Plan de gestion de riesgos.
Enviado por karlo • 2 de Mayo de 2018 • 2.316 Palabras (10 Páginas) • 520 Visitas
...
Acciones de Prevención y de Corrección
ID
Plan de Prevención
Plan de Corrección
R01
En caso de que la reparación del equipo requiera que se instale de nuevo el S.O. se deberá de consultar con el cliente si es posible realizar el formateo y en caso de que el cliente acepte deberá de dar el consentimiento ya sea vía correo o firmando el formato para este fin, en cualquiera de las dos opciones el cliente deberá de plasmar por escrito las carpetas e información requiere que sean respaldadas. Aun así, se deberá de realizar un respaldo de la imagen completa del disco duro y una vez que el equipo reparado haya sido entregado al cliente este haya recibido y firmado de conformidad, mantendremos el respaldo de la imagen realizada al D.D. solo por quince días más y después se procederá a la eliminación del mismo conforme al protocolo.
En caso de que por alguna razón el respaldo de la información no se haya realizado conforme al requerimiento del cliente y se haya procedido con el formateo del disco duro para la carga del S.O. se deberá de informar en primer lugar al gerente del área y este deberá de coordinar la extracción del respaldo de la imagen hecha al equipo a fin de restaurar la imagen al equipo de cómputo del cliente y realizar de nuevo proceso del respaldo y formateo del equipo, se deberá de documentar el proceso y llenar el documento para registrar una no conformidad.
R02
Para prevenir este tipo de incidente se siempre de acudir a la recolección en equipos de dos personas y se deberá de tener en los vehículos de recolección el material necesario para embalaje y transporte de los equipos del cliente. (cuerdas,cinta,cajas,etc.) El vehículo que trasporta el equipo del cliente deberá dirigirse directamente de la oficina del cliente a las instalaciones de la empresa en caso de que se requiera hacer una escala siempre y cuando sea justificado un equipo del personal se quedara siempre resguardando el vehículo
.
En caso de que se presente el incidente se tendrá que reponer al cliente el daño al equipo ya sea con la refacción o bien el remplazo del equipo dañado y se le deberá de notificar al cliente de lo sucedido al momento de la entrega del equipo.
.
R03
Se deberá de contar con el equipo necesario para seguridad perimetral así como aislar en un segmento aparte de la red de la empresa a fin de que no se pueda ver desde ningún punto de la red y solo desde los equipos del laboratorio (ip10.16.60.30,10.16.60.31,10.16.60.32) además de adoptar las medidas de seguridad necesarias para resguardar la información de los clientes, se informara previamente al cliente que cualquier información solo estará disponible durante 15 días en nuestro servidor y después de esto será eliminada.
En caso de detectar que la seguridad fue vulnerada y se logró acceder a la información del cliente se tendrá que realizar una investigación forense a fin de evaluar la información que estuvo comprometida e identificar la vulnerabilidad con la cual tuvieron acceso para poder reparar el hueco de seguridad. Se deberá de realizar un informe completo e informar al cliente de lo sucedido.
R04
Se deberá de contar con personal adecuado asi como realizar evaluación de control y confianza a dicho personal Se deberá de contar con medios de control de acceso biométrico y contar con cámaras de cctv en el datacenter donde este físicamente el equipo. Se deberá de llevar una bitácora de acceso a datacenter y siempre en compañía de encargado del área.
Se espera que con las medidas de seguridad implementadas evitar este incidente, pero en caso de que se detecte se deberá de levantar ante las autoridades competentes la denuncia del delito contra quien resulte responsable, se deberá de revisar la bitácora de acceso al Data center revisar los logs de acceso del sistema biométrico, revisar los videos de CCTV para detectar y dar con el responsable.
R05
Se deberá de examinar los respaldos con herramientas como antivirus o anti Malware
En caso de que al momento de cargar el respaldo en el equipo del cliente y esté presente problemas se deberá de realizar nuevamente el trabajo y no se cobrar al cliente por el servicio.
Matriz de Riesgo
Se propone la utilización de una matriz específica que sirva de soporte para la Gestión de Riesgos. Esta matriz se utilizará en las reuniones de seguimiento y/o cuando se estime necesario (en el caso de situaciones excepcionales), y su contenido será el siguiente:
Id.
Descripción
del Riesgo
Tipo
Riesgo
Probab.
Ocurrencia
Nivel de
Impacto
Evaluación
del Riesgo
Acciones
de Prevención
Acción de
Corrección
R01
Formateo de equipo sin respaldo previo.
Producto
30
2
0.6
En caso de que la reparación del equipo requiera que se instale de nuevo el S.O. se deberá de consultar con el cliente si es posible realizar el formateo y en caso de que el cliente acepte deberá de dar el consentimiento ya sea vía correo o firmando el formato para este fin, en cualquiera de las dos opciones el cliente deberá de plasmar por escrito las carpetas e información requiere que sean respaldadas. Aun así, se deberá de realizar un respaldo de la imagen completa del disco duro y una vez que el equipo reparado haya sido entregado al cliente este haya recibido y firmado de conformidad, mantendremos
...