Solemne II Aud.

Sistemas

27/05/2020

Nombre: Karina Valeska Sepulveda Poblete

1.- Indique que es un DRP y cite un ejemplo.

Un plan de recuperacion de desastres es un proceso en que las organizaciones se enfrentan y

preparan contra posibles desastres ya sean de materia natural o no, que pueden dañar la
infraestructura tecnologica y por ende poner fin a las actividades empresariales. El objetivo
principal de este es reducir al maximo los efectos de un desastre en las funciones de las
organizaciones, para que ante cualquier eventuaidad sean capaces de reanudar rapidamente sus
funciones.

Tenemos un ejemplo en el que las compañias de telefono deben de funcionar ante posibles
catastrofes, como lo son los terremotos en Chile, deben implementar un Plan que no afecte la
señal de sus clientes, como lo son el poder comunicarse tanto en llamadas como por via mensaje.

2.- ¿Qué es un BCP?

Un plan de continuidad Empresarial es un documento que consta de la informacion critica que

necesita una empresa para continuar operando durante un evento no planificado. El BCP debe
establecer las funciones esenciales de la empresa, identificar que sistemas y procesos deben
mantenerse y detallar como mantenerlos. En el se debe tener en cuenta cualquier posible
interrupcion del negocio.

3.- El Gerente de Tecnología de una empresa, le indica a Ud. Como Auditor de Sistemas “El
realizar un DRP tiene costos adicionales”. Comente.

De acuerdo a lo señalado por el Gerente puedo indicar que si se tiene costos adicionales infiriendo
en un gasto del 2% al 4% de su presupuesto, debido que la planificacion de recuperacion ante
desastres tiene por objetivo el evitar perdidas mas grandes en caso de que la empresa no pueda
seguir funcionando por la perdida de la infraestructura y los datos de Tecnologias.

Siendo esto un Costo/ Beneficio, realizando un gasto por implementar un DRP pero obteniendo un
Beneficio en el que la empresa podra seguir funcionando ante posibles desastres, garantizando la
prestacion del servicio a la cual sus clientes estan acostumbrados, independiente de las
situaciones que se presenten.
4.- De acuerdo a lo visto en clases, ¿en qué afecta a una empresa no tener DRP?

El no tener un DRP en la empresa cualquiera sea su giro o tamaño implica el no estar asegurada
ante posibles catastrofes, en los que en su mayoria causan daños considerables en las empresas.
Estos puedes ser por contingencvias derivadas de factores climatologicos, daños informaticos o
tecnologicos, movimientos sociales, culturales o politicos.

Estas situaciones estan involucradas directamente al area tecnologica, es decir, si un proceso se

detiene prologadamente la empresa, o su marca puede sufrir consecuencias negativas desde
perdidas financieras, problemas de reputacion hasta el cierre definitivo de la misma.

5.- Ud. está realizando una visita por Auditoría de Sistemas a una empresa que presta servicios
de mantención y respaldo de información para empresa del sector bancario.

En sus observaciones registra lo siguiente:

En el acceso al edificio corporativo, donde se encuentran los servidores de respaldo, se observa

que la puerta de ingreso es de material ligero, y que el ingreso es controlado mediante clave de
cuatro dígitos única para todos, número 4 -3 -2 -1.Los cambios de programas, son visados por el
programador y probados en el ambiente de producción.El contrato de prestación de servicios
entre la empresa y el Banco, sólo tiene estipulado la cantidad de horas hombre mensuales por el
servicio.Los errores de los sistemas se resuelven vía sistema, esto produce rapidez en la
solución.Dada la complejidad para respaldar información, todos los usuarios tienen perfil “FULL”,
esto quiere decir que pueden modificar parámetros en forma rápida y sin burocracia.

Una vez al mes el contrato estipula generar un informe con sólo con las incidencias que se han
resuelto.

Observaciones:

 No se puede tener a todos los usuarios con perfil full debido que si se borra una
informacion relevante del sistema, se perdera la informacion absoluta.
 Se debe preparar un proceso o proyecto de DRP para posibles contingencias, como lo son
los respaldos de informacion que se hagan desde un servidor base.
 Esto implica que los servidores de respaldo no pueden estar en el acceso del edificio,
deben estar en un piso 3 debido a que es de facil acceso y ante posibles catastrofes
naturales se es mas facil de controlar.
 Los informes deben ser generados como respaldo unas dos a tres veces al mes, debido a
que las contingencias no se puede esperar tanto tiempo para ser resueltos, hay incidencias
que deben ser resueltas al momento de ser generadas, se debe generar un informe
completo tanto con las incidencias como con las resoluciones de estas.
6.- Caso Banco Chile.

Valente y "preocupante" ciberataque al Banco de Chile: Hay que investigar si es por debilidad de
sus sistemas Pese al millonario robo, el ministro de Economía aclaró que las empresas tanto en
Chile como en el mundo se exponen diariamente a cientos de este tipo de ataques. 12 de Junio de
2018. Como "preocupante" tildó el ministro de Economía, José Ramón Valente, el ciberataque que
sufrió el Banco de Chile y que le significó un robo de US$10 millones por parte de hackers
-aparentemente- internacionales. "Ciertamente es un tema de preocupación y por lo mismo hoy
habrá una reunión del Comité de Ciberseguridad para analizar el tema y ver qué podemos hacer
hacia adelante", dijo el titular de Economía, tras participar en Enapyme. Sin embargo, el también
ex empresario recalcó que este tipo de robos no son algo que exclusivamente haya vivido el Banco
de Chile, sino que se trata de ataques que se registran en todo el mundo. "No es algo que sólo
pasa en nuestro país, tenemos que entender que ataques cibernéticos las empresas enfrentan
todos los días y en forma masiva", dijo y ejemplificó con intervenciones que ha sufrido el mismo
Pentágono. "Por más cauteloso que uno sea, siempre está la posibilidad de que alguien viole el
sistema" Josér Ramón Valente De hecho, Valente contó haber vivido este tipo de eventos desde
cerca. "A mí me tocó la experiencia de estar en una compañía donde se reportaban cerca de 2.000
ataques cibernéticos diarios. La mayor parte de esos ataques son resueltos con las cortapisas y la
seguridad que las empresas ponen, pero a veces alguien encuentra una puertecita por donde
puede entrar". Por ello, este tipo de ciberataques “son una preocupación constante porque hay un
mundo de gente que está tratando de ingresar a tus sistemas todo el tiempo y tienes que estar
todo el tiempo reforzándolo”. "No sólo es una preocupación de un minuto ni por un ataque, es
una preocupación que debe ser permanente", reforzó el ministro. Consultado por cómo debería
abordarse el tema para evitar que robos como los del Banco de Chile vuelvan a repetirse, Valente
señaló que antes de legislar, el Gobierno debe conocer al detalle los estándares que están usando
las entidades financieras. "La investigación que se está haciendo sobre lo que realmente ocurrió
en el Banco de Chile nos va a dar una buena idea de si es por la debilidad de sus sistemas o
simplemente porque al final un hacker tuvo éxito entre estos miles de ataques a los que se
enfrentan las compañías", concluyó el secretario de Estado.

Desde el punto de vista de Auditoria de Sistemas, y la reflexión antes leída, identifique debilidades
y/o propuestas. Refiérase a lo visto en clases.

Resp: Creo que las debilidades que presentan el sistema a la fecha del hackeo es que si bien se
tenia una normativa de seguridad Cyber informatica no era la necesaria, para que los hacker se
pudieran meter al sistema. Debido a que el riesgo en los sistemas informaticos siempre existira.

En relacion a esto, se resulta imposible crear un entorno informatico inaccesible a hackers aunque
si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando
medidas preventivas.

Las propuestas que puede levar a cabo la organización son:

 Desarrollar dentro de la organización buenas practicas para la gestion de la fuga de
informacion
 Establecer un sistema de clasificacion de la informacion, definir roles y niveles de acceso a
esta misma.
 Desarrollo de planes de formacion en materia de ciberseguridad y seguridad de la
informacion, buenas practicas de los sistemas informativos, etc.
 Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los incidentes
derivados de los riesgos ciberneticos, el uso inadecuado de las infraestructuras
tecnologicas y las actividades que se desarrollan en dicho entorno.
En estos seguros vienen implementados servicios como borrado de huellas e historia,
reparacion de sistemas y equipos, recuperacion de datos y descontaminacion de virus.