Documentos de Académico
Documentos de Profesional
Documentos de Cultura
g
i
c
o
T
c
t
i
c
o
14 nmero 39 // 2 - 2006
Estimacin del tiempo mximo de inac-
tividad (tiempo de ruptura) y tambin
del periodo mximo en el que un pro-
ceso crtico puede verse interrumpido
sin afectar a la viabilidad de la organi-
zacin.
Definicin de los intervalos de
recuperacin en un grado
mnimo aceptable inicial y,
despus de forma progresividad,
comprobar los tiempos de recu-
peracin total de la actividad de la
empresa.
Alternativas a los fallos (duplicidad,
replicacin, terceras copias de
seguridad, etc.).
Definicin de los procedimientos que
deben ser desarrollados en caso de
incidencia.
Establecimiento de un calendario de
revisiones peridicas y actualizaciones.
Establecimiento de un calendario de
pruebas.
Tabla 1: Causas y Medidas Preventivas.
Fallos de hardware: Funcionamiento incorrecto
Causas
Errores en algn dispositivo crtico:
o Discos.
o Controladoras.
o Procesadores.
o Memoria.
Fallos elctricos.
Medidas preventivas
Duplicidad de equipos servidores.
Duplicidad de componentes como son ventiladores y fuentes de alimentacin, entre otros.
Redundancia de controladores.
Redundancia de discos.
Salas de ordenadores protegidas contra incendios, inundaciones, temperaturas elevadas, etc.
Sistemas de Alimentacin Ininterrumpida (UPS).
Realizacin de copias de seguridad. Ubicacin de los dispositivos de copia en lugares separados de los
centros de clculo.
Errores humanos
Causas
Borrado accidental de ficheros, datos, etc.
Inicializacin por confusin de discos con datos vlidos.
Ejecucin de secuencias incorrectas en aplicaciones.
Medidas preventivas
Desarrollo de aplicaciones en sistemas de no-produccin.
Pruebas de todas las aplicaciones en sistemas denominados de pre-produccin, con un conjunto de datos
similares a los de produccin.
Sistemas de backups diarios.
15
nmero 39 // 2 - 2006
Continuacin, Tabla 1: Causas y Medidas Preventivas.
Corrupcin de software
Causas
Actualizacin de nuevas versiones de los sistemas operativos.
Actualizacin de nuevas versiones de alguna aplicacin en concreto.
Instalacin de parches no compatibles con todo el sistema actual.
Instalacin de nuevos controladores de elementos.
Fallos producidos por configuraciones complejas.
Fallos producidos por aplicaciones no registradas.
Medidas preventivas
Instalacin de drivers, parches, etc. en sistemas de no-produccin.
Realizacin diaria de copias de seguridad.
Sistemas de copias de seguridad on line.
Sistemas de tercera copia.
Elementos de anlisis y diagnstico antes de instalar nuevas aplicaciones.
Virus, hackers, cdigos maliciosos
Causas
Reenvo masivo de e-mails que colapsan el trfico y los buzones de las empresas.
Uso de huecos de seguridad que impiden que los sistemas se conecten. Ataques de denegacin
de servicios.
Re-inicios inesperados del sistema.
Acceso a direcciones webs clasificadas como peligrosas.
Utilizacin de programas tipo e-Donky, etc.
Medidas preventivas
Establecimiento de normas preventivas para la apertura de e-mails de origen desconocido para
los usuarios.
Utilizacin de antivirus. Actualizacin de antivirus al menos 1 vez al da.
Utilizacin de herramientas de anlisis de paquetes situados en la red.
Herramientas de anlisis de contenidos y bloqueo de acceso a sitios clasificados en las listas negras de la
Web Internacional.
Desastres naturales o causados por el hombre
Causas
Fuegos.
Tormentas.
Terremotos.
Inundaciones.
Sabotajes.
Terrorismo.
Medidas preventivas
Definicin de polticas de seguridad.
Locales protegidos (doble suelo, doble techo, etc.).
Sistemas de extincin de incendios.
Sistemas de aire acondicionado.
Duplicidad de sistemas en ubicaciones separadas.
16 nmero 39 // 2 - 2006
Tabla 2: Metodologa de un Plan de Contingencia
Anlisis del impacto
en el negocio
Constitucin del grupo de desarrollo del Plan.
Identificacin de las funciones crticas.
Anlisis del impacto de un siniestro en cada funcin crtica.
Definicin de los niveles mnimos de servicio.
Evaluacin de la relacin coste/beneficio de cada alternativa.
Planificacin
Enumeracin de las aplicaciones.
Nombramiento de responsables.
Elaboracin de planes.
Documentacin del plan.
Validacin del plan.
Estrategia
de recuperacin
Sistemas de backups on lineoff line.
Sistemas duplicados de respaldo, terceras copias, etc.
Simulacros
Estimacin del alcance del simulacro.
Determinacin de las aplicaciones o servicios.
Posibilidad de pruebas en tiempo real.
Ejecucin de pruebas.
Documentacin de dichas pruebas.
Mantenimiento de los
planes
Actualizar el plan de contingencia de acuerdo con los resultados obtenidos en las pruebas.
Revisiones peridicas.
Actualizaciones que incluyan nuevos servicios, aplicaciones, sistemas, etc.
Auditoras.
Tabla 3: Resumen de las Fases para la Elaboracin del Plan de Continuidad de Negocio
Definir y documentar la
estrategia de continuidad
Tiempo de activacin del Plan.
Infraestructuras tecnolgicas.
Ubicaciones crticas.
Procedimientos alternativos manuales, etc.
Desarrollo del Manual del
Plan de Continuidad
Informacin de soporte.
Grupos de trabajo.
Procedimientos de respuesta.
Fases de recuperacin.
Fases de restauracin.
Procedimientos.
Aprobacin del Plan por
parte de la alta direccin
Responsables de la ejecucin.
Plan de pruebas
Identificacin de posibles deficiencias.
Actualizacin del Plan.
Plan de mantenimiento
Concienciacin.
Formacin continua.
Revisin.
17
nmero 39 // 2 - 2006
Empresas de Seguros
Ante la situacin descrita en los apar-
tados anteriores, se debe analizar qu
pueden ofrecer las empresas asegura-
doras y en qu deben basar sus estu-
dios para la aceptacin de los anteriores
riesgos. Las empresas que ms estn
contratando este tipo de seguros son las
tecnolgicas y las.com, por ser ms
conscientes de las vulnerabilidades en
este sentido.
En cuanto a las coberturas, existe un
desconocimiento por parte de los ase-
gurados. Algunas encuestas sobre si
existe un seguro y cules son entonces
las coberturas por los daos o prdidas
sufridas en los sistemas informticos
nos indican que cerca del 40% de los
asegurados desconoce estos datos. En
la mayor parte de los casos, las plizas
no cubren los incidentes que provienen
de terremotos, tormentas, asimismo, se
ha observado que alrededor del 34%
no dispona de ningn tipo de seguro.
Para poder obtener una cobertura ade-
cuada y la compaa de seguros poder
ofrecerla, se debera realizar una cuan-
tificacin e identificacin de los riesgos
que se quieren asegurar, lo que requiere
tiempo, conocimiento y recursos huma-
nos para su definicin y posterior cuan-
tificacin.
Las plizas de seguros que cubren los
equipos informticos pueden ubicarse
dentro del ramo de Ingeniera, clasifi-
cados como Seguro de ordenadores
o Seguro de equipos electrnicos. A
mero ttulo informativo, el Seguro de
ordenadores puede garantizar los daos
sufridos en los equipos de procesa-
mientos de datos, de acuerdo con los
datos descritos en los contratos. Quedan
excluidos, en cambio, los daos deriva-
dos del desgaste, montaje, influencia de
temperatura, etc.
Las coberturas pueden extenderse tambin
a los gastos de reintegracin de las infor-
maciones, provocados por daos sufridos
en soportes como discos, cintas, etc.
"En un momento en el que cons-
tantemente aparecen nuevas
amenazas en los Sistemas de
Informacin de las empresas e
instituciones, el poder asegurar la
continuidad del negocio es funda-
mental, para lo cual las empresas
deben desarrollar unos planes de
contingencia ante desastres."
En la modalidad bsica de las plizas,
contamos con la cobertura de Daos
materiales sufridos en los equipos, inclu-
yendo los soportes magnticos de datos,
incluso durante su transporte (golpes,
incendios, cadas, etc.).
Concretamente, la cobertura de
Riesgos extraordinarios del Consorcio
de Compensacin de Seguros Espaol
recoge una serie de garantas que inclu-
yen los daos causados por:
Terremotos, inundaciones extraordina-
rias, erupciones volcnicas, tempes-
tades ciclnicas o cadas de cuerpos
siderales y aerolitos.
Terrorismo, rebelin, revolucin, motn y
tumulto popular.
Otras garantas complementarias, que
se pudieran dar, corresponden a indem-
nizaciones por los gastos que deba
sufragar el asegurado por el alquiler o
utilizacin de otros equipos, como con-
secuencia de la imposibilidad de acce-
so a la sala del ordenador, debido a un
accidente en las inmediaciones del local
o sala del equipo asegurado. Se consi-
dera asimismo como siniestro cubierto
la falta de suministro pblico de ener-
ga elctrica que por causa accidental
llegue a provocar una interrupcin en
las operaciones del equipo asegurado,
incurrindose en gastos de alquiler y
utilizacin de otros equipos.
Conforme a lo anterior, cualquier
empresa de seguros, antes de aceptar
un contrato debera poder realizar un
anlisis de la situacin de los equipos
informticos de la empresa que suscribe
el seguro. Una medida importante sera
analizar si se dispone de un Plan de
Contingencia o, sin llegar a tal extremo,
solicitar qu medidas se estn aplican-
do de duplicidad de equipos, polticas
de seguridad, antivirus, detectores de
intrusos, tal y como se detalla en los
apartados anteriores. Lgicamente, la
cobertura de los riesgos y su precio
dependern del grado de conocimientos
y medidas que tenga la empresa sobre
estos temas, y del plan de accin para
evitar las contingencias y reducir los
costos y el tiempo de paralizacin.
Por otra parte, y conforme a lo que
recogen las clusulas suscritas en los
contratos de seguros, gran parte de
los gastos deben ser abonados por las
empresas aseguradoras aunque, como
se indicaba en las encuestas, la mayor
parte de las empresas actualmente des-
conocen el alcance de las coberturas
ofrecidas.