Máster en Ciberseguridad

Área de Normativas de Ciberseguridad 2021

Caso Práctico Sistemas de Continuidad de Negocio
Prof. José Antonio Rubio

Guillermo Olivares Calderón

Ejercicio 1
Datos

Zapasol es una compañía que fabrica zapatos con materiales reciclados. Cuenta actual-
mente con ochenta empleados, repartidos en dos plantas de fabricación, una en Valencia
y otra en Albacete, distante 200 kilómetros. El éxito de venta de este tipo de zapatos
les ha llevado a mercados internacionales, importando a más de veinte países.

Dentro de la propia fábrica cuentan con un pequeño departamento de informática

formado por cuatro empleados que se encargan de la gestión de todo lo relacionado con
comunicaciones, software, hardware, base de datos. Este departamento y su centro de
procesamiento de datos se encuentran en Valencia.

El rápido desarrollo y expansión de esta compañía ha resultado en un crecimiento tecno-

lógico importante en los procesos de soporte, tales como facturación, nóminas, atención
al cliente, etc., sin embargo, las medidas de seguridad no han acompañado de igual
forma a este crecimiento. A continuación, se describe brevemente cuál es la situación
de cuanto a seguridad de la compañía:

• No existe política de seguridad.

• No se realizan copias de seguridad.
• No existe antivirus centralizado.
• Existe control de acceso, pero los usuarios comparten contraseñas.
• Los servidores se encuentran en una sala sin protección física.

Como parte de los proyectos a cometer, el director de informática ha propuesto

implantar un SGCN, puesto que recientemente ha tenido problemas por
sobrecalentamiento de los servidores y desencadenó que un día se quemaran, quedando
interrumpido todos los servicios durante dos semanas, puesto que no había ninguna
planificación para poder responder ante esta situación en un tiempo adecuado. Se quiere
realizar un SGCN.

Se pide

1. Identificar el evento que provocó un desastre, y las características de dicho

evento.

La ISO 22301, establece un Incidente como un evento que puede ser o podría provocar
una disrupción, pérdida, emergencia o crisis. Así también ITIL establece que un Incidente
es un evento que no forma parte del desarrollo habitual del servicio y que causa, o puede
causar una interrupción del mismo o una reducción de la calidad de dicho servicio.
Al considerar estas definiciones, queda claro que el Incidente que causa la interrupción
de Servicios, es la quema de los Servidores. Producto de una sobrecarga de energía en
su Centro de Procesamiento de Datos, afectando la Seguridad del Hardware de los
Servidores. Tal vez para ello debiésemos considerar que la Causa-Raíz fue una falla en
el suministro eléctrico del Centro de Procesamiento de Datos.
2. Justificar el motivo principal por el que llevo a nuestra empresa a establecer
un SGCN.

El motivo principal del establecimiento de un SGCN es no haber contado con ninguna

planificación para poder responder al incidente presentado por la quema de los
Servidores. Afectando completamente los tiempos de respuesta de TI a todos los
procesos de la organización.
Para minimizar los daños ocasionado por la caída de los Servidores y la perdida de
entrega de Servicios (continuidad operativa), es vital el desarrollo del Sistema de Gestión
de Continuidad de Negocio, como medida preventiva. Que en el área de TI debiese estar
focalizado en responder a este tipo de Incidente, a través de un Plan de Contingencia.

3. Definir los objetivos de continuidad de negocio.

Los objetivos son:

• Aumentar la probabilidad de la continuidad de las funciones críticas de la

organización, en caso de registrarse alguna interrupción de sus operaciones.

• Proporcionar un enfoque de organización y consolidación dirigidos a la respuesta y

recuperación ante una emergencia o interrupción imprevista, evitando confusión y
reduciendo la crisis o tensión.

• Proporcionar una respuesta rápida y apropiada para cualquier imprevisto,

reduciendo los impactos resultantes de las interrupciones a corto plazo.

• Recuperar las funciones críticas de forma oportuna, aumentando la capacidad de

la organización.

• Aumentar la probabilidad de continuidad del servicio de presentarse una

interrupción.

• Reducir el tiempo de recuperación y las probables pérdidas económicas, directas e

indirectas, como resultado de una interacción.

• Reducir el impacto, tangible e intangible, en las funciones operativas después de

la interrupción.

4. Identificar en que tipología de Organización se encontraría nuestra

empresa en relación con la necesidad de un SGCN.

El tipo de Organización es tipo Fábrica. Tal como se vio en el Incidente que significo
interrupción de servicio por dos semanas, esta organización requiere un SGCN por su
dependencia de los sistemas de información implementados actual y probablemente en
los sistemas futuros. Considerando el nivel de automatización que se ha alcanzado en
sistemas de producción fabril.
Ejercicio 2
Datos

El director de nuestra empresa decide que va a implantar un SGCN. En principio, conoce

la BS 25999 norma de GCN más extendida actualmente, aunque le comentan que se ha
publicado la ISO 22301, y no sabe cuál es la más idónea.

Se pide

1. Explique si existe un gran cambio entre la ISO 22301 y la BS 25999-2,

desarrollando el sentido de la respuesta.

Los cambios están dados en términos de mayor profundidad y claridad de la Norma

ISO22301 con respecto a la BS 25999-2. Que se ven reflejados en la definición de
objetivos, eficacia sobre la vigilancia y en los valores característicos. Poniendo mayor
atención en:

• La gestión de la continuidad de negocio plasma el pensar de los directivos,

otorgándoles un mayor grado de responsabilidad, en cuanto a tutelar la gestión
de la continuidad.

• El estándar, es reflexivo en la planificación de recursos y preparación. El SGCN

debe estar integrado por objetivos y procesos.

• La norma valora que las empresas consideren a sus partes interesadas.

• El estándar ISO22301 persigue el objetivo de normalizar el concepto de gestión de

la continuidad de negocio y consolidar su lenguaje.

2. Identificar las principales diferencias entre la ISO 22301 y la BS 25999-2.

Las principales diferencias son:

• Mayor Reconocimiento: La ISO 22301 es reconocida oficialmente y aceptada

mundialmente a diferencia de la BS25999-2, que sólo es reconocida oficialmente
en el Reino Unido.

• Estructura Normativa: La ISO cuenta con 2 partes, divididas en el documento de

requisitos y el documento guía; esto es la ISO 22301 y la ISO 22313
respectivamente. Documento de requisitos que está dividido en 10 secciones y el
cual es certificable y que establece los requisitos de SGCN
A diferencia de la norma de la British Standards Institution, que fue lanzada en 2
partes: la BS 25999-1:2006 Parte 1 y la Norma BS 25999-2:2007 Parte 2. Donde
esta última es la que contiene los Documentos de requisitos, que está divididos en
6 secciones y es la que es certificable; mientras que la primera parte es el
documento de orientación que entrega las recomendaciones para la BCM
3. Identificar las cláusulas principales de la ISO 22301 y una breve
descripción del contenido.

Las ISO 22301 está compuesta por 10 cláusulas, las primeras relativas al alcance,
referencias normativas y términos y definiciones. A continuación, se encuentran las
siguientes cláusulas principales:

• Cláusula 4 - Contexto de la Organización: Está cláusula estable que

previamente hay que conocer la organización, tanto necesidades internas como
externas, e instaurar límites para el alcance del sistema. Esto requiere que la
organización asuma las necesidades de las partes interesadas.
• Cláusula 5 – Liderazgo: La ISO22301 pone especial empeño en la necesidad de
un liderazgo conveniente en el SGCN. Es útil para que la alta dirección afirme que
se proporcionan los recursos necesarios, nombra a los responsables del SGCN y
establece la política.
• Cláusula 6 – Planificación: Esta es una fase crítica en la que se establecen los
objetivos estratégico y principios para la orientación del SGCN en su totalidad.
Resulta ineludible que la organización identifique los riesgos para poder
implementar el sistema de gestión y asiente los criterios y objetivos a cumplir.
• Cláusula 7 – Soporte: Esta cláusula describe el apoyo necesario para establecer,
implementar y mantener un SGCN vigoroso. Para llegar a la conquista de la
continuidad del negocio, se debe tener en la organización personas con
conocimientos, experiencia y habilidades oportunas: para que apoyen al SGCN y
respondan a los incidentes producidos.
• Cláusula 8 – Operaciones: La empresa debe efectuar el análisis de impacto en
el negocio para comprender cómo se vería afectado su negocio por una
interrupción y cómo cambia con el tiempo. También debe realizar la evaluación de
riesgos que se encargará de tratar los riesgos para el negocio de forma
estructurada.
En esta cláusula se asientan los requisitos para la continuidad de negocio, hace
referencia a los ejercicios y ensayos, parte esencial en el SGCN, ISO 22301.
• Cláusula 9 – Evaluación del Desempeño: Una vez que el SGCN se ha
implementado, la norma ISO 22301 requiere permanente seguimiento del sistema,
así como revisiones periódicas para mejorar su operación. Para ello es
imprescindible tener auditorías internas, una revisión de los SGCN por parte de la
organización y una actuación sobre dichas revisiones.
• Cláusula 10 –Mejora: Ante el cambio constante de las organizaciones y los
entornos, aquí se definen las acciones para mejorar el SGCN.

4. Identificar la cláusula que pone en funcionamiento el SGCN y de qué partes está

constituida.

Después de la planificación, la organización debe poner en funcionamiento el SGCN. Lo

que se presenta en la Cláusula 8 – Operación. La cual está constituida por:
• Análisis de impacto en el negocio (Business Impact Analysis-BIA).
• Evaluación de riesgos.
• Estrategia de continuidad de negocio:
• Procedimientos de continuidad de negocio (Cláusula 8.4.5.).
• Ejercicios y pruebas (Cláusula 8.5)
Ejercicio 3
Datos

Nuestra empresa desea lanzar una campaña de concienciación corporativa, pero no sabe
por dónde empezar. Posteriormente, solicitará diseñar una estrategia de concienciación.

Se pide

1. Explicar el objetivo principal de Cultura de Continuidad de Negocio.

El objetivo principal de la Cultura de Continuidad de Negocio es garantizar que la Gestión

de Continuidad de Negocio se convierta para la organización en parte de los valores
fundamentales y en la gestión eficaz. Por lo que para conseguir este objetivo se deben
introducir, destacar y mantener el compromiso con la GCN. Utilizando para ello la
educación continua y un programa de información de la misma.

Este proceso y programa deben considerar a todos los empleados de la organización, el

cual debe ir acompañado de un proceso de evaluación de la eficacia de las acciones
emprendidas en relación con la GCN.

La cultura que implica concientización y entrenamiento del SGCN, para que todos
los empleados conozcan el plan de acción y se apropien de la situación, al igual que
entiendan cuál será su rol dentro de este plan.

2. Desarrollar los pasos para establecer una Cultura de Continuidad de

Negocio.

El proceso considera los siguientes 3 pasos:

1. Evaluar el nivel de concientización actual y el compromiso con la GCN en relación

con el nivel deseado; identificando las carencias de formación que existen entre
los dos niveles.

2. Diseñar y realizar una campaña para crear una concientización corporativa y

desarrollar las habilidades, conocimientos y compromiso necesarios para
garantizar el éxito en la GCN.

3. Comprobar que la campaña de creación de concientización ha logrado los

resultados esperados y supervisar la concientización en GCN en un plazo más
extendido.

3. Identificar el objetivo de la concientización.

El Objetivo es integrar la sensibilización y capacitación en el SGCN, a las actividades

cotidianas como parte de la cultura organizacional.
4. Identificar las audiencias a las que va dirigida la campaña, y las cuestiones
clave de Educación, formación y concientización que tienen que ofrecer a
las mismas.

Primeramente, como línea base debemos considerar que toda la organización debe
de estar considerada como audiencia. Teniendo esta premisa zanjada, podemos
identificar a dos grupos de audiencia dentro de la organización, considerando su rol
y responsabilidad dentro de las actividades del Sistema de Gestión de Continuidad:

• Personal que no tenga asignada una responsabilidad específica.

• Personal que si tienen responsabilidades; en la definición, implantación y/o
mantenimiento de la GCN.

La concientización va a ofrecer un nivel de competencia reducido y limitado a tareas

de notificación y participación dento de los ejercicios se simulación relacionados con
la GCN.

La educación y formación van a ofrecer la adquisición de conocimiento y habilidades

para el desarrollo pleno de las competencias asignadas en la GCN

5. Clasificar si se trata de educación, formación y concientización de GCN.

Para el Personal sin responsabilidad específica.

Sólo se requiere que tengan un nivel de Concientización relacionada a la
importancia de su trabajo para la organización.

Para el personal con responsabilidades directo en la GCN.

Se requiere una educación y formación estructura en diversos niveles, desde lo
general a lo particular.

6. Elegir el orden y los métodos de entrega adecuados.

El orden más adecuado es:

1. Concientización.
2. Educación y
3. Formación

Los métodos de entrega son:

1. Campaña de Concientización Corporativas. Con las cuales se inician las
actividades.
2. Cursos programados y más formales de formación. Los cuales se establecen
una vez evidenciada la existencia de una concientización generalizada en
elementos claves en la organización. Comprobada a través de indicadores
claves
Ejercicio 4
Datos

En la primera fase de Análisis de Impacto al Negocio, se decide identificar dentro de los

procesos dentro del alcance del SGCN, la criticidad de su indisponibilidad, y hacer
comparaciones entre los diferentes procesos, para ver su importancia relativa y su
interdependencia.

Se pide

1. Valorar la criticidad de los procesos considerando aspectos que se detallan a

continuación como la importancia de cumplir con las obligaciones con los clientes,
calidad del servicio, dificultad de contar con formas alternativas de operar, impactos
financieros directos por detener el proceso e impacto en la imagen.

VALORIZACIÖN DEL PROCESO

Valor Descripción
Probablemente cause daño excepcionalmente serio a la seguridad y la queda operativa.
10 Cuando el activo representa datos clasificados como confidenciales
Probablemente suponga gran pérdida de vidas
Probablemente cause una interrupción excepcionalmente seria en las actividades propias con impacto en otras
organizaciones
Probablemente causaría una publicidad negativa generalizada
Probablemente cause un daño serio a la seguridad
9 Probablemente cause un incumplimiento normativo excepcionalmente grave
Probablemente sea causa de un incidente serio de seguridad
Probablemente suponga la muerta de una o varias personas
Cuando el activo representa datos clasificados como confidenciales
Probablemente. cause daño a la seguridad o libertad individual de una persona
8 Datos clasificados como confidenciales
Probablemente cause una interrupción seria de las actividades de la Organización. con impacto en otras org.
Probablemente causaría una publicidad negativa generalizada
7 Probablemente cause un incumplimiento grave de una ley o regulación
Probablemente cause daños de cierta consideración a varias personas
Datos clasificados como confidenciales
Información que probablemente afecte gravemente a un grupo de individual.
Probablemente quebrante seriamente la ley o reglamento de protección de datos personales
6 Probablemente. cause daños de cierta consideración, restringidos a un individuo
Datos clasificados como de uso interno
Probablemente cause la interrupción de actividades de la Organización
Probablemente cause cierta publicidad negativa Probablemente afecte gravemente a un individuo
5 Probablemente quebrante seriamente leyes o regulaciones
Datos clasificados como de uso interno
Información personal que probablemente afecte a un grupo de personas
4 Probablemente quebrante leyes o regulaciones de datos personales
Datos clasificados como de uso interno
Probablemente cause la interrupción de actividades de la Organización
Probablemente afecte negativamente a las relaciones internas de la Organización.
3 Probablemente afecte con daños menores a un individuo
Probablemente quebrante levemente leyes o regulaciones
Datos clasificados como de uso interno
Probablemente cause la pérdida menor de confianza dentro de la Organización.
Información que puede molestar a una persona
2 Información que puede quebrantar levemente leyes o regulaciones
Probablemente cause daño menor a algunos individuos
Datos clasificados como públicos
Probablemente cause la pérdida menor de confianza dentro de la Organización
Información que puede molestar a una persona
1 Información que puede quebrantar levemente leyes o regulaciones
Probablemente cause daño menor a algunos individuos
Datos clasificados como públicos
No afecta a la seguridad de las personasAfectaría levemente a la organización
0 Supondría pérdidas económicas mínimas
No supondría daño o reputación para la organización
Procesos Considerados y Valorización:

Proceso Descripción Valorización

Recibe los pedidos de clientes, produce y entrega producto
Pedidos terminado. Así también y gestiona el envío en los plazos 7
establecidos
Atención al Recepción de solicitudes y pedidos de Cliente (Consultas,
5
Cliente reclamos) y gestiona según corresponda
RRHH Selección y formación del personal 0
Nominas Generación y Pago de Remuneraciones al personal 4
Bodegas (productos terminados) para cumplir con entregas
Stock 7
necesarias. Materias primas

2. Datos funcionales del proceso:

• Datos operacionales (frecuencia, horario, número de empleados)

N° de
Proceso Frecuencia Horario
Empleados
Pedidos Diaria (Recepción-Despacho) 24:00 hrs 52
08:00 a 20:00 hrs.
Atención al Cliente Diaria 8
(Horario hábil - Local)
08:00 a 18:00 hrs.
RRHH A pedido 4
(Horario hábil - Local)
08:00 a 18:00 hrs.
Nominas Mensual 6
(Horario hábil - Local)
Stock Diaria 07:00 a 21:00 hrs. 10

• Dependencias internas del proceso: ¿qué necesita el proceso para funcionar de

otras áreas?

Proceso Entrada Salida Dependencias Internas

Elaboración del Existencia de Materias primas (Stock)
Orden de Compra
Pedidos Producto Solicitudes de Compra
Atención a Clientes
Entrega del Pedido (Atención a Cliente)
Capacidad de producción y entrega
Contacto Cliente
Atención al Caso Generado (Pedidos/Producción)
Solicitud Internas
Cliente Ingreso Solicitud Existencias producto terminado
Stock (Existencias)
(Stock/Bodega)
Contratación
Solicitudes de Áreas Solicitudes de Personal desde Áreas
Personal/
RRHH Gerencia / Solicitud Solicitudes de Capacitación – Áreas
Capacitaciones/
Empleados Productividad (Pedidos/Producción)
Registro Horas
Planilla RRHH Nómina de Pago
Funcionarios activos
(Estado Funcionario, Mensual
Productividad funcionarios
Nóminas Asistencia) (Fijo/Variable
Asistencia/HHEE
Productividad de Pagos Leyes
(RRHH)
Empleados - Áreas Sociales)
Despachos Locales
e Internacionales / Solicitud de Materias Primas
- Solicitud de Pedido
Control de Stock (Pedidos)
Stock Compra de Materias
(Materias Primas / Solicitudes de compra
Primas
Productos (Atención al Cliente)
terminados)
• Dependencias externas del proceso: ¿qué necesita el proceso para funcionar de
empresas externas?

Proceso Entrada Salida Dependencias Externas

Empresas Proveedores de
Elaboración del Servicios
Orden de Compra
Pedidos Producto (Energía, Conectividad)
Atención a Clientes
Entrega del Pedido Servicios Externos de Entrega
(Courier)
Contacto Cliente Empresas Proveedoras de
Atención al Caso Generado Ingreso
Solicitud Internas Servicios
Cliente Solicitud
Stock (Existencias) (Comunicaciones, Conectividad,)
Solicitudes de
Contratación Personal/
Áreas Gerencia / Acuerdos de Servicios con
RRHH Capacitaciones/
Solicitud Empresas de RRHH
Registro Horas
Empleados
Planilla RRHH Sistemas de Generación de Pago
(Estado de Nóminas
Nómina de Pago
Funcionario, Instituciones de Pago (Bancos,
Nóminas Mensual (Fijo/Variable
Asistencia) Cajas, otras)
Pagos Leyes Sociales)
Productividad de Normativa existente actualizada
Empleados - Áreas Laboral/estado
Despachos Locales e
Solicitud de Pedido Internacionales /
Proveedores de Materias Primas
Stock Compra de Control de Stock
(Existencias Actualizadas)
Materias Primas (Materias Primas /
Productos terminados)
Ejercicio 5

Datos

En la primera fase de Análisis de Impacto al Negocio, se decide identificar dentro de los

activos críticos para dichos procesos de negocio, así como los umbrales de recuperación
e impacto.

Se pide

1. Identificar los activos críticos pueden ser aplicaciones informáticas, equipos

(hardware), programas de soporte, así como sistemas operativos (software),
recursos de comunicaciones, personas, datos, etc.

Activos Crítico
Sistemas: Pedidos e Inventario, Nominas, Correo
Aplicaciones
Electrónico, Antivirus.
Estaciones de Trabajo, Impresoras, Notebook, Servidores
Hardware
(Aplicaciones, BD y Correo).
Enlaces, Central Telefónica, Equipamiento de
Comunicaciones Comunicaciones (Switch, Router, Firewall, IDS, IPS,
Inalámbricas, Cableado)
Base de Datos, Sistemas de Respaldo, Almacenamiento y
Datos
Resguardo de Información
Personas 80 funcionarios distribuidos en la Organización.

2. Identificar los umbrales de respuesta:

a. El Objetivo de Tiempo de Recuperación (RTO – Recovery Time Objective)
b. El Objetivo de Punto de Recuperación (RPO – Recovery Point Objective)
c. Período Máximo de Interrupción (MTPoD - Maximum Tolerable Period of
Disruption)

Considerando, los siguientes compromisos de entrega:

• Nacional: 15 días.
• Internacional: 30 días

Proceso RTO RPO MTPoD

Pedidos 8 horas 2 días 3 días
Atención al Cliente 4 horas 1 día 2 días
RRHH 5 días 7 días 10 días
Nominas 10 días 7 días 10 días
Stock 4 horas 2 días 4 días
3. Identificar los Impactos que una interrupción del proceso tendría en el negocio de
la Organización:

a. Financiero.
b. Operativa otras organizaciones.
c. Acuerdos contractuales.
d. Obligaciones legales.
e. Imagen.
f. Medio Ambiente.
g. Salud.

Impacto
Área Afectada
(Muy Bajo, Bajo, Medio, Alto, Muy Alto)
Financiero Alto
Operativa otras Organizaciones Bajo
Acuerdos Contractuales Alto
Obligaciones Legales Medio
Imagen Alto
Medio Ambiente Muy Bajo
Salud Muy Bajo

Considerando tabla elaborado en Tarea 1.

IMPACTO IMPACTO CUALITATIVO (OPERACIONAL) VALOR

* No afecta la seguridad de la información de Zapasol.
* No se afecta la imagen de la Zapasol ante los clientes y terceros.
Muy Bajo 1
* Se puede recuperar la información con la misma calidad.
* Se presentan reprocesos que no tienen mayor importancia.
* No afecta la seguridad de la información de Zapasol.
* Se afecta levemente a la imagen de la Zapasol ante los clientes y terceros.
Bajo 2
* Se puede recuperar la información con la misma calidad en un tiempo moderado.
* Se presentan reprocesos menores en las actividades de la Zapasol.
* Se afecta en menor grado de la seguridad de la información de la Zapasol.
* Afecta medianamente la imagen corporativa de la Zapasol ante sus clientes y terceros.
Medio 3
* Se presentan retrocesos moderados en las actividades.
* La información se puede recuperar, pero no con la misma calidad.
* Zapasol se ve afectada en forma importante en la seguridad de la información.
* Afecta altamente la imagen corporativa de la Zapasol.
Alto 4
* Se generan mayores retrocesos en las actividades.
* Es difícil de recuperar la información.
* Zapasol se ve afectada en forma crítica en la seguridad de la información.
* Se afecta negativamente y en gran proporción la imagen corporativa de la Zapasol
ante terceros.
Muy Alto 5
* Es difícil realizar la recuperación de la información.
* Puede afectar las decisiones estratégicas de la organización y la continuidad del
negocio.
Ejercicio 6

Datos
En la primera fase de Análisis de Riesgos, se decide identificar dentro de los procesos
dentro del alcance del SGCN, las amenazas de disponibilidad, y hacer comparaciones con
las vulnerabilidades.

En la fase de Tratamiento de Riesgos, se decide identificar cómo se van a tratar los riesgos
respecto de las amenazas previamente valoradas para ello:

Se pide

1. Identificar amenazas de disponibilidad. Ponga dos ejemplos de amenazas:

a. Ataques intencionados.
b. Errores y fallos no intencionados.
c. De origen industrial.
d. Desastres naturales.

• Amenazas de Disponibilidad.

1. Accesos no autorizados a las instalaciones corporativas

2. Accesos No autorizados a la información.
3. Perdida de Información relevante de la Compañía
4. Perdida de Servicios por Infección de Virus.
5. Filtración y Robo de Información
6. Inundación del Centro de Procesamiento de Datos
7. Falla en el Suministro Eléctrico.

• Ejemplos de Amenazas de acuerdo con:

Escenario o Condición Ejemplos de Amenazas

1. Accesos no autorizados a Datos de la Compañía.
Ataques Intencionados
2. Robo de Datos/Documentos.
1. Fallo de Suministro Eléctrico.
Errores y fallos no intencionados
2. Perdida de Confidencialidad.
1. Disponibilidad de materias primas
De origen industrial
2. Cambios en las Regulaciones de la Industria
1. Terremoto
Desastres Naturales
2. Inundaciones.

2. Realice la valoración de las amenazas.

Amenazas Valorización
1. Accesos no autorizados a las instalaciones corporativas Alto
2. Accesos No autorizados a la información Alto
3. Perdida de Información relevante de la Compañía Muy Alto
4. Perdida de Servicios por Infección de Virus. Muy Alto
5. Filtración y Robo de Información Muy Alto
6. Inundación del Centro de Procesamiento de Datos Bajo
7. Falla en el Suministro Eléctrico Medio
3. Identifique una vulnerabilidad respecto de las amenazas que haya establecido.

Amenazas
Accesos no autorizados a las
instalaciones Corporativas
Accesos no autorizados a la Información
Perdida de Información relevante de la
Compañía
Perdida de Servicios por Infección de
Virus
Filtración y/o Robo de Información
Inundación del Centro de Procesamiento
de Datos
Falla en el Suministro Eléctrico
Vulnerabilidad
No existe un Control de acceso físico a los edificios de la
compañía
No existe un Política de Seguridad de Información
No se poseen Respaldos Información y/o copias de
Seguridad
No existe la Instalación y Administración de in Antivirus
para todas la Organización
No existe una Política de Control de Acceso
No se cuenta con un Centro de Procesamiento de Datos
con las debidas protecciones físicas
No existen unidades de Suministro de Energía
Alternativo (UPS

En relación con la fase de Tratamiento de Riesgos:

4. Identificar 4 criterios de mitigación del riesgo.

Criterios de
# Descripción
Mitigación
1 Evitar el riesgo Está asociado a la suspensión de las actividades que causan el riesgo
Se establecen los controles y salvaguardas necesarios para reducir el
2 Reducir el Riesgo
riesgo sobre el activo.
Se transfiere el riesgo a terceros (Subcontratación) y/o se evalúa la opción
Transferir el
3 de contar con seguros que cubran los gastos en caso de la materialización
Riesgo
del riesgo.
Se decide aceptar el riesgo, sin implementar controles adicionales para la
5 Aceptar el Riesgo protección del activo. En esta estrategia se emplean labores de
monitorización continua del riesgo.

5. Identifique la estrategia de tratamiento de riesgo respecto de las amenazas

detectadas: justifique la aceptación de riesgo.

Amenazas Tratamiento
Ataques intencionados Reducir el Riesgo
Acceso no autorizado Reducir el Riesgo
Manipulación del hardware Aceptar el Riesgo
Errores y fallos no intencionados Aceptar el Riesgo
Errores de mantenimiento Reducir el Riesgo
Vulnerabilidades de los programas Reducir el Riesgo
De origen industrial Aceptar el Riesgo
Corte del suministro eléctrico Reducir el Riesgo
Fallo de servicios de comunicaciones Reducir el Riesgo
Desastres naturales Transferir el Riesgo
Fuego Transferir el Riesgo
Daños por Agua Reducir el Riesgo

Manipulación del hardware – Aceptar el Riesgo.

La manipulación del hardware es una actividad habitual y que necesaria para la
Continuidad del negocio. Por lo cual es una amenaza que se pueden presentar. De
manera que se asume la existencia de procedimiento y acciones de resolución que
pueden mitigar el escenario, cuando esta se presente. Por lo demás el impacto y la
probabilidad de presentar este tipo de evento es bajo.
Debe estar en constante monitoreo, para si se Hace necesario el cambio de condición
del tratamiento del Riesgo.

Errores y Fallos no Intencionados – Aceptar el Riesgo.

Por la naturaleza son escenarios que se pueden presentar de forma fortuita. Para lo
cual se deben considerar la existencia de ciertos protocolos y acciones que permitan
mitigar este tipo de eventos, cuando los mismos se presenten. La probabilidad de
presentarse este tipo de amenazas a mi parecer es bajas.
Debe estar en constante monitoreo, para si se Hace necesario el cambio de condición
del tratamiento del Riesgo.

De origen Industrial – Aceptar el Riesgo

En consideración a este tipo de amenazas, entre las cuales podemos encontrar
Modificaciones en las Regulaciones de la Industria, Espionaje Industrial,
Competencia Desleal, Ataques Cibernéticos y otros; y teniendo presente la
naturaleza de este rubro fabril, no es habitual la probabilidad que se presenten este
tipo de eventos; por lo que se considera aceptable el Riesgo; lo que no implica que
estos no sean monitoreados a fin de determinar si no amerita un cambio en el
tratamiento del mismo.
Ejercicio 7

Datos

En base a los datos aportados para el caso práctico presentado en el Ejercicio 1 “Zapasol”
le asignan la labor de auditar la actividad crítica “transporte de pedidos” para verificar
que las actividades serán recuperadas según sea preciso.

Se pide

1. Desarrollar una lista de verificación relevante a la prueba de continuidad del proceso

de atención al cliente, que al menos contemple los siguientes campos:

• Fecha/hora inicia y fin de la prueba.

• Tipo de Plan Asociado.
• Descripción de la prueba.
• Personal involucrado.
• Resultado.
• Fecha próxima prueba.

Pruebas de Continuidad de Proceso

Lista de Verificación
# Proceso Atención al Cliente
1 Descripción Proceso
2 Entradas - Proceso
3 Salidas - Proceso
4 Objetivos de la Prueba
5 Descripción de la Prueba
6 Procedimientos Considerados
7 Tareas y actividades del Proceso
8 Áreas consideradas en la Prueba (Entradas/Salidas Proceso)
9 Personal Involucrado (Cantidad)
10 Internos (De acuerdo con Rol/Función)
11 Tipo de Plan Asociado - Organizacional
12 Fecha de la Prueba
13 Tiempo estimado
14 Hora de Inicio
15 Resultado Esperado/Real
16 Horario de Termino
17 Duración Total
18 Conclusiones
19 Evidencia de la Prueba
20 Fecha Próxima Prueba
2. Desarrollar una lista de verificación del mantenimiento del SGCN.

Lista de Verificación – Mantenimiento de SGCN Si No Observaciones

Se han realizados cambio importante en el Negocio, que impliquen la
modificación y/o actualización de los alcances y objetivos del SGCN
Se ha presentado un cambio importante en los procesos internos del
Negocio y la estructura organizacional, que implique actualizar y/o
modificar los recursos disponibles (humanos, localización).
Se han presentado cambios de Infraestructura TI, que soporta los
procesos del Negocio.
Se ha producido un cambio importante en el escenario externo de la
organización, tales como mercado (exigencias, nuevos competidores)
y legislación.
Se han realizado pruebas del SGCN durante los último 365 días.

3. Desarrollar un Plan de Auditoría dividido en dos jornadas, dejando la primera para

revisar el SGCN y la segunda los procesos de negocio.

Primera Jornada Auditoria – Revisión de SGCN.

• Iniciar la Auditoria.
Designación de líder, definir objetivos, alcance y criterios, determinar factibilidad,
seleccionar equipo de auditoria
• Conducir revisión preliminar (documental).
Políticas – Metodología de GCN, Reportes de análisis y evaluación riesgos, BIA,
Estrategias y Plan de Continuidad, Gestión de Incidentes, otros.
• Desarrollar plan de auditoria.
Preparar Plan, asignar trabajo a miembros del equipo, preparación de
documentos de trabajo.
• Ejecutar Auditoria.
Comunicación durante la auditoria, Roles y responsabilidades, Levantar y verificar
información, documentar hallazgos. Preparar conclusiones de la auditoria.
• Preparar, aprobar y distribuir el Informe de Auditoria.
• Completar la Auditoria (Opcional)
• Seguimiento (Si aplica) (Opcional)

Segunda Jornada Auditoria – Procesos de Negocios.

• Identificar el proceso que se va a Auditar (Transporte de Pedidos)
• Levantar documentación del Proceso Auditado.
• Identificar qué valor aporta o cuál es el objetivo de este proceso.
• Identificar registros de control que puedan existir, para este proceso
• Establecer y comunica el Plan de Auditoria.
• Realizar y Completar plantilla de informe interno.
• Iniciar la Auditoria.
• Identificar y registrar las no conformidades y observaciones.
• Cierre: Comunicar Resultado y Entregar Informe de Auditoria.
4. Desarrollar dos funciones fundamentales que debe desarrollar los siguientes
miembros del Equipo de Recuperación ante Desastres:

1. Coordinador del DRT.

• Garantizar la operatividad del Plan de Recuperación de Desastre, considerando
que es responsable de la Coordinación
• Identificar los responsables para la administración, mantenimiento y ejecución
de pruebas de la contingencia; coordinando las funciones de los responsables
del DRT.
2. Conectividad.
• Responsable de planear y coordinar las actividades que permitan la activación
de los servicios específicos de conectividad sobre los cuales se apoya la entrega
de los Servicios TI en el Centro de Procesamiento de Datos alternativo.
• Mantener actualizados los procedimientos de instalación y arranque de los
equipos de conectividad.
3. Servidores.
• Responsable de planear y ejecutar las actividades que permitan disponibilizar
los servicios asociados a los Servidores, sobre los cuales funcionan las
aplicaciones identificadas como críticas.
• Es responsable de todas las actividades que garanticen la adecuada
disponibilidad del servicio de respaldo en cuanto a la actualización de los
sistemas, aplicativos, datos y documentación.
4. Instalaciones físicas.
• Responsable de planear y ejecutar las actividades que permitan disponibilizar
los servicios asociados a las Instalaciones físicas asociadas al Centro de
Procesamiento.
• Responsable por mantener homologada, los Centros de Procesamiento de
Datos: Principal y Contingencia. En cuanto a su infraestructura,
5. Aplicaciones.
• Responsable de planear y ejecutar las actividades que permitan la activación
de las aplicaciones en los respectivos Servidores.
• Mantener actualizados los procedimientos de instalación y arranque de las
aplicaciones; así como los requerimientos para la operación de las mismas.