pisioclologia
Páginas: 9 (2134 palabras)
Publicado: 24 de mayo de 2013
RIESGO COMPUTACIONAL
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar y responder las siguientes cuatro preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo.
Por ejemplo:
Un sistema de reservación de boletos que dependa porcompleto de un sistema computarizado, es un sistema de alto riesgo.
Una lista de clientes será de menor riesgo.
Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se solucionóeste problema en el pasado.
3. ¿Existe un procedimiento alternativo y qué problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal está diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación enred, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, lasconsecuencias y las soluciones tomadas, considerando:
Que exista un sistema paralelo al menos manual
Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado).
Si hay sistemas de energía ininterrumpida UPS.
Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de unexperto).
Si se cuenta con un método de respaldo y su manual administrativo.
CONCLUSIÓN
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en caso de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.CONSIDERACIÓN Y CUANTIFICACIÓN DEL RIESGO A NIVEL INSTITUCIONAL
Establecidos los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:
Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación.
Identificar la información que tenga un alto costo financiero en caso de pérdida o pueda tener impacto a nivel ejecutivo ogerencial.
Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella.
Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.DISPOSICIONES QUE ACOMPAÑAN LA SEGURIDAD
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:
Obtener una especificación de las aplicaciones, los programas y archivos dedatos.
Medidas en caso de desastre como pérdida total de datos, abuso y los planes necesarios para cada caso.
Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa.
Que los operadores no sean los únicos en...
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar y responder las siguientes cuatro preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo.
Por ejemplo:
Un sistema de reservación de boletos que dependa porcompleto de un sistema computarizado, es un sistema de alto riesgo.
Una lista de clientes será de menor riesgo.
Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se solucionóeste problema en el pasado.
3. ¿Existe un procedimiento alternativo y qué problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal está diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación enred, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, lasconsecuencias y las soluciones tomadas, considerando:
Que exista un sistema paralelo al menos manual
Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado).
Si hay sistemas de energía ininterrumpida UPS.
Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de unexperto).
Si se cuenta con un método de respaldo y su manual administrativo.
CONCLUSIÓN
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en caso de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.CONSIDERACIÓN Y CUANTIFICACIÓN DEL RIESGO A NIVEL INSTITUCIONAL
Establecidos los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:
Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación.
Identificar la información que tenga un alto costo financiero en caso de pérdida o pueda tener impacto a nivel ejecutivo ogerencial.
Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella.
Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.DISPOSICIONES QUE ACOMPAÑAN LA SEGURIDAD
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:
Obtener una especificación de las aplicaciones, los programas y archivos dedatos.
Medidas en caso de desastre como pérdida total de datos, abuso y los planes necesarios para cada caso.
Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa.
Que los operadores no sean los únicos en...
Leer documento completo
Regístrate para leer el documento completo.