Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MAESTRÍA EN CIBERSEGURIDAD
GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN
TAREA
INSTRUCCIONES:
ANALISIS DE RIESGOS
NOMBRE DEL
NÚMERO AREA AMENAZA VULNERABILIDAD
ACTIVO
No contar con las
instalaciones de las
Al no contar actualizaciones
con las liberadas por el
garantías fabricante con los
técnica activas parches de seguridad
de fábrica no ante posibles
se podrá amenazas
instalar informáticas, de la
1 INFRAESTRUCTUR Servidor físico versiones misma forma no se
A actualizadas de puede contar con un
los sistemas de soporte técnico al
raíz que momento de
permitirán presentarse fallas
obtener un técnicas en el equipo o
mejor si requiere remplazo
funcionamiento total para el
procesamiento de
datos.
2 Storage Al no contar Al no instalar las
actualizaciones
liberadas por el
fabricante con los
parches de seguridad
con las ante posibles
garantías amenazas
técnica activas informáticas, se puede
de fábrica no obtener ataques
se podrá informáticos al equipo
instalar y este puede perder la
versiones información que se
actualizadas de encuentra almacenado
los sistemas de en los discos de
raíz que almacenamiento, de la
permitirán misma forma no se
obtener un puede contar con un
mejor soporte técnico al
funcionamiento momento de
presentarse fallas
técnicas en el equipo o
si requiere remplazo
total.
Los virus
criptográficos, los
ataques DDoS y los
fallos del centro de
SIFTE interrupciones datos pueden crear
interrupciones
profundas y duraderas
en todas las funciones
de la organización.
No cuenta con un sitio
lejano como backup
para mantener
operativo la página
3 Ubicación Ubicación
web institucional, no
contar con una
protección ante los
desastres naturales
ANÁLISIS DE IMPACTO DEL NEGOCIO
Identificar las funciones y procesos
Prioridad
Sistema Función
Alta Media Baja
Académico Evaluación X
Personal Desempeño X
Administrativ
Logístico o X
Remuneraciones Financiero X
Operacional Operativa X
Inteligencia Operativa X
Gestión Administrativ
documental a X
Procesos Desempeño X
RPO
RPO, Recovery Point Objective u Objetivo de Punto de Recuperación, ha sido establecido
para el lapso de 7 horas ya qué es el tiempo en el que la última copia de seguridad de los
datos ha sido generada y en caso de generarse alguna interrupción la cantidad de datos
procesados tienen un porcentaje no considerable en el funcionamiento de los sistemas, ya
que los sistemas críticos determinados son el de remuneración, sistema académico y
sistema logístico los mismos que cumpliendo las normativas y manejo de procesos tendrá
una afectación mínima sin embargo es información relevante que debe ser sometida a un
proceso de generación de respaldos.
Sitio alterno
del centro de
datos
ACADÉMICO
Asignar los medios
tecnológicos para
que la Sección de
Base de Datos,
Fallos del realice las copias
centro de de información
datos temporales o
permanentes del
CHASQUI.
Etiquetar y Puesto de
documentará las mando
LOGÍSTICO virus copias de respaldo CCFFAA para
criptográfic de la información almacenamien
os En los servidores to de
y equipos que información
contienen los
sistemas de
ataque DOS procesamiento de
información
mantener los
sistemas
operativos
actualizados con
las últimas
versiones de
seguridad
disponibles de
acuerdo al
licenciamiento
adquirido.
Mantener y
conservar los
activos
tecnológicos,
existentes en el
Data Center
conforme a las
especificaciones,
recomendaciones
de sus fabricantes
y de acuerdo a la
necesidad
institucional.
Gestionar los
mantenimientos
planificados con
hora de inicio, fin,
impacto y
responsables y
poner previamente
en conocimiento
de administradores
y usuarios finales
con su respectiva
autorización; y
actividades
realizadas
mediante el
Manual de
Procedimientos e
informe.
Emplear técnicas
criptográficas para
proteger los datos
que contengan
información
sensible en los
medios extraíbles.
Proporcionar el
medio físico y/o
virtual, donde se
almacenará de
manera separada
copias múltiples de
datos de la
información
institucional.
Generar y Restauración
almacenar de de backups
manera separada
copias múltiples de
datos de la
información
institucional
generada en los
sistemas y
servicios
tecnológicos
institucionales,
para reducir el
riesgo de daño o
pérdida simultánea
de los mismos.
La dependencia
militar que
gestiona la
información
analizará los datos
históricos de
acuerdo a la
normativa vigente,
en coordinación
con el CEHE y los
departamentos de
archivo general de
las unidades para
deshabilitar y
optimizar el
espacio de
almacenamiento de
la infraestructura
tecnológica
manteniendo un
registro de la
acción ejecutada,
de acuerdo al área
de su competencia
(semestralmente).
Mantener activado
el registro de pistas
de auditoría en la
base de datos y la
información de
registro generada
del Sistema
Informático
Integrado las FF.
AA
Realizar las copias
de respaldo de los
programas fuentes
cumpliendo los
requisitos de
seguridad
establecidos como
respaldos de
información.
Los datos sensibles
de la institución no
deben ser copiados
en un ambiente de
pruebas, a menos
que existan
controles similares
al ambiente de
producción y estén
en ejecución y/o
por pedido de la
unidad generadora
de la información.
Registrar y
etiquetará las
copias para limitar
las posibilidades
de pérdida de datos
ESTRATEGIA DE RESPALDO Y CREACIÓN DEL SITIO ALTERNO
Políticas de recuperación
La ubicación el data Center alterno será ubicado en la provincia de Pichincha cantón
Mejía en el destacamento el corazón y aquel mismo garantiza la seguridad de
equipos así como también el destacamento ha sido probado para el almacenamiento
de recursos logísticos los cuales han dado buenos resultados guía además este sector
se ha convertido en un sitio estratégico a nivel de fuerza terrestre
Una vez detectado la interrupción el único encargado responsable de activar el plan
es del comandante de la fuerza terrestre para su posterior notificación a los
comandantes de las cuatro divisiones de Ejército estos a su vez dispondrán a sus
brigadas orgánicas la implementación y activación de las políticas y la ejecución de
cada etapa con orden
La copia de seguridad (Backup) de las aplicaciones, bases de datos y bodegas de
archivos alojados en servidores, con el propósito de salvaguardar la información
Serán realizada por Dirección de Sistemas de acuerdo a las indicaciones
establecidas en el plan de continuidad y se deberán almacenar en un sitio alterno
Ubicados en el destacamento el corazón donde se encuentra materializado el data
Center alterno
Bibliografía
27001, I. I. (2006). Norma Técnica NTC-ISO/IEC Tecnología . Obtenido de Norma Técnica
NTC-ISO/IEC Tecnología.
A, A. (2007). Diseño de un Sistema de Gestión de Seguridad de informacion. Obtenido de
Diseño de un Sistema de Gestión de Seguridad de informacion.
ISO/IEC 27035, Information Technology. Security Techniques. Information Security
incident imanagement
ISO/IEC 27000, Information Technology. Security Techniques. Information Security
Management Systems. Overview and Vocabulary
ISO/IEC 27001, Information Technology. Security Techniques. Information Security
Management Systems. Requirements