7
Plan de Contingencia Profesora Pilar Pardo
| Date post: | 04-Aug-2015 |
| Category: |
Education |
| Upload: | pilar-pardo |
| View: | 213 times |
| Download: | 0 times |
Plan de Contingencia
Profesora Pilar Pardo
Estructura del Plan de Contingencia
• Nombre del Riesgo.• Análisis del riesgo. (Describir en que consiste el riesgo)• Clasificación (Prioridad: Alta – Media – Baja)• Planificación (Antes, durante, después, monitoreo)
Tip’s importantes que no pueden olvidar
• Deben ser 8 riesgos lógicos y 8 riesgos físicos como mínimo, el máximo lo definen ustedes.
• Los riesgos lógicos se asocian principalmente a falencias del equipo de trabajo.
• Los riesgos físicos se asocian a la pérdida de información, vulnerabilidades, daños en el HW y en el SW, entre otros aspectos.
• Deben de separar riesgos físicos web de los riegos físicos de la aplicación móvil.
Realizar tabla con Riesgos Lógicos
Nombre del Riesgo Prioridad Alta(catastrófico)
Prioridad Media(Crítico)
Prioridad Baja(Despreciable)
Riesgo Lógico 1 x
Riesgo Lógico 2 x
Riesgo Lógico 3 x
Riesgo Lógico 4 x
Riesgo Lógico 5 x
Riesgo Lógico 6 x
Riesgo Lógico 7 x
Mínimo 8 - Máximo lo que ustedes estimen necesarios.
Realizar tabla con Riesgos Físicos
Nombre del Riesgo Prioridad Alta Prioridad Media Prioridad Baja
Riesgo Físico 1 x
Riesgo Físico 2 x
Riesgo Físico 3 x
Riesgo Físico 4 x
Riesgo Físico 5 x
Riesgo Físico 6 x
Riesgo Físico 7 x
Mínimo 8 - Máximo lo que ustedes estimen necesarios.
Ejemplo de Riesgo Lógico
Nombre del Riesgo: Técnicas de Recopilación de Información mal elaboradas
Análisis: Las técnicas de recopilación de información no contenían preguntas de calidad que permitieran obtener información relevante para obtener información de usuarios o clientes. Los usuarios del sistema son múltiples, con características , necesidades y requerimientos diferentes por lo que una técnica e recopilación mal elaborada puede generar un sistema poco factible.
Prioridad: Alta - Catastrófico
PLANIFICACIÓN DEL RIESGO
Antes: Elaborar una técnica de recopilación con preguntas que sean validadas por Profesor guía y que aporten al logro del objetivo general y objetivos específicos del proyecto.
Durante: Entregar una copia de los requerimientos obtenidos por parte del usuario y del cliente de manera de generar un respaldo . En el caso de los Clientes , es recomendable que los requerimientos sean firmados por cada uno de los Clientes. Se recomienda acordar un máximo de 3 modificaciones a lo largo del SW. Un cuarto cambio, tiene un valor adicional al plan contratado. Todo el equipo de trabajo debe estar en conocimiento de esta información.
Después: Se deben analizar los resultados obtenidos durante la aplicación de cada Técnica de Recopilación aplicada, de manera tal que se pueda identificar claramente que es lo que quieren los usuarios y que es lo que necesitan los clientes.
Seguimiento: A lo largo del proyecto, se deben realizar varias técnicas de recopilación de información, primero para analizar el entorno, luego para probar el Prototipo, luego para validar funcionalidades del SW y finalmente para revisar si el sw cumple con la totalidad de los requisitos establecidos por usuarios y clientes.
Ejemplo de Riesgo FísicoNombre del Riesgo: Hackeo del sitio web
Análisis: Como todo sistema de información en línea, la página es susceptible a diferentes tipos de hackeo. Dada la gran variedad de ataques posibles y sus consecuencias, los pasos a seguir deben cambiar de acuerdo a cada escenario en particular. Los diferentes ataques pueden ocasionar una inhabilitación temporal del servicio, robo de información o corrupción/pérdida de datos
Prioridad: Alta - Catastrófico
PLANIFICACIÓN DEL RIESGO
Antes: Se toman medidas preventivas para la seguridad de la información trabajando con protocolos de seguridad y autentificación para el acceso a ella. Se revisan continuamente la integridad de los datos y posibles vulnerabilidades que pueda poseer el sistema mediante diversos tipos de prueba. Por lo mismo, se deben configurar los DNS primario y secundario de manera que la página se mantenga operativa. El analista desarrollador debe tener un contrato de trabajo 24/7 de tal manera que esté asegurada la operatividad del sistema en todo momento o bien el equipo deberá trabajar con un sistema de turnos. Mantener actualizado el plan de respaldo del sistema web.
Durante: Se identifica la naturaleza del ataque. En caso de que el ataque tenga consecuencias mayores, se debe informar por los medios de comunicación que posea la Empresa. Se debe investigar las consecuencias del ataque, los tipos de acceso vulnerados o bien la pérdida de información causada. Por otro lado, en caso de que exista riesgo de robo de información, se deben aislar los mecanismos de conexión a esta información y protegerla de la mejor forma posible.
Después: Una vez que el ataque haya terminado y se esté seguro que las operaciones futuras están a resguardo de nuevos problemas, se debe recuperar la información perdida (En caso de ser necesario) y restablecer el servicio; avisando por los medios de comunicación establecidos el estado operativo del sistema.
Seguimiento: Se deben analizar las causas y medios que permitieron el ataque, tomando medidas preventivas para evitar ataques futuros. Se deben hacer pruebas que simulen el mecanismo del hackeo para comprobar que la información está segura. En caso de robo de información sensible, se debe investigar las consecuencias del robo y tomar acciones al respecto, tales como informar a autoridades o sugerir cambios de contraseña para clientes.
