Sabotaje o Daño Accidental

Este proceso se activara cuando las pérdidas de información son grandes, el tiempo para su recuperación es demasiado largo y las actividades de la empresa se suspenden. Lo más

83

óptimo es recurrir a los respaldos con los que cuenta la empresa y únicamente se procede a la recuperación de los datos del día para que las actividades no sean afectadas. El procedimiento a seguir en caso de que la pérdida de información, fallas en el procesamiento de datos, falta de acceso a los sistemas, será:

Procedimiento

1. Comunicar inmediatamente al coordinador general sobre el desastre que acaba de suceder.

2. El coordinador general dará la orden al coordinador de sistemas que proceda con las acciones para recuperar la información.

3. El coordinador de sistemas procederá a la evaluación del incidente y determinará la naturaleza del incidente

a. Informar al coordinador de respaldos para que proceda a ubicar la información, programas y manuales del sitio externo donde se encuentran almacenados.

b. Considerar el cambio del equipo por otro alterno para continuar con las actividades c. Restaurar la información en los servidores de las bases de datos y programas. d. Verificar la integridad de la información.

e. Responsable: Coordinador de Sistemas

f. Si los daños o pérdidas de información se dan en las computadoras, el encargado de brindar soporte es el coordinador de soporte técnico.

4. Dar aviso para reanudar las operaciones por parte del coordinador de sistemas al coordinador general, quien será el encargado de informar al propietario y a los usuarios.

5. Se realizará la entrega de un informe por parte del coordinador de sistemas sobre las causas, la magnitud de los daños, se debe tomar fotos para evidenciar los hechos, se describe las acciones que se tomaron en respuesta al incidente, las perdidas por la interrupción de las actividades.

Revisión de la crisis:

1. Revisar si las acciones tomadas fueron efectivas al momento de contrarrestar la emergencia y si la utilización de recursos fue correcta.

84

2. Con que rapidez se obtuvo la disponibilidad de los recursos claves al momento de la gestión de riesgo.

85 CONCLUSIONES

 Se propusieron varias estrategias para mejorar la seguridad de la información y a la vez la minimización de amenazas en los activos críticos de la empresa. Con estas estrategias se logró eficiencia en el manejo de información, atención al cliente y el servicio continuo en el Cyber Internet.

 Durante el desarrollo del plan de contingencia informático se pudo detectar las vulnerabilidades existentes en la infraestructura de red y en los servicios dentro de la empresa, las mismas que se expusieron tanto al propietario como al director del departamento de sistemas de la empresa, con la finalidad de que puedan corregirlos a tiempo y por ende minimizar los riesgos.

 Toda empresa o institución independientemente del tipo debe tener un plan de contingencia informático, el mismo que la va permitir estar preparada para cualquier evento inesperado gracias a las medidas y soluciones eficientes ante cualquier tipo de eventualidad, logrando así que no se paralicen sus actividades y brindando confianza a sus clientes.

86 RECOMENDACIONES

 Socializar el Plan de Contingencias a todos los empleados de la empresa y mantenerlo documentado con la finalidad de entregarlo cuando exista personal nuevo para su conocimiento y aplicación.

 Actualizar el plan de contingencias por lo menos una vez al año, especialmente cuando se realice adquisiciones de equipos nuevos, se actualice software, antivirus o dispositivos de Red.

 Documentar todo tipo de procedimientos que se realicen dentro del departamento de sistemas, tanto al brindar soporte a los usuarios, así como cuando se suscite algún tipo de incidente.

BIBLIOGRAFÍA

Aguilera, P. (2010). Seguridad Informática. Editex.

Areitio, J. (2008). Seguridad de la Información. Madrid: Paraninfo. Benchimo, D. (2011). Hacking . Buenos Aires: Fox Andina.

Cano, J. (2013). Inseguridad de la Información. Colombia: Alfaomega.

Carrasco Núñez, Á. (2013). Conceptos de seguridad informática y su reflejo en la Cámara de Cuentas de Andalucía. Auditoría Pública(61), 111 - 117.

Cervigón, A., & Alegre, M. (2011). Seguridad Informática. Madrid: Paraninfo.

Condori, H. (2012). Un modelo de evaluación de factores criticos de éxito en la implementación de la seguridad. Revista de Investigación de Sistemas e Informática, 9-22. Costas, J. (2011). Seguridad Informática. Bogota: Rama.

Dans, E. (2003). El departamento de sistemas de información y su función corporativa: retos de futuro en investigación. Revista de Empresa(3), 58-62.

De la Cruz Paisig, H. B. (2013). Hacking & Cracking. Perú: Empresa Editorial Macro. Escrivá Gascó, G., Romero Serrano, R., Ramada, D., & Onrubia , R. (2013). Seguridad Informática. Madrid: Heinemann.

García, J., Fernández, Y., Martínez, R., Ochoa , A., & Ramos, A. (2013). Hacking y seguridad en internet. Bogotá: Rama.

Gómez López, J. (2010). Hackers Aprende a atacar y a defenderte. México: Alfaomega. Gómez Vieites, Á. (2013). Auditoría de Seguridad Informática. Bogotá: Ediciones de la U. Gómez Vieites, Á. (2013). Seguridad en equipos informáticos. Madrid: Ediciones de la U. González, O., & Pérez, D. H. (2015). Gobierno de Tecnologías de Información: alcance y desafíos. Revista Sistemas(136).

INEI. (2001). Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información . Perú: Taller gráfico del INEI.

Maza Anton, G. L. (2009). Plan de contingencia informático y seguridad de información

2009, aplicado en la Universidad Nacional de Piura,. Piura:

www.eumed.net/libros/2009c/605/.

Moreno, F. (2008). Proyecto de Norma Técnica Colombiana NTC-ISO 27005. Colombia. Muñoz, M., & Rivas, L. (2015). Estado actual de equipos de respuesta a incidentes de seguridad informática. Risti, 1 - 15.

Pacio, G. (2014). Data Centers hoy. Protección y administración en la empresa. Argentina: Alfaomega.

Ramos Alvarez, B., & Ribagorda Garnacho, A. (2004). Avances en Criptología y Seguridad de la Información. España: Díaz de Santos S. A.

Stallings, W. (2004). Fundamentos de Seguridad en Redes Aplicaciones y Estándares. Madrid: Pearson Educación.

ANEXOS

Anexo 1. Encuesta realizada a los clientes de la empresa Ramón & Romero computadoras y suministros de la ciudad de Quevedo

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE INGENIERIA EN SISTEMAS E INFORMATICA ENCUESTA

OBJETIVO:

El presente instrumento tiene como finalidad conocer la viabilidad para la creación de un Plan de Contingencias para la empresa Ramón & Romero computadoras y suministros. 1. Utiliza todos los servicios que le brinda la empresa incluido el Cyber Internet a) Siempre ( )

b) Frecuentemente ( ) c) Rara vez ( )

d) Nunca ( )

2. ¿Qué a menudo se presentan cortes del fluido eléctrico en su ciudad? a) Siempre ( )

b) Frecuentemente ( ) c) Rara vez ( )

d) Nunca ( )

3. Se ha quedado sin utilizar los servicios que brinda la empresa, debido a problemas de operación que ha presentado la misma.

a) Siempre ( )

b) Frecuentemente ( ) c) Rara vez ( )

d) Nunca ( )

4. Considera Ud., que es importante mantener la operatividad continua de la empresa. a) Si ( )

b) No ( )

5. Cree que la empresa debe estar preparada para solucionar cualquier problema relacionado con el área de sistemas de manera oportuna.

a) Si ( ) b) No ( )

6. ¿Cree Ud., que la empresa debe tener un Plan que le permita garantizar la continuidad de los servicios en caso de algún incidente?

a) Si ( ) b) No ( )

Anexo 2. Guía de Entrevista realizada al Tlgo. Juan Arauz director del departamento de sistemas de la Empresa Ramon & Romero Computadoras y Suministros.

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE INGENIERIA EN SISTEMAS E INFORMATICA GUIA DE ENTREVISTA

Pregunta 1: ¿Qué servicios del área de sistemas los considera como críticos en su empresa?

Pregunta 2: ¿Cuáles considera aquellos servicios denominados como necesarios, que deben entrar en operación inmediatamente después de algún incidente?

Pregunta 3. ¿Cuál es el tiempo de respuesta con el que debe iniciar los servicios ante el suceso de un incidente?

Pregunta 4: ¿Existen personas responsables por los diferentes servicios que brinda la empresa?

Pregunta 5. ¿Cree Ud. Necesario la implementación de un plan de contingencia informático en la empresa?