AFI II Unidad 3 M.C.A. Rosalinda Cisneros Preciado.

Unidad III Plan general de recuperacin ante desastres Contenido. 1. Plan de Prevencin. 2. Plan de Contencin. 3. Plan de Recuperacin. 4. Plan de Contingencia. 1. PLAN DE PREVENCION. En este plan se analizan los riesgos y fallas de seguridad a los que se expone la institucin; se elabora un resumen por medio de una tabla de riesgos y las recomendaciones de acuerdo a las fallas de seguridad, para as prevenir cualquier desastre. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin estimar el costo que supondra. El anlisis de riesgos supone responder a preguntas como: que puede ir mal? Con que frecuencia puede ocurrir? Cules podran ser sus consecuencias? Que fiabilidad tienen las respuestas a las tres primeras preguntas? Para cada riesgo, se debe determinar la probabilidad del factor de riesgo: factor de riesgo bajo, factor de riesgo muy bajo, factor de riesgo alto, factor de riesgo muy alto y, factor de riesgo medio. Luego se efectuara un resumen de los riesgos ordenados por el factor de riesgo de cada uno, ejemplo: TIPOS DE RIESGOS Robo Vandalismo Fallas en los equipos Accin de virus Equivocaciones Terremotos Accesos no autorizados Robo de datos Fuego Inundaciones Fraude FACTOR DE RIESGO Alto Medio Medio Medio Bajo Bajo Bajo Bajo Bajo Bajo Muy Bajo

2. PLAN DE CONTENCIN (SEGURIDAD). Anlisis de fallas de seguridad. Esto supone estudiar las computadoras, su software, localizacin y utilizacin con el objetivo de identificar los puntos de seguridad que pudieran suponer un peligro. Ejemplo de algunos tipos de riesgos de una empresa dada: GENERALES: se hace una copia diaria de los archivos que son vitales para la institucin. ROBO COMUN: Se cierran las puertas de entrada. VANDALISMO: se cierra la puerta de entrada. DAO POR VIRUS: todo el software nuevo se analiza antes de instalarlo utilizando un antivirus. Los programas de dominio publico y de uso compartido, solo se utilizan si proceden de una fuente confiable. EQUIVOCACIONES: los empleados tienen buena formacin. Cuando son necesarios, se intenta conseguir buenos trabajadores temporales. TERREMOTO: Nada. ACCESO NO AUTIRIZADO; se cierra la puerta de entrada. Varias computadoras disponen de llave de bloqueo de teclado. FUEGO: se encuentra instalado un sistema contra incendios, extinguidores en sitios estratgicos y se brinda entrenamiento peridico en el manejo de extinguidores al personal. ROBO DE DATOS: Nada.

AFI II Unidad 3 M.C.A. Rosalinda Cisneros Preciado.

3. PLAN DE RECUPERACIN DE DESASTRES Este plan tiene como objetivo que el negocio alcance una recuperacin sistemtica y ordenada. El plan debe poder restaurar a la empresa como estaba antes, por medio de un planteamiento para la recuperacin ante el desastre. Es importante definir los procedimientos y planes de accin para el caso de una posible falla, siniestro o desastre en el rea de informtica, considerando como tal todas las reas de los usuarios a que procesan informacin por medio de la computadora. Cuando ocurra una contingencia, es esencia que se conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso perdido. La elaboracin de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de los encargados de la realizacin de los mismos, debiendo haber procesos de verificacin de su cumplimiento. En estos procedimientos esta involucrado todo el personal e la institucin. Los procedimientos de planes de recuperacin de desastres deben de emanar de la mxima autoridad institucional, para garantizar su difusin y estricto cumplimiento. Las actividades a realizar en un plan de recuperacin de desastres se clasifican en tres etapas: 1. Actividades previas al desastre. 2. Actividades durante el desastre. 3. Actividades despus del desastre. ACTIVIDADES PREVIAS AL DESASTRE. Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguran un proceso de recuperacin con el menor costo posible a nuestra institucin por medio de las siguientes actividades generales:

a. Establecimiento del plan de accin.

b. Formacin de equipos operativos. c. Formacin de equipos de evaluacin (auditoria de cumplimiento de los procedimientos de seguridad). a. Establecimiento del plan de accin. En esta fase se debe establecer los procedimientos relativos a sistemas de informacin, equipos de cmputo, obtencin y almacenamiento de los respaldos de informacin (backups) y, polticas (normas y procedimientos de backups). Sistemas de informacin. La institucin deber tener una relacin de los sistemas de informacin con los que cuenta, tanto los realizados por los sistemas de cmputo como los hechos por las reas usuarias. Debiendo identificar toda la informacin sistematizada o no, que sea necesaria para la buena marcha institucional. La relacin de los sistemas de informacin deber detallar los siguientes datos: o Nombre del sistema. o Lenguaje .Programas que lo conforman. o La direccin (gerencia, departamento, etc.) que genera la informacin base (el dueo del sistema). o Las unidades o departamentos (internos/externos) que usan la informacin del sistema. o El volumen de los archivos y transacciones diarias, semanales y mensuales que trabaja el sistema. o El equipo necesario para el manejo optimo del sistema. o La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia. Y nivel de importancia. o Actividades a realizarse para volver a contar con el sistema de informacin (actividades de restore). o Lista priorizada (un ranking) de los sistemas de informacin necesarios para que la institucin pueda recuperar su operatividad perdida en el desastre (contingencia). Equipos de cmputo. Hay que tener en cuanta lo siguiente: o Inventario actualizado del equipo, especificando su contenido (software que se usa, principales archivos que contiene), su ubicacin y nivel de uso institucional. o Pliza de seguros comerciales. o Sealizacin o etiquetado de las computadoras de acuerdo a la importancia de su contenido, para ser priorizados en caso de valuacin. Ej. Etiquetar los servidos con color rojo, amarillo las PCs con informacin importante o estratgica y color verde las PCs de contenidos normales.
2

AFI II Unidad 3 M.C.A. Rosalinda Cisneros Preciado.

o Tener siempre actualizada una relacin de PCs requeridas como mnimo para cada sistema permanente de la
institucin, las funciones que realizara y su posible uso en dos o tres turnos de trabajo, para cubrir las funciones bsicas y prioritarias de cada uno de estos sistemas. Obtencin y almacenamiento de los respaldos de informacin (backups). Se deber establecer los procedimientos para la obtencin de copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los sistemas o aplicativos de la institucin. Para lo cual se debe contar con: a. Backups del sistema operativo (en caso de tener varios sistemas operativos o versiones, se contara con una copia de ellos). b. Backups del software base (paquetes y/o lenguajes de programacin con los cuales han sido desarrollados o interactan nuestros aplicativos institucionales. c. Backups de software aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que tambin trabaje con la data, para producir los resultados con los cuales trabaja el usuario final). Se debe considerar tambin las copias de los listados fuentes de los programas definitivos, para casos de problemas. d. Backups de los Datos (Bases de Datos, ndices, tablas de validacin, passwords, y todo archivo necesario para la correcta ejecucin del software Aplicativo de nuestra Institucin) e. Backups del Hardware. Se puede implementar bajo dos modalidades: Externa (convenios con otra institucin); Interna (si se tienen varios locales) a. Formacin de equipos operativos. En cada unidad operativa de la institucin, que almacene informacin y sirva para la operatividad institucional, se deber asignar un responsable de la seguridad de informacin de su unidad. Pudiendo ser el jefe de dicha rea operativa, planificando, coordinando, supervisando, organizando, ejecutando, participando en: pruebas, procedimientos y trabajos de ejecucin, recuperacin, seguridad y, restauracin de: carga y manejo de informacin, equipo y simulacros de desastres. c. Formacin de equipos de evaluacin (auditoria de cumplimiento de los procedimientos de seguridad). Esta funcin debe ser realizada de preferencia por personal de inspectora, de no ser posible, la realizara el personal de informtica, debiendo establecerse claramente sus funciones, responsabilidades y objetivos ya que deber revisar normas y procedimientos, supervisar realizacin de backups y cumplimientos e incumplimientos de normas y acciones respectivas. ACTIVIDADES DURANTE EL DESASTRE. Una vez presentada la contingencia o siniestro, se deber ejecutar las siguientes actividades planificadas previamente: a. Plan de emergencias. b. Formacin de equipos. c. Entrenamiento. a. Plan de emergencias. En este plan se establecen las acciones que deben realizarse cuando se presenta un siniestro, as como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del siniestro: o Durante el da. o Durante la noche o madrugada. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurra el siniestro, debiendo detallar: o Vas de salidas o escape. o Plan de evacuacin del personal. o Plan de puesta a buen recaudo de los activos (incluyendo los de informacin) de la institucin (si es posible). o Ubicacin y sealizacin de los elementos contra el siniestro, tener a la mano: elementos de sealizacin, listas de telfonos de bomberos/ambulancias, jefatura de seguridad y de su personal (equipos de seguridad) nombrados para estos casos. b. Formacin de equipos de siniestro. Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica en la proteccin del personal, en caso de que el siniestro lo permita (por estar en un inicio o en una rea cercana, etc.), deber de existir dos equipos de personas que actan directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos informticos, de acuerdo a los lineamientos o clasificacin de prioridades. c. Entrenamiento.
3

AFI II Unidad 3 M.C.A. Rosalinda Cisneros Preciado.

Aqu se establece un programa de practicas peridicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se les hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidotes, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos en conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga. ACTIVIDADES DESPUS DEL DESASTRE. Despus de ocurrido el desastre o siniestro, es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el plan de emergencias ya mencionado.

a. Evaluacin de daos.
Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se han afectado, que equipos han quedado operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.

b. Priorizacion de actividades del plan de accin.

Toda vez que el plan de accin es general y contempla un a prdida total, la valuacin de daos reales y su comparacin contra el plan, nos dar la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra institucin. Es importante evaluar la dedicacin del personal a actividades que pueden haberse no afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico. Ejecucin de actividades. Implica la creacin de los equipos de trabajo para realizar las actividades previamente planificadas en el plan de accin. Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del plan de contingencias. Los trabajos de recuperacin tendrn dos etapas, la primera, la restauracin del servicio usando los recursos de la institucin o local de respaldo, y la segunda etapa es la volver a contar con los recursos en las cantidades y lugares propios del sistemas de informacin, debiendo ser esta ultima etapa lo suficientemente rpida para no perjudicar la operatividad de la institucin o local de respaldo. c.

d. Evaluacin de resultados.
Una vez concluidas las labores de recuperacin de los sistemas que fueron afectados por el siniestro, debemos evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se comportaron lo equipos de trabajo, etc. De la evaluacin de resultados y del siniestro en si, debera de salir dos tipos de recomendaciones, un ala retroalimentacin del plan de contingencias y otra una lista de recomendaciones para minimizar los riesgos y la perdida que ocasiona el siniestro.

e. Retroalimentacin del plan de accin.

Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra institucin el plan de contingencias llevado a cabo.

4. PLAN DE CONTINGENCIAS Es un documento formal, por escrito, que detalla las acciones que deben emprenderse en caso de haber una perturbacin, o una amenaza de perturbacin, en cualquier parte de la operacin de una empresa. Se ha constatado que, en vez de confiar en un solo plan amplio para contingencias, la mejor estrategia es crear varios subplanes que contemplan contingencias especficas. Entre los subplanes mas comunes estn: 1. Plan de emergencia: Especifica las medidas que garantizaran la seguridad de los empleados cuando ocurre un desastre. (sistemas de alarma, procedimientos de evacuacin y sistemas de supervisin de incendios) 2. Plan de respaldo: La compaa debe tomar medidas para contar con instalaciones de cmputo de respaldo en caso de que las instalaciones normales se destruyan o daen tanto que no puedan usarse. (combinacin de redundancia, diversidad y movilidad)
4

AFI II Unidad 3 M.C.A. Rosalinda Cisneros Preciado.

3. Plan de registros vitales: Especfica como se protegern los documentos en papel, micro formas y medios de almacenamiento magnticos y pticos que son necesarios para que la empresa pueda funcionar. (sitio remoto, transmitir electrnicamente). Servicios de transmisin electrnica: o Bvedas electrnicas. Esto implica la transmisin electrnica de los archivos de respaldo por lotes al final del da. o Diarios remotos. Esto implica la transmisin de datos en el momento en el que ocurren las transacciones. Los datos se utilizan luego para actualizar por lotes las bases de datos del sitio remoto. o Sombras en las bases de datos. Esto implica la actualizacin de la base de datos duplicadas en el sitio remoto en el momento en el que ocurren las transacciones. Al preparar planes distintos para cada tipo de contingencia, el gerente de la compaa se asegura de que un desastre solo causara una interrupcin temporal y que la compaa podr continuar sus operaciones. Determinacin de las funciones vitales y necesarias. El primer caso al disear un plan de contingencia consiste en identificar las funciones necesarias para mantener funcionando la compaa. Un esquema de clasificacin de estas funciones puede ser: vitales (el proceso de transacciones y pedidos, cuentas por cobrar, cuentas por pagar, control de inventarios, asignacin de precios y facturacin, y la nomina. Se debern mantener en un lugar seguro, copias de todas estas aplicaciones incluyendo programas, datos y documentacin, fuera de las instalaciones., necesarias, deseables o triviales. Estrategias alternativas de contingencias. Una estrategia sencilla es regresar a los mtodos manuales. O bien la funcin puedes ser realizada por un servicio externo. 1. Instalaciones de respaldo propiedad de la compaa. El sistema total se duplica en algn lugar distante de donde se encuentra el sistema actual. Esta opcin es de bajo riesgo y alto costo. 2. acuerdo reciproco. Esta opcin implica un arreglo o contrato realizado entre dos compaas de sistemas de computo compatibles para darse servicio entre si en caso de desastre. Esto duea como una opcin viable, pero generalmente no funciona por dos razones. En primer lugar, la mayora de los sistemas no tienen suficiente tiempo para sus propias necesidades de procesamiento, y mucho menos para las necesidades de procesamiento de otra organizacin. En segundo lugar, debido a los cambios en una o en ambas compaas al pasar el tiempo, los sistemas de cmputo pueden llegar a ser incompatibles, y ninguno de ellos podra darse cuenta de la situacin hasta que fuera demasiado tarde. 3. Servicio de emergencia. Esta es una instalacin de respaldo ofrecida por un vendedor con base en una cuota para los usuarios de una familia determinada de computadoras. Esta opcin es de bajo riesgo si el desastre no cubre un rea grande, dems de que se ofrece a un costo razonable. 4. consorcio. Mediante esta opcin, varias compaas se unen y construyen su propia instalacin de respaldo. Esta opcin incluye caractersticas de las primeras operaciones. 5. despacho de servicio comercial. La contratacin de un procesamiento de emergencia con un despacho de servicio comercial es una opcin viable bajo ciertas circunstancias. El sistema debe de ser compatible y estar disponible cuando se necesite. El riesgo, el costo y la eficiencia son moderados para esta opcin. 6. cpsula. Es un edificio con todas las tomas y conexiones necesarias pero sin el equipo de computacin pueden ser construidas por la organizacin para su propio uso o se puede uno suscribir a un propietario comercial de cpsulas. El riego es moderablemente alto, los costos son bajos y la eficiencia tiene grado de bajo moderado. 7. Centro mvil de datos. Es un enfoque nico de planeacin de recuperacin ante desastres. Esta listo para dar servicio a cualquiera de sus instalaciones de sistemas que se encuentran distantes.