plan de contingencias informatico
Post on 05-Apr-2018
220 Views
Preview:
TRANSCRIPT
-
7/31/2019 Plan de Contingencias Informatico
1/69
-
7/31/2019 Plan de Contingencias Informatico
2/69
Privacidad
Se define como el derecho que tienen los individuos yorganizaciones para determinar, ellos mismos, a quin, cundo y quinformacin referente a ellos sern difundidas o transmitidas a otros.
Se refiere a las medidas tomadas con la finalidad de preservar losdatos o informacin que en forma no autorizada, sea accidental ointencionalmente, puedan ser modificados, destruidos o simplemente
divulgados.
Seguridad
Conceptos Bsicos
-
7/31/2019 Plan de Contingencias Informatico
3/69
Integridad
Se refiere a que los valores de los datos se mantengan tal comofueron puestos intencionalmente en un sistema. Las tcnicas de integridadsirven para prevenir que existan valores errados en los datos provocadospor el software de la base de datos, por fallas de programas, del sistema,hardware o errores humanos.
Trmino general usado para cualquier accin o evento que intenteinterferir con el funcionamiento adecuado de un sistema informtico, o
intento de obtener de modo no autorizado la informacin confiada a unacomputadora.
Ataque
-
7/31/2019 Plan de Contingencias Informatico
4/69
Intento de obtener informacin o recursos de una computadora
personal sin interferir con su funcionamiento, como espionaje electrnico,telefnico o la intercepcin de una red. Todo sto puede dar informacinimportante sobre el sistema, as como permitir la aproximacin de los datosque contiene.
Ataque Pasivo
Accin iniciada por una persona que amenaza con interferir elfuncionamiento adecuado de una computadora, o hace que se difunda demodo no autorizado informacin confiada a una computadora personal.Ejemplo: El borrado intencional de archivos, la copia no autorizada dedatos o la introduccin de un virus diseado para interferir el
funcionamiento de la computadora.
Ataque Activo
-
7/31/2019 Plan de Contingencias Informatico
5/69
Cualquier cosa que pueda interferir con el funcionamientoadecuado de una computadora personal, o causar la difusin no autorizadade informacin confiada a una computadora. Ejemplo: Fallas de suministroelctrico, virus, saboteadores o usuarios descuidados.
Amenaza
Cuando se produce un ataque o se materializa una amenaza,
tenemos un incidente, como por ejemplo las fallas de suministro elctrico oun intento de borrado de un archivo protegido.
Incidente
-
7/31/2019 Plan de Contingencias Informatico
6/69
Desastre
Se puede considerar como un desastre la interrupcinprolongada de los recursos informticos y de comunicacin de unaorganizacin, que no puede remediarse dentro de un periodopredeterminado aceptable y que necesita el uso de un sitio o equipoalterno para su recuperacin.
Ejemplos obvios son los grandes incendios, las inundaciones, losterremotos, las explosiones, los actos de sabotaje, etctera.Estadsticas recientes sobre los tipos ms comunes de desastres
que ocurren muestran que el terrorismo, los incendios y los huracanesson las causas ms comunes en muchos pases.
-
7/31/2019 Plan de Contingencias Informatico
7/69
Plan de Contingencia
Un Plan de contingencias es un instrumento de gestinpara el buen gobierno de las Tecnologas de la Informacin y lasComunicacionesen el dominio del soporte y el desempeo.
Contiene las medidas tcnicas, humanas yorganizativas necesarias para garantizar la continuidad delnegocio y las operaciones de una compaa. Un plan decontingencias es un caso particular de plan de continuidadaplicado al departamento de informtica o tecnologas.
-
7/31/2019 Plan de Contingencias Informatico
8/69
Un Plan de Contingencia de Seguridad Informtica consisteen los pasos que se deben seguir, luego de un desastre, pararecuperar, aunque sea en parte, la capacidad funcional del sistemaaunque, y por lo general, constan de reemplazos de dichos sistemas.
Se entiende por Recuperacin, "tanto la capacidad de seguirtrabajando en un plazo mnimo despus de que se haya producido elproblema, como la posibilidad de volver a la situacin anterior almismo, habiendo reemplazado o recuperado el mximo posible delos recursos e informacin" .
La recuperacin de la informacin se basa en el uso de unapoltica de copias de seguridad (Backup) adecuada.
Plan de Contingencia
-
7/31/2019 Plan de Contingencias Informatico
9/69
Un plan de contingencia es una estrategiaplanificada constituida por un conjunto de recursos derespaldo, una organizacin de emergencia y unos
procedimientos de actuacin encaminada a conseguiruna restauracin progresiva y gil de los servicios denegocios por una paralizacin total o parcial de lacapacidad operativa de la empresa.
Plan de Contingencia
-
7/31/2019 Plan de Contingencias Informatico
10/69
Podramos definir a un plan de contingencias como una
estrategia planificada con una serie de procedimientos que nos faciliten onos orienten a tener una solucin alternativa que nos permita restituirrpidamente los servicios de la organizacin ante la eventualidad de todolo que lo pueda paralizar, ya sea de forma parcial o total.
El plan de contingencia es una herramienta que le ayudar aque los procesos crticos de su empresa u organizacin continenfuncionando a pesar de una posible falla en los sistemascomputarizados. Es decir, un plan que le permite a su negocio uorganizacin, seguir operando aunque sea al mnimo.
Plan de Contingencia
-
7/31/2019 Plan de Contingencias Informatico
11/69
Garantizar la continuidad de las operaciones de loselementos considerados crticos que componen losSistemas de Informacin.
Definir acciones y procedimientos a ejecutar en casode fallas de loselementos que componen un Sistema de Informacin.
Objetivos de un Plan deContingencia
-
7/31/2019 Plan de Contingencias Informatico
12/69
-
7/31/2019 Plan de Contingencias Informatico
13/69
Fase I: Planificacin
La fase de planificacin es la etapa donde se define y prepara elesfuerzo de planificacin de contingencia/continuidad. Las actividades duranteesta fase incluyen: Definicin explcita del alcance, indicando qu es lo que se queda y lo que
se elimina, y efectuando un seguimiento de las ambigedades. Definicin de las fases del plan de eventos (por ejemplo, los perodospreevento, evento, y post-evento) y los aspectos sobresalientes de cada fase. Definicin de una estrategia de planificacin de la continuidad del negocio dealto nivel. Identificacin y asignacin de los grupos de trabajos inciales; definicin de
los roles y responsabilidades. Definicin de las partes ms importantes de un cronograma maestro y supatrn principal. Identificacin de las fuentes de financiamiento y beneficios del negocio;revisin del impacto sobre los negocios.
-
7/31/2019 Plan de Contingencias Informatico
14/69
Duracin del enfoque y comunicacin de las metas y objetivos, incluyendolos objetivos de la empresa. Definicin de estrategias para la integracin, consolidacin, rendicin deinformes y arranque. Definicin de los trminos clave (contingencia, continuidad de los negocios,etc.) Desarrollo de un plan de alto nivel, incluyendo los recursos asignados. Obtencin de la aprobacin y respaldo de la empresa y del personalgerencial de mayor jerarqua. Las pruebas para el plan sern parte de (o mantenidas en conjuncin con)
los ejercicios normalmente programados para la recuperacin de desastres,las pruebas especficas del plan de contingencia de los sistemas deinformacin y la realizacin de pruebas a nivel de todos los clientes.
Fase I: Planificacin
-
7/31/2019 Plan de Contingencias Informatico
15/69
La Fase de Identificacin de Riesgos, buscaminimizar las fallas generadas por cualquier caso encontra del normal desempeo de los sistemas deinformacin a partir del anlisis de los proyectos en
desarrollo, los cuales no van a ser implementados atiempo.
El objetivo principal de la Fase de Reduccin deRiesgo, es el de realizar un anlisis de impacto
econmico y legal, determinar el efecto de fallas de losprincipales sistemas de informacin y produccin de lainstitucin o empresa.
Fase II: Anlisis de Riesgos
-
7/31/2019 Plan de Contingencias Informatico
16/69
-
7/31/2019 Plan de Contingencias Informatico
17/69
Fase III: Identificacin deSoluciones
Identificacin de AlternativasEstos son algunos ejemplos de alternativas que pudieran ayudarle
al inicio del proceso de preparacin. Planifique la necesidad de personal adicional para atender los problemasque ocurran. Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si
fallan los sistemas automatizados. Planifique el cierre y reinicio progresivo de los dispositivos y sistemas quese consideran en riesgo. Instale generadores si no tiene acceso a la red de energa pblica.Disponga del suministro adicional de combustible para los generadores, encaso de fallas elctricas prolongadas.
Disponga de bombas manuales de combustible y selas si fallan laselectrnicas. Elaborar un programa de vacaciones que garantice la presenciapermanente del personal. No haga nada y vea qu pasa esta estrategia es algunas veces llamadaarreglar sobre falla.
-
7/31/2019 Plan de Contingencias Informatico
18/69
Identificacin de eventos activadores
A continuacin se muestran algunos ejemplos de los tipos deeventos que pueden servir como activadores en sus planes decontingencia: Informacin de un vendedor respecto a la tarda entrega o nodisponibilidad de un componente de software. Tardo descubrimiento de serios problemas con una interfaz. Tempranas (no anticipadas) fallas del sistema correccin/reemplazo noest lista para sustituir. Fallas del Sistema (datos corruptos en informes o pantallas,
transacciones prdidas, entre otros). Fallas de interfacesintercambios de datos no cumplen los requisitos. Fallo de la infraestructura regional (energa, telecomunicaciones, sistemasfinancieros) Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).
Fase III: Identificacin deSoluciones
-
7/31/2019 Plan de Contingencias Informatico
19/69
Identificacin de SolucionesEl objetivo es reducir el costo de encontrar una solucin en la medida de lo posible,a tiempo de documentar todos los riesgos identificados.Actividades importantes a realizar: La asignacin de equipos de solucin para cada funcin, rea funcional o rea deriesgo de la organizacin.
La asociacin de soluciones con cada riesgo identificado- se recomienda tener unabanico de alternativas de soluciones. Comparar los riesgos y determinarles pesos respecto a su importancia crtica entrmino del impacto de los mismos. Clasificar los riesgos. La elaboracin de soluciones de acuerdo con el calendario de eventos. La revisin de la factibilidad de las soluciones y las reglas de implementacin.
La identificacin de los modos de implementacin y restricciones que afectan a lassoluciones. La definicin e identificacin de equipos de accin rpida o equipos deintensificacin por rea funcional o de negocios de mayor importancia. Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta asu eficacia y su costo, siendo la meta la solucin ms inteligente.
Fase III: Identificacin deSoluciones
-
7/31/2019 Plan de Contingencias Informatico
20/69
Las estrategias de contingencia / continuidad delos negocios estn diseadas para identificarprioridades y determinar en forma razonable las
soluciones a ser seleccionadas en primera instancia olos riesgos a ser encarados en primer lugar. Hay quedecidir si se adoptarn las soluciones a gran escala,como las opciones de recuperacin de desastres para
un centro de datos.
Fase IV: Estrategias
-
7/31/2019 Plan de Contingencias Informatico
21/69
-
7/31/2019 Plan de Contingencias Informatico
22/69
En Relacin al Centro de Cmputo Es recomendable que el Centro de Cmputo no est ubicado en lasreas de alto trfico de personas o con un alto nmero de invitados. Hasta hace algunos aos la exposicin de los Equipos de Cmputo atravs de grandes ventanales, constituan el orgullo de la organizacin,considerndose necesario que estuviesen a la vista del pblico, siendoconstantemente visitados. Esto ha cambiado de modo radical,principalmente por el riesgo de terrorismo y sabotaje. Se deben evitar, en lo posible, los grandes ventanales, los cualesadems de que permiten la entrada del sol y calor (inconvenientes para elequipo de cmputo), puede ser un riesgo para la seguridad del Centro de
Cmputo. Otra precaucin que se debe tener en la construccin del Centro deCmputo, es que no existan materiales que sean altamente inflamables,que despiden humos sumamente txicos o bien paredes que no quedanperfectamente selladas y despidan polvo.
Fase IV: Estrategias
-
7/31/2019 Plan de Contingencias Informatico
23/69
Fase IV: Estrategias El acceso al Centro de Cmputo debe estar restringido al personalautorizado. El personal de la Institucin deber tener su carn deidentificacin siempre en un lugar visible. Se debe establecer un medio de control de entrada y salida de visitas alcentro de cmputo. Si fuera posible, acondicionar un ambiente o rea de
visitas. Se recomienda que al momento de reclutar al personal se les debe haceradems exmenes psicolgicos y mdico y tener muy en cuenta susantecedentes de trabajo, ya que un Centro de Cmputo depende en granmedida, de la integridad, estabilidad y lealtad del personal. El acceso a los sistemas compartidos por mltiples usuarios y a los
archivos de informacin contenidos en dichos sistemas, debe estarcontrolado mediante la verificacin de la identidad de los usuariosautorizados. Deben establecerse controles para una efectiva disuasin y deteccin, atiempo, de los intentos no autorizados de acceder a los sistemas y a losarchivos de informacin que contienen.
-
7/31/2019 Plan de Contingencias Informatico
24/69
Fase IV: EstrategiasSe recomienda establecer polticas para la creacin de los password yestablecer periodicidad de cambios de los mismos. Establecer polticas de autorizaciones de acceso fsico al ambiente y derevisiones peridicas de dichas autorizaciones. Establecer polticas de control de entrada y salida del personal, as como de
los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrn ser controladospor medios de anulacin del disk drive, cubrindose de esa manera laseguridad contra robos de la informacin y el acceso de virus informticos.Los controles de acceso, el acceso en s y los vigilantes deben estarubicados de tal manera que no sea fcil el ingreso de una persona extraa.
En caso que ingresara algn extrao al centro de Cmputo, que no pasedesapercibido y que no le sea fcil a dicha persona llevarse un archivo. Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sinpermiso por escrito de la Direccin. Asignar a una sola persona la responsabilidad de la proteccin de losequipos en cada rea.
-
7/31/2019 Plan de Contingencias Informatico
25/69
Respecto a la Administracin de la Cintoteca:
Debe ser administrada bajo la lgica de un almacn. Esto implicaingreso y salida de medios magnticos (sean cintas, disquetes
cassettes, cartuchos, Discos remobibles, CD's, etc.), obviamenteteniendo ms cuidado con las salidas. La cintoteca, que es el almacn de los medios magnticos (seancintas, disquetes cassettes, cartuchos, Discos remobibles, CD's, etc.) yde la informacin que contienen, se debe controlar para que siemprehaya determinado grado de temperatura y de la humedad.
Todos los medios magnticos debern tener etiquetas que definan sucontenido y nivel de seguridad. El control de los medios magnticos debe ser llevado medianteinventarios peridicos.
Fase IV: Estrategias
-
7/31/2019 Plan de Contingencias Informatico
26/69
Respecto a la Administracin de Impresoras:
Todo listado que especialmente contenga informacin confidencial,debe ser destruido, as como el papel carbn de los formatos de
impresin especiales. Establecer controles de impresin, respetando prioridades de acuerdoa la cola de impresin. Establecer controles respecto a los procesos remotos de impresin.
Fase IV: Estrategias
-
7/31/2019 Plan de Contingencias Informatico
27/69
Todo el proceso de lograr identificar soluciones ante determinadosproblemas no tendr su efecto verdadero si es que no se realiza una difusinadecuada de todos los puntos importantes que este implica, y un plan deContingencia con mucho mayor razn necesita de la elaboracin de unadocumentacin que sea eficientemente orientada.
Como puntos importantes que debe de incluir esta documentacinpodremos citar las siguientes: Cuadro de descripcin de los equipos y las tareas para ubicar lassoluciones a las contingencias. La documentacin de los riesgos, opciones y soluciones por escrito y endetalle.
La identificacin y documentacin de listas de contacto de emergencia, laidentificacin de responsables de las funciones con el fin de garantizar quesiempre haya alguien a cargo, y que pueda ser contactada si falla unproceso de importancia.
Fase V:Documentacin delProceso
-
7/31/2019 Plan de Contingencias Informatico
28/69
Fase VI: Pruebas y Validacin
Plan de Recuperacin de DesastresCuando ocurra una contingencia, es esencial que se
conozca al detalle el motivo que la origin y el dao producido, loque permitir recuperar en el menor tiempo posible el proceso
perdido.La elaboracin de los procedimientos que se determinencomo adecuados para un caso de emergencia, deben serplaneados y probados fehacientemente.
Las actividades a realizar en un Plan de Recuperacin deDesastres se pueden clasificar en tres etapas: Actividades Previas al Desastre. Actividades Durante el Desastre. Actividades Despus del Desastre.
-
7/31/2019 Plan de Contingencias Informatico
29/69
Actividades Previas al DesastreSon todas las actividades de planeamiento, preparacin,
entrenamiento y ejecucin de las actividades de resguardo de lainformacin, que nos aseguren un proceso de Recuperacin con
el menor costo posible a nuestra Institucin.
Podemos detallar las siguientes Actividades Generales :- Establecimiento del Plan de Accin.- Formacin de Equipos Operativos.-Formacin de Equipos de Evaluacin (auditora decumplimiento de los procedimientos sobre Seguridad).
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
30/69
Fase VI: Pruebas y Validacin
Establecimiento de Plan de Accin
En esta fase de Planeamiento se debe deestablecer los procedimientos relativos a:a) Sistemas e Informacin.b) Equipos de Cmputo.c) Obtencin y almacenamiento de los Respaldos deInformacin (BACKUPS).
d) Polticas (Normas y Procedimientos de Backups
-
7/31/2019 Plan de Contingencias Informatico
31/69
Fase VI: Pruebas y ValidacinSistemas de Informacin.La Institucin deber tener una relacin de los Sistemas de Informacincon los que cuenta, tanto los realizados por el centro de cmputo como loshechos por las reas usuarias. Debiendo identificar toda informacinsistematizada o no, que sea necesaria para la buena marcha Institucional.La relacin de Sistemas de Informacin deber detallar los siguientesdatos: Nombre del Sistema. Lenguaje o Paquete con el que fue creado el Sistema. Programas que loconforman (tanto programas fuentes como programas objetos, rutinas,macros, etc.).
La Direccin (Gerencia, Departamento, etc.) que genera la informacinbase (el dueo del Sistema). Las unidades o departamentos (internos/externos) que usan lainformacin del Sistema. El volumen de los archivos que trabaja el Sistema.
-
7/31/2019 Plan de Contingencias Informatico
32/69
-
7/31/2019 Plan de Contingencias Informatico
33/69
Equipos de Cmputo.Aparte de las Normas de Seguridad, hay que tener en cuenta:
Inventario actualizado de los equipos de manejo de informacin(computadoras, lectoras de microfichas, impresoras, etc.), especificandosu contenido (software que usa, principales archivos que contiene), suubicacin y nivel de uso Institucional. Plizas de Seguros Comerciales. Como parte de la proteccin de losActivos Institucionales, pero haciendo la salvedad en el contrato, que encasos de siniestros, la restitucin del Computador siniestrado se podrhacer por otro de mayor potencia (por actualizacin tecnolgica), siemprey cuando est dentro de los montos asegurados.
Sealizacin o etiquetado de los Computadores de acuerdo a laimportancia de su contenido, para ser priorizados en caso de evacuacin.Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores,color amarillo a las PC's con Informacin importante o estratgica y colorverde a las PC's de contenidos
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
34/69
Obtencin y Almacenamiento de los Respaldos de Informacin
(BACKUPS).Se deber establecer los procedimientos para la obtencin de copias deSeguridad de todos los elementos de software necesarios para asegurarla correcta ejecucin de los Sistemas o aplicativos de la Institucin. Paralo cual se debe contar con: Backups del Sistema Operativo (en caso de tener varios Sistemas
Operativos o versiones, se contar con una copia de cada uno de ellos). Backups del Software Base (Paquetes y/o Lenguajes deProgramacin). Backups del Software Aplicativo (Considerando tanto los programasfuentes, como los programas objetos correspondientes, y cualquier otrosoftware o procedimiento que tambin trabaje con la data, para producirlos resultados con los cuales trabaja el usuario final). Se debe considerartambin las copias de los listados fuentes de los programas definitivos,para casos de problemas.Backups de los Datos (Bases de Datos, Indices, tablas de validacin,passwords, y todo archivo necesario para la correcta ejecucin delSoftware Aplicativo.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
35/69
Polticas (Normas y Procedimientos de Backups)Se debe establecer los procedimientos, normas, y determinacin deresponsabilidades en la obtencin de los Backups mencionadosanteriormente debindose incluir: Periodicidad de cada Tipo de Backup. Respaldo de Informacin de movimiento entre los perodos que no se
sacan Backups (backups incrementales). Uso obligatorio de un formulario estndar para el registro y control de losBackups. Correspondencia entre la relacin de Sistemas e Informaciones necesariaspara la buena marcha de la empresa, y los backups efectuados. Almacenamiento de los Backups en condiciones ambientales ptimas,
dependiendo del medio magntico empleado. Reemplazo de los Backups, en forma peridica, antes que el mediomagntico de soporte se pueda deteriorar (reciclaje o refresco). Almacenamiento de los Backups en locales diferentes donde reside lainformacin primaria (evitando la prdida si el desastre alcanzo todo eledificio o local estudiado).
Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
36/69
Formacin de Equipos Operativos
En cada unidad operativa de la Institucin, que almacene informacin ysirva para la operatividad Institucional, se deber designar un responsablede la seguridad de la Informacin de su unidad. Pudiendo ser el jefe dedicha Area Operativa. Sus labores sern: Ponerse en contacto con los propietarios de las aplicaciones y trabajar
con ellos. Proporcionar soporte tcnico para las copias de respaldo de lasaplicaciones. Planificar y establecer los requerimientos de los sistemas operativosen cuanto a archivos, bibliotecas, utilitarios, etc., para los principalessistemas y subsistemas. Supervisar procedimientos de respaldo y restauracin. Supervisar la carga de archivos de datos de las aplicaciones, y lacreacin de los respaldos incrementales.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
37/69
Ejecutar trabajos de recuperacin.Coordinar lneas, terminales, mdem, otros aditamentos paracomunicaciones. Establecer procedimientos de seguridad en los sitios de recuperacin. Organizar la prueba de hardware y software. Cargar y probar archivos del sistema operativo y otros sistemas
almacenados en el local alternante. Realizar procedimientos de control de inventario y seguridad delalmacenamiento en el local alternante. Establecer y llevar a cabo procedimientos para restaurar el lugar derecuperacin. Participar en las pruebas y simulacros de desastres.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
38/69
Actividades Durante el DesastreUna vez presentada la Contingencia o Siniestro, se
deber ejecutar lassiguientes actividades, planificadas previamente:
a) Plan de Emergencias.b) Formacin de Equipos.
c) Entrenamiento.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
39/69
a) Plan de EmergenciasEn este plan se establecen las acciones se deben realizar cuandose presente un Siniestro, as como la difusin de las mismas. Es convenienteprever los posibles escenarios de ocurrencia del Siniestro:
Durante el da.Durante la Noche o madrugada.
Este plan deber incluir la participacin y actividades a realizar portodas y cada una de las personas que se pueden encontrar presentes en elrea donde ocurre el siniestro, debiendo detallar : Vas de salida o escape. Plan de Evacuacin del Personal. Plan de puesta a buen recaudo de los activos (incluyendo los activos de
Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores,
cobertores contra agua, etc.) Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de
iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefaturade Seguridad y de su personal (equipos de seguridad) nombrados para estos
casos.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
40/69
b) Formacin de Equipos
Establecer claramente cada equipo (nombres, puestos,ubicacin, etc.) con funciones claramente definidas a ejecutar durante
el siniestro. Si bien la premisa bsica es la proteccin de la Integridaddel personal, en caso de que el siniestro lo permita (por estar en uninicio o estar en una rea cercana, etc.), deber de existir dos equiposde personas que acten directamente durante el siniestro, un equipopara combatir el siniestro y otro para el salvamento de los recursosInformticos, de acuerdo a los lineamientos o clasificacin de
prioridades.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
41/69
c) Entrenamiento
Establecer un programa de prcticas peridicas de todo elpersonal en la lucha contra los diferentes tipos de siniestros, de acuerdoa los roles que se le hayan asignado en los planes de evacuacin delpersonal o equipos, para minimizar costos se puede aprovechar fechasde recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia deque los siniestros (incendios, inundaciones, terremotos, apagones, etc.)pueden realmente ocurrir, y tomen con seriedad y responsabilidad estosentrenamientos, para estos efectos es conveniente que participen los
elementos directivos, dando el ejemplo de la importancia que la altadireccin otorga a la Seguridad Institucional.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
42/69
-
7/31/2019 Plan de Contingencias Informatico
43/69
a) Evaluacin de Daos.
Inmediatamente despus que el siniestro ha concluido, se deberevaluar la magnitud del dao que se ha producido, que sistemas se estnafectando, que equipos han quedado no operativos, cuales se pueden
recuperar, y en cuanto tiempo, etc.Adicionalmente se deber lanzar un pre-aviso a la Institucin conla cual tenemos el convenio de respaldo, para ir avanzando en las laboresde preparacin de entrega de los equipos por dicha Institucin.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
44/69
b) Priorizacin de Actividades del Plan de Accin.
Toda vez que el Plan de Accin es general y contempla unaprdida total, la evaluacin de daos reales y su comparacin contra elPlan, nos dar la lista de las actividades que debemos realizar, siemprepriorizndola en vista a las actividades estratgicas y urgentes de nuestraInstitucin.
Es importante evaluar la dedicacin del personal a actividadesque puedan no haberse afectado, para ver su asignamiento temporal a lasactividades afectadas, en apoyo al personal de los sistemas afectados y
soporte tcnico.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
45/69
c) Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de equipos de trabajopara realizar las actividades previamente planificadas en el Plan de accin.
Cada uno de estos equipos deber contar con un coordinador quedeber reportar diariamente el avance de los trabajos de recuperacin y, encaso de producirse algn problema, reportarlo de inmediato a la jefatura acargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera larestauracin del servicio usando los recursos de la Institucin o local derespaldo, y la segunda etapa es volver a contar con los recursos en las
cantidades y lugares propios del Sistema de Informacin, debiendo ser estaltima etapa lo suficientemente rpida y eficiente para no perjudicar el buenservicio de nuestro Sistema e imagen Institucional, como para no perjudicar laoperatividad de la Institucin o local de respaldo.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
46/69
d) Evaluacin de Resultados
Una vez concluidas las labores de Recuperacin del (los)Sistema(s) que fueron afectados por el siniestro, debemos de evaluarobjetivamente, todas las actividades realizadas, que tan bien se hicieron,que tiempo tomaron, que circunstancias modificaron (aceleraron oentorpecieron) las actividades del plan de accin, como se comportaron losequipos de trabajo, etc.
De la Evaluacin de resultados y del siniestro en si, deberan desalir dos tipos de recomendaciones, una la retroalimentacin del plan deContingencias y otra una lista de recomendaciones para minimizar losriesgos y prdida que ocasionaron el siniestro.
e) Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, debemos de optimizar el plan deaccin original, mejorando las actividades que tuvieron algn tipo dedificultad y reforzando los elementos que funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no habertenido nuestra Institucin el plan de contingencias llevado a cabo.
Fase VI: Pruebas y Validacin
-
7/31/2019 Plan de Contingencias Informatico
47/69
La fase de implementacin se da cuandohan ocurrido o estn por ocurrir los problemas paraeste caso se tiene que tener preparado los planes
de contingencia para poder aplicarlos. Puedetambin tratarse esta etapa como una pruebacontrolada.
Fase VII: Implementacin
-
7/31/2019 Plan de Contingencias Informatico
48/69
La fase de Monitoreo nos dar la seguridad de que podamosreaccionar en el tiempo preciso y con la accin correcta. Esta fase esprimordialmente de mantenimiento. Cada vez que se da un cambio en lainfraestructura, debemos de realizar un mantenimiento correctivo o deadaptacin.
Un punto donde se tiene que actuar es por ejemplo cuando se ha
identificado un nuevo riesgo o una nueva solucin. En este caso, toda laevaluacin del riesgo se cambia, y comienza un nuevo ciclo completo, a pesarde que este esfuerzo podra ser menos exigente que el primero.
Esto es importante ya que nos alimentamos de las nuevasposibilidades de soluciones ante nuevos casos que se puedan presentar.Podramos enumerar las actividades principales a realizar:
Desarrollo de un mapa de funciones y factores de riesgo. Establecer los procedimientos de mantenimiento para la documentacin y larendicin de informes referentes a los riesgos. Revisin continua de las aplicaciones. Revisin continua del sistema de backup Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento
de Datos.
Fase VIII: Monitoreo
-
7/31/2019 Plan de Contingencias Informatico
49/69
Visin Prctica para realizar un Plan deContingencias de los sistemas de
informacin
ETAPA 1
Anlisis ySeleccin de las
Operacionescrticas
ETAPA 2
Identificacin deProcesos en cada
operacin
ETAPA 3
Listar los recursosutilizados por las
operaciones
ETAPA 4
Especificar losescenarios donde
ocurriran losproblemas
ETAPA 5
Determinar y detallarmedidas preventivas
ETAPA 6
Formacin yfunciones de los
grupos de trabajo
ETAPA 7
Desarrollo de losplanes de accin
ETAPA 8Preparar lista de
personas yorganizaciones conquien comunicarse
ETAPA 9
Prueba y Monitoreo
-
7/31/2019 Plan de Contingencias Informatico
50/69
En esta etapa hay que definir cuales sern nuestras operacionescrticas y tienen que ser definidas en funcin a los componentes de lossistemas de informacin los cuales son: Datos, Aplicaciones, TecnologaHardware y Software, instalaciones y personal.
Dentro de las cuales podemos identificar las siguientes, staspueden variar de sistema a sistema :
Reportes Impresos de Informes del Sistema. Consultas a las Bases de Datos va Internet. Consultas a las Bases de Datos va LAN. Sistema de Backup y Recuperacin de Datos. Sistema de ingreso y modificacin en la Base de Datos de documentos quellegan y salen al exterior. Los Servidores de Bases de Datos y Aplicaciones. Los Servicios de Red. Los Medios de Transmisin. Las Topologas de Red. Los Mtodos de control de acceso.
Etapa 1: Anlisis y Seleccin deOperaciones crticas
-
7/31/2019 Plan de Contingencias Informatico
51/69
Se ha listado los procesos crticos de manera genrica y evaluado su grado
de importancia en funcin a la magnitud del impacto si los procesos puedendetenerse, y luego clasificados en niveles H (Alta), R (Regular) y L (Bajo)
Se tiene que elaborar una tabla denominada Operaciones Crticas de losSI, que consta de tres campos: Operaciones crticas Objetivo de la Operacin Prioridad de la Operacin
Operaciones Crticas Objetivos de la Operacin Prioridad
Reportes Impresos deInformes del Sistema
Informes de los estados financieros de la organizacin.Informes de plantillas del personal. Informes de produccin mensual, anual.
R
Consultas a las Bases
de Datos va Internet
Informes a los clientes.
Informacin a los proveedores. Sistema de ventas va Internet.
L
Consultas a las Bases deDatos va LAN
Inventarios Revistas, electrnicas
R
Sistema de Backup yRecuperacin de Data
Procesos de Backups de la informacin.Establecimiento de las frecuencias de almacenamientode datos
H
-
7/31/2019 Plan de Contingencias Informatico
52/69
OPERACION PRINCIPAL CONTENIDO DE LA OPERACION PRIORIDAD
Ventas (A) Ventas a los clientes R
Ordenes aceptadas (B) Aceptar rdenes de los clientes Administracin de las ventas a crdito
H
Envio y Reparto (C) Administracin del inventario Envo de productos Reparto de las ventas a crdito
H
Compras (D) Dando rdenes a los fabricantes Administracin de la compra a crdito
H
Estadisticas ( E) Estadsticas mensuales Estadsticas anuales
R
Procesos Estratgicos del Negocio
Para cada una de las operaciones principales, enumerar sus
procesos. Investigar qu recursos de la empresa (equipamiento, herramientas,sistemas, etc.) son usados, descrbalos y enumrelos
-
7/31/2019 Plan de Contingencias Informatico
53/69
NMERO DEPROCEDIMIE
NTOS
PROCESOS DENEGOCIOS
RECURSOSUSADOS
NUMERO DESERIE DELRECURSO
B-1 Recepcin de rdenes depedido
Telefonos fijos S-1
PCs S-2
Lineas dedicadas
S-3
B-2 Confirmar la cantidadtotal linea de orden
recibidas
Sistema deaceptacin de
la orden (Software)
S-4
B-3 Confirmar si secuenta con el
Stock paraatender lospedidos
Sistema deaceptacin de
la orden
S-4
B-4 Registrar lasrdenes
Sistema deaceptacin de
la orden
S-4
Anlisis de un Proceso de Negocio:Nombre de la Operacin: Aceptacin de Ordenes de Compra
-
7/31/2019 Plan de Contingencias Informatico
54/69
Periodos aceptables de interrupcin
N Serie del
Recurso
recurso Operaciones
que lo usan
Frecuencia de
Uso
Perodo
aceptable deinterrupcin
S1-1 PCs (Red) B1 Todo el dia Medio da
S1-2 PCs (Red) B1 Todo el dia Medio da
S2-1 Software (red) B1 Todo el dia Medio da
K1 Todo el dia Medio daS2-2 Software de
administracinde
Compras
B1 Todo el dia Medio da
B5 Todo el dia Medio da
K1 Todo el dia Medio da
Estudio Puntual de Fallas Considerando el contenido de cada operacin, determinar cuanto
tiempo una interrupcin puede ser tolerada. Describir con que frecuencia se utiliza un recurso y que tiempo una
parada o interrupcin bloquea la operacin.
-
7/31/2019 Plan de Contingencias Informatico
55/69
Etapa 2: Identificacin deProcesos en cada Operacin
Para cada una de las operaciones crticas en la Etapa 1, se debeenumerar los procesos que tienen.
Los responsables de desarrollar los planes de contingencia debende coordinar en cooperacin con el personal a cargo de las operaciones delos Sistemas Analizados, los cuales son conocedores de dichos procesos
crticos. Se debe de investigar que recursos administrativos (equipamiento,herramientas, sistemas, etc.) son usados en cada proceso, se ha descrito ycodificado cada recurso, como: sistema elctrico, tarjetas, transporte, red dedatos, PC's. A su vez tambin se ha determinado su nivel de riesgo, comocrticos y no crticos.
La tabla elaborada contiene cinco campos:
Cdigo de procedimientos Procesos Recursos Utilizados Cdigo del Recurso Nivel de Riesgo
-
7/31/2019 Plan de Contingencias Informatico
56/69
Cdigo Proceso Proceso Plan de
Contingencia
Cdigo Recurso Nivel de Riesgo
E-1
Proceso de losprogramas querealizan la
entrada ysalida de lainformacin
Sistema elctricos R1 Crtico
Redes de datos R2 Crtico
Servidores R3 Crtico
Sistemas deGestin
R4 Crtico
Impresoras R5 Crtico
Humanos R6 Crtico
PCs R7 Crtico
PROCESOS DEL AREA ANALIZADA
-
7/31/2019 Plan de Contingencias Informatico
57/69
Etapa 3: Listar los recursosusados por cada Operacin
En esta etapa se identifica a los proveedores de los servicios y recursosusados, considerados crticos, para los procesos de cada operacin en laEtapa 2. Se tiene que identificar los recursos asociados al Sistema de Informacin,basados en los cdigos del recurso descritos en la etapa 2. Se investiga y describe, si los recursos estn dentro del Sistema deInformacin o fuera de este, (como compra a otros proveedores de serviciosexternos o productos). Se investiga y describe a los proveedores de servicios y recursos. La importancia de un mismo recurso difiere de operacin en operacin.Para esto se seala a que operaciones esta relacionado el mismo recurso,esto es necesario para determinar las medidas preventivas para posiblesproblemas del Sistema de Informacin.
-
7/31/2019 Plan de Contingencias Informatico
58/69
N Serie delRecurso
Recurso Ubicacin Proveedordel Servicio
Operaciones que usanel recurso
S1-1 PCs externo Proveedor A B-1
S1-2 interno Soportetcnico
B-1
S2-1 Software deadministracinde compras
Externo Proveedor A B-1, B-5
S2-2 interno SoporteTcnico
Lista de Recursos Utilizados
Se utiliza las nomenclaturas para identificar los procedimientos y a queproceso pertenece. Enumerar Recursos Utilizados para los Procesos Describir ubicaciones de proveedores de servicios por los procesos decada operacin.
Investigue y describa a los proveedores de servicios
-
7/31/2019 Plan de Contingencias Informatico
59/69
Etapa 4: Especificacin de escenariosen los cuales puede ocurrir problemas
En consideracin de la condicin de preparar medidas preventivas paracada recurso, se ha evaluado su posibilidad de ocurrencia del problemacomo (alta, mediana, pequea). Se calcular y describir el perodo que se pasar hasta la recuperacinen caso de problemas, basados en informacin confirmada relacionada
con los Sistemas de informacin.
Recurso Probabilidad de Falla
Alta Media Baja Ninguna
S1 X
S2 X
S3 X
-
7/31/2019 Plan de Contingencias Informatico
60/69
Problemas probables a ocurrir
N SeriedelRecurso
Recurso Proveedordel Servicio Operacionesque usan elrecurso
Medidaspreventivas
Probabilidad delProblema
Tiemponecesariopara larecuperacin
Frecuencia deUso
S1-1 PCs Proveedor A B-1 Preparado Baja 10 minutos 24 horas
S1-2 Soportetcnico
B-1 Programado Media /Alta
2 horas 15 horas
S2-1 Software deadministracin decompras
Proveedor A B-1, B-5 Preparado Media /Alta
2 horas 15 horas
S2-2 SoporteTcnico
B-1 Preparado Media /Alta
2 horas 15 horas
Cdigo del Recurso Recurso Proveedor del Servicio Resultados Confirmados Anlisis de Riesgo (probabilidad del problema, perodo necesario para larecuperacin, frecuencia de uso)
-
7/31/2019 Plan de Contingencias Informatico
61/69
Orden Procesos Procedimientos Medida Alternativa
1 Proceso de losprogramas querealizan la entrada ysalida de lainformacin
Ingreso y recepcin deexpedientes (cartas, oficios, informes,etc.) Envo de los documentos atodas las reas de lainstitucinSalida de documentos(cartas,
oficios, informes, etc
Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna.
2 Mantenimientoadecuado de lasaplicaciones
Programacin de cronogramade mantenimiento Elaboracin de rdenes decompra y rdenes de servicios
Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna
3 Equipamientonecesario para unfuncionamientooptimo del sistema
Actividades de soportetcnico para casos de fallas Almacn de control de bienes Programacin derequerimientos
Puesta en funcionamientodel grupo electrgeno Operaciones Manuales Puesta en marcha de unared LAN interna
Detalle de Medidas Alternativas por procesos
-
7/31/2019 Plan de Contingencias Informatico
62/69
Etapa 5: Determinar y detallarmedidas preventivas
Se ha determinado y descrito las medidas preventivas para cadarecurso utilizado en el uso y mantenimiento de los Sistemas deInformacin, cuando los problemas ocurran, considerando el entorno deproblemas que suceden y el perodo de interrupcin aceptable que se
estima en la etapa 4.Si hay mas de un conjunto de medidas preventivas para unrecurso, se ha determinado cual se empleara, para tomar enconsideracin sus costos y efectos.
Los campos principales considerados en la tabla 5 son lossiguientes:
Cdigo del Recurso Recurso Problema Asumido (Anlisis de Riesgo) Medidas preventivas / alternativas
-
7/31/2019 Plan de Contingencias Informatico
63/69
-
7/31/2019 Plan de Contingencias Informatico
64/69
Etapa 6: Formacin y funcionesde grupos de trabajo
Se debe determinar claramente los pasos para establecer losGrupos de Trabajo, desde las acciones en la fase inicial, las cualesson importantes para el manejo de la crisis de administracin.
Los Grupos de Trabajo permanecern en operacin cuandolos problemas ocurran, para tratar de solucionarlos.
Se elaborar un Organigrama de la estructura funcional de losGrupos de Trabajo del sistema administrativo de los SI.
Direccin Nombre Cargo Funciones
-
7/31/2019 Plan de Contingencias Informatico
65/69
8 i d
-
7/31/2019 Plan de Contingencias Informatico
66/69
Etapa 8: Preparar Lista de Personas uOrganizaciones para comunicar en caso de
emergencia
Direccin Cargo Empleado PrimerNmero decontacto
SegundoNmero decontacto
Cdigodelrecurso
Recurso Proveedor delservicio
Dpto. acargo
Personaa cargo
Telfono
Formato Lista telefnica de proveedores de Servicio
Formato Lista telefnica del personal esencial en caso deemergencia
-
7/31/2019 Plan de Contingencias Informatico
67/69
rea
afectada
Riesgo
Identificado
Impacto rea
seleccionada
Probabili
dad defalla
Area de
accin
Prioridad Estrategia
demitigacin
Todas lasoficinas
Prdida delSoftware delCliente
Todas lasoficinas
Falla delsoftware deadministraci
n decompra
Todas lasoficinas
Fallas de losservicios dered(servidores)
Tabla de Anlisis de Riesgo
-
7/31/2019 Plan de Contingencias Informatico
68/69
-
7/31/2019 Plan de Contingencias Informatico
69/69
top related