Desarrollo de un Plan de Contingencia

Conceptos Bsicos
Privacidad
Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quin, cundo y qu informacin referente a ellos sern difundidas o transmitidas a otros.

Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar los datos o informacin que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados.

Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las tcnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos.

Ataque
Trmino general usado para cualquier accin o evento que intente interferir con el funcionamiento adecuado de un sistema informtico, o intento de obtener de modo no autorizado la informacin confiada a una computadora.

Ataque Activo
Accin iniciada por una persona que amenaza con interferir el funcionamiento adecuado de una computadora, o hace que se difunda de modo no autorizado informacin confiada a una computadora personal. Ejemplo: El borrado intencional de archivos, la copia no autorizada de datos o la introduccin de un virus diseado para interferir el funcionamiento de la computadora.

Ataque Pasivo
Intento de obtener informacin o recursos de una computadora personal sin interferir con su funcionamiento, como espionaje electrnico, telefnico o la intercepcin de una red. Todo sto puede dar informacin importante sobre el sistema, as como permitir la aproximacin de los datos que contiene.

Amenaza
Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusin no autorizada de informacin confiada a una computadora. Ejemplo: Fallas de suministro elctrico, virus, saboteadores o usuarios descuidados.

Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente, como por ejemplo las fallas de suministro elctrico o un intento de borrado de un archivo protegido.

Desastre
Se puede considerar como un desastre la interrupcin prolongada de los recursos informticos y de comunicacin de una organizacin, que no puede remediarse dentro de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperacin. Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etctera. Estadsticas recientes sobre los tipos ms comunes de desastres que ocurren muestran que el terrorismo, los incendios y los huracanes son las causas ms comunes en muchos pases.

Plan de Contingencia
Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa. Un plan de contingencias es un caso particular de plan de continuidad aplicado al departamento de informtica o tecnologas.

Plan de Contingencia
Un Plan de Contingencia de Seguridad Informtica consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas. Se entiende por Recuperacin, "tanto la capacidad de seguir trabajando en un plazo mnimo despus de que se haya producido el problema, como la posibilidad de volver a la situacin anterior al mismo, habiendo reemplazado o recuperado el mximo posible de los recursos e informacin" . La recuperacin de la informacin se basa en el uso de una poltica de copias de seguridad (Backup) adecuada.

Plan de Contingencia
Un plan de contingencia es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocios por una paralizacin total o parcial de la capacidad operativa de la empresa.

Plan de Contingencia
Podramos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una solucin alternativa que nos permita restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una herramienta que le ayudar a que los procesos crticos de su empresa u organizacin continen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organizacin, seguir operando aunque sea al mnimo.

Objetivos de un Plan de Contingencia

Garantizar la continuidad de las operaciones de los elementos considerados crticos que componen los Sistemas de Informacin. Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un Sistema de Informacin.

Fases de la Metodologa para el Desarrollo de un Plan de Contingencia

Planificacin: preparacin y aprobacin de esfuerzos y costos. Identificacin de riesgos: funciones y flujos del proceso de la empresa. Identificacin de soluciones: Evaluacin de Riesgos de fallas o interrupciones. Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales. Documentacin del proceso: Creacin de un manual del proceso. Realizacin de pruebas: seleccin de casos soluciones que probablemente funcionen. Implementacin: creacin de las soluciones requeridas, documentacin de los casos. Monitoreo: Probar nuevas soluciones o validar los casos.

Fase I: Planificacin
La fase de planificacin es la etapa donde se define y prepara el esfuerzo de planificacin de contingencia/continuidad. Las actividades durante esta fase incluyen: Definicin explcita del alcance, indicando qu es lo que se queda y lo que se elimina, y efectuando un seguimiento de las ambigedades. Definicin de las fases del plan de eventos (por ejemplo, los perodos preevento, evento, y post-evento) y los aspectos sobresalientes de cada fase. Definicin de una estrategia de planificacin de la continuidad del negocio de alto nivel. Identificacin y asignacin de los grupos de trabajos inciales; definicin de los roles y responsabilidades. Definicin de las partes ms importantes de un cronograma maestro y su patrn principal. Identificacin de las fuentes de financiamiento y beneficios del negocio; revisin del impacto sobre los negocios.

Fase I: Planificacin
Duracin del enfoque y comunicacin de las metas y objetivos, incluyendo los objetivos de la empresa. Definicin de estrategias para la integracin, consolidacin, rendicin de informes y arranque. Definicin de los trminos clave (contingencia, continuidad de los negocios, etc.) Desarrollo de un plan de alto nivel, incluyendo los recursos asignados. Obtencin de la aprobacin y respaldo de la empresa y del personal gerencial de mayor jerarqua. Las pruebas para el plan sern parte de (o mantenidas en conjuncin con) los ejercicios normalmente programados para la recuperacin de desastres, las pruebas especficas del plan de contingencia de los sistemas de informacin y la realizacin de pruebas a nivel de todos los clientes.

Fase II: Anlisis de Riesgos

La Fase de Identificacin de Riesgos, busca minimizar las fallas generadas por cualquier caso en contra del normal desempeo de los sistemas de informacin a partir del anlisis de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo. El objetivo principal de la Fase de Reduccin de Riesgo, es el de realizar un anlisis de impacto econmico y legal, determinar el efecto de fallas de los principales sistemas de informacin y produccin de la institucin o empresa.

Fase II: Anlisis de Riesgos

El anlisis y evaluacin de riesgos consta de:

1. Realizacin un diagnstico integral del Sistema de Informacin. 2. Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del impacto, cuantificar con niveles A, B, C u otro. 3. Identificar todos los procesos de los servicios afectados. 4. Analizar slo los procesos crticos de los servicios.

Fase III: Identificacin de Soluciones

Identificacin de Alternativas Estos son algunos ejemplos de alternativas que pudieran ayudarle al inicio del proceso de preparacin. Planifique la necesidad de personal adicional para atender los problemas que ocurran. Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si fallan los sistemas automatizados. Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se consideran en riesgo. Instale generadores si no tiene acceso a la red de energa pblica. Disponga del suministro adicional de combustible para los generadores, en caso de fallas elctricas prolongadas. Disponga de bombas manuales de combustible y selas si fallan las electrnicas. Elaborar un programa de vacaciones que garantice la presencia permanente del personal. No haga nada y vea qu pasa esta estrategia es algunas veces llamada arreglar sobre falla.

Fase III: Identificacin de Soluciones

Identificacin de eventos activadores A continuacin se muestran algunos ejemplos de los tipos de eventos que pueden servir como activadores en sus planes de contingencia: Informacin de un vendedor respecto a la tarda entrega o no disponibilidad de un componente de software. Tardo descubrimiento de serios problemas con una interfaz. Tempranas (no anticipadas) fallas del sistema correccin/reemplazo no est lista para sustituir. Fallas del Sistema (datos corruptos en informes o pantallas, transacciones prdidas, entre otros). Fallas de interfaces intercambios de datos no cumplen los requisitos. Fallo de la infraestructura regional (energa, telecomunicaciones, sistemas financieros) Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).

Fase III: Identificacin de Soluciones

Identificacin de Soluciones El objetivo es reducir el costo de encontrar una solucin en la medida de lo posible, a tiempo de documentar todos los riesgos identificados. Actividades importantes a realizar: La asignacin de equipos de solucin para cada funcin, rea funcional o rea de riesgo de la organizacin. La asociacin de soluciones con cada riesgo identificado- se recomienda tener un abanico de alternativas de soluciones. Comparar los riesgos y determinarles pesos respecto a su importancia crtica en trmino del impacto de los mismos. Clasificar los riesgos. La elaboracin de soluciones de acuerdo con el calendario de eventos. La revisin de la factibilidad de las soluciones y las reglas de implementacin. La identificacin de los modos de implementacin y restricciones que afectan a las soluciones. La definicin e identificacin de equipos de accin rpida o equipos de intensificacin por rea funcional o de negocios de mayor importancia. Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta a su eficacia y su costo, siendo la meta la solucin ms inteligente.

Fase IV: Estrategias

Las estrategias de contingencia / continuidad de los negocios estn diseadas para identificar prioridades y determinar en forma razonable las soluciones a ser seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hay que decidir si se adoptarn las soluciones a gran escala, como las opciones de recuperacin de desastres para un centro de datos.

Fase IV: Estrategias

Los puntos que deben ser cubiertos por todos las reas informticas y usuarios en general son: Respaldar toda la informacin importante en medio magntico, ya sea en disquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente cada rea. Acordamos que lo que debe respaldarse es INFORMACION y no las aplicaciones. Generar discos de arranque para las mquinas dependiendo de su sistema operativo, libres de virus y protegidos contra escritura. Mantener una copia de antivirus ms reciente en disco para emergencias (dependiendo del fabricante, variarn las instrucciones para generarlo). Guardar una copia impresa de la documentacin de los sistemas e interfaces, al igual de los planes de contingencia definidos por el resto de las reas. Instalar todos los Service Packs que el equipo necesite y llevar un registro de los mismos, en caso de formatear el equipo o desinstalar aplicaciones

Fase IV: Estrategias

En Relacin al Centro de Cmputo Es recomendable que el Centro de Cmputo no est ubicado en las reas de alto trfico de personas o con un alto nmero de invitados. Hasta hace algunos aos la exposicin de los Equipos de Cmputo a travs de grandes ventanales, constituan el orgullo de la organizacin, considerndose necesario que estuviesen a la vista del pblico, siendo constantemente visitados. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo y sabotaje. Se deben evitar, en lo posible, los grandes ventanales, los cuales adems de que permiten la entrada del sol y calor (inconvenientes para el equipo de cmputo), puede ser un riesgo para la seguridad del Centro de Cmputo. Otra precaucin que se debe tener en la construccin del Centro de Cmputo, es que no existan materiales que sean altamente inflamables, que despiden humos sumamente txicos o bien paredes que no quedan perfectamente selladas y despidan polvo.

Fase IV: Estrategias

El acceso al Centro de Cmputo debe estar restringido al personal autorizado. El personal de la Institucin deber tener su carn de identificacin siempre en un lugar visible. Se debe establecer un medio de control de entrada y salida de visitas al centro de cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas. Se recomienda que al momento de reclutar al personal se les debe hacer adems exmenes psicolgicos y mdico y tener muy en cuenta sus antecedentes de trabajo, ya que un Centro de Cmputo depende en gran medida, de la integridad, estabilidad y lealtad del personal. El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de informacin contenidos en dichos sistemas, debe estar controlado mediante la verificacin de la identidad de los usuarios autorizados. Deben establecerse controles para una efectiva disuasin y deteccin, a tiempo, de los intentos no autorizados de acceder a los sistemas y a los archivos de informacin que contienen.

Fase IV: Estrategias

Se recomienda establecer polticas para la creacin de los password y establecer periodicidad de cambios de los mismos. Establecer polticas de autorizaciones de acceso fsico al ambiente y de revisiones peridicas de dichas autorizaciones. Establecer polticas de control de entrada y salida del personal, as como de los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrn ser controlados por medios de anulacin del disk drive, cubrindose de esa manera la seguridad contra robos de la informacin y el acceso de virus informticos. Los controles de acceso, el acceso en s y los vigilantes deben estar ubicados de tal manera que no sea fcil el ingreso de una persona extraa. En caso que ingresara algn extrao al centro de Cmputo, que no pase desapercibido y que no le sea fcil a dicha persona llevarse un archivo. Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sin permiso por escrito de la Direccin. Asignar a una sola persona la responsabilidad de la proteccin de los equipos en cada rea.

Fase IV: Estrategias

Respecto a la Administracin de la Cintoteca:
Debe ser administrada bajo la lgica de un almacn. Esto implica ingreso y salida de medios magnticos (sean cintas, disquetes cassettes, cartuchos, Discos remobibles, CD's, etc.), obviamente teniendo ms cuidado con las salidas. La cintoteca, que es el almacn de los medios magnticos (sean cintas, disquetes cassettes, cartuchos, Discos remobibles, CD's, etc.) y de la informacin que contienen, se debe controlar para que siempre haya determinado grado de temperatura y de la humedad. Todos los medios magnticos debern tener etiquetas que definan su contenido y nivel de seguridad. El control de los medios magnticos debe ser llevado mediante inventarios peridicos.

Fase IV: Estrategias

Respecto a la Administracin de Impresoras:
Todo listado que especialmente contenga informacin confidencial, debe ser destruido, as como el papel carbn de los formatos de impresin especiales. Establecer controles de impresin, respetando prioridades de acuerdo a la cola de impresin. Establecer controles respecto a los procesos remotos de impresin.

Fase V:Documentacin del Proceso

Todo el proceso de lograr identificar soluciones ante determinados problemas no tendr su efecto verdadero si es que no se realiza una difusin adecuada de todos los puntos importantes que este implica, y un plan de Contingencia con mucho mayor razn necesita de la elaboracin de una documentacin que sea eficientemente orientada. Como puntos importantes que debe de incluir esta documentacin podremos citar las siguientes: Cuadro de descripcin de los equipos y las tareas para ubicar las soluciones a las contingencias. La documentacin de los riesgos, opciones y soluciones por escrito y en detalle. La identificacin y documentacin de listas de contacto de emergencia, la identificacin de responsables de las funciones con el fin de garantizar que siempre haya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.

Fase VI: Pruebas y Validacin

Plan de Recuperacin de Desastres Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso perdido. La elaboracin de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Las actividades a realizar en un Plan de Recuperacin de Desastres se pueden clasificar en tres etapas: Actividades Previas al Desastre. Actividades Durante el Desastre. Actividades Despus del Desastre.

Fase VI: Pruebas y Validacin

Actividades Previas al Desastre Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin con el menor costo posible a nuestra Institucin. Podemos detallar las siguientes Actividades Generales : - Establecimiento del Plan de Accin. - Formacin de Equipos Operativos. -Formacin de Equipos de Evaluacin (auditora de cumplimiento de los procedimientos sobre Seguridad).

Fase VI: Pruebas y Validacin

Establecimiento de Plan de Accin En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: a) Sistemas e Informacin. b) Equipos de Cmputo. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). d) Polticas (Normas y Procedimientos de Backups

Fase VI: Pruebas y Validacin

Sistemas de Informacin. La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los realizados por el centro de cmputo como los hechos por las reas usuarias. Debiendo identificar toda informacin sistematizada o no, que sea necesaria para la buena marcha Institucional. La relacin de Sistemas de Informacin deber detallar los siguientes datos: Nombre del Sistema. Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo conforman (tanto programas fuentes como programas objetos, rutinas, macros, etc.). La Direccin (Gerencia, Departamento, etc.) que genera la informacin base (el dueo del Sistema). Las unidades o departamentos (internos/externos) que usan la informacin del Sistema. El volumen de los archivos que trabaja el Sistema.

Fase VI: Pruebas y Validacin

El volumen de transacciones diarias, semanales y mensuales que maneja el sistema. El equipamiento necesario para un manejo ptimo del Sistema. La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia. El nivel de importancia estratgica que tiene la informacin de este Sistema para la Institucin (medido en horas o das que la Institucin puede funcionar adecuadamente, sin disponer de la informacin del Sistema). Equipamiento mnimo necesario para que el Sistema pueda seguir funcionando (considerar su utilizacin en tres turnos de trabajo, para que el equipamiento sea el mnimo posible). Actividades a realizar para volver a contar con el Sistema de informacin (actividades de Restore). Con toda esta informacin se deber de realizar una lista priorizada (un ranking) de los Sistemas de Informacin necesarios para que la institucin pueda recuperar su operatividad perdida en el desastre (contingencia).

Fase VI: Pruebas y Validacin

Equipos de Cmputo. Aparte de las Normas de Seguridad, hay que tener en cuenta: Inventario actualizado de los equipos de manejo de informacin (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional. Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la restitucin del Computador siniestrado se podr hacer por otro de mayor potencia (por actualizacin tecnolgica), siempre y cuando est dentro de los montos asegurados. Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuacin. Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin importante o estratgica y color verde a las PC's de contenidos

Fase VI: Pruebas y Validacin

Obtencin y Almacenamiento de los Respaldos de Informacin (BACKUPS). Se deber establecer los procedimientos para la obtencin de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con: Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contar con una copia de cada uno de ellos). Backups del Software Base (Paquetes y/o Lenguajes de Programacin). Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que tambin trabaje con la data, para producir los resultados con los cuales trabaja el usuario final). Se debe considerar tambin las copias de los listados fuentes de los programas definitivos, para casos de problemas. Backups de los Datos (Bases de Datos, Indices, tablas de validacin, passwords, y todo archivo necesario para la correcta ejecucin del Software Aplicativo.

Fase VI: Pruebas y Validacin

Polticas (Normas y Procedimientos de Backups) Se debe establecer los procedimientos, normas, y determinacin de responsabilidades en la obtencin de los Backups mencionados anteriormente debindose incluir: Periodicidad de cada Tipo de Backup. Respaldo de Informacin de movimiento entre los perodos que no se sacan Backups (backups incrementales). Uso obligatorio de un formulario estndar para el registro y control de los Backups. Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la buena marcha de la empresa, y los backups efectuados. Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo del medio magntico empleado. Reemplazo de los Backups, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar (reciclaje o refresco). Almacenamiento de los Backups en locales diferentes donde reside la informacin primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado). Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.

Fase VI: Pruebas y Validacin

Formacin de Equipos Operativos En cada unidad operativa de la Institucin, que almacene informacin y sirva para la operatividad Institucional, se deber designar un responsable de la seguridad de la Informacin de su unidad. Pudiendo ser el jefe de dicha Area Operativa. Sus labores sern: Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos. Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones. Planificar y establecer los requerimientos de los sistemas operativos en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas. Supervisar procedimientos de respaldo y restauracin. Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los respaldos incrementales.

Fase VI: Pruebas y Validacin

Ejecutar trabajos de recuperacin. Coordinar lneas, terminales, mdem, otros aditamentos para comunicaciones. Establecer procedimientos de seguridad en los sitios de recuperacin. Organizar la prueba de hardware y software. Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante. Realizar procedimientos de control de inventario y seguridad del almacenamiento en el local alternante. Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin. Participar en las pruebas y simulacros de desastres.

Fase VI: Pruebas y Validacin

Actividades Durante el Desastre Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes actividades, planificadas previamente: a) Plan de Emergencias. b) Formacin de Equipos. c) Entrenamiento.

Fase VI: Pruebas y Validacin

a) Plan de Emergencias En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, as como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del Siniestro: Durante el da. Durante la Noche o madrugada. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo detallar : Vas de salida o escape. Plan de Evacuacin del Personal. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.) Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos.

Fase VI: Pruebas y Validacin

b) Formacin de Equipos Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber de existir dos equipos de personas que acten directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informticos, de acuerdo a los lineamientos o clasificacin de prioridades.

Fase VI: Pruebas y Validacin

c) Entrenamiento
Establecer un programa de prcticas peridicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga a la Seguridad Institucional.

Fase VI: Pruebas y Validacin

Actividad Despus del Desastre Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin. a) Evaluacin de Daos. b) Priorizacin de Actividades del Plan de Accin. c) Ejecucin de Actividades. d) Evaluacin de Resultados. e) Retroalimentacin del Plan de Accin

Fase VI: Pruebas y Validacin

a) Evaluacin de Daos. Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se estn afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc. Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos el convenio de respaldo, para ir avanzando en las labores de preparacin de entrega de los equipos por dicha Institucin.

Fase VI: Pruebas y Validacin

b) Priorizacin de Actividades del Plan de Accin.

Toda vez que el Plan de Accin es general y contempla una prdida total, la evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra Institucin. Es importante evaluar la dedicacin del personal a actividades que puedan no haberse afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico.

Fase VI: Pruebas y Validacin

c) Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de accin. Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institucin o local de respaldo.

Fase VI: Pruebas y Validacin

d) Evaluacin de Resultados Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se comportaron los equipos de trabajo, etc. De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro. e) Retroalimentacin del Plan de Accin. Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra Institucin el plan de contingencias llevado a cabo.

Fase VII: Implementacin

La fase de implementacin se da cuando han ocurrido o estn por ocurrir los problemas para este caso se tiene que tener preparado los planes de contingencia para poder aplicarlos. Puede tambin tratarse esta etapa como una prueba controlada.

Fase VIII: Monitoreo

La fase de Monitoreo nos dar la seguridad de que podamos reaccionar en el tiempo preciso y con la accin correcta. Esta fase es primordialmente de mantenimiento. Cada vez que se da un cambio en la infraestructura, debemos de realizar un mantenimiento correctivo o de adaptacin. Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo riesgo o una nueva solucin. En este caso, toda la evaluacin del riesgo se cambia, y comienza un nuevo ciclo completo, a pesar de que este esfuerzo podra ser menos exigente que el primero. Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones ante nuevos casos que se puedan presentar. Podramos enumerar las actividades principales a realizar: Desarrollo de un mapa de funciones y factores de riesgo. Establecer los procedimientos de mantenimiento para la documentacin y la rendicin de informes referentes a los riesgos. Revisin continua de las aplicaciones. Revisin continua del sistema de backup Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento de Datos.

Visin Prctica para realizar un Plan de Contingencias de los sistemas de informacin

ETAPA 1 Anlisis y Seleccin de las Operaciones crticas ETAPA 2 Identificacin de Procesos en cada operacin ETAPA 3 Listar los recursos utilizados por las operaciones

ETAPA 4 Especificar los escenarios donde ocurriran los problemas

ETAPA 5 Determinar y detallar medidas preventivas

ETAPA 6 Formacin y funciones de los grupos de trabajo

ETAPA 7
Desarrollo de los planes de accin

ETAPA 8 Preparar lista de personas y organizaciones con quien comunicarse

ETAPA 9 Prueba y Monitoreo

Etapa 1: Anlisis y Seleccin de Operaciones crticas

En esta etapa hay que definir cuales sern nuestras operaciones crticas y tienen que ser definidas en funcin a los componentes de los sistemas de informacin los cuales son: Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal. Dentro de las cuales podemos identificar las siguientes, las cuales pueden variar de sistema a sistema : Reportes Impresos de Informes del Sistema. Consultas a las Bases de Datos va Internet. Consultas a las Bases de Datos va LAN. Sistema de Backup y Recuperacin de Data. Sistema de ingreso y modificacin en la Base de Datos de documentos que llegan y salen al exterior. Los Servidores de Bases de Datos y Aplicaciones. Los Servicios de Red. Los Medios de Transmisin. Las Topologas de Red. Los Mtodos de control de acceso.

Se ha listado los procesos crticos de manera genrica y evaluado su grado de importancia en funcin a la magnitud del impacto si los procesos pueden detenerse, y luego clasificados en niveles H (Alta), R (Regular) y L (Bajo) Se tiene que elaborar una tabla denominada Operaciones Crticas de los SI, que consta de tres campos: Operaciones crticas Objetivo de la Operacin Prioridad de la Operacin
Operaciones Crticas
Reportes Impresos de Informes del Sistema Consultas a las Bases de Datos va Internet Consultas a las Bases de Datos va LAN Sistema de Backup y Recuperacin de Data

Objetivos de la Operacin
Informes de los estados financieros de la organizacin. Informes de plantillas del personal. Informes de produccin mensual, anual. Informes a los clientes. Informacin a los proveedores. Sistema de ventas va Internet. Inventarios Revistas, electrnicas Procesos de Backups de la informacin. Establecimiento de las frecuencias de almacenamiento de datos

Prioridad

R L

R
H

Procesos Estratgicos del Negocio

OPERACION PRINCIPAL
Ventas (A) Ordenes aceptadas (B) Envio y Reparto (C)

CONTENIDO DE LA OPERACION
Ventas a los clientes Aceptar rdenes de los clientes Administracin de las ventas a crdito Administracin del inventario Envo de productos Reparto de las ventas a crdito Dando rdenes a los fabricantes Administracin de la compra a crdito Estadsticas mensuales Estadsticas anuales

PRIORIDAD
R H H

Compras (D) Estadisticas ( E)

H R

Para cada una de las operaciones principales, enumerar sus procesos. Investigar qu recursos de la empresa (equipamiento, herramientas, sistemas, etc.) son usados, descrbalos y enumrelos

Anlisis de un Proceso de Negocio: Nombre de la Operacin: Aceptacin de Ordenes de Compra

NMERO DE PROCEDIMIE NTOS
B-1

PROCESOS DE NEGOCIOS
Recepcin de rdenes de pedido

RECURSOS USADOS
Telefonos fijos PCs Lineas dedicadas

NUMERO DE SERIE DEL RECURSO

S-1 S-2 S-3

B-2

Confirmar la cantidad total linea de orden recibidas Confirmar si se cuenta con el Stock para atender los pedidos Registrar las rdenes

Sistema de aceptacin de la orden (Software) Sistema de aceptacin de la orden

S-4

B-3

S-4

B-4

Sistema de aceptacin de la orden

S-4

Periodos aceptables de interrupcin

N Serie del Recurso S1-1 S1-2 S2-1 S2-2 recurso Operaciones que lo usan B1 B1 B1 K1 Software de administracin de Compras B1 B5 K1 Frecuencia de Uso Todo el dia Todo el dia Todo el dia Todo el dia Todo el dia Todo el dia Todo el dia Perodo aceptable de interrupcin Medio da Medio da Medio da Medio da Medio da Medio da Medio da

PCs (Red) PCs (Red) Software (red)

Estudio Puntual de Fallas Considerando el contenido de cada operacin, determinar cuanto tiempo una interrupcin puede ser tolerada. Describir con que frecuencia se utiliza un recurso y que tiempo una parada o interrupcin bloquea la operacin.

Etapa 2: Identificacin de Procesos en cada Operacin

Para cada una de las operaciones crticas en la Etapa 1, se debe enumerar los procesos que tienen. Los responsables de desarrollar los planes de contingencia deben de coordinar en cooperacin con el personal a cargo de las operaciones de los Sistemas Analizados, los cuales son conocedores de dichos procesos crticos. Se debe de investigar que recursos administrativos (equipamiento, herramientas, sistemas, etc.) son usados en cada proceso, se ha descrito y codificado cada recurso, como: sistema elctrico, tarjetas, transporte, red de datos, PC's. A su vez tambin se ha determinado su novel de riesgo, como crticos y no crticos. La tabla elaborada contiene cinco campos: Cdigo de procedimientos Procesos Recursos Utilizados Cdigo del Recurso Nivel de Riesgo

PROCESOS DEL AREA ANALIZADA

Cdigo Proceso Proceso Plan de Contingencia Sistema electricos Proceso de los programas que realizan la entrada y salida de la informacin Redes de datos Servidores Sistemas de Gestin Impresoras Humanos PCs Cdigo Recurso R1 R2 R3 R4 R5 R6 R7 Nivel de Riesgo Crtico Crtico Crtico Crtico Crtico Crtico Crtico

E-1

Etapa 3: Listar los recursos usados por cada Operacin

En esta etapa se identifica a los proveedores de los servicios y recursos usados, considerados crticos, para los procesos de cada operacin en la Etapa 2. Se tiene que identificar los recursos asociados al Sistema de Informacin, basados en los cdigos del recurso descritos en la etapa 2. Se investiga y describe, si los recursos estn dentro del Sistema de Informacin o fuera de este, (como compra a otros proveedores de servicios externos o productos). Se investiga y describe a los proveedores de servicios y recursos. La importancia de un mismo recurso difiere de operacin en operacin. Para esto se seala a que operaciones esta relacionado el mismo recurso, esto es necesario para determinar las medidas preventivas para posibles problemas del Sistema de Informacin.

Lista de Recursos Utilizados

N Serie del Recurso Recurso

S1-1 S1-2 S2-1 S2-2 PCs

Ubicacin Proveedor Operacione del Servicio s que usan el recurso

externo interno Proveedor A Soporte tcnico Proveedor A Soporte Tcnico B-1 B-1 B-1, B-5

Software de Externo administracin interno de compras

Se utiliza las nomenclaturas para identificar los procedimientos y a que proceso pertenece. Enumerar Recursos Utilizados para los Procesos Describir ubicaciones de proveedores de servicios por los procesos de cada operacin. Investigue y describa a los proveedores de servicios

Etapa 4: Especificacin de escenarios en los cuales puede ocurrir problemas

En consideracin de la condicin de preparar medidas preventivas para cada recurso, se ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana, pequea). Se calcular y describir el perodo que se pasar hasta la recuperacin en caso de problemas, basados en informacin confirmada relacionada con los Sistemas de informacin. Recurso Alta S1 Probabilidad de Falla Media Baja X Ninguna

S2 S3

X X

Problemas probables a ocurrir

N Serie del Recurso Recurso Proveedor del Servicio Operaciones que usan el recurso Medidas preventiva s Probabili dad del Problema Tiempo necesario para la recuperac in 10 minutos 2 horas 2 horas 2 horas Frecuen cia de Uso

S1-1 S1-2 S2-1 S2-2

PCs

Proveedor A Soporte tcnico

B-1 B-1 B-1, B-5 B-1

Preparado Programado Preparado Preparado

Baja Media / Alta Media / Alta Media / Alta

24 horas 15 horas 15 horas 15 horas

Software de administraci n de compras

Proveedor A Soporte Tcnico

Cdigo del Recurso Recurso Proveedor del Servicio Resultados Confirmados Anlisis de Riesgo (probabilidad del problema, perodo necesario para la recuperacin, frecuencia de uso)

Detalle de Medidas Alternativas por procesos

Orden 1

Procesos Proceso de los programas que realizan la entrada y salida de la informacin

Procedimientos Ingreso y recepcin de expedientes (cartas, oficios, informes, etc.) Envo de los documentos a todas las reas de la institucin Salida de documentos(cartas, oficios, informes, etc Programacin de cronograma de mantenimiento Elaboracin de rdenes de compra y rdenes de servicios Actividades de soporte tcnico para casos de fallas Almacn de control de bienes Programacin de requerimientos

Medida Alternativa Puesta en funcionamiento del grupo electrgeno Operaciones Manuales Puesta en marcha de una red LAN interna.

Mantenimiento adecuado de las aplicaciones

Puesta en funcionamiento del grupo electrgeno Operaciones Manuales Puesta en marcha de una red LAN interna Puesta en funcionamiento del grupo electrgeno Operaciones Manuales Puesta en marcha de una red LAN interna

Equipamiento necesario para un funcionamiento optimo del sistema

Etapa 5: Determinar y detallar medidas preventivas

Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el uso y mantenimiento de los Sistemas de Informacin, cuando los problemas ocurran, considerando el entorno de problemas que suceden y el perodo de interrupcin aceptable que se estima en la etapa 4. Si hay mas de un conjunto de medidas preventivas para un recurso, se ha determinado cual se empleara, para tomar en consideracin sus costos y efectos. Los campos principales considerados en la tabla 5 son los siguientes: Cdigo del Recurso Recurso Problema Asumido (Anlisis de Riesgo) Medidas preventivas / alternativas

Lista de Medidas Preventivas

Cdigo del Recurso Recurso Probabilidad de ocurrencia del problema Perodo aceptable de parada Medidas Preventivas

Ejecutada Si /No S1 S2 PCs

Software de administracin de compras Servidores

Contenido

Baja Media / Alta

Medio dia Medio dia

No Si

Transacciones manuales Transacciones manuales Red local Transacciones manuales

S3 S4

Media / Alta Media / Alta

Medio dia 2 horas

Si Si

Sistemas de Gestin

Etapa 6: Formacin y funciones de grupos de trabajo

Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde las acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de administracin. Los Grupos de Trabajo permanecern en operacin cuando los problemas ocurran, para tratar de solucionarlos. Se elaborar un Organigrama de la estructura funcional de los Grupos de Trabajo del sistema administrativo de los SI.
Direccin Nombre Cargo Funciones

Etapa 7: Desarrollo de los Planes de Accin

Lista de Acciones ante fallas de Recursos
Codigo Recurso S1 Recurso Accin Cmo confirmar
El rea de administracin comunicara al responsable sobre la ocurrencia del problema El administrador de la Red supervisar la red e informara cualquier problema El administrador de la Red supervisar la red e informara cualquier problema

Operador

Programa de accin En la maana

Localizaci n para la accin Todas las ofcinas

Ocurrencia de problema Fallas de los PCs

PCs

Confirmar ocurrencia de problemas Confirmar ocurrencia de problemas

Area de administra cin

S2

Software de administra cin de compras Software de Gestin

Direccin Tcnica de Soporte Tcnico

En todo el dia

Oficinas administrati vas

Caida de la red en ciertas reas

S3

Confirmar ocurrencia de problemas

Direccin Tcnica de Soporte Tcnico

En todo el dia

Oficinas administrati vas

Cada de la red en el rea de gestin

Etapa 8: Preparar Lista de Personas u Organizaciones para comunicar en caso de emergencia

Formato Lista telefnica del personal esencial en caso de emergencia
Direccin Cargo Empleado Primer Nmero de contacto Segundo Nmero de contacto

Formato Lista telefnica de proveedores de Servicio

Cdigo del recurso Recurso Proveedo r del servicio Dpto. a cargo Persona a cargo Telfono

Tabla de Anlisis de Riesgo

rea afectada Todas las oficinas Todas las oficinas Riesgo Identificado Prdida del Software del Cliente Falla del software de administraci n de compra Fallas de los servicios de red (servidores) Impacto rea seleccion ada Probabili dad de falla Area de accin Prioridad Estrategia de mitigacin

Todas las oficinas

Etapa 9: Pruebas y Monitoreo

En esta etapa hay que desarrollar la estrategia seleccionada, implantndose con todas las acciones previstas, sus procedimientos y generando una documentacin del plan. Hay que tener en claro como pasamos de una situacin normal a una alternativa, y de que forma retornamos a la situacin normal. Hay situaciones en que debemos de contemplar la reconstruccin de un proceso determinado, ejemplo: por alguna circunstancia dada se determino que la facturacin se realice en forma manual, restablecido el servicio que nos llevo a esta contingencia debemos tener el plan como recuperar estos datos para completar la informacin que da a da utilizan las dems reas. Antes de realizar las pruebas, los planes deberan ser revisados y juzgados independientemente en lo que respecta a su eficacia y razonabilidad.

Etapa 9: Pruebas y Monitoreo

Las pruebas recomendadas para los planes de recuperacin de desastres incluyen una prueba peridica preliminar y un ensayo general, en el que se crea un simulacro de una crisis con el fin de observar la eficacia del plan. Las actividades importantes a realizar son: La validacin de las estrategias de continuidad de los negocios de una unidad de negocios. La validacin en implementacin de un plan (con las operaciones de la empresa y los representantes de dichas operaciones) Realizacin de pruebas en cada unidad para ver la eficacia de la solucin. La preparacin y ejecucin de pruebas integradas para verificar la eficacia de la solucin.