VICERRECTORIA ACADÉMICA

BACHILLERATO EN TECNOLOGÍAS DE
INFORMACIÓN PARA LA GESTIÓN DE LOS NEGOCIOS
II CUATRIMESTRE 2022

CURSO: IS-3507 SEGURIDAD Y CONTINUIDAD DEL NEGOCIO

PRIMER EXAMEN 15%

Nombre Docente: _ Claudio Méndez Cárdenas___________________________________

Nombre Estudiante: Katherine Pereira Jiménez
Carné: 20200120088

FECHA: __29-06-2022_____________

VALOR DE LA PRUEBA: 30 puntos NOTA OBTENIDA________

PARA TODA PRUEBA O EXAMEN EL CUADERNO DE EXAMEN ES OBLIGATORIO

INSTRUCCIONES:
1.- Favor de leer con cuidado toda la prueba. Para lo anterior, cuenta con 10 minutos.
2.- Proceda luego a contestar cada pregunta, en el orden en que aparece en el presente examen. Asegúrese de
fundamentar sus respuestas y de contestar únicamente lo que se le pide. Evite tachaduras, que provoque dudas en
sus respuestas.
3.- REALICE LETRA CLARA. Traslade sus respuestas al cuadernillo de examen. No se aceptan respuestas a
lápiz. En caso de utilizar números, hágalo con claridad.
4.- Cuenta Usted con un tiempo máximo de 2:00 HORAS para realizar la prueba. Finalizado dicho tiempo, deberá
entregar este examen, junto a su cuadernillo, al profesor o asistente a cargo del grupo. Proceda a firmar su
asistencia, en la hoja respectiva.
5.- Solamente se permite tener en su pupitre, lapiceros, corrector, su cuadernillo y este documento de preguntas. NO
SE PERMITEN, CELULARES, TABLET, PORTATILES, ni otro dispositivo o artefacto electrónico, durante la
prueba. (Artículo 39 del Reglamento de Régimen Estudiantil.) La prueba no debe entregarse antes de los primeros
30 minutos de iniciada la prueba.
6.- Tener presente que se debe respetar y acatar los artículos del Reglamento del Régimen Estudiantil, así como las
políticas y normas dictadas por la Universidad, para el buen desarrollo de la academia y el proceso educativo.

ESTIMADO ESTUDIANTE: PARA SU MEJOR DESARROLLO DE LA PRESENTE PRUEBA, ASEGURESE DE

LEER CON CUIDADO CADA PREGUNTA, RAZONE SUS PREGUNTAS Y FUNDAMENTE LAS MISMAS.
I Conteste cada pregunta. 15 puntos (3 c/u)

1. Que es un plan de continuidad y en que consiste.

Un plan de continuidad de negocio es un documento en donde se describe como seguirá funcionando

un negocio, ya sea, en una interrupción no planificada del servicio, además, contiene contingencias

para procesos de negocio, activos, recursos humanos y muchos aspectos del negocio que podrían verse

afectados.

El plan de continuidad consiste en diferentes puntos:

- Evaluación de riesgos e impacto comercial.

- Mitigar el riesgo y proponer una respuesta eficaz.

- Asignar responsabilidad y lo más importante, que el personal tenga clara estas mismas para

poder llevar a cabo de manera eficiente sus tareas laborales diarias.

- Comunicación durante la crisis.

- Probar el plan y entrenar a los empleados.

Estos son algunos puntos clave en el plan de continuidad, donde permite ver un reflejo en cuanto lo que

consiste y su funcionalidad.

2. Que es un riesgo, que acciones puedo realizar sobre los riesgos.

Un riesgo es la posibilidad de que se produzca un contratiempo o bien, una desgracia, ya sea, porque

alguien o algo sufra perjuicio o posibles daños.

Acciones para la gestión de riesgos de manera eficaz:

- Aceptar el riesgo: Esto significa aceptarlo y registrarlo en un sistema de gestión de riesgos, pero

no tomar acción sobre él, la empresa debe aceptar que puede suceder y a su vez, planificar

acciones correctivas en caso de ocurrir.

- Evitar el riesgo: Evitar el riesgo es una excelente estrategia cuando un riesgo presenta un

impacto alto negativo, el tratamiento que se le da a estos riesgos es modificarlos o eliminar el

proceso que da origen a este.

 - Transferencia de riesgo: La transferencia de riesgo lo que indique es que se transfiere o

comparte en gran parte el riesgo pero con otra persona u otra organización.

- Mitigar el riesgo: Al mitigar el riesgo lo que se está haciendo es minimizar el impacto del

riesgo, o el poder reducir aquellas posibilidades de que ocurra, en conclusión, la organización

mitigando el riesgo puede limitar el impacto de este, no significa que no vaya a ocurrir pero en

caso de que ocurra el impacto podría ser el mínimo y fácil de subsanar.

- Explorar el riesgo: Al explorar el riesgo, se puede analizar desde diferentes ángulos y en

ocasiones estos pueden representar una oportunidad para la organización.

3. Cuáles son las diferencias entre Recuperación y continuidad.

La continuidad de negocio establece o tiene como objetivo asegurar que la organización pueda seguir

operando, aún de manera reducida, ya sea, con una interrupción mínima del servicio y la recuperación

se presenta ante desastres y viene a definir como restaurar los niveles de servicio previos al incidente,

por ejemplo.

4. Que es seguridad informática.

La seguridad informática es aquel conjunto de políticas y mecanismos que permiten garantizar una

serie de puntos, tales como: la confidencialidad, la integridad y la disponibilidad de los recursos de un

sistema, la seguridad informática en la actualidad es un tema de suma importancia y esto debido a que

la información es el activo más importante en una compañía.

5. En que consiste una estrategia de seguridad de TI que elementos debe de considerar.

Las estrategias de seguridad de TI se encargan de proteger la integridad, confidencialidad y

disponibilidad de la información en cualquier empresa – sistema.

Los elementos de estrategia de seguridad que se deben de contemplar son los siguientes:

- Análisis de vulnerabilidades.

- Definición de la política de seguridad.

- Selección de los mecanismos que permiten implantar la política de seguridad.

 - Evaluación de las medidas tomadas.

En los puntos anteriormente mencionados, se toman en cuenta diferentes aspectos como: el intercambio

de correo electrónico con redes que sean de confianza, aplicación de redes de políticas (usuarios,

información, sistemas y equipo, plan de contingencia), norma 7498 – 1, la cual contempla

(autenticación, control de acceso, confidencialidad, integridad de datos), son de suma importancia para

reforzar o establecer la seguridad en los negocios.

II Desarrolle cada uno de los siguientes temas. 15 puntos (3 c/u)

1. Que son las certificaciones TIER para Data Center y en queme benefician a la hora de
adquirir este servicio.

¿A quién beneficia?

Beneficia a las organizaciones que adquieran el servicio en diferentes áreas, ya que, se centran en

progresar el rendimiento de la infraestructura de las organizaciones mediante la innovación e al mismo

tiempo el servicio provee las mejores soluciones para el manejo de datos, la cual en esta parte juega un

papel importante porque los centros de datos se han convertido en un proceso de virtualización de los

negocios porque ofrecen combinaciones de opciones de conectividad y flexibilidad para que los

usuarios adapten de la mejor manera.

TIER:

Tier hace referencia a un nivel de seguridad en un centro de datos, estas se aplican depende de los

requisitos en cada tipo de operador, agregando que define y mide el tiempo de disponibilidad de un

Data Center. Actualmente existen cuatro niveles dependiendo del rendimiento y fallas que tenga. Los

Tier son progresivos, cada vez que se sube de Tier se aumenta la capacidad de dar mantenimiento a la

Data Center.

- Tier 1:
Este se utiliza para centro de datos básico.
Tiene un solo elemento de capacidad y trayectoria única de distribución.
Se apaga todo para poder hacer un mantenimiento.
Es utilizado por empresas pequeñas.
 - Tier ll:
Nivel 1 + Dispositivos con componentes redundantes (aires acondicionados, generadores).
Mantiene una ruta única, cuando se habla de ruta se habla de distribución eléctrica, tablero y
transformadores son unos ejemplos de estos.
Cuando se hace referencia a elementos de capacidad ese es el que agrega energía a la data
center.
En el Tier ll se presentan mantenimientos anuales, se piensa en tocar rutas de distribución,
algunos elementos redundantes pueden apagarse sin perder la carga, aunque existe la
posibilidad de dar sostenimiento sin apagar el data center.

- Tier lll:
Se define como mantenimiento concurrente, no es más que la posibilidad de dar
mantenimiento sin derivar la carga.
Todos y cada uno de los componentes de capacidad y elementos pueden ser sacados sin
impactar la carga, ni los procesos de TI.

- Tier lV:
Llegamos al máximo punto de mantenimiento, este nivel ofrece ser tolerante a fallas.
Cualquier elemento que falle en el data center debe ser capaz de ser contenido por el sistema,
este debe de permanecer activo, todo esto de manera automática, sin intervención humana.
Se presenta enfriamiento continuo y debe de ser autónomo, es decir, debe haber un sistema
que nos permita hacer la automatización.

Resumen de los requerimientos TIER

Fuente propia
TIER 1 TIER ll TIER lll TIER IV
Componentes de Básica N Redundante Redundante Redundante 2N
capacidad. N+1 N+1
Trayectorias de 1 1 1 activa, 1 2 activas
distribución. pasiva
Mantenimiento No No Si Si
concurrente.
Tolerante a fallos. No No No Si
Compartimentación. No No No Si
Enfriamiento No No No Si
continuo.

2. Que elementos debo evaluar de la sala de un Data Center.

Algunos puntos para evaluar en un Data Center son los siguientes:

- Adecuadas políticas de control de riesgo.

- Seguridad de acceso al Data Center (acceso controlado, registro de ingreso, revisiones y

 monitoreo)

- Data Center cuente con el personal adecuado para su revisión - mantenimiento.

- Disposición con respecto al tamaño (tamaño extra) para un futuro crecimiento.

- Sistemas de climatización (Aire acondicionados principales y de contingencia) son eficientes y

cuentan con la capacidad adecuada de toneladas.

- Distanciamiento apropiado entre los equipos.

- Mantenimiento adecuado en los componentes electrónicos de la red eléctrica del Centro de

Cómputo.

- Piso falso.

- Ambiente controlado.

3. Que es la norma ISO22301, que me aporta y para que la debo de utilizar.

La norma ISO 22301 especifica los requisitos para un sistema de gestión este aportando a la

organización protección a su empresa de incidentes que provoquen una interrupción en la actividad, y

reducir al mismo tiempo la posibilidad de que se produzcan y garantizar la recuperación de su empresa.

Beneficios:

- Mejora el rendimiento empresarial.

- Disminuye riesgos, costes y tiempos de inactividad.

- Mayor eficiencia operativa.

- Mejora la seguridad general y además, del cumplimiento de legislaciones sobre la seguridad.

¿Por qué implementarla la norma?

Porque da respuesta a los posibles imprevistos inesperados que tienen lugar en cualquier momento y

sitúan la continuidad del negocio de las organización en alerta.

4. Cuales son los beneficios de un BCP y que nos aporta sobre el conocimiento de la
organización.

Beneficios:
 - Identificación de procesos críticos que se podrían incidir en la continuidad de la empresa.

- Define tiempos y plazos críticos de recuperación para volver al estado anterior.

- Previene y minimiza las pérdidas económicas.

- Clasifica los activos de la empresa otorgando prioridad para su protección.

- Es una ventaja competitiva.

- Es aplicable a empresas de cualquier tamaño.

Aporte:

El aporte que brinda el BCP es que, ya que, ayuda a establecer procedimientos que deberán seguir en

caso de un desastre o materialización de un riesgo, colabora en que el negocio tendrá que restablecerse

de manera oportuna, permitiendo el trabajo en equipo respondiendo a los diferentes tipos de situaciones

y a conocer más a fondo el negocio y establecer mejoras cuando se requieran en diferentes periodos.

5. Que es un BIA, para que me sirve y en que momento debo de aplicarlo.

En que consiste el análisis de riesgos, cuáles son los objetivos.

BIA:

Es una parte clave del proceso de continuidad del negocio, el cual analiza funciones del negocio de

misión (crítica) e identifica el impacto que podría tener en la organización la perdida de esas funciones,

para ejemplificar: áreas operativas, financieras)

¿En qué momento aplicarlo?

Primeramente, se utiliza mucho y se aplica cuando se considere necesario estimar la afectación que

pueda padecer el negocio como resultado de la ocurrencia de algún incidente o un desastre.

Análisis de riesgos:

El análisis de riesgos es el uso sistemático de la información que se encuentre disponible, para

determinar la frecuencia con la que determinados eventos se puedan producir y la magnitud de sus

consecuencias, es por esto que las organizaciones aplican el análisis de riegos.

Objetivos de análisis de riesgos:

- Identificar los riesgos que se puedan presentar dentro de la compañía.

- Implementar el plan que se llevará a cabo para mitigar y controlar los riesgos, qué métodos y

herramientas se utilizarán para esto.

Esto le permite a la compañía que establezca sus propias estrategias para generar o obtener un

balance entre los riesgos a los que están expuestos y cuáles serían sus posibles soluciones en caso

de que se lleguen a presentar o de qué manera se podrían prevenir.