Plan de Contingencias Informatico

7/31/2019 Plan de Contingencias Informatico

1/69


2/69

Privacidad

Se define como el derecho que tienen los individuos yorganizaciones para determinar, ellos mismos, a quin, cundo y quinformacin referente a ellos sern difundidas o transmitidas a otros.

Se refiere a las medidas tomadas con la finalidad de preservar losdatos o informacin que en forma no autorizada, sea accidental ointencionalmente, puedan ser modificados, destruidos o simplemente

divulgados.

Seguridad

Conceptos Bsicos


3/69

Integridad

Se refiere a que los valores de los datos se mantengan tal comofueron puestos intencionalmente en un sistema. Las tcnicas de integridadsirven para prevenir que existan valores errados en los datos provocadospor el software de la base de datos, por fallas de programas, del sistema,hardware o errores humanos.

Trmino general usado para cualquier accin o evento que intenteinterferir con el funcionamiento adecuado de un sistema informtico, o

intento de obtener de modo no autorizado la informacin confiada a unacomputadora.

Ataque


4/69

Intento de obtener informacin o recursos de una computadora

personal sin interferir con su funcionamiento, como espionaje electrnico,telefnico o la intercepcin de una red. Todo sto puede dar informacinimportante sobre el sistema, as como permitir la aproximacin de los datosque contiene.

Ataque Pasivo

Accin iniciada por una persona que amenaza con interferir elfuncionamiento adecuado de una computadora, o hace que se difunda demodo no autorizado informacin confiada a una computadora personal.Ejemplo: El borrado intencional de archivos, la copia no autorizada dedatos o la introduccin de un virus diseado para interferir el

funcionamiento de la computadora.

Ataque Activo


5/69

Cualquier cosa que pueda interferir con el funcionamientoadecuado de una computadora personal, o causar la difusin no autorizadade informacin confiada a una computadora. Ejemplo: Fallas de suministroelctrico, virus, saboteadores o usuarios descuidados.

Amenaza

Cuando se produce un ataque o se materializa una amenaza,

tenemos un incidente, como por ejemplo las fallas de suministro elctrico oun intento de borrado de un archivo protegido.

Incidente


6/69

Desastre

Se puede considerar como un desastre la interrupcinprolongada de los recursos informticos y de comunicacin de unaorganizacin, que no puede remediarse dentro de un periodopredeterminado aceptable y que necesita el uso de un sitio o equipoalterno para su recuperacin.

Ejemplos obvios son los grandes incendios, las inundaciones, losterremotos, las explosiones, los actos de sabotaje, etctera.Estadsticas recientes sobre los tipos ms comunes de desastres

que ocurren muestran que el terrorismo, los incendios y los huracanesson las causas ms comunes en muchos pases.


7/69

Plan de Contingencia

Un Plan de contingencias es un instrumento de gestinpara el buen gobierno de las Tecnologas de la Informacin y lasComunicacionesen el dominio del soporte y el desempeo.

Contiene las medidas tcnicas, humanas yorganizativas necesarias para garantizar la continuidad delnegocio y las operaciones de una compaa. Un plan decontingencias es un caso particular de plan de continuidadaplicado al departamento de informtica o tecnologas.


8/69

Un Plan de Contingencia de Seguridad Informtica consisteen los pasos que se deben seguir, luego de un desastre, pararecuperar, aunque sea en parte, la capacidad funcional del sistemaaunque, y por lo general, constan de reemplazos de dichos sistemas.

Se entiende por Recuperacin, "tanto la capacidad de seguirtrabajando en un plazo mnimo despus de que se haya producido elproblema, como la posibilidad de volver a la situacin anterior almismo, habiendo reemplazado o recuperado el mximo posible delos recursos e informacin" .

La recuperacin de la informacin se basa en el uso de unapoltica de copias de seguridad (Backup) adecuada.



9/69

Un plan de contingencia es una estrategiaplanificada constituida por un conjunto de recursos derespaldo, una organizacin de emergencia y unos

procedimientos de actuacin encaminada a conseguiruna restauracin progresiva y gil de los servicios denegocios por una paralizacin total o parcial de lacapacidad operativa de la empresa.



10/69

Podramos definir a un plan de contingencias como una

estrategia planificada con una serie de procedimientos que nos faciliten onos orienten a tener una solucin alternativa que nos permita restituirrpidamente los servicios de la organizacin ante la eventualidad de todolo que lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que le ayudar aque los procesos crticos de su empresa u organizacin continenfuncionando a pesar de una posible falla en los sistemascomputarizados. Es decir, un plan que le permite a su negocio uorganizacin, seguir operando aunque sea al mnimo.



11/69

Garantizar la continuidad de las operaciones de loselementos considerados crticos que componen losSistemas de Informacin.

Definir acciones y procedimientos a ejecutar en casode fallas de loselementos que componen un Sistema de Informacin.

Objetivos de un Plan deContingencia


12/69


13/69

Fase I: Planificacin

La fase de planificacin es la etapa donde se define y prepara elesfuerzo de planificacin de contingencia/continuidad. Las actividades duranteesta fase incluyen: Definicin explcita del alcance, indicando qu es lo que se queda y lo que

se elimina, y efectuando un seguimiento de las ambigedades. Definicin de las fases del plan de eventos (por ejemplo, los perodospreevento, evento, y post-evento) y los aspectos sobresalientes de cada fase. Definicin de una estrategia de planificacin de la continuidad del negocio dealto nivel. Identificacin y asignacin de los grupos de trabajos inciales; definicin de

los roles y responsabilidades. Definicin de las partes ms importantes de un cronograma maestro y supatrn principal. Identificacin de las fuentes de financiamiento y beneficios del negocio;revisin del impacto sobre los negocios.


14/69

Duracin del enfoque y comunicacin de las metas y objetivos, incluyendolos objetivos de la empresa. Definicin de estrategias para la integracin, consolidacin, rendicin deinformes y arranque. Definicin de los trminos clave (contingencia, continuidad de los negocios,etc.) Desarrollo de un plan de alto nivel, incluyendo los recursos asignados. Obtencin de la aprobacin y respaldo de la empresa y del personalgerencial de mayor jerarqua. Las pruebas para el plan sern parte de (o mantenidas en conjuncin con)

los ejercicios normalmente programados para la recuperacin de desastres,las pruebas especficas del plan de contingencia de los sistemas deinformacin y la realizacin de pruebas a nivel de todos los clientes.

Fase I: Planificacin


15/69

La Fase de Identificacin de Riesgos, buscaminimizar las fallas generadas por cualquier caso encontra del normal desempeo de los sistemas deinformacin a partir del anlisis de los proyectos en

desarrollo, los cuales no van a ser implementados atiempo.

El objetivo principal de la Fase de Reduccin deRiesgo, es el de realizar un anlisis de impacto

econmico y legal, determinar el efecto de fallas de losprincipales sistemas de informacin y produccin de lainstitucin o empresa.

Fase II: Anlisis de Riesgos


16/69


17/69

Fase III: Identificacin deSoluciones

Identificacin de AlternativasEstos son algunos ejemplos de alternativas que pudieran ayudarle

al inicio del proceso de preparacin. Planifique la necesidad de personal adicional para atender los problemasque ocurran. Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si

fallan los sistemas automatizados. Planifique el cierre y reinicio progresivo de los dispositivos y sistemas quese consideran en riesgo. Instale generadores si no tiene acceso a la red de energa pblica.Disponga del suministro adicional de combustible para los generadores, encaso de fallas elctricas prolongadas.

Disponga de bombas manuales de combustible y selas si fallan laselectrnicas. Elaborar un programa de vacaciones que garantice la presenciapermanente del personal. No haga nada y vea qu pasa esta estrategia es algunas veces llamadaarreglar sobre falla.


18/69

Identificacin de eventos activadores

A continuacin se muestran algunos ejemplos de los tipos deeventos que pueden servir como activadores en sus planes decontingencia: Informacin de un vendedor respecto a la tarda entrega o nodisponibilidad de un componente de software. Tardo descubrimiento de serios problemas con una interfaz. Tempranas (no anticipadas) fallas del sistema correccin/reemplazo noest lista para sustituir. Fallas del Sistema (datos corruptos en informes o pantallas,

transacciones prdidas, entre otros). Fallas de interfacesintercambios de datos no cumplen los requisitos. Fallo de la infraestructura regional (energa, telecomunicaciones, sistemasfinancieros) Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).



19/69

Identificacin de SolucionesEl objetivo es reducir el costo de encontrar una solucin en la medida de lo posible,a tiempo de documentar todos los riesgos identificados.Actividades importantes a realizar: La asignacin de equipos de solucin para cada funcin, rea funcional o rea deriesgo de la organizacin.

La asociacin de soluciones con cada riesgo identificado- se recomienda tener unabanico de alternativas de soluciones. Comparar los riesgos y determinarles pesos respecto a su importancia crtica entrmino del impacto de los mismos. Clasificar los riesgos. La elaboracin de soluciones de acuerdo con el calendario de eventos. La revisin de la factibilidad de las soluciones y las reglas de implementacin.

La identificacin de los modos de implementacin y restricciones que afectan a lassoluciones. La definicin e identificacin de equipos de accin rpida o equipos deintensificacin por rea funcional o de negocios de mayor importancia. Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta asu eficacia y su costo, siendo la meta la solucin ms inteligente.



20/69

Las estrategias de contingencia / continuidad delos negocios estn diseadas para identificarprioridades y determinar en forma razonable las

soluciones a ser seleccionadas en primera instancia olos riesgos a ser encarados en primer lugar. Hay quedecidir si se adoptarn las soluciones a gran escala,como las opciones de recuperacin de desastres para

un centro de datos.

Fase IV: Estrategias


21/69


22/69

En Relacin al Centro de Cmputo Es recomendable que el Centro de Cmputo no est ubicado en lasreas de alto trfico de personas o con un alto nmero de invitados. Hasta hace algunos aos la exposicin de los Equipos de Cmputo atravs de grandes ventanales, constituan el orgullo de la organizacin,considerndose necesario que estuviesen a la vista del pblico, siendoconstantemente visitados. Esto ha cambiado de modo radical,principalmente por el riesgo de terrorismo y sabotaje. Se deben evitar, en lo posible, los grandes ventanales, los cualesadems de que permiten la entrada del sol y calor (inconvenientes para elequipo de cmputo), puede ser un riesgo para la seguridad del Centro de

Cmputo. Otra precaucin que se debe tener en la construccin del Centro deCmputo, es que no existan materiales que sean altamente inflamables,que despiden humos sumamente txicos o bien paredes que no quedanperfectamente selladas y despidan polvo.



23/69

Fase IV: Estrategias El acceso al Centro de Cmputo debe estar restringido al personalautorizado. El personal de la Institucin deber tener su carn deidentificacin siempre en un lugar visible. Se debe establecer un medio de control de entrada y salida de visitas alcentro de cmputo. Si fuera posible, acondicionar un ambiente o rea de

visitas. Se recomienda que al momento de reclutar al personal se les debe haceradems exmenes psicolgicos y mdico y tener muy en cuenta susantecedentes de trabajo, ya que un Centro de Cmputo depende en granmedida, de la integridad, estabilidad y lealtad del personal. El acceso a los sistemas compartidos por mltiples usuarios y a los

archivos de informacin contenidos en dichos sistemas, debe estarcontrolado mediante la verificacin de la identidad de los usuariosautorizados. Deben establecerse controles para una efectiva disuasin y deteccin, atiempo, de los intentos no autorizados de acceder a los sistemas y a losarchivos de informacin que contienen.


24/69

Fase IV: EstrategiasSe recomienda establecer polticas para la creacin de los password yestablecer periodicidad de cambios de los mismos. Establecer polticas de autorizaciones de acceso fsico al ambiente y derevisiones peridicas de dichas autorizaciones. Establecer polticas de control de entrada y salida del personal, as como de

los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrn ser controladospor medios de anulacin del disk drive, cubrindose de esa manera laseguridad contra robos de la informacin y el acceso de virus informticos.Los controles de acceso, el acceso en s y los vigilantes deben estarubicados de tal manera que no sea fcil el ingreso de una persona extraa.

En caso que ingresara algn extrao al centro de Cmputo, que no pasedesapercibido y que no le sea fcil a dicha persona llevarse un archivo. Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sinpermiso por escrito de la Direccin. Asignar a una sola persona la responsabilidad de la proteccin de losequipos en cada rea.


25/69

Respecto a la Administracin de la Cintoteca:

Debe ser administrada bajo la lgica de un almacn. Esto implicaingreso y salida de medios magnticos (sean cintas, disquetes

cassettes, cartuchos, Discos remobibles, CD's, etc.), obviamenteteniendo ms cuidado con las salidas. La cintoteca, que es el almacn de los medios magnticos (seancintas, disquetes cassettes, cartuchos, Discos remobibles, CD's, etc.) yde la informacin que contienen, se debe controlar para que siemprehaya determinado grado de temperatura y de la humedad.

Todos los medios magnticos debern tener etiquetas que definan sucontenido y nivel de seguridad. El control de los medios magnticos debe ser llevado medianteinventarios peridicos.



26/69

Respecto a la Administracin de Impresoras:

Todo listado que especialmente contenga informacin confidencial,debe ser destruido, as como el papel carbn de los formatos de

impresin especiales. Establecer controles de impresin, respetando prioridades de acuerdoa la cola de impresin. Establecer controles respecto a los procesos remotos de impresin.



27/69

Todo el proceso de lograr identificar soluciones ante determinadosproblemas no tendr su efecto verdadero si es que no se realiza una difusinadecuada de todos los puntos importantes que este implica, y un plan deContingencia con mucho mayor razn necesita de la elaboracin de unadocumentacin que sea eficientemente orientada.

Como puntos importantes que debe de incluir esta documentacinpodremos citar las siguientes: Cuadro de descripcin de los equipos y las tareas para ubicar lassoluciones a las contingencias. La documentacin de los riesgos, opciones y soluciones por escrito y endetalle.

La identificacin y documentacin de listas de contacto de emergencia, laidentificacin de responsables de las funciones con el fin de garantizar quesiempre haya alguien a cargo, y que pueda ser contactada si falla unproceso de importancia.

Fase V:Documentacin delProceso


28/69

Fase VI: Pruebas y Validacin

Plan de Recuperacin de DesastresCuando ocurra una contingencia, es esencial que se

conozca al detalle el motivo que la origin y el dao producido, loque permitir recuperar en el menor tiempo posible el proceso

perdido.La elaboracin de los procedimientos que se determinencomo adecuados para un caso de emergencia, deben serplaneados y probados fehacientemente.

Las actividades a realizar en un Plan de Recuperacin deDesastres se pueden clasificar en tres etapas: Actividades Previas al Desastre. Actividades Durante el Desastre. Actividades Despus del Desastre.


29/69

Actividades Previas al DesastreSon todas las actividades de planeamiento, preparacin,

entrenamiento y ejecucin de las actividades de resguardo de lainformacin, que nos aseguren un proceso de Recuperacin con

el menor costo posible a nuestra Institucin.

Podemos detallar las siguientes Actividades Generales :- Establecimiento del Plan de Accin.- Formacin de Equipos Operativos.-Formacin de Equipos de Evaluacin (auditora decumplimiento de los procedimientos sobre Seguridad).



30/69


Establecimiento de Plan de Accin

En esta fase de Planeamiento se debe deestablecer los procedimientos relativos a:a) Sistemas e Informacin.b) Equipos de Cmputo.c) Obtencin y almacenamiento de los Respaldos deInformacin (BACKUPS).

d) Polticas (Normas y Procedimientos de Backups


31/69

Fase VI: Pruebas y ValidacinSistemas de Informacin.La Institucin deber tener una relacin de los Sistemas de Informacincon los que cuenta, tanto los realizados por el centro de cmputo como loshechos por las reas usuarias. Debiendo identificar toda informacinsistematizada o no, que sea necesaria para la buena marcha Institucional.La relacin de Sistemas de Informacin deber detallar los siguientesdatos: Nombre del Sistema. Lenguaje o Paquete con el que fue creado el Sistema. Programas que loconforman (tanto programas fuentes como programas objetos, rutinas,macros, etc.).

La Direccin (Gerencia, Departamento, etc.) que genera la informacinbase (el dueo del Sistema). Las unidades o departamentos (internos/externos) que usan lainformacin del Sistema. El volumen de los archivos que trabaja el Sistema.


32/69


33/69

Equipos de Cmputo.Aparte de las Normas de Seguridad, hay que tener en cuenta:

Inventario actualizado de los equipos de manejo de informacin(computadoras, lectoras de microfichas, impresoras, etc.), especificandosu contenido (software que usa, principales archivos que contiene), suubicacin y nivel de uso Institucional. Plizas de Seguros Comerciales. Como parte de la proteccin de losActivos Institucionales, pero haciendo la salvedad en el contrato, que encasos de siniestros, la restitucin del Computador siniestrado se podrhacer por otro de mayor potencia (por actualizacin tecnolgica), siemprey cuando est dentro de los montos asegurados.

Sealizacin o etiquetado de los Computadores de acuerdo a laimportancia de su contenido, para ser priorizados en caso de evacuacin.Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores,color amarillo a las PC's con Informacin importante o estratgica y colorverde a las PC's de contenidos



34/69

Obtencin y Almacenamiento de los Respaldos de Informacin

(BACKUPS).Se deber establecer los procedimientos para la obtencin de copias deSeguridad de todos los elementos de software necesarios para asegurarla correcta ejecucin de los Sistemas o aplicativos de la Institucin. Paralo cual se debe contar con: Backups del Sistema Operativo (en caso de tener varios Sistemas

Operativos o versiones, se contar con una copia de cada uno de ellos). Backups del Software Base (Paquetes y/o Lenguajes deProgramacin). Backups del Software Aplicativo (Considerando tanto los programasfuentes, como los programas objetos correspondientes, y cualquier otrosoftware o procedimiento que tambin trabaje con la data, para producirlos resultados con los cuales trabaja el usuario final). Se debe considerartambin las copias de los listados fuentes de los programas definitivos,para casos de problemas.Backups de los Datos (Bases de Datos, Indices, tablas de validacin,passwords, y todo archivo necesario para la correcta ejecucin delSoftware Aplicativo.



35/69

Polticas (Normas y Procedimientos de Backups)Se debe establecer los procedimientos, normas, y determinacin deresponsabilidades en la obtencin de los Backups mencionadosanteriormente debindose incluir: Periodicidad de cada Tipo de Backup. Respaldo de Informacin de movimiento entre los perodos que no se

sacan Backups (backups incrementales). Uso obligatorio de un formulario estndar para el registro y control de losBackups. Correspondencia entre la relacin de Sistemas e Informaciones necesariaspara la buena marcha de la empresa, y los backups efectuados. Almacenamiento de los Backups en condiciones ambientales ptimas,

dependiendo del medio magntico empleado. Reemplazo de los Backups, en forma peridica, antes que el mediomagntico de soporte se pueda deteriorar (reciclaje o refresco). Almacenamiento de los Backups en locales diferentes donde reside lainformacin primaria (evitando la prdida si el desastre alcanzo todo eledificio o local estudiado).

Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.



36/69

Formacin de Equipos Operativos

En cada unidad operativa de la Institucin, que almacene informacin ysirva para la operatividad Institucional, se deber designar un responsablede la seguridad de la Informacin de su unidad. Pudiendo ser el jefe dedicha Area Operativa. Sus labores sern: Ponerse en contacto con los propietarios de las aplicaciones y trabajar

con ellos. Proporcionar soporte tcnico para las copias de respaldo de lasaplicaciones. Planificar y establecer los requerimientos de los sistemas operativosen cuanto a archivos, bibliotecas, utilitarios, etc., para los principalessistemas y subsistemas. Supervisar procedimientos de respaldo y restauracin. Supervisar la carga de archivos de datos de las aplicaciones, y lacreacin de los respaldos incrementales.



37/69

Ejecutar trabajos de recuperacin.Coordinar lneas, terminales, mdem, otros aditamentos paracomunicaciones. Establecer procedimientos de seguridad en los sitios de recuperacin. Organizar la prueba de hardware y software. Cargar y probar archivos del sistema operativo y otros sistemas

almacenados en el local alternante. Realizar procedimientos de control de inventario y seguridad delalmacenamiento en el local alternante. Establecer y llevar a cabo procedimientos para restaurar el lugar derecuperacin. Participar en las pruebas y simulacros de desastres.



38/69

Actividades Durante el DesastreUna vez presentada la Contingencia o Siniestro, se

deber ejecutar lassiguientes actividades, planificadas previamente:

a) Plan de Emergencias.b) Formacin de Equipos.

c) Entrenamiento.



39/69

a) Plan de EmergenciasEn este plan se establecen las acciones se deben realizar cuandose presente un Siniestro, as como la difusin de las mismas. Es convenienteprever los posibles escenarios de ocurrencia del Siniestro:

Durante el da.Durante la Noche o madrugada.

Este plan deber incluir la participacin y actividades a realizar portodas y cada una de las personas que se pueden encontrar presentes en elrea donde ocurre el siniestro, debiendo detallar : Vas de salida o escape. Plan de Evacuacin del Personal. Plan de puesta a buen recaudo de los activos (incluyendo los activos de

Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores,

cobertores contra agua, etc.) Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de

iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefaturade Seguridad y de su personal (equipos de seguridad) nombrados para estos

casos.



40/69

b) Formacin de Equipos

Establecer claramente cada equipo (nombres, puestos,ubicacin, etc.) con funciones claramente definidas a ejecutar durante

el siniestro. Si bien la premisa bsica es la proteccin de la Integridaddel personal, en caso de que el siniestro lo permita (por estar en uninicio o estar en una rea cercana, etc.), deber de existir dos equiposde personas que acten directamente durante el siniestro, un equipopara combatir el siniestro y otro para el salvamento de los recursosInformticos, de acuerdo a los lineamientos o clasificacin de

prioridades.



41/69

c) Entrenamiento

Establecer un programa de prcticas peridicas de todo elpersonal en la lucha contra los diferentes tipos de siniestros, de acuerdoa los roles que se le hayan asignado en los planes de evacuacin delpersonal o equipos, para minimizar costos se puede aprovechar fechasde recarga de extinguidores, charlas de los proveedores, etc.

Un aspecto importante es que el personal tome conciencia deque los siniestros (incendios, inundaciones, terremotos, apagones, etc.)pueden realmente ocurrir, y tomen con seriedad y responsabilidad estosentrenamientos, para estos efectos es conveniente que participen los

elementos directivos, dando el ejemplo de la importancia que la altadireccin otorga a la Seguridad Institucional.



42/69


43/69

a) Evaluacin de Daos.

Inmediatamente despus que el siniestro ha concluido, se deberevaluar la magnitud del dao que se ha producido, que sistemas se estnafectando, que equipos han quedado no operativos, cuales se pueden

recuperar, y en cuanto tiempo, etc.Adicionalmente se deber lanzar un pre-aviso a la Institucin conla cual tenemos el convenio de respaldo, para ir avanzando en las laboresde preparacin de entrega de los equipos por dicha Institucin.



44/69

b) Priorizacin de Actividades del Plan de Accin.

Toda vez que el Plan de Accin es general y contempla unaprdida total, la evaluacin de daos reales y su comparacin contra elPlan, nos dar la lista de las actividades que debemos realizar, siemprepriorizndola en vista a las actividades estratgicas y urgentes de nuestraInstitucin.

Es importante evaluar la dedicacin del personal a actividadesque puedan no haberse afectado, para ver su asignamiento temporal a lasactividades afectadas, en apoyo al personal de los sistemas afectados y

soporte tcnico.



45/69

c) Ejecucin de Actividades.

La ejecucin de actividades implica la creacin de equipos de trabajopara realizar las actividades previamente planificadas en el Plan de accin.

Cada uno de estos equipos deber contar con un coordinador quedeber reportar diariamente el avance de los trabajos de recuperacin y, encaso de producirse algn problema, reportarlo de inmediato a la jefatura acargo del Plan de Contingencias.

Los trabajos de recuperacin tendrn dos etapas, la primera larestauracin del servicio usando los recursos de la Institucin o local derespaldo, y la segunda etapa es volver a contar con los recursos en las

cantidades y lugares propios del Sistema de Informacin, debiendo ser estaltima etapa lo suficientemente rpida y eficiente para no perjudicar el buenservicio de nuestro Sistema e imagen Institucional, como para no perjudicar laoperatividad de la Institucin o local de respaldo.



46/69

d) Evaluacin de Resultados

Una vez concluidas las labores de Recuperacin del (los)Sistema(s) que fueron afectados por el siniestro, debemos de evaluarobjetivamente, todas las actividades realizadas, que tan bien se hicieron,que tiempo tomaron, que circunstancias modificaron (aceleraron oentorpecieron) las actividades del plan de accin, como se comportaron losequipos de trabajo, etc.

De la Evaluacin de resultados y del siniestro en si, deberan desalir dos tipos de recomendaciones, una la retroalimentacin del plan deContingencias y otra una lista de recomendaciones para minimizar losriesgos y prdida que ocasionaron el siniestro.

e) Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, debemos de optimizar el plan deaccin original, mejorando las actividades que tuvieron algn tipo dedificultad y reforzando los elementos que funcionaron adecuadamente.

El otro elemento es evaluar cual hubiera sido el costo de no habertenido nuestra Institucin el plan de contingencias llevado a cabo.



47/69

La fase de implementacin se da cuandohan ocurrido o estn por ocurrir los problemas paraeste caso se tiene que tener preparado los planes

de contingencia para poder aplicarlos. Puedetambin tratarse esta etapa como una pruebacontrolada.

Fase VII: Implementacin


48/69

La fase de Monitoreo nos dar la seguridad de que podamosreaccionar en el tiempo preciso y con la accin correcta. Esta fase esprimordialmente de mantenimiento. Cada vez que se da un cambio en lainfraestructura, debemos de realizar un mantenimiento correctivo o deadaptacin.

Un punto donde se tiene que actuar es por ejemplo cuando se ha

identificado un nuevo riesgo o una nueva solucin. En este caso, toda laevaluacin del riesgo se cambia, y comienza un nuevo ciclo completo, a pesarde que este esfuerzo podra ser menos exigente que el primero.

Esto es importante ya que nos alimentamos de las nuevasposibilidades de soluciones ante nuevos casos que se puedan presentar.Podramos enumerar las actividades principales a realizar:

Desarrollo de un mapa de funciones y factores de riesgo. Establecer los procedimientos de mantenimiento para la documentacin y larendicin de informes referentes a los riesgos. Revisin continua de las aplicaciones. Revisin continua del sistema de backup Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento

de Datos.

Fase VIII: Monitoreo


49/69

Visin Prctica para realizar un Plan deContingencias de los sistemas de

informacin

ETAPA 1

Anlisis ySeleccin de las

Operacionescrticas

ETAPA 2

Identificacin deProcesos en cada

operacin

ETAPA 3

Listar los recursosutilizados por las

operaciones

ETAPA 4

Especificar losescenarios donde

ocurriran losproblemas

ETAPA 5

Determinar y detallarmedidas preventivas

ETAPA 6

Formacin yfunciones de los

grupos de trabajo

ETAPA 7

Desarrollo de losplanes de accin

ETAPA 8Preparar lista de

personas yorganizaciones conquien comunicarse

ETAPA 9

Prueba y Monitoreo


50/69

En esta etapa hay que definir cuales sern nuestras operacionescrticas y tienen que ser definidas en funcin a los componentes de lossistemas de informacin los cuales son: Datos, Aplicaciones, TecnologaHardware y Software, instalaciones y personal.

Dentro de las cuales podemos identificar las siguientes, staspueden variar de sistema a sistema :

Reportes Impresos de Informes del Sistema. Consultas a las Bases de Datos va Internet. Consultas a las Bases de Datos va LAN. Sistema de Backup y Recuperacin de Datos. Sistema de ingreso y modificacin en la Base de Datos de documentos quellegan y salen al exterior. Los Servidores de Bases de Datos y Aplicaciones. Los Servicios de Red. Los Medios de Transmisin. Las Topologas de Red. Los Mtodos de control de acceso.

Etapa 1: Anlisis y Seleccin deOperaciones crticas


51/69

Se ha listado los procesos crticos de manera genrica y evaluado su grado

de importancia en funcin a la magnitud del impacto si los procesos puedendetenerse, y luego clasificados en niveles H (Alta), R (Regular) y L (Bajo)

Se tiene que elaborar una tabla denominada Operaciones Crticas de losSI, que consta de tres campos: Operaciones crticas Objetivo de la Operacin Prioridad de la Operacin

Operaciones Crticas Objetivos de la Operacin Prioridad

Reportes Impresos deInformes del Sistema

Informes de los estados financieros de la organizacin.Informes de plantillas del personal. Informes de produccin mensual, anual.

R

Consultas a las Bases

de Datos va Internet

Informes a los clientes.

Informacin a los proveedores. Sistema de ventas va Internet.

L

Consultas a las Bases deDatos va LAN

Inventarios Revistas, electrnicas

R

Sistema de Backup yRecuperacin de Data

Procesos de Backups de la informacin.Establecimiento de las frecuencias de almacenamientode datos

H


52/69

OPERACION PRINCIPAL CONTENIDO DE LA OPERACION PRIORIDAD

Ventas (A) Ventas a los clientes R

Ordenes aceptadas (B) Aceptar rdenes de los clientes Administracin de las ventas a crdito

H

Envio y Reparto (C) Administracin del inventario Envo de productos Reparto de las ventas a crdito

H

Compras (D) Dando rdenes a los fabricantes Administracin de la compra a crdito

H

Estadisticas ( E) Estadsticas mensuales Estadsticas anuales

R

Procesos Estratgicos del Negocio

Para cada una de las operaciones principales, enumerar sus

procesos. Investigar qu recursos de la empresa (equipamiento, herramientas,sistemas, etc.) son usados, descrbalos y enumrelos


53/69

NMERO DEPROCEDIMIE

NTOS

PROCESOS DENEGOCIOS

RECURSOSUSADOS

NUMERO DESERIE DELRECURSO

B-1 Recepcin de rdenes depedido

Telefonos fijos S-1

PCs S-2

Lineas dedicadas

S-3

B-2 Confirmar la cantidadtotal linea de orden

recibidas

Sistema deaceptacin de

la orden (Software)

S-4

B-3 Confirmar si secuenta con el

Stock paraatender lospedidos


la orden

S-4

B-4 Registrar lasrdenes


la orden

S-4

Anlisis de un Proceso de Negocio:Nombre de la Operacin: Aceptacin de Ordenes de Compra


54/69

Periodos aceptables de interrupcin

N Serie del

Recurso

recurso Operaciones

que lo usan

Frecuencia de

Uso

Perodo

aceptable deinterrupcin

S1-1 PCs (Red) B1 Todo el dia Medio da

S1-2 PCs (Red) B1 Todo el dia Medio da

S2-1 Software (red) B1 Todo el dia Medio da

K1 Todo el dia Medio daS2-2 Software de

administracinde

Compras

B1 Todo el dia Medio da

B5 Todo el dia Medio da

K1 Todo el dia Medio da

Estudio Puntual de Fallas Considerando el contenido de cada operacin, determinar cuanto

tiempo una interrupcin puede ser tolerada. Describir con que frecuencia se utiliza un recurso y que tiempo una

parada o interrupcin bloquea la operacin.


55/69

Etapa 2: Identificacin deProcesos en cada Operacin

Para cada una de las operaciones crticas en la Etapa 1, se debeenumerar los procesos que tienen.

Los responsables de desarrollar los planes de contingencia debende coordinar en cooperacin con el personal a cargo de las operaciones delos Sistemas Analizados, los cuales son conocedores de dichos procesos

crticos. Se debe de investigar que recursos administrativos (equipamiento,herramientas, sistemas, etc.) son usados en cada proceso, se ha descrito ycodificado cada recurso, como: sistema elctrico, tarjetas, transporte, red dedatos, PC's. A su vez tambin se ha determinado su nivel de riesgo, comocrticos y no crticos.

La tabla elaborada contiene cinco campos:

Cdigo de procedimientos Procesos Recursos Utilizados Cdigo del Recurso Nivel de Riesgo


56/69

Cdigo Proceso Proceso Plan de

Contingencia

Cdigo Recurso Nivel de Riesgo

E-1

Proceso de losprogramas querealizan la

entrada ysalida de lainformacin

Sistema elctricos R1 Crtico

Redes de datos R2 Crtico

Servidores R3 Crtico

Sistemas deGestin

R4 Crtico

Impresoras R5 Crtico

Humanos R6 Crtico

PCs R7 Crtico

PROCESOS DEL AREA ANALIZADA


57/69

Etapa 3: Listar los recursosusados por cada Operacin

En esta etapa se identifica a los proveedores de los servicios y recursosusados, considerados crticos, para los procesos de cada operacin en laEtapa 2. Se tiene que identificar los recursos asociados al Sistema de Informacin,basados en los cdigos del recurso descritos en la etapa 2. Se investiga y describe, si los recursos estn dentro del Sistema deInformacin o fuera de este, (como compra a otros proveedores de serviciosexternos o productos). Se investiga y describe a los proveedores de servicios y recursos. La importancia de un mismo recurso difiere de operacin en operacin.Para esto se seala a que operaciones esta relacionado el mismo recurso,esto es necesario para determinar las medidas preventivas para posiblesproblemas del Sistema de Informacin.


58/69

N Serie delRecurso

Recurso Ubicacin Proveedordel Servicio

Operaciones que usanel recurso

S1-1 PCs externo Proveedor A B-1

S1-2 interno Soportetcnico

B-1

S2-1 Software deadministracinde compras

Externo Proveedor A B-1, B-5

S2-2 interno SoporteTcnico

Lista de Recursos Utilizados

Se utiliza las nomenclaturas para identificar los procedimientos y a queproceso pertenece. Enumerar Recursos Utilizados para los Procesos Describir ubicaciones de proveedores de servicios por los procesos decada operacin.

Investigue y describa a los proveedores de servicios


59/69

Etapa 4: Especificacin de escenariosen los cuales puede ocurrir problemas

En consideracin de la condicin de preparar medidas preventivas paracada recurso, se ha evaluado su posibilidad de ocurrencia del problemacomo (alta, mediana, pequea). Se calcular y describir el perodo que se pasar hasta la recuperacinen caso de problemas, basados en informacin confirmada relacionada

con los Sistemas de informacin.

Recurso Probabilidad de Falla

Alta Media Baja Ninguna

S1 X

S2 X

S3 X


60/69

Problemas probables a ocurrir

N SeriedelRecurso

Recurso Proveedordel Servicio Operacionesque usan elrecurso

Medidaspreventivas

Probabilidad delProblema

Tiemponecesariopara larecuperacin

Frecuencia deUso

S1-1 PCs Proveedor A B-1 Preparado Baja 10 minutos 24 horas

S1-2 Soportetcnico

B-1 Programado Media /Alta

2 horas 15 horas

S2-1 Software deadministracin decompras

Proveedor A B-1, B-5 Preparado Media /Alta

2 horas 15 horas

S2-2 SoporteTcnico

B-1 Preparado Media /Alta

2 horas 15 horas

Cdigo del Recurso Recurso Proveedor del Servicio Resultados Confirmados Anlisis de Riesgo (probabilidad del problema, perodo necesario para larecuperacin, frecuencia de uso)


61/69

Orden Procesos Procedimientos Medida Alternativa

1 Proceso de losprogramas querealizan la entrada ysalida de lainformacin

Ingreso y recepcin deexpedientes (cartas, oficios, informes,etc.) Envo de los documentos atodas las reas de lainstitucinSalida de documentos(cartas,

oficios, informes, etc

Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna.

2 Mantenimientoadecuado de lasaplicaciones

Programacin de cronogramade mantenimiento Elaboracin de rdenes decompra y rdenes de servicios

Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna

3 Equipamientonecesario para unfuncionamientooptimo del sistema

Actividades de soportetcnico para casos de fallas Almacn de control de bienes Programacin derequerimientos

Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna

Detalle de Medidas Alternativas por procesos


62/69

Etapa 5: Determinar y detallarmedidas preventivas

Se ha determinado y descrito las medidas preventivas para cadarecurso utilizado en el uso y mantenimiento de los Sistemas deInformacin, cuando los problemas ocurran, considerando el entorno deproblemas que suceden y el perodo de interrupcin aceptable que se

estima en la etapa 4.Si hay mas de un conjunto de medidas preventivas para unrecurso, se ha determinado cual se empleara, para tomar enconsideracin sus costos y efectos.

Los campos principales considerados en la tabla 5 son lossiguientes:

Cdigo del Recurso Recurso Problema Asumido (Anlisis de Riesgo) Medidas preventivas / alternativas


63/69


64/69

Etapa 6: Formacin y funcionesde grupos de trabajo

Se debe determinar claramente los pasos para establecer losGrupos de Trabajo, desde las acciones en la fase inicial, las cualesson importantes para el manejo de la crisis de administracin.

Los Grupos de Trabajo permanecern en operacin cuandolos problemas ocurran, para tratar de solucionarlos.

Se elaborar un Organigrama de la estructura funcional de losGrupos de Trabajo del sistema administrativo de los SI.

Direccin Nombre Cargo Funciones


65/69

8 i d


66/69

Etapa 8: Preparar Lista de Personas uOrganizaciones para comunicar en caso de

emergencia

Direccin Cargo Empleado PrimerNmero decontacto

SegundoNmero decontacto

Cdigodelrecurso

Recurso Proveedor delservicio

Dpto. acargo

Personaa cargo

Telfono

Formato Lista telefnica de proveedores de Servicio

Formato Lista telefnica del personal esencial en caso deemergencia


67/69

rea

afectada

Riesgo

Identificado

Impacto rea

seleccionada

Probabili

dad defalla

Area de

accin

Prioridad Estrategia

demitigacin

Todas lasoficinas

Prdida delSoftware delCliente

Todas lasoficinas

Falla delsoftware deadministraci

n decompra

Todas lasoficinas

Fallas de losservicios dered(servidores)

Tabla de Anlisis de Riesgo


68/69


69/69

Plan de Contingencias Informatico

Documents

Transcript of Plan de Contingencias Informatico