P. 1
Plan de Contingencia Ejemplo

Plan de Contingencia Ejemplo

|Views: 442|Likes:
Publicado porXaul Omar Tobar

More info:

Categories:Types, School Work
Published by: Xaul Omar Tobar on Jun 14, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/17/2015

pdf

text

original

UNIVERSIDAD DE SONSONATE

FACULTAD DE INGENIERÍA Y CIENCIAS NATURALES CARRERA: Ingeniería en Sistemas Computacionales.
PLAN DE CONTINGENCIA

PLAN ELABORADO POR: Castillo Moscoso, Carlos Israel Escobar Rodríguez, Nelson Edwin Tobar Castillo, Saúl Omar

Sonsonate, 18 de Mayo de 2012

Administración de Centros de Computo

Ing. Ana Mercedes Cáceres

3.1 Análisis de riesgos 6 3.3 Aplicaciones o Software 5 2.1 Objetivo General 2 1.6 Novedades y aspectos de impacto 10 PARTE IV INNOVACIONES 11 4.5 Cronograma de actividades 3 PARTE II EVALUACION DE ASPECTOS QUE PUEDAN 4 CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS DATOS 2.2 Clasificación de riesgos que pueden suscitarse 7 3.5 Instrumentos o herramientas de apoyo 9 3.3 Objetivos 2 1. INDICE ii RESUMEN EJECUTIVO iii INTRODUCCION iv PARTE I PLANIFICACION DEL PROYECTO 1 1.5 Área física 5 PARTE III ANALISIS DE RIESGOS Y MEDIDAS 6 3.1 Infraestructura 4 2.4 Bases de Datos 5 2.2 Documentación 4 2.1.2 Objetivos Específicos 2 1.INDICE GENERAL Nº PAG.2 Alcances y Limitantes 1 1.4 Presupuesto 2 1.4 Medidas preventivas y correctivas en caso de siniestro en contra de 8 los recursos tecnológicos 3.3.1 Definición del proyecto 1 1.2 Importancia de aplicar el estándar ISO 27002 12 PARTE V CONCLUSIONES Y RECOMENDACIONES 13 5.1 Propuesta de innovaciones 11 4.1 Bienes susceptibles a daños 6 3.2 Recomendaciones 14 ii .3 Recursos a utilizar en situaciones criticas 7 3.1 Conclusiones 13 5.

muestra una evaluación de los aspectos que pueden constituirse en amenaza a la seguridad de la información. En la documentación se han propuesto medidas e innovaciones que deben de seguirse para lograr los resultados ofrecidos. El Plan de Contingencia incluye los siguientes puntos que son de vital importancia para desarrollarse exitosamente: Planificación del proyecto. que se pueden suscitar con la aplicación las medidas preventivas y correctivas que propone este plan. de bases de datos en las que se almacena la información y del área física. Análisis de riesgos. de esta forma se recupera la inversión efectuada en la ejecución de este plan de contingencia. Mediante la aplicación de este plan se pretende mitigar los riesgos relacionados con la seguridad de la información y adicionalmente servir de apoyo en el desarrollo de procesos y actividades de la institución. para ello se fija un horizonte para saber hacia donde se dirige y una citación de lo que se invierte para el desarrollo del plan. Una evaluación de los aspectos críticos que vulneran la seguridad de los datos generados en la Universidad tales como de infraestructura. iii . de aplicaciones. El Plan de Seguridad antes definidos a este plan el presupuesto obedece y es congruente con el contenido de este.RESUMEN EJECUTIVO El presente PLAN DE CONTINGENCIA. para definir puntualmente de lo que se trata y lo que se pretende alcanzar mediante la aplicación. de documentación. un análisis detallado de los riesgos y medidas preventivas y correctivas que deben de seguirse para mitigarlos en la Universidad de Sonsonate para el año 2012. en el cual están debidamente organizadas y fundamentadas las propuestas de innovación para mantener la integridad en la información de la Universidad. las cuales se han analizado y evaluado para garantizar que los objetivos planteados son alcanzables con el presupuesto disponible y se reflejara mediante los beneficios adquiridos.

el resultado esperado de la realización de la misma.INTRODUCCIÓN. iv . además para conocer con precisión y exactitud cuáles son las funciones que deben desempeñar como colaboradores en cuanto al resguardo y seguridad de la información. Es de gran importancia contar con un plan de contingencia que sirva de guía para reducir los riesgos a gran medida en el centro de trabajo. Una evaluación critica de aquellos aspectos que puedan convertirse en determinado momento una amenaza para información dela institución. Para estar preparados para solventar problemáticas que existe la posibilidad de que esto sucedan pero de manera improvista es necesario presentar la planificación en donde se detalla el propósito o las razones por las que se requiere mejorar. La investigación para la elaboración del plan de contingencia se desarrollo con el apoyo incondicional de La Universidad de Sonsonate “USO”. para esto se puede beneficiar rigiéndose bajo normas como la ISO 27002 que propone diferentes formas para la seguridad de la información. disponibilidad financiera. así como los recursos que se van a utilizar como el tiempo la tecnología. Obteniendo como resultado información veraz en el que se sustenta este plan para proponer medidas para suscitar los riesgos que amenazan la seguridad de la información. entre otros que son de vital importancia en toda planeación porque a partir de ello se definen los logros alcanzables. el transporte. Se describen los riesgos y medidas que deben de seguirse para solventar o reducir el riesgo. Es necesario innovar según el aparecimiento de nuevas tecnologías para mantener y garantizar la seguridad de la información y de esta forma prestar mejores servicios a la comunidad estudiantil.

1 DEFINICIÓN DEL PROYECTO Este plan tiene como finalidad presentar diversos mecanismos para la prevención de los recursos a través de la identificación de las necesidades como de las posibilidades de respaldo mediante un conjunto de medidas que están destinadas a proteger la información contra los diversos daños producidos por sucesos naturales o por el personal que labora dentro de la institución. Esto se ejecuta para asegurar la continuidad de las tareas dentro de la institución y por ende la productividad y eficiencia en los servicios que se ofrecen a pesar que ciertos procesos pueden estar en un estado crítico mediante un lapso de tiempo antes de que se efectuara el cambio de algún dispositivo o la reparación de dicho incidente. 1.2.2. El tiempo requerido para el desarrollo de cada actividad presentada en el cronograma puede prolongarse debido a factores externos que no pueden ser controlados o por falta de equipo a la hora de realizar dicha actividad. 1 . 1.2 ALCANCES Y LIMITANTES 1.PARTE I PLANIFICACION DEL PROYECTO 1.2 LIMITANTES El plan de contingencia cuenta con las siguientes limitantes:   El presupuesto aprobado para el plan puede ser insuficiente para su realización e implementación. así como la protección y el respaldo en la información delicada que la institución maneja para mantener la eficiencia en cada una de sus tareas.1 ALCANCES El plan de contingencia cubre los distintos incidentes que pueden llegar a ocurrir en las actividades de la institución mediante una serie de políticas que ayuden a reducir el consumo de recursos que son mal empleados en los procesos críticos que se presentan.

00 2 .00 375. 1.00 320.929.599.080.4 PRESUPUESTO Nº 1 8 4 1 2 4 HERRAMIENTAS Servidor DELL Extintores Discos Duros Extraíbles de 1 TB Aire Acondicionado LG Firewall CISCO Licencia Smart Security TOTAL $ $ $ $ $ $ PRECIO C/U 2. 1. inspección y respuesta ante diversos incidentes que pueden afectar la ejecución de las actividades de la institución con el propósito de mantener la eficiencia y productividad en los momentos críticos.00 50.3.00 980.00 1.3.599.1 OBJETIVO GENERAL Fomentar un mecanismo de prevención.  Minimizar el impacto de los incidentes en la institución impulsando medidas de prevención y corrección en las actividades que se vean afectadas.2 OBJETIVOS ESPECÍFICOS  Definir Políticas que promuevan el buen uso de cada herramienta utilizada en las diversas tareas que realiza la institución.3 OBJETIVOS 1.00 270.00 980.1.00 40.00 750.00 5.00 $ $ $ $ $ $ $ TOTAL 2.00 200.  Proteger la Información delicada de cualquier siniestro mediante el uso de tecnologías adecuadas  Proporcionar al personal reglamentos para asegurar su seguridad como de los dispositivos de la institución en caso de que surja un siniestro.

00 175.640.569.000.00 2.00 500.5 CRONOGRAMA DE ACTIVIDADES TIEMPO N° 1 2 3 4 5 6 7 8 9 ACTIVIDADES Planificar Medidas Preventivas y Correctivas Definir Posibles Riesgos Análisis y valoración de riesgos.00 $ 10. Establecimiento de requerimientos de recuperación Documentación del Plan Ejecución de medidas preventivas y Correctivas Pruebas Mantenimiento Evaluar Resultados I Trimestre II Trimestre III Trimestre IV trimestre 10 Retroalimentación del Plan 3 .929.00 4.00 1.00 TIPO DE SERVICIO Mensual Mensual Trimestral SERVICIO ANUAL $ $ $ $ 540.00 2.00 4.00 DESCRIPCION GENERAL Herramientas Servicios TOTAL $ $ MONTO 5.Nº 1 1 1 SERVICIOS Servicio de Cloud Computing Servicio de Mantenimiento Servicio de Análisis de Riesgos TOTAL $ $ $ TARIFA 45.640.100.

para hacerle el mal a otro y ayudarse el mismo. Sismos e Inundaciones que en su momento se mencionaron en el Plan de Seguridad Informática. Es bien importante destacar que una infraestructura por muy bien construida que se encuentre siempre esta propensa a tener cualquier tipo de riesgo o también propensa a tener amenazas. 4 . 2.1 INFRAESTRUCTURA En cuanto a la infraestructura se puede contar con la seguridad de los datos pero también a su vez esta infraestructura puede llegar a constituir una amenaza ya que dentro de una infraestructura tenemos la información de los datos con los que cuenta la Universidad de Sonsonate pero esta a su vez se puede volver una amenaza porque una infraestructura puede contar con: Incendios.2 DOCUMENTACIÓN Si bien es cierto que estos aspectos tienen que tener una gran seguridad porque es la información con la que cuenta la Universidad también se convierte en amenaza latente ya que al no contar con la seguridad adecuada cualquier persona ajena a la Universidad puede adquirir la información o los datos de la institución e incluso también los mismos alumnos pueden manipular los datos con el fin de hacer fraude en cuanto a sus notas.PARTE II EVALUACION DE ASPECTOS QUE PUEDAN CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS DATOS 2.

5 . antispam entre otros pero siempre los estudiantes esta buscado maneras que puedan violentar estos programas con los que cuenta la Universidad 2.5 ÁREA FÍSICA Es de suma importancia mencionar el área en donde se encuentran los equipos de computo porque como se mencionaron en el plan de seguridad cuenta con extintores en cada aula que cuenta con computadoras los servidores en una altura considerada para que no se puedan mojar pero con esto no quiere decir que esta exento de algún riesgo es importante tomar varias medidas mas cuando se trata de la área física porque una mala ubicación en un servidor puede ser decisivo.4 BASES DE DATOS Como se ha mencionado en los incisos anteriores la seguridad es muy importante aun mas en las bases de datos que tiene la Universidad pero este aspecto no esta exento de ser una amenaza este puede ser vulnerable si no se cuenta con la seguridad adecuada contar con copias de seguridad. 2.2. respaldo en otros servidores alojamiento en internet de las bases de datos e incluso en otros servidores de la Universidad pero que estén en otra ubicación geográfica.3 APLICACIONES O SOFTWARE En cuanto a las aplicaciones o software se pueden tener varias amenazas que siempre están relacionadas con la documentación con el hurto de información en base a aplicaciones que son utilizados e incluso con los mismos estudiantes de la Universidad a pesar de contar con programas que sirven como seguridad que fueron mencionados en el plan de seguridad como antivirus.

1. proteger aquellos equipos que se consideran que son y tienen los datos mas importantes considerar también los equipos que sus precios son muy elevados.PARTE III ANALISIS DE RIESGOS Y MEDIDAS 3. 3. tomar en cuenta todas las precauciones y tomar las medida de seguridad empleadas en el plan de seguridad para poder alunar los daños que puedan sufrir los equipos pero si no se pueden anular por lo menos es necesario tratar de minimizar los riesgo lo mas que se pueda. se debe procede a identificar cuales pueden ser los equipos o servidores que tienen que tener una gran importancia para la Universidad de Sonsonate. Se identifican los siguientes bienes propensos a riesgos: a) Personal b) Hardware.1 ANÁLISIS DE RIESGOS Si se desea realizar un análisis de los riegos. Software y utilitarios d) Datos e información e) Documentación f) Suministro de energía eléctrica g) Suministro de telecomunicaciones 6 . Si en caso de que los riesgo persistan se puede crear un plan de emergencia para hacer posible que los riesgos se minimicen en gran medida.1 BIENES SUSCEPTIBLES A DAÑOS Estos bienes ya se tocaron en el plan de seguridad por lo tanto solo se procede a mencionarlos estos bienes.

Estos riesgos pueden ser bajos si tenemos la capacidad de contra restarlos y esto pueden ser altos si no contamos con la capacidad necesaria. Estos se encuentran en los riesgos altos debido a que son los más comunes y propensos a que pasen:  Desastres Naturales  Fallas de Hardware  Acceso no Autorizado  El Personal  Incendios Riegos bajos  Equipo en mal estado  Se daño un proyector  No pueden imprimir  La impresora no funciona 3.3 RECURSOS A UTILIZAR EN SITUACIONES CRÍTICAS Entre los recursos que se pueden utilizar tenemos:  Extintores  Programas para copias de respaldos de los datos de la Institución  Tener Servidores en otro lugar que estén replicando la información  Utilizar Discos Duros Extraíbles donde se encuentre copias de Seguridad  Pagar servicios en la nube para tener la información disponible en cualquier momento 7 .3.2 CLASIFICACIÓN DE RIESGOS QUE PUEDEN SUSCITARSE El objetivo de clasificar los riesgo radicar en las amenazas con las que contamos en la imagen siguiente muestra un detalle de como se puede presentar los riegos alto y bajos.

contra la humedad.4 MEDIDAS PREVENTIVAS Y CORRECTIVAS EN CASO DE SINIESTRO EN CONTRA DE LOS RECURSOS TECNOLÓGICOS Una de las medidas más importantes el Control de Accesos tiene que haber medidas efectivas del filtrado de usuarios para el control de acceso de ellos:  Acceso físico a personas ajenas al puesto. contra usuarios mal intencionados y contra virus o programas maliciosos o sospechosos  Crear un Plan de Recuperación  Hacer uso de las políticas de seguridad para poder respaldar las aplicaciones y datos.  Planificar un plan para aumentar las horas laborares en casos de emergencias de riesgos. 8 . porque tanto puede entrar una persona ajena a la institución como un mismo empleado y podría hacer fraude de lo datos. y poner en marcha el plan de emergencia si se tiene uno de ellos  Poner en ejecución los planes que se han creado tanto los de seguridad.  Mantener siempre en lugares seguros los datos haciendo énfasis en la prevención de los desastres naturales. de emergencia y otros. de contingencia.  Copias de respaldos son los importantes también con el fin de mantener la integridad de los datos.  Acceso restringido a los archivos de programas e instalación de programas. así como también mantenerlos a salvo contra incendios.3.  Acceso a la Red de las computadoras y servidores con los que se cuenta.  Realizar pruebas pilotos de los planes que se esta realizando por lo menos una vez al año Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido".

 Autentificación basada en Host: Proporciona el acceso según la identificación del host  Sistemas para la prevención de Incendios e Inundaciones: detectores de agua.  Sistemas de Antivirus: se encargan de la seguridad contra amenazas que pueden afectar a la institución seriamente.  Listas de Accesos: Fomenta la separación de privilegios entre usuarios.  Software de análisis de vulnerabilidad: Se utilizan para la realización de auditorías para la eficiencia de los diversos procesos.  Detección de Intrusos en Tiempo Real: Consiste en detectar actividades inapropiadas desde el exterior o interior de un sistema informático.  Cifradores: Permite que la información que se maneja se encripte para mantener su seguridad.  Dispositivos de control de puertos: Autorizan el acceso a un puerto determinado del computador.  Normas de Confidencialidad: Se utilizan para mantener la información segura mediante una serie de reglas.5 INSTRUMENTOS O HERRAMIENTAS DE APOYO Instrumentos  Firewalls: Permiten bloquear o filtrar el acceso entre 2 redes. 9 . extintores etc. Herramientas  Wrappers: Sistema que se usa para filtrar el acceso de red al personal.3.  Normas de Asignación de cuentas: Se utilizan para mantener la seguridad y eficiencia dentro de la institución.  Tunning: finar la configuración de hardware y software para optimizar su rendimiento.  Red Privada Virtual (VPN): Son utilizadas para el envió de información de una forma más segura reduciendo así los costos.

Es así que surge como un impacto positivo la seguridad informática viniendo a suplir las necesidades de protección de los instrumentos y herramientas necesarias para el funcionamiento de la empresa ante situaciones críticas. la disponibilidad de los sistemas informáticos se ha vuelto crucial.6 NOVEDADES Y ASPECTOS DE IMPACTO A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades. En la actualidad un tema que ha dado mucho que hablar es la computación en las nubes donde se pretende alojar la información en servidores externos para protegerlos en caso de cualquier siniestro. aunque es una muy buena opción la mayoría de empresas desconfían en que otra empresa contenga información muy delicada de sus actividades. firmas digitales entre otros. Actualmente. Las políticas y Reglamentos así como los estándares han venido a proporcionar a las empresas senderos por donde guiarse uno de los estándares más conocidos son el ISO 27001 y 27002 donde se detalla la forma en que debe de actuar y funcionar las diferentes empresas para mantener la eficiencia y productividad en sus actividades diarias. Debido a eso ha surgido la necesidad de asegurar dichos dispositivos como la información que contienen ante desastres naturales como otras amenazas.3. Se podría decir que la seguridad y prevención de los siniestros siempre ocurrirán ganando más fuerza día a día es así que toda empresa debe de mantener un nivel de seguridad como de prevención continua para cualquier amenaza. 10 . la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso de un nivel continuo de disponibilidad ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Otras tecnologías que han venido a facilitar la prevención es la seguridad a través de huellas dactilares.

La realidad es que la innovación y la seguridad no necesitan competir como prioridades. En la mayor parte los riesgos a los que se enfrenta la Universidad de Sonsonate es que se altere la información por ello es necesario tomar en cuenta los siguientes aspectos de innovación: 1. 3. Es evidente que a pesar de algunos progresos positivos. 11 . Construir un modelo de mitigación de riesgo para delinear donde y en quien reside la responsabilidad de la toma de decisiones en cuanto al riesgo. 2.PARTE IV INNOVACIONES 4. que potencien la seguridad en la información. la relación entre seguridad e innovación es todavía muy tensa. Por esto una de las innovaciones más importantes que se propone es asignar un responsable de mitigación de riesgos para mejorar la seguridad y crear políticas de seguridad entre los usuarios y plantear alternativas novedosas.1 PROPUESTA DE INNOVACIONES Mediante la investigación del plan de contingencia en la Universidad de Sonsonate se encontraron ciertos aspectos necesarios de innovación en cuanto a reducir los riesgos en la seguridad de la información. Ante esta situación se deben aplicar los métodos y políticas de evaluación del riesgo en la seguridad de la información. Utilizar instrumentos o herramientas de apoyo a la seguridad actualizadas y con el mayor potencial para mitigar riesgos. Atender a una certificación con los estándares de calidad como el 27002 que garanticen la seguridad. sino son complementarias ante un enfoque de gestión de riesgo.

 Garantiza que la información se encuentre integra.  Reduce los riesgos de pérdida. por estas razones se considera de importancia el estándar ISO 27002.  Reducción de costos y mejora de los procesos y servicio a la comunidad estudiantil. operacionales y físicos.4.  Permite continuar gravedad.  Permite establecer una metodología de gestión de la seguridad clara y estructurada. propiedad intelectual y otras.  Mantener o mejorar la imagen de la institución y así mantenerse entre la competencia  Confianza y reglas claras para las personas de la institución.  El personal administrativo tiene acceso a la información a través medidas de seguridad.2 IMPORTANCIA DE APLICAR EL ESTANDAR ISO 27002 La importancia de aplicar la ISO 27002 es tomar las buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad.  Los riesgos y sus controles son continuamente revisados. con todo lo que esto implica.  Conformidad con la legislación vigente sobre información personal. además aplicar las funcionalidades que ofrece a la institución en cuanto a la seguridad de la información que maneja así también considera los riesgos organizacionales.  Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. disponible en cualquier momento. robo o corrupción de información. las operaciones necesarias tras incidentes de 12 .

desde el ámbito de seguridad física y la seguridad lógica esto es referente a las aplicaciones que sirven de herramienta para desarrollar las actividades en la institución. para proponer mejoras en la mitigación de riesgos en el menor tiempo posible y sin detener las operaciones y actividades que la Universidad ejecuta. Las políticas de seguridad ayudan al manejo de situaciones de riesgos. Aunque al parecer podrían considerar que apegarse a este tipo de estándares es en cierta forma difícil e incurre inversiones. Se proponen medidas preventivas y correctivas en caso de los siniestros en contra de los recursos de tecnologías para que la Universidad de Sonsonate se apoye de estas medidas y las aplique en el desarrollo de las actividades. en cuanto a lo físico se refiere a las instalaciones en las áreas de trabajo e infraestructura. Se mencionaron los riesgos a los que se ve expuestos la Universidad de Sonsonate. elementos y condiciones que intervienen en la seguridad informática con el fin de valorarlos y tomarse en cuenta para prevenirse de sabotajes en la información.PARTE V CONCLUSIONES Y RECOMENDACIONES 5. Se dio a conocer la importancia que tiene el estar certificado mediante el estándar ISO 27002. Se analizaron las condiciones actuales de la institución en cuanto a la preparación que se tiene para responder ante una problemática improvista. mantiene una normativa que deben de cumplir los usuarios. los factores.1 CONCLUSIONES Este plan de contingencia ha presentado la importancia que tiene realizar una evaluación acerca de los aspectos críticos que pueden constituirse en amenazas a la seguridad de información. pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de información como el de los activos de la institución y el registro académico. 13 .

 Obtener una certificación con el estándar ISO 27002 para mejorar la seguridad en la información.2 RECOMENDACIONES  Se debe de proporcionar el presupuesto adecuado para la prevención y seguridad de la infraestructura e información ya que si no se poseen los instrumentos y herramientas necesarias la pérdidas podrían ser mayores al presupuesto estipulado.  Monitorear que el plan de contingencia se desarrolle de la mejor forma posible respetando los requerimientos y los procesos para su continuidad y por ende para el mejor desarrollo de la institución en sus diversas actividades.  Desarrollar las políticas de prevención y seguridad comunicándolas al personal involucrado en cada tarea de la institución.  Se debe de analizar los riesgos de una forma periódica para mejorar o incorporar nuevas tecnologías si es necesario. con cursos de formación y capacitación en el área de seguridad de la información y de prevención de riesgos.5.  Fortalecer los conocimientos de todo el personal. 14 .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->