipo

Bajo

Insignificante

Inducciones Alto sobre seguridad al equipo Inventarios Alto semanales

Medio

Creacin de Bajo perfil y descripcin del

personal. Falta de Bajo mantenimiento fsico (proceso, repuestos e insumos). Red inalmbrica Insignificante expuesta al acceso no autorizado. Falta de normas y Medio reglas claras.

cargo Medio 6

Seguridad WPA2-SPK

Bajo

Falta de mecanismos Bajo de verificacin de normas y reglas. Ausencia de Alto documentacin.

Creacin de Bajo 6 reglamento para el equipo de trabajo Insignificante 2

Induccin Medio sobre la creacin y uso de la documentacin

12

CONSTRUCCION DE PLAN DE CONTINGENCIA

El Administrador de Riesgo ser el encargado de monitorear los avances del proyecto, identificando los posibles riesgos internos y externos que podran poner en peligro el avance normal del proyecto, o incluso detenerlo por completo. El administrador de riesgo (ADR) vigilara el acceso a los equipos de trabajo, los cuales sern restringidos slo a los programadores, analistas y ADR. Cada equipo contar con un password para iniciar sesin en dicho computador o servidor, el cul ser cambiado peridicamente cada 15 das o cuando el ADR lo estime necesario en base a sospecha. El responsable de cambiar la contrasea a los equipos y comunicarla al grupo de trabajo ser l y slo l. Por su parte, ste se encargar de establecer una contrasea a la BIOS de cada computador para evitar el acceso indebido y cambios en el sistema no aprobados por l mismo. Cmo medida cautelar, cada equipo constara de un antivirus que se debe actualizar a diario, adems de un anti spyware y malware para evitar que los equipos se infecten por un programa malicioso de forma directa o indirecta.

Se restringir la instalacin de software no aprobado, as como la descarga de archivos desde internet, el acceso a programas P2P y/o pginas web que sirvan para tales efectos o cumplan una funcin similar. Queda sin efecto esta medida para pginas oficiales del software utilizado por el equipo de trabajo para permitir actualizaciones que pudiera necesitar el equipo o software de programacin, como por ejemplo, correccin de errores del programa utilizado, as como actualizaciones necesarias. Los computadores adems contaran con el software Prey Project que permita el rastreo a distancia de ellos en caso de robo o hurto. El ADR deber ser el encargado de instalar dicho programa en cada equipo y dar aviso a las entidades policiales pertinentes, adems de monitorear toda actividad posterior en el equipo que se descubra en base a la informacin proveda por el sistema de monitoreo de dicho software e informarlo al jefe de proyecto y entidades policiales para ayudar en su bsqueda y localizacin. Contratacin de equipo de trabajo: El grupo de trabajo ser formado en base a la contratacin de programadores, analistas y todas las personas necesarias para llevar a cabo el proyecto en cuestin, siendo esta tarea de exclusiva responsabilidad del jefe de proyecto en base a su experiencia y buen juicio. No obstante, es obligacin de dicha persona que mantenga, a lo menos, cinco postulantes extra para cada cargo o funcin en caso de algn imprevisto cmo los que se sealan a continuacin: licencia mdica de algn(os) integrante(s) del equipo, despido de algn(os) integrante(s), necesidad de nuevos empleados en base a cambios posteriores en el contrato, y todo aquel motivo de fuerza mayor no mencionado anteriormente y que obligue a tomar estas medidas en pos del buen trmino de esta empresa.

Celebracin de Contrato: Se celebrar un contrato entre la empresa que requiere los servicios y el equipo de programadores que establezca los requerimientos del sistema a crear. Todos estos requerimientos estarn constatados de forma detallada en el contrato, mientras que el grupo de programadores harn llegar a la empresa todos los entregables cuando sta lo requiera para su aprobacin. Todo requerimiento posterior a la celebracin de contrato y que no est establecido en el documento de forma expresa ser sensible de negociacin (econmica, temporal y laboral) entre la empresa y el grupo informtico, celebrndose un anexo al contrato con iguales responsabilidades legales.

Todos los contratos sern legalizados mediante previa aprobacin de abogados y frente a un notario pblico que legitimase dicho acuerdo. El no cumplimiento del contrato conllevar acciones legales. Respaldo de Informacin peridica: Los avances del proyecto sern respaldados cada quince das. La informacin ser respaldada en un disco duro externo de 1 TB (Tera Byte) para poder mantener respaldos anteriores. Si el Disco Duro utilizado para dicho efecto queda sin espacio disponible, el respaldo ms antiguo ser traspasado a un DVD que incluir fecha y nmero de respaldo para posteriormente ser localizado ante una eventualidad de forma ms expedita. La persona responsable de efectuar dicha tarea ser el ADR.

Uso de Generadores: Los computadores constaran de generadores elctricos que permitan su normal funcionamiento si ocurriera un corte de electricidad no programado, permitiendo que los programadores puedan salvar sus avances y, si fuese necesario, hacer los respaldos correspondientes.

Uso de Disyuntores: Se utilizarn disyuntores en la conexin de equipos y servidores para evitar una descarga elctrica mayor a la soportada por los equipos luego del corte de energa no programado o falla por parte de la empresa de energa y as evitar el deterioro del hardware. Como medida cautelar, la instalacin elctrica ser verificada por profesionales con anterioridad.

Otras precauciones: Las siguientes sugerencias debern ser tomadas en consideracin al momento de elegir el lugar de trabajo. Las instalaciones debern contar con extintores de fuego tipo C en las oficinas que sean de fcil acceso en caso de incendio, as mismo los empleados debern rendir un curso bsico sobre el uso de stos. Adems, se sugiere que las oficinas cuenten con aspersores anti incendios que funcionen de forma automtica al subir la temperatura a 68 grados Celsius. Los equipos de trabajo debern estar sobre estructuras a una altura mnima de 50 centmetros para evitar que se mojen en caso de inundacin de las instalaciones por rompimiento de caeras.

El edificio deber contar con seguridad privada para asegurar la proteccin de los equipos de trabajo. Adems las instalaciones deben proveer de seguridad en puertas y ventanas (uso de rejas, cerraduras, etc.). Las instalaciones, a su vez, debern contar con alarma anti robos o entrada no autorizada en las inmediaciones u oficinas de trabajo. En caso de sismo, las salidas de emergencia debern estar correctamente sealizadas para salvaguardar la integridad del grupo humano de trabajo y su pronto escape a un lugar seguro. Tanto computadores como todo material de trabajo al finalizar la jornada laboral ser guardado en muebles cerrados que contengan los equipos de forma segura y eviten en lo posible la oscilacin de estos en su interior. Adems la estructura debe ser lo suficientemente fuerte para soportar una cada y/o impactos por escombros. stas medidas bien sirven en caso de Tsunami, aunque la integridad de los equipos no puede asegurarse debido a las caractersticas inherentes en una catstrofe de este tipo.

PLAN DE RESPALDO

Mecanismo. QuickSync 3 Iomega Corp. Respalda automticamente los archivos. Se ejecuta de fondo, copiando automticamente los archivos nuevos o modificados de carpetas especficas en el dispositivo de almacenamiento de destino, que puede ser un disco duro o un medio extrable. Periodicidad. La realizacin de copias de seguridad ha de realizarse cada 15 das, sin embargo, existen condicionantes, tales como la frecuencia de actualizacin de los datos, el volumen de datos modificados, etc. que pueden hacer que las copias se realicen cada ms o menos tiempo. Medio de Respaldo. Los medios de respaldos a utilizar sern Discos Duros Externos de 1 TB para poder mantener respaldos anteriores. Si el HD quedara sin espacio disponible, el respaldo ms antiguo ser traspasado a un DVD que incluir fecha y nmero de respaldo para posteriormente ser localizado ante una eventualidad de forma ms expedita.

Cantidad de Copias. Se realizaran 2 copias de cada respaldo para mantener un bajo porcentaje de prdida de informacin. Rotulacin. El nombre definido sera realizado como en el versionamiento xx.yy.zzzz donde X sera el dia de respaldo, Y el mes y Z el ao del respaldo respectivamente, para asi tener una lista de los respaldos ordenados por fecha . Tiempo y lugar de almacenamiento. El tiempo de almacenamiento se realizara cada 2 semanas a las 16:00. Si es posible, la copia se realizara de forma automtica por un programa de copia, y segn la configuracin de ste.

Responsabilidades y Funciones. La responsabilidad del respaldo de datos se le asignara al miembro del equipo qu este ms calificado para realizar dicha responsabilidad, sus funciones son la supervisin del proceso de copias de seguridad, el almacenamiento de los soportes empleados en un lugar designado y la verificacin de que las copias se han realizado correctamente.