FACULTAD DE

INGENIERIA

DEPARTAMENTO DE INGENIERIA EN SISTEMAS

NOMBRE DE LA ACTIVIDAD:
Tarea 2.3
CLASE:
SEGURIDAD INFORMATICA

CATEDRÁTICO:
Rafael E. Diaz del Valle O.
ALUMNO:
Jakmeni Jasiel Quilico Valeriano 20161004456

SECCIÓN:
0800
TEGUCIGALPA, HONDURAS, julio 2022
 CONTENIDO:

INTRODUCCIÓN:............................................................................................................3

OBJETIVOS:.....................................................................................................................4

Objetivo General:...........................................................................................................4

Objetivo Específico:......................................................................................................4

PLAN DE CONTINGENCIA...........................................................................................5

CONCLUSIONES:..........................................................................................................11

BIBLIOGRAFÍA.............................................................................................................12
 INTRODUCCIÓN:

Un plan de contingencias como una estrategia planificada con una serie de

procedimientos que nos faciliten o nos orienten a tener una solución alternativa que

nos permita restituir rápidamente los servicios de la organización ante la

eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que le ayudará a que los procesos

críticos de su empresa u organización continúen funcionando a pesar de una posible

falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u

organización, seguir operando, aunque sea al mínimo.

Objetivo General:

 Generar un Plan de contingencia y continuidad para el departamento de TI

de una empresa.

Objetivo Específico:

 Garantizar la continuidad de las operaciones de los elementos considerados

críticos que componen los Sistemas de Información.

 Definir acciones y procedimientos a ejecutar en caso de fallas de los

elementos que componen un Sistema de Información.

Todas las empresas confían en la tecnología para llevar a cabo sus actividades

diarias. A pesar de la tecnología ser de vital importancia para las empresas, muchas

empresas aún no tienen un plan de contingencia de TI definido. Un plan de TI define

qué acciones tomar en situaciones de interrupciones del sistema, pérdida de datos,

desastres, entre otras cosas que pueden comprometer el funcionamiento normal del

negocio. En un momento en que las amenazas aumentan en número, es esencial tener

un plan de contingencia.

Para realizar el Plan de Contingencias para el departamento de sistemas, la

metodología comprende: la identificación de riesgos, calificación de la probabilidad

de que ocurra un riesgo, evaluación del impacto en los procesos críticos y la creación

de estrategias de contingencias, las fases son las siguientes:

 Planificación

 Identificación de Riesgos

 Identificación de Soluciones

 Estrategias

 Documentación del Proceso

 Realización de Pruebas y Validación

 Implementación

 Monitoreo

Planificación

La Gestión de Configuraciones es uno de los pilares de la metodología ITIL

por sus interrelaciones e interdependencias con el resto de los procesos. Por ello su
 implantación es particularmente compleja. Una falta de planificación conducirá con

total certeza a una Gestión de Configuraciones defectuosa, con las graves

consecuencias que esto supondrá para el resto de los procesos.

Algunas consideraciones esenciales para la implementación de la gestión de

configuraciones son:

 Designar un responsable.

 Invertir en alguna herramienta de software adecuada para las

actividades requeridas.

 Realizar un análisis de los recursos ya existentes.

 Establecer claramente alcance y objetivos.

Identificación de Riesgos:

En el análisis de riesgos se identifican y valoran los diversos elementos

componentes del riesgo, obteniendo una estimación de los umbrales de riesgo

deseables.

El análisis del riesgo contempla lo siguiente:

 Identificación de activos de información.

 Identificación de requerimientos legales y comerciales que son

relevantes para los activos identificados.

 Tasación de los activos identificados, considerando los requerimientos

legales y comerciales, así como los impactos resultantes de una

pérdida por confidencialidad, integridad y disponibilidad.

 Identificación de amenazas y vulnerabilidades para cada activo

previamente identificado.
  Cálculo de la posibilidad de que las amenazas y vulnerabilidades

ocurran.

Es sustancial deducir el requerimiento de la norma ISO 27001:2005 en

relación con el riesgo. La exigencia es clara y no corresponde llevar a desaciertos. En

primer lugar, se deben seguir los pasos para realizar el análisis del riesgo, y luego

construir un nivel para determinar la evaluación del riesgo. Estos niveles son:

Inventario e activos

Un activo es algo que tiene valor o utilidad para la organización, sus

operaciones comerciales y su continuidad, por esta razón; los activos necesitan tener

protección para asegurar una correcta operación de la empresa y garantizar la

prolongación en las operaciones.

Los activos de información son muy amplios y es importante estar

conceptualmente claros en sus definiciones, para realizar un correcto análisis y una

evaluación del riesgo. El proceso de identificación y tasación de activos debe

realizarlo un grupo multidisciplinario compuesto por personas involucradas en los

procesos y subprocesos que abarca el alcance del modelo. 

Identificación de requerimientos legales y comerciales

Los requerimientos de seguridad en las organizaciones se derivan de tres

fuentes:

1. La evaluación de los riesgos que afectan a las organizaciones. En esta

fuente se determinan las amenazas de los activos, luego se ubican las

vulnerabilidades, se evalúa su posibilidad de ocurrencia, y se estiman

los potenciales impactos.

3. El conjunto de principios, objetivos y requerimientos para procesar

información, que la empresa ha desarrollado para apoyar sus

operaciones. Al identificar los activos de información, se debe

analizar si existen requerimientos legales y comerciales relacionados

con estos activos identificados. De ser el caso, se debe revisar si

dichos requerimientos involucran otros activos de información

Identificación de amenazas y vulnerabilidades

En las organizaciones, los activos de información están sujetos a distintas

formas de amenazas. Una amenaza puede causar un incidente no deseado que genera

daño a la organización y a sus activos.

Cuando la empresa inicia la identificación de amenazas que pudiesen afectar

sus activos, conviene clasificarlas por su naturaleza, para así facilitar su ubicación.

Las amenazas se pueden originar de fuentes o eventos accidentales. Para que

una amenaza cause daño a algún activo de información tendría que explotar una o

más vulnerabilidades del sistema, aplicaciones o servicios usados por la

organización. Una vez identificadas las distintas amenazas que pueden afectar un

activo, se debe evaluar su posibilidad de ocurrencia. Por cada amenaza, para medir

su posibilidad de ocurrencia, se recomienda utilizar una escala de Likert.

Las vulnerabilidades son debilidades de seguridad asociadas con los activos

de información de una organización. Al tratar de definir las vulnerabilidades, la

mejor manera es pensar en las debilidades del sistema de seguridad. Las

vulnerabilidades no causan daño. Simplemente son condiciones que pueden hacer

que una amenaza afecte un activo.

En esta fase se realizar la asignación de roles y responsabilidades que deben

cumplir cada uno de los miembros del departamento de sistemas para cuando se

presente una emergencia.

Actividades preventivas

Las medidas preventivas requieren un detallado análisis previo de riesgos y

vulnerabilidades. Algunos de ellos serán de carácter general: incendios, desastres

naturales, etcétera, mientras que otros tendrán un carácter estrictamente informático:

fallo de sistemas de almacenamiento, ataques de hackers, virus informáticos,

etcétera.

Actividades de recuperación

Tarde o temprano, por muy eficientes que seamos en nuestras actividades de

prevención, será necesario poner en marcha procedimientos de recuperación.

Estrategias

En este punto podríamos abrir el plan de contingencia de acuerdo con

diferentes escenarios. Se podría decir que se redacta un plan de contingencia para

cada situación particular. Esto implica, por supuesto, considerar y definir las

acciones que se tomarán para contrarrestar el efecto negativo de cada situación. Por

ejemplo, si las instalaciones de la organización resultan ser inhabitables, la solución

es contar con un espacio alterno de emergencia que pueda ser habilitado y

acondicionado en menos de 24 horas.

Como se trata de procedimientos, un diagrama de flujos viene bien. Esto

permite incorporar información completa y práctica, ya que la presentación visual

necesario.

Además, la redacción del plan requiere plantearse situaciones hipotéticas con

realismo. Es importante pensar que la situación está ocurriendo e impartir

instrucciones claras sobre lo que es preciso hacer, para contrarrestarla e impedir que

el negocio se paralice.

Implementación

La implementación del presente plan se realizará en a partir del segundo mes

de su aprobación. Para tal efecto, el/la Oficial de Seguridad de la Información,

realiza las siguientes funciones:

 Supervisar las actividades de copias de respaldo y restauración.

 Establecer procedimientos de seguridad en los sitios de recuperación.

 Organizar las pruebas de restauración de hardware, software y

servicios de Tecnologías de Información (TI).

 Participar en las pruebas y simulacros de desastres.

Monitoreo

Una vez establecidas las políticas, estrategias y planes de prevención y

recuperación, es indispensable que éstos no queden en papel mojado y que la

organización TI esté preparada para su correcta implementación. Ello depende de dos

factores clave: la correcta formación del personal involucrado y la continua

monitorización y evaluación de los planes para su adecuación a las necesidades

reales del negocio.

 Durante el desarrollo del plan de contingencia informático se pudo

detectar las vulnerabilidades existentes en la infraestructura de red y

en los servicios dentro de la empresa, las mismas que se expusieron

tanto al propietario como al director del departamento de sistemas de

la empresa, con la finalidad de que puedan corregirlos a tiempo y por

ende minimizar los riesgos.

 Toda empresa o institución independientemente del tipo debe tener un

plan de contingencia informático, el mismo que la va permitir estar

preparada para cualquier evento inesperado gracias a las medidas y

soluciones eficientes ante cualquier tipo de eventualidad, logrando así

que no se paralicen sus actividades y brindando confianza a sus

clientes.
 BIBLIOGRAFÍA

 Vista de Plan de contingencia para los equipos y sistemas

informáticos utilizando la metodología MAGERIT | Revista Científica

y Tecnológica UPSE. (s. f.). Plan de contingencia para los equipos y

sistemas informáticos utilizando la metodología Magerit.

https://incyt.upse.edu.ec/ciencia/revistas/index.php/rctu/article/view/

429/362

 Verdú Fernández, J. I. (2015, octubre). PLAN DE CONTINGENCIA

DE TECNOLOGIAS DE LA INFORMACIÓN EN ENTORNOS

DISTRIBUIDOS.

https://e-archivo.uc3m.es/bitstream/handle/10016/22424/PFC_Jose_Ig

nacio_Verdu_Fernandez.pdf?sequence=1&isAllowed=y

 Mellado Erices, C. (2014b, abril). PLAN DE CONTINGENCIA

INFORMATICO.

http://repositorio.ugm.cl/bitstream/handle/20.500.12743/244/ME.IJI

%20%2802%29%202014.pdf?sequence=1&isAllowed=y