Formacion Plan Contingencias Informaticas

Plan de
Contingencias Informticas
Seminario
La Proteccin de Datos de Carcter Personal
ndice /
01 Objetivos del Seminario

02 Conceptos generales sobre contingencias
03 Estrategias para desarrollar un Plan de Contingencias
ndice
2006 INDRA Sistemas, S.A.
ndice
04 Conclusiones
Plan de Contingencias Informticas | Pgina
ndice /

ndice
04 Conclusiones
01. Objetivos del Seminario

Este Seminario pretende aportar conceptos generales sobre contingencias, recuperacin de
desastres y continuidad de los servicios.
Para alcanzar estos
objetivos se va a:
Exponer los conceptos bsicos sobre contingencias y
continuidad.
Describir las diferentes estrategias para abordar las
contingencias informticas.
Describir la metodologa general para la elaboracin
de un Plan de Contingencias.
Los servicios informticos benefician a toda la organizacin.

Dotarlos de las medidas suficientes para mantener su
disponibilidad, confidencialidad e integridad, garantiza la
continuidad de los servicios.
ndice /

04 El Plan de Contingencias Informticas de la Guardia Civil
ndice
05 Conclusiones
02. Conceptos Generales sobre contingencias
Contexto
Con relativa frecuencia, aparecen noticias sobre los daos y perjuicios
ocasionados a las empresas e instituciones, debidos a los cortes de
suministro o a los daos en las infraestructuras, fruto de desastres naturales o
intencionados. A este tipo de situaciones, se les suele denominar
CONTINGENCIAS.
En bastantes ocasiones, ese dao proviene, de forma indirecta, por que se
ven afectados elementos de la informtica, de las comunicaciones o de las
infraestructuras que soportan a ambas.
Teniendo en cuenta el uso, cada vez ms elevado, de las tecnologas de la
informacin y de las comunicaciones como un apoyo para la realizacin de las
tareas propias de su naturaleza, se producen interrupciones de la actividad en
aquellas instituciones que se ven afectadas por una situacin de contingencia.
Las contingencias
afectan a las personas y
los medios con los que
estas desarrollan su
actividad, su trabajo.
No se trata de sembrar el alarmismo. Se trata tan solo de fijar el contexto en

el que se producen las contingencias: existen una serie de acciones, a veces
provocadas por la naturaleza, otras por accidentes y algunas veces
intencionadas, que pueden ocasionar y, de hecho, lo hacen, perjuicios en la
informtica propia y, por tanto, en el desarrollo normal de las actividades que
se apoyan total o parcialmente en la utilizacin de esos medios informticos.
Por ello, como medida preventiva, cualquier institucin, organismo pblico o
empresa, debe realizar el ejercicio de pensar qu ocurrira si alguna accin
(un incendio, un desastre natural, un atentado terrorista, por poner algunos
ejemplos) afectase su cotidiano quehacer por un periodo de tiempo variable,
cmo y en qu medida se vera alterada la forma de trabajo y, sobre todo, de
qu medidas alternativas para continuar la operativa se dispone.
Contexto
Es imposible para una empresa conocer todos los riesgos
y enemigos potenciales y sus motivaciones, por lo que una
aproximacin ms acertada es conocer con detalle la
organizacin que se quiere proteger:
Hurricane
Terrorism
Organizacin
Personas
Lightning
Hardware
Software
Tornado
Civil Unrest
Objetos,
funciones
Misin
Informacin
Datos
Data Center Move

Power Outage
Environment
Network
Flood
Miscellaneous
Fire
Earthquake
Bomb
Fuente: Comdisco Vulnerability Index
Procesos
Tecnologa
No slo se deben identificar los riesgos, tambin

evaluarlos para posteriormente decidir sobre las medidas
que puedan mitigarlos. Para ello, debern identificarse los
activos de la empresa, as como las debilidades que
puedan padecer, estimando probabilidades de ocurrencia y
asignndoles una importancia para la misin de la
empresa.
Definiciones
In general, universally accepted

definitions for IT contingency
planning and these related planning
areas have not been available.
Occasionally, this unavailability has
led to Confusion regarding the actual
scope and purpose of various types
of plans.
Incluso los organismos e instituciones

oficiales dedicados a ello, consideran
que no hay una definicin nica y
concreta del trmino
Plan de Contingencias Informticas
Nist Contingency Planning Guide for IT Systems
Definiciones
Hay que diferenciar un plan de contingencias informticas de lo que se denomina
plan de continuidad del negocio o plan de continuidad a secas.
mbito y alcance del primero se concentran en conseguir que las Tecnologas de la
Infomacin (TI) y los servicios informticos se restablezcan, poniendo en
funcionamiento el equipo de personal tcnico (la organizacin de contingencia)
necesario para ello.
En cambio, en el plan de continuidad tambin se involucra a
las reas usuarias, teniendo que incluir en las caractersticas
del centro de respaldo externo la infraestructura necesaria
para que los usuarios se conecten a los sistemas de
informacin. y utilicen los servicios informticos, as como
ampliar la organizacin de contingencia, adems del personal
tcnico, a personal de las reas usuarias (organizacin de
continuidad).
Una organizacin necesita de la suma de los dos para disponer

de una cobertura completa, si bien no siempre la naturaleza y
gravedad de la contingencia obliga a activar ambos planes.
Definiciones
Respaldo Interno
Las soluciones de respaldo interno
tienen
como
objeto
resolver
contingencias leves que no precisen
el desplazamiento fuera de los
locales donde estn ubicados los
elementos informticos afectados.
Cuando se trata del respaldo interno,
generalmente las soluciones buscan
uno o varios de estos objetivos:
Redundancia
de
elementos
(en
ocasiones, disponer de ms de un
elemento con el fin de sustituir al que
deja de funcionar, tambin puede
considerarse como redundancia).
Evitar los puntos nicos de fallo.

Alta Disponibilidad.
Ventajas
Solucin con un coste moderado.
No aumenta excesivamente la complejidad de la
operativa actual.
Incrementa la seguridad de los sistemas de informacin.

No hace necesario acudir a un centro externo para
continuar el funcionamiento.
Inconvenientes
En algn caso el respaldo proporciona un
funcionamiento degradado, esto es, que no alcanza el
grado de funcionalidad y/o de operatividad que tiene el
funcionamiento normal.
Este tipo de soluciones no soporta contingencias graves,
que afecten a la seguridad fsica de la informtica o de
las instalaciones donde esta se ubica.
10
Definiciones
Respaldo Externo
Tiene como objeto resolver contingencias graves
(desaparicin del edificio, desaparicin del CPD,
la avera de una plataforma, etc), que precisan el
desplazamiento a ubicaciones diferentes a la
habitual (los denominados centros de respaldo
alternativos o CAR).
Estas soluciones se aplican cuando la gravedad
de la contingencia es tal que las soluciones de
respaldo interno no se pueden aplicar, bien
porque no cubran la contingencias, bien porque
las instalaciones han quedado inoperantes para
su uso.
Para que las soluciones de respaldo externo se
apliquen, hay que pasar por un proceso de toma
de decisin a resultas del cual se decida pasar a
lo que se denomina modo contingencia, o lo que
es lo mismo, se decide activar el Plan de
Contingencias Informticas (PCI).
Ventajas
Este tipo de soluciones soportan
contingencias graves que afecten a la
seguridad fsica de la informtica o de
las donde esta se ubica.
Con el grado de inversin adecuado,

el respaldo puede proporcionar un
funcionamiento similar al ordinario.
Inconvenientes
Coste elevado.
Aumenta la complejidad de la operativa
actual: ms equipos que mantener y
actualizar, desplazamientos, etc.
11
ndice /

ndice
04 Conclusiones
12
03. Estrategias para desarrollar un Plan de Contingencias
COSTES
Factores que determinan un Plan de Contingencias
Se dispone
de un Plan de
Contingencias
y se ha probado
Mnimas Prdidas
No se
dispone
de un Plan
Poca capacidad de
reaccin acciones no
coordinadas
Situacin
lmite
Prdidas
Irreparables
(econmicas,
de imagen o ambas)
TIEMPO
13

La disponibilidad o tiempo de recuperacin, es decir, el tiempo en el que deben volver a estar
operativos los SIC que van a respaldarse. La disponibilidad puede estar condicionada por:
La importancia se denomina criticidad
de las TI en el desarrollo de una
actividad concreta de la empresa, o lo
que es lo mismo, la importancia que tiene
el que esas TI estn disponibles dando
servicio el mayor tiempo posible, que
obligue a que se reanude rpidamente su
funcionamiento, so pena de que su
interrupcin perjudique o degrade los
objetivos y la calidad de la actividad en
concreto.
La existencia de ANS
(Acuerdos de Nivel de
Servicio),
que
establezcan
unos
lmites temporales para
reanudar el servicio y
unos porcentajes de
actividad mnimos de
dichos servicios.
La modalidad de CAR elegida.

Existen varios tipos de centros
alternativos de respaldo y sus
caractersticas
principales
estn
relacionadas con el periodo de tiempo
de que se dispone para poner en
marcha la solucin de respaldo. As,
existen las modalidades de sala fra,
sala caliente, y algunas se pueden a
su vez cruzar con la forma en la que
se restauran los datos: mediante
copia de seguridad, replicacin de
datos (mtodos asncrono y sncrono)
entre CPD y CAR.
Cuntos tipos de Centros Alternativos de Respaldo existen?

14
Tipos de C A R

Cold Sites
Typically consist of a facility with adequate space and infrastructure (electric power, telecommunications connections, and
environmental controls) to support the IT system. The space may have raised floors and other attributes suited for IT operations. The
site does not contain IT equipment and usually does not contain office automation equipment, such as telephones, facsimile
machines, or copiers. The organization using the cold site is responsible for providing and installing necessary equipment and
telecommunications capabilities.
Warm Sites
Are partially equipped office spaces that contain some or all of the system hardware, software, telecommunications, and power
sources. The warm site is maintained in an operational status ready to receive the relocated system. The site may need to be
prepared before receiving the system and recovery personnel. In many cases,a warm site may serve as a normal operational facility
for another system or function, and in the event of contingency plan activation, the normal activities are displaced temporarily to
accommodate the disrupted system.
Hot Sites
Are office spaces appropriately sized to support system requirements and configured with the necessary system hardware,
supporting infrastructure, and support personnel. Hot sites are typically staffed 24 hours a day, 7 days a week. Hot site personnel
begin to prepare for the system arrival as soon as they are notified that thecontingency plan has been activated.
Mirrored Sites
Are fully redundant facilities with full, real-time information mirroring. Mirrored sites are identical to the primary site in all technical
respects. These sites provide the highest degree of availability because the data is processed and stored at the primary and alternate
site simultaneously. These sites typically are designed, built, operated, and maintained by the organization.
15

La existencia de instalaciones adecuadas para emplazar un CAR. Pueden darse varias opciones:
1
2
3
Que la empresa disponga de algn otro emplazamiento propio adems del propio
habitual, donde pueda instalar un CAR con la infraestructura suficiente, material y
humana, para poder respaldar la informtica crtica. Hay que analizar la viabilidad
econmica, tcnica y material de la opcin.
Que la empresa pueda utilizar las instalaciones informticas de otras empresas
afines, mediante los convenientes acuerdos, como centro de respaldo. Esta opcin
necesita que, en su anlisis, adems se consideren otros condicionantes tales
como: la proteccin y restriccin del acceso a ese centro de respaldo, el
enrutamiento (encaminamiento) de la conexin de un nmero importante de
usuarios a ese centro, lo que implicar que se acceda a la red de otra institucin.
Que se utilicen las instalaciones de un proveedor que preste este tipo de servicios.
En esta opcin, todos los condicionantes anteriores se traducen en requerimientos
que se le plantean al proveedor, el cual los analiza y tasa para ofrecer un
presupuesto y un contrato de servicio de respaldo.
Qu caractersticas debera tener un Centro Alternativo de Respaldo
16
Caractersticas Generales del CAR

1. Ubicacin fsica.
Estar ubicado dentro de los lmites del territorio de la provincia o de la comunidad.
Existir una distancia perimetral con respecto a las instalaciones actuales que sea prudencial.
2. Infraestructura.
Transporte hasta el CAR: debe existir acceso a las instalaciones mediante transportes pblico y privado.
Aparcamiento y Muelle de carga y descarga.
Cuarto de almacenamiento y aprovisionamiento.
Cuadro de transformacin elctrica.
Servicio de almacenamiento y custodia de soportes magnticos en armarios ignfugos.
Dotacin telefnica con toda la funcionalidad requerida (ejemplos: cobertura nacional y salida al extranjero).
Servicio de fax.
Servicio de fotocopiadora.
Sala de reuniones.
Mobiliario (mesas, sillas, cajoneras, archivadores, todo en funcin del nmero de personas que se vaya a desplazar al CAR).
Cafetera o equipos sustitutorios (mquinas expendedoras de comida y bebida).
Para poder operar la plataforma, una LAN con:
Direcciones IP de acuerdo al rango privado.
Un nmero a determinar de puestos de trabajo PC.
Un nmero a determinar de impresoras conectadas a la red.
Adems:
La electrnica de red necesaria y adecuada para la constitucin de la LAN y la WAN desde la que va a operar.
Firewall para proteccin de los equipos desde el acceso exterior.
Redireccionamiento IP para acceso a Internet y DNS: el CAR se debe ver desde las instalaciones de la empresa y los usuarios deben
llegar al CAR para conectarse y operar con los servicios respaldados, cuando se activa el PCI.
Conexin para acceso a/desde Internet.
17

Seguridad fsica.
SAI.
Grupo electrgeno independiente (alimentado por combustible).
Medidas para deteccin y extincin de incendios.
Servicio de vigilancia fsica permanente.
Control de accesos tanto al CPD como a las instalaciones en las que se ubica.
Escner de deteccin de objetos.
Seguridad perimetral (detectores de intrusin, vdeo cmaras, etc.).
Destructora de papel.
No debe disponer de ventanas acristaladas, o en su defecto instalar detectores volumtricos o de movimiento en ellas.
Disponer de medidas para evitar interferencias electromagnticas, barridos de frecuencias y otras formas de guerra electrnica.
Aislar el edificio donde se ubica el CPD. No situar el edificio contiguo a muros exteriores o a paredes de otros edificios.
No colocar el cuarto de almacenamiento contiguo a la sala que alberga los equipos informticos, para evitar riesgos de incendios,
humos o similares.
Separar de forma estanca, en la medida de lo posible, equipos informticos de elementos de comunicaciones y de armarios de
soportes magnticos, para evitar daos mayores.
Las conducciones de agua no deben pasar por encima o los laterales de la sala o salas que alberguen equipos informticos, de
comunicaciones, etc.
18

Sala de CPD.
Falso suelo.
Falso techo.
Aire acondicionado con conexin al SAI.
Detectores de humedad.
Sistemas de desage en caso de inundaciones. Lo ms ptimo es no ubicar los equipos informticos por debajo del nivel del
suelo, como un stano, por ejemplo.
Cuadros elctricos conectados al SAI, con lneas y protectores diferentes para conexiones distintas de los equipos, que posean
doble acometida.
Muros, paredes, puertas contra incendios.
Acceso restringido con medidas de seguridad y controlado por cmaras de vigilancia.
Racks para equipos informticos, electrnica de red y comunicaciones y par soportes magnticos.
19

La existencia de un buen plan de
copias de seguridad y, en un sentido
ms amplio, de un plan de almacenamiento
de la informacin. Disponer de ms de una
fuente de la que poder recuperar los datos
e informacin necesarios para poner en
marcha los sistemas de informacin y las
comunicaciones, en otro emplazamiento,
siempre es una baza importante para
sentar las bases del respaldo.
20

El establecimiento de un equipo
organizado de personas, preparado
para actuar en caso de que se active el
Plan. Se debe considerar la organizacin
de contingencias informticas como una
unidad de apoyo, cuya estructura no tiene
vigencia real permanente, y slo se activa
ante un caso de contingencia informtica o
bien para realizar las pruebas de respaldo
planificadas.
Atencin esta organizacin no solo

tiene funciones cuando se produce
una contingencia.
21

La metodologa
Seguir una adecuada, razonable y lgica sucesin de actividades encaminadas a la consecucin de
los objetivos perseguidos.
22

BIA (Business Impact Analysis)
Es un paso clave para la elaboracin del Plan de Contingencias. Su propsito es relacionar
componentes especficos de los CIS con los servicios crticos que soportan y proporcionan.
A mayor conocimiento de las funciones, objetivos y misin de la empresa,

mejor anlisis se realizar.
23

Las inversiones
Es necesario acomodar las expectativas al montante del presupuesto de que se puede disponer.
No obstante, es un error considerar que el Plan de Contingencias es un gasto, que suele ser el
argumento en contra utilizado por las reas financieras de las empresas e instituciones que vigilan en
qu se va a emplear el presupuesto.
24

Caractersticas de un
Plan de Contingencias
Aprobacin
Respuesta organizada
El Plan debe ser aceptable para la

direccin, usuarios y la auditora.
El Plan debe proporcionar una lista de

acciones y servicios que deben recibir
atencin inmediata a continuacin del
desastre. As mismo, incluir listas de
telfonos y direcciones de individuos
involucrados en el plan, para poder
contactar con ellos.
Flexibilidad
Deber especificarse mediante guas,
no referirse a situaciones individuales
de desastre.
Mantenimiento
Eludir detalles innecesarios de
manera que pueda ser fcilmente
actualizado.
Costo-Efectividad
Vigilar que la proporcin entre las
medidas a aplicar y las ventajas que
se conseguirn son justas y
razonables.
Responsabilidad
A
individuos
especficos
deber
asignrseles
la
responsabilidad
de
determinadas funciones.
Prueba
Deben de realizarse pruebas, con intervalos
de tiempo, para revisar los procedimientos
de respaldo y las propias soluciones
tcnicas. El Plan debe contar con un estado
de frecuencias de prueba y una
metodologa de pruebas documentada.
25
ndice /

ndice
04 Conclusiones
26
05. Conclusiones
Aumentar las medidas para garantizar la disponibilidad

de los servicios informticos genera confianza y
acerca a los usuarios a la informtica.
La empresa debe asumir el Plan de Contingencias
Informticas, analizarlo y determinar su idoneidad, con
el fin de ponerlo en marcha en un tiempo razonable.
En un Plan de Contingencias se invierte, no se gasta.
Adoptar un Plan de Contingencias impacta en la
organizacin,
en
las
funciones
y
en
las
responsabilidades.
El Plan de Contingencias Informticas debe ser un
elemento vivo, que se mantenga, pruebe y actualice
peridicamente.
27
El valor de la anticipacin

Formacion Plan Contingencias Informaticas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Formacion Plan Contingencias Informaticas

Cargado por

Copyright:

Formatos disponibles

Plan de

La Proteccin de Datos de Carcter Personal

01 Objetivos del Seminario

Plan de Contingencias Informticas | Pgina

La Proteccin de Datos de Carcter Personal

01 Objetivos del Seminario

2006 INDRA Sistemas, S.A.

Plan de Contingencias Informticas | Pgina

01. Objetivos del Seminario

Para alcanzar estos

 Exponer los conceptos bsicos sobre contingencias y

Los servicios informticos benefician a toda la organizacin.

Plan de Contingencias Informticas | Pgina

La Proteccin de Datos de Carcter Personal

01 Objetivos del Seminario

02 Conceptos generales sobre contingencias

2006 INDRA Sistemas, S.A.

Plan de Contingencias Informticas | Pgina

02. Conceptos Generales sobre contingencias

No se trata de sembrar el alarmismo. Se trata tan solo de fijar el contexto en

02. Conceptos Generales sobre contingencias

Data Center Move

Fuente: Comdisco Vulnerability Index

2006 INDRA Sistemas, S.A.

No slo se deben identificar los riesgos, tambin

02. Conceptos Generales sobre contingencias

In general, universally accepted

Incluso los organismos e instituciones

Plan de Contingencias Informticas | Pgina

02. Conceptos Generales sobre contingencias

Una organizacin necesita de la suma de los dos para disponer

Plan de Contingencias Informticas | Pgina

02. Conceptos Generales sobre contingencias

Evitar los puntos nicos de fallo.

2006 INDRA Sistemas, S.A.

Incrementa la seguridad de los sistemas de informacin.

Plan de Contingencias Informticas | Pgina

02. Conceptos Generales sobre contingencias

2006 INDRA Sistemas, S.A.

Con el grado de inversin adecuado,

Plan de Contingencias Informticas | Pgina

La Proteccin de Datos de Carcter Personal

01 Objetivos del Seminario

03 Estrategias para desarrollar un Plan de Contingencias

2006 INDRA Sistemas, S.A.

Plan de Contingencias Informticas | Pgina

03. Estrategias para desarrollar un Plan de Contingencias

Factores que determinan un Plan de Contingencias

Plan de Contingencias Informticas | Pgina

03. Estrategias para desarrollar un Plan de Contingencias

Factores que determinan un Plan de Contingencias

La modalidad de CAR elegida.

Cuntos tipos de Centros Alternativos de Respaldo existen?

Plan de Contingencias Informticas | Pgina

03. Estrategias para desarrollar un Plan de Contingencias

Factores que determinan un Plan de Contingencias

Plan de Contingencias Informticas | Pgina

03. Estrategias para desarrollar un Plan de Contingencias

Factores que determinan un Plan de Contingencias

Qu caractersticas debera tener un Centro Alternativo de Respaldo

2006 INDRA Sistemas, S.A.

Plan de Contingencias Informticas | Pgina

03. Estrategias para desarrollar un Plan de Contingencias

Caractersticas Generales del CAR

Exponer los conceptos bsicos sobre contingencias y

Evitar los puntos nicos de fallo.

Aumentar las medidas para garantizar la disponibilidad