Professional Documents
Culture Documents
Teoria 3.
Teoria 3.
1. El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos
vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que
recuperarlo. El BCP incluirá un plan para la recuperación de desastres.
Existen 3 técnicas generalmente aceptadas para enumerar los procesos de negocio soportados por
sistemas de información, junto a su criticidad, y coste de interrupción:
• Formularios.
• Entrevistas a los usuarios avanzados o dueños de los procesos.
• Reuniones entre personal de TIC y los usuarios avanzados.
2. Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora
continua de Deming, a saber: planificar (Plan), hacer (Do), medir (Check), y corregir (Act).
A. Cuáles son los procesos críticos, u ordenarlos por prioridad. B. Cuál es el daño/impacto, en
función del tiempo que se tarde en restablecerse el servicio. C. Cuál es el coste de las diferentes
estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.
4. La confidencialidad, es decir, que la información solo esté accesible para quien esté autorizado a
ello.
La integridad, es decir, que la información sea exacta y completa, de manera que solo pueda
modificarla quien esté autorizado a ello.
La disponibilidad, es decir, que la información esté accesible cuando sea necesario.
5.La norma ISO 9000, en versión de 2005, define un proceso como “Conjunto de actividades
mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en
resultados.
En el ámbito del procesamiento automático de la información, se encontrarán personas que manejan
equipos con una información de entrada, para generar una información de salida o resultado.
6. La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
7.Con Riesgo restante se entiende dos circunstancias, por un lado, son estas amenazas y peligros
que, aunque tenemos implementados medidas para evitar o mitigar sus daños, siempre nos pueden
afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos protegernos de cierto
modo contra los impactos de un terremoto común, sin embargo, cuando ocurre con una fuerza
superior o antes no conocido, el impacto general será mucho más grande y muy probablemente
afectará también a nosotros. La otra situación es cuando aceptamos conscientemente los posibles
impactos y sus consecuencias, después de haber realizado el análisis de riesgo y la definición de las
medidas de protección. Las razones para tomar esta decisión pueden ser varias, sea que evitar los
daños no está dentro de nuestra posibilidad y voluntad económica o porque no entendemos que no
tenemos suficiente poder sobre el entorno. Sea lo que sea la razón, el punto importante es que
sabemos sobre la amenaza y decidimos vivir con ella y su posible consecuencia.
8. La Matriz para el Análisis de Riesgo, es punto clave en analizar y determinar los riesgos en el
manejo de los datos e información de las organizaciones. La Matriz, que se basa en una hoja de
cálculo, no dá un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de
información) de la institución, sino una mirada aproximada y generalizada de estos.
La Matriz se basa en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula
Riesgo = Probabilidad de Amenaza x Magnitud de Daño La Probabilidad de Amenaza y Magnitud
de Daño pueden tomar los valores y condiciones respectivamente • 1 = Insignificante (incluido
Ninguna) • 2 = Baja • 3 = Mediana • 4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño,
está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores. • Bajo
Riesgo = 1 – 6 (verde) • Medio Riesgo = 8 – 9 (amarillo) • Alto Riesgo = 12 – 16 (rojo)
Las medidas de protección están divididas en medidas físicas y técnicas, personales y organizativas.