Documente Academic
Documente Profesional
Documente Cultură
1
Contenido
1. ANTECEDENTES DE LA EMPRESA.............................................................................3
2
1. Antecedentes de la empresa.
Pacfico Seguros es una compaa de seguros generales y salud, que basa sus
procesos de prestacin de servicios a sus asegurados y corredores de seguros en el
tratamiento adecuado de la informacin proporcionada como parte de los procesos de
suscripcin de plizas y de reclamacin de siniestros. La calidad e integridad de la
informacin es fundamental para mantener los niveles de servicio al cliente por el que
la empresa es reconocida a nivel nacional. Adicionalmente en el rea mdica, la
informacin relacionada con el diagnstico y tratamiento de enfermedades debe
mantenerse protegida debido a la regulacin nacional sobre el secreto profesional
mdico.
Finalmente los procesos de atencin de emergencias, sean por robos, accidentes
industriales, automovilsticos, o de urgencias mdicas requieren la disponibilidad 24
horas al da por 7 das a la semana del centro de atencin telefnica (call center).
3
2. Auditoria de Continuidad de Negocio y Recuperacin de
Desastres
I. Gestin de la Continuidad de Negocio
SI /NO/ PARC
1. La empresa ha determinado
el impacto que tendra una
interrupcin de los procesos
que soportan los productos
y servicios crticos de la
empresa. SI
2. La empresa cuenta con
procedimientos de gestin
de crisis que le permiten
enfrentar un evento de
SI
interrupcin de
operaciones.
Interrupcin de energa en SI
el centro de cmputo.
SI
Movimiento ssmico.
Incendio en el centro de SI
cmputo.
Dao por agua o humo SI
dentro del centro de
cmputo.
Disturbios sociales que
impidan el acceso al SI
Personal de Pacfico al
edificio o al centro de
cmputo.
SI
Sabotaje.
Ataque a la seguridad de la SI
red
Virus SI
Fraudes
Problemas legales o Contr. SI
4
4. La empresa cuenta con una
categorizacin de Eventos
para manejar acciones
especficas:
Escenario tolerable:
eventos que generen
interrupciones de hasta 1
hora.
Escenario intermedio: SI
hasta 3 horas.
Escenario grave: desde 3
hasta 24 horas. Incluye
activacin del centro de
cmputo alterno.
Escenario muy grave:
interrupciones de ms de
24 horas. Incluye
activacin de centro de
cmputo alterno.
5
6. La empresa cuenta con La Empresa no cuenta con procedimientos para
procedimientos para salvaguardar la integridad fsica del personal.
salvaguardar la integridad NO
Se recomienda conformar una Unidad de Seguridad,
fsica del personal.
que tenga las funciones y la responsabilidad de
mantener la integridad fsica del personal.
7. La empresa ha determinado
la conformacin de equipos
de Trabajo debidamente
entrenados con cargos
especficos para gestionar
los escenarios de
Contingencia:
Equipo de sistemas. A
cargo de las acciones y
decisiones tcnicas de
recuperacin.
Equipo ejecutivo de
SI
continuidad operacional.
Para decisiones tcticas y
operativas en relacin a la
contingencia.
Equipo gerencial (alta
direccin). Para decisiones
estratgicas y relacin con
el exterior de la empresa.
Equipo de usuarios.
Organizados por sub-
equipos segn las reas
crticas contempladas en el
presente plan (siniestros,
call center/plataforma,
caja/tesorera y emisin).
6
8. La empresa cuenta con un Se recomienda implementar un Plan de
Plan de Entrenamiento de Entrenamiento Anual en el cual se capacite de manera
los Equipos conformados, NO peridica a los integrantes del equipo de Gestin del
para afrontar un evento. DRP.
MENSUAL
SEMESTRAL
ANUAL X
7
II. Seguridad de la Informacin
SI /NO/ PARC
14.La empresa cuenta con una Se recomienda que la funcin de gestin de la
estructura organizacional seguridad de la Informacin este a cargo de una
para la gestin de la NO Unidad o rea de Fraude y Seguridad de la
seguridad de la informacin Informacin, la misma que deber contar con los
de acuerdo con su tamao y recursos, tanto humanos como tecnolgicos,
la complejidad de sus garantizando as la independencia necesaria para la
operaciones. realizacin de las mismas.
RACF
LDAP
8
conforme a lo sealado en los riesgos asociados al error humano, robo, fraude o
la normativa vigente. mal uso de activos, vinculados al riesgo de tecnologa
NO de informacin. Adems se deber complementar
esta recomendacin con la publicacin de polticas
referidas a la propiedad de la informacin y a la
responsabilidad que tienen los usuarios propietarios
para clasificar y custodiar sus activos de informacin.
9
Controles preventivos a software de procedencia
dudosa,
Se implementaron esquemas y equipos de
seguridad en la red perimetral, configuracin
segura de sistemas, etc
Seguridad en el correo electrnico con equipos
antispam y filtro de contenido.
Revisin de vulnerabilidades mediante hacking
tico.
10