• Author / Uploaded
• Karina Sepulveda

Citation preview

Solemne II Aud.Sistemas 27/05/2020

Nombre: Karina Valeska Sepulveda Poblete 1.- Indique que es un DRP y cite un ejemplo. Un plan de recuperacion de desastres es un proceso en que las organizaciones se enfrentan y preparan contra posibles desastres ya sean de materia natural o no, que pueden dañar la infraestructura tecnologica y por ende poner fin a las actividades empresariales. El objetivo principal de este es reducir al maximo los efectos de un desastre en las funciones de las organizaciones, para que ante cualquier eventuaidad sean capaces de reanudar rapidamente sus funciones. Tenemos un ejemplo en el que las compañias de telefono deben de funcionar ante posibles catastrofes, como lo son los terremotos en Chile, deben implementar un Plan que no afecte la señal de sus clientes, como lo son el poder comunicarse tanto en llamadas como por via mensaje. 2.- ¿Qué es un BCP? Un plan de continuidad Empresarial es un documento que consta de la informacion critica que necesita una empresa para continuar operando durante un evento no planificado. El BCP debe establecer las funciones esenciales de la empresa, identificar que sistemas y procesos deben mantenerse y detallar como mantenerlos. En el se debe tener en cuenta cualquier posible interrupcion del negocio. 3.- El Gerente de Tecnología de una empresa, le indica a Ud. Como Auditor de Sistemas “El realizar un DRP tiene costos adicionales”. Comente. De acuerdo a lo señalado por el Gerente puedo indicar que si se tiene costos adicionales infiriendo en un gasto del 2% al 4% de su presupuesto, debido que la planificacion de recuperacion ante desastres tiene por objetivo el evitar perdidas mas grandes en caso de que la empresa no pueda seguir funcionando por la perdida de la infraestructura y los datos de Tecnologias. Siendo esto un Costo/ Beneficio, realizando un gasto por implementar un DRP pero obteniendo un Beneficio en el que la empresa podra seguir funcionando ante posibles desastres, garantizando la prestacion del servicio a la cual sus clientes estan acostumbrados, independiente de las situaciones que se presenten.

4.- De acuerdo a lo visto en clases, ¿en qué afecta a una empresa no tener DRP? El no tener un DRP en la empresa cualquiera sea su giro o tamaño implica el no estar asegurada ante posibles catastrofes, en los que en su mayoria causan daños considerables en las empresas. Estos puedes ser por contingencvias derivadas de factores climatologicos, daños informaticos o tecnologicos, movimientos sociales, culturales o politicos. Estas situaciones estan involucradas directamente al area tecnologica, es decir, si un proceso se detiene prologadamente la empresa, o su marca puede sufrir consecuencias negativas desde perdidas financieras, problemas de reputacion hasta el cierre definitivo de la misma. 5.- Ud. está realizando una visita por Auditoría de Sistemas a una empresa que presta servicios de mantención y respaldo de información para empresa del sector bancario. En sus observaciones registra lo siguiente: En el acceso al edificio corporativo, donde se encuentran los servidores de respaldo, se observa que la puerta de ingreso es de material ligero, y que el ingreso es controlado mediante clave de cuatro dígitos única para todos, número 4 -3 -2 -1.Los cambios de programas, son visados por el programador y probados en el ambiente de producción.El contrato de prestación de servicios entre la empresa y el Banco, sólo tiene estipulado la cantidad de horas hombre mensuales por el servicio.Los errores de los sistemas se resuelven vía sistema, esto produce rapidez en la solución.Dada la complejidad para respaldar información, todos los usuarios tienen perfil “FULL”, esto quiere decir que pueden modificar parámetros en forma rápida y sin burocracia. Una vez al mes el contrato estipula generar un informe con sólo con las incidencias que se han resuelto. Observaciones:   



No se puede tener a todos los usuarios con perfil full debido que si se borra una informacion relevante del sistema, se perdera la informacion absoluta. Se debe preparar un proceso o proyecto de DRP para posibles contingencias, como lo son los respaldos de informacion que se hagan desde un servidor base. Esto implica que los servidores de respaldo no pueden estar en el acceso del edificio, deben estar en un piso 3 debido a que es de facil acceso y ante posibles catastrofes naturales se es mas facil de controlar. Los informes deben ser generados como respaldo unas dos a tres veces al mes, debido a que las contingencias no se puede esperar tanto tiempo para ser resueltos, hay incidencias que deben ser resueltas al momento de ser generadas, se debe generar un informe completo tanto con las incidencias como con las resoluciones de estas.

6.- Caso Banco Chile. Valente y "preocupante" ciberataque al Banco de Chile: Hay que investigar si es por debilidad de sus sistemas Pese al millonario robo, el ministro de Economía aclaró que las empresas tanto en Chile como en el mundo se exponen diariamente a cientos de este tipo de ataques. 12 de Junio de 2018. Como "preocupante" tildó el ministro de Economía, José Ramón Valente, el ciberataque que sufrió el Banco de Chile y que le significó un robo de US$10 millones por parte de hackers -aparentemente- internacionales. "Ciertamente es un tema de preocupación y por lo mismo hoy habrá una reunión del Comité de Ciberseguridad para analizar el tema y ver qué podemos hacer hacia adelante", dijo el titular de Economía, tras participar en Enapyme. Sin embargo, el también ex empresario recalcó que este tipo de robos no son algo que exclusivamente haya vivido el Banco de Chile, sino que se trata de ataques que se registran en todo el mundo. "No es algo que sólo pasa en nuestro país, tenemos que entender que ataques cibernéticos las empresas enfrentan todos los días y en forma masiva", dijo y ejemplificó con intervenciones que ha sufrido el mismo Pentágono. "Por más cauteloso que uno sea, siempre está la posibilidad de que alguien viole el sistema" Josér Ramón Valente De hecho, Valente contó haber vivido este tipo de eventos desde cerca. "A mí me tocó la experiencia de estar en una compañía donde se reportaban cerca de 2.000 ataques cibernéticos diarios. La mayor parte de esos ataques son resueltos con las cortapisas y la seguridad que las empresas ponen, pero a veces alguien encuentra una puertecita por donde puede entrar". Por ello, este tipo de ciberataques “son una preocupación constante porque hay un mundo de gente que está tratando de ingresar a tus sistemas todo el tiempo y tienes que estar todo el tiempo reforzándolo”. "No sólo es una preocupación de un minuto ni por un ataque, es una preocupación que debe ser permanente", reforzó el ministro. Consultado por cómo debería abordarse el tema para evitar que robos como los del Banco de Chile vuelvan a repetirse, Valente señaló que antes de legislar, el Gobierno debe conocer al detalle los estándares que están usando las entidades financieras. "La investigación que se está haciendo sobre lo que realmente ocurrió en el Banco de Chile nos va a dar una buena idea de si es por la debilidad de sus sistemas o simplemente porque al final un hacker tuvo éxito entre estos miles de ataques a los que se enfrentan las compañías", concluyó el secretario de Estado. Desde el punto de vista de Auditoria de Sistemas, y la reflexión antes leída, identifique debilidades y/o propuestas. Refiérase a lo visto en clases.

Resp: Creo que las debilidades que presentan el sistema a la fecha del hackeo es que si bien se tenia una normativa de seguridad Cyber informatica no era la necesaria, para que los hacker se pudieran meter al sistema. Debido a que el riesgo en los sistemas informaticos siempre existira. En relacion a esto, se resulta imposible crear un entorno informatico inaccesible a hackers aunque si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando medidas preventivas. Las propuestas que puede levar a cabo la organización son:

   

Desarrollar dentro de la organización buenas practicas para la gestion de la fuga de informacion Establecer un sistema de clasificacion de la informacion, definir roles y niveles de acceso a esta misma. Desarrollo de planes de formacion en materia de ciberseguridad y seguridad de la informacion, buenas practicas de los sistemas informativos, etc. Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los incidentes derivados de los riesgos ciberneticos, el uso inadecuado de las infraestructuras tecnologicas y las actividades que se desarrollan en dicho entorno. En estos seguros vienen implementados servicios como borrado de huellas e historia, reparacion de sistemas y equipos, recuperacion de datos y descontaminacion de virus.