Auditoria de Sistemas

UNASAM FILIAL BARRANCA
PLAN DE CONTINGENCIA
El siguiente trabajo est dedicado a mi padres por el apoyo moral y econmico que me brindan da a da para ser mejor persona en la sociedad, y sobre todo para ponerlo en prctica lo que aprendemos en el transcurrir de nuestras vidas como estudiantes.
AUDITORIA DE SISTEMAS
PGINA 1
Durante varias dcadas, los japoneses han desarrollado diversos programas para enfrentar los terremotos que permanentemente tienen lugar en su pas. Su trabajo de preparacin y contingencias no slo ha consistido en construir infraestructura capaz de resistir los movimientos telricos, sino que tambin ha contemplado un amplio proceso de educacin a la poblacin. Este es un ejemplo destacable de cmo un programa para enfrentar emergencias puede ayudar a salvar muchas vidas y a reducir los daos causados por un desastre natural.
Todos los planes de contingencia deben ser probados para demostrar su habilidad de mantener la continuidad de los procesos crticos de la empresa. Las pruebas se efectan simultneamente a travs de mltiples departamentos, incluyendo entidades comerciales externas.
Realizando pruebas se descubrirn elementos operacionales que requieren ajustes para asegurar el xito en la ejecucin del plan, de tal forma que dichos ajustes perfeccionen los planes preestablecidos.
PGINA 2
1. QU SON LOS SISTEMAS DE INFORMACIN? Un Sistema Informtico utiliza ordenadores para almacenar los datos de una organizacin y ponerlos a disposicin de su personal. Pueden ser tan simples como en el que una persona tiene una computadora y le introduce datos, los datos pueden ser registros simples como ventas diarias, se produce una entrada por cada venta. Sin embargo la mayor parte de los sistemas son ms complejos que el enunciando anteriormente. Normalmente una organizacin tiene ms de un sistema de computadoras para soportar las diferentes funciones de la organizacin, ya sean de ventas, recursos humanos, contabilidad, produccin, inventario, etc. Los sistemas de informacin tienen muchas cosas en comn. La mayora de ellos estn formados por personas, equipos y procedimientos. Al conjugar una serie de elementos como hombres y computadoras se hace imprescindible tomar medidas que nos permitan una continuidad en la operatividad de los sistemas para no ver afectados los objetivos de las mismas y no perder la inversin de costos y tiempo.
2. QU ES UN PLAN DE CONTINGENCIA? Podramos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una solucin alternativa que nos permita restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una herramienta que le ayudar a que los procesos crticos de su empresa u organizacin continen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organizacin, seguir operando aunque sea al mnimo.
PGINA 3
3. OBJETIVOS DEL PLAN DE CONTINGENCIA Garantizar la continuidad de las operaciones de los elementos considerados crticos que componen los Sistemas de Informacin. Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un Sistema de Informacin. 4. FUNCIONES DE UN PLAN DE CONTINGENCIA Determinar acciones preventivas, reduciendo el grado de vulnerabilidad y exposicin al riesgo. Reducir el tiempo de reaccin ante la emergencia. Dimensionar el riesgo potencial. Tomar decisiones rpidas ante
anormalidades o falla. Generar cultura de seguridad en la organizacin. Asegurar la estabilidad de la organizacin. Hacer sistemtico, ordenado y eficiente lo que, sin un plan debidamente concebido y ensayado, sera arbitrario, catico e ineficiente. Cumplir con las normativas legales.
PGINA 4
5. CONTENIDO DE UN PLAN DE CONTINGENCIA Son 3 sub planes: Cada plan contiene las medidas necesarias en cada momento a la materializacin de cualquier amenaza:
a) Plan de respaldo: Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que d l se puedan derivar. Es un concepto aplicable a cualquier actividad, no slo a la informtica, en la que las personas hagan uso particular o profesional de entornos fsicos.
b) Plan de emergencia Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podra ser tan grande que resultara fatal para la organizacin. Por otra parte, no es corriente que un negocio responda por s mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan
PGINA 5
de contingencia que coordina las necesidades del negocio y las operaciones de recuperacin del mismo.
c) Plan de recuperacin Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza. Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin.
Evaluacin de Daos. Priorizacin de Actividades del Plan de Accin. Ejecucin de Actividades. Evaluacin de Resultados. Retroalimentacin del Plan de Accin.
La magnitud, de un plan de contingencia ser proporcional a la complejidad, importancia, costo del servicio al cual est destinado a proteger y el riesgo asociado a la misma.
6. IMPORTANCIA DE UN PLAN DE CONTINGENCIA La necesidad de un plan de contingencia est relacionada con el impacto potencial que provocara una interrupcin parcial o total de los servicios de informacin, sobre el desarrollo de las actividades de la organizacin. Conforme las organizaciones aumentan la automatizacin de sus operaciones, stas son ms dependientes de la tecnologa que capta, almacena y procesa la informacin vital para su funcionamiento.
PGINA 6
UNASAM FILIAL BARRANCA Su importancia radica en que:
Permitir una respuesta rpida en caso de incidentes, accidentes o estados de emergencia. Permitir ejecutar un conjunto de normas, procedimientos y acciones bsicas de respuesta que se debera tomar para afrontar de manera oportuna, adecuada y efectiva, ante la eventualidad de incidentes, accidentes y/o estados de emergencias que pudieran ocurrir tanto en las instalaciones como fuera de ellas.
7. REAS DE APLICACIN Puede darse tanto para empresas (comerciales o industriales) a nivel gubernamental (como en el caso de emergencias regionales), para casos muy especficos como derrame de petrleo, incendios, escasez de alimentos, administracin de proyectos de cualquier ndole como: construcciones y desarrollo de software u otros. En cuanto a los Sistemas de informacin se pueden aplicar en: Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal.
8. QUINES DISEAN UN PLAN DE CONTINGENCIA? Uno de los ms graves errores que se cometen a la hora de elaborar un plan de contingencia es creer que el plan debe ser elaborado por los expertos de los organismos oficiales de prevencin (Defensa Civil, Bomberos, Gerencia de Seguridad de una empresa u otros organismos). Los planes de contingencia deben ser preparados por la poblacin hacia la cual van dirigidos: las comunidades, los barrios, las ciudades, los municipios, los estados, la nacin, los departamentos afectados.
PGINA 7
Se debe declarar una estructura formal, que se integrar de acuerdo a las necesidades y el tamao de la institucin. Debe definirse claramente sus responsabilidades y funciones, adems debe tener la autoridad suficiente para establecer los lineamientos correspondientes. Requiere la participacin de: Personal del rea de informtica(Sistemas de Informacin, Soporte Tcnico, Operaciones, Redes) como conocedores del ambiente y sus caractersticas Los usuarios como dueos de los sistemas La alta administracin como agentes de apoyo en las decisiones a tomar. Este personal es responsable de la definicin de objetivos y las etapas necesarias para alcanzarlos, lo que conlleva a la puesta en marcha del plan.
9. METODOLOGA DE DESARROLLO DE UN PLAN DE CONTINGENCIA El disear e implementar un plan de contingencia para recuperacin de desastres no es una tarea fcil; puede implicar esfuerzos y gastos considerables, sobre todo si se est partiendo de cero. Una solucin comprende las siguientes actividades: Debe ser diseada y elaborada de acuerdo con las necesidades de la empresa. Puede requerir la construccin o adaptacin de un sitio para los equipos computacionales. Requerir del desarrollo y prueba de muchos procedimientos nuevos, y stos deben ser compatibles con las operaciones existentes. Se har participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solucin. Implicar un compromiso entre costo, velocidad de recuperacin, medida de la recuperacin y alcance de los desastres cubiertos.
PGINA 8
Como con cualquier proyecto de diseo, un mtodo estructurado ayuda a asegurar de que se toman en cuenta todos estos factores y de que se les trata adecuadamente.
10. FASES DE LA METODOLOGA PARA EL DESARROLLO DE UN PLAN DE CONTINGENCIA Planificacin Identificacin de riesgos Identificacin de soluciones Estrategias Documentacin del proceso. Realizacin de pruebas Implementacin Monitoreo
a) Fase I: Planificacin La fase de planificacin es la etapa donde se define y prepara el esfuerzo de planificacin de contingencia/continuidad. Las actividades durante esta fase incluyen: Definicin explcita del alcance, indicando qu es lo que se queda y lo que se elimina, y efectuando un seguimiento de las ambigedades. Definicin de las fases del plan de eventos (por ejemplo, los perodos pre evento, evento, y post-evento) y los aspectos sobresalientes de cada fase. Definicin de una estrategia de planificacin de la continuidad del negocio de alto nivel. Identificacin y asignacin de los grupos de trabajos inciales; definicin de los roles y responsabilidades. Definicin de las partes ms importantes de un cronograma maestro y su patrn principal.
PGINA 9
Identificacin de las fuentes de financiamiento y beneficios del negocio; revisin del impacto sobre los negocios. Duracin del enfoque y comunicacin de las metas y objetivos, incluyendo los objetivos de la empresa. Definicin de estrategias para la integracin, consolidacin, rendicin de informes y arranque. Definicin de los trminos clave (contingencia, continuidad de los negocios, etc.) Desarrollo de un plan de alto nivel, incluyendo los recursos asignados. Obtencin de la aprobacin y respaldo de la empresa y del personal gerencial de mayor jerarqua. Las pruebas para el plan sern parte de (o mantenidas en conjuncin con) los ejercicios normalmente programados para la recuperacin de desastres, las pruebas especficas del plan de contingencia de los sistemas de informacin y la realizacin de pruebas a nivel de todos los clientes.
b) Fase II: Anlisis de Riesgos La Fase de Identificacin de Riesgos, busca minimizar las fallas generadas por cualquier caso en contra del normal desempeo de los sistemas de informacin a partir del anlisis de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo. El objetivo principal de la Fase de Reduccin de Riesgo, es el de realizar un anlisis de impacto econmico y legal, determinar el efecto de fallas de los principales sistemas de informacin y produccin de la institucin o empresa. El anlisis y evaluacin de riesgos consta de: Realizacin un diagnstico integral del Sistema de Informacin. Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del impacto, cuantificar con niveles A, B, C u otro. Identificar todos los procesos de los servicios afectados.
PGINA 10
Analizar slo los procesos crticos de los servicios.
c) Fase III: Identificacin de Soluciones
1. Identificacin de Alternativas Estos son algunos ejemplos de alternativas que pudieran ayudarle al inicio del proceso de preparacin. Planifique la necesidad de personal adicional para atender los problemas que ocurran. Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si fallan los sistemas automatizados. Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se consideran en riesgo. Instale generadores si no tiene acceso a la red de energa pblica. Disponga del suministro adicional de combustible para los generadores, en caso de fallas elctricas prolongadas. Disponga de bombas manuales de combustible y selas si fallan las electrnicas. Elaborar un programa de vacaciones que garantice la presencia permanente del personal. No haga nada y vea qu pasa esta estrategia es algunas veces llamada arreglar sobre falla.
2. Identificacin de eventos activadores A continuacin se muestran algunos ejemplos de los tipos de eventos que pueden servir como activadores en sus planes de contingencia: Informacin de un vendedor respecto a la tarda entrega o no disponibilidad de un componente de software. Tardo descubrimiento de serios problemas con una interfaz.
AUDITORIA DE SISTEMAS PGINA 11
Tempranas (no anticipadas) fallas del sistema correccin/reemplazo no est lista para sustituir. Fallas del Sistema (datos corruptos en informes o pantallas, transacciones prdidas, entre otros). Fallas de interfaces intercambios de datos no cumplen los requisitos. Fallo de la infraestructura regional (energa, telecomunicaciones, sistemas financieros) Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).
3. Identificacin de Soluciones El objetivo es reducir el costo de encontrar una solucin en la medida de lo posible, a tiempo de documentar todos los riesgos identificados. Actividades importantes a realizar: La asignacin de equipos de solucin para cada funcin, rea funcional o rea de riesgo de la organizacin. La asociacin de soluciones con cada riesgo identificado- se recomienda tener un abanico de alternativas de soluciones. Comparar los riesgos y determinarles pesos respecto a su importancia crtica en trmino del impacto de los mismos. Clasificar los riesgos. La elaboracin de soluciones de acuerdo con el calendario de eventos. La revisin de la factibilidad de las soluciones y las reglas de implementacin. La identificacin de los modos de implementacin y restricciones que afectan a las soluciones. La definicin e identificacin de equipos de accin rpida o equipos de intensificacin por rea funcional o de negocios de mayor importancia. Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta a su eficacia y su costo, siendo la meta la solucin ms inteligente.
PGINA 12
d) Fase IV: Estrategias Las estrategias de contingencia / continuidad de los negocios estn diseadas para identificar prioridades y determinar en forma razonable las soluciones a ser seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hay que decidir si se adoptarn las soluciones a gran escala, como las opciones de recuperacin de desastres para un centro de datos. Los puntos que deben ser cubiertos por todos las reas informticas y usuarios en general son: Respaldar toda la informacin importante en medio magntico, ya sea en disquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente cada rea. Acordamos que lo que debe respaldarse es INFORMACION y no las aplicaciones. Generar discos de arranque para las mquinas dependiendo de su sistema operativo, libres de virus y protegidos contra escritura. Mantener una copia de antivirus ms reciente en disco para emergencias (dependiendo del fabricante, variarn las instrucciones para generarlo). Guardar una copia impresa de la documentacin de los sistemas e interfaces, al igual de los planes de contingencia definidos por el resto de las reas. Instalar todos los Service Packs que el equipo necesite y llevar un registro de los mismos, en caso de formatear el equipo o desinstalar aplicaciones
1. En Relacin al Centro de Cmputo Es recomendable que el Centro de Cmputo no est ubicado en las reas de alto trfico de personas o con un alto nmero de invitados. Hasta hace algunos aos la exposicin de los Equipos de Cmputo a travs de grandes ventanales, constituan el orgullo de la organizacin, considerndose
PGINA 13
necesario que estuviesen a la vista del pblico, siendo constantemente visitados. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo y sabotaje. Se deben evitar, en lo posible, los grandes ventanales, los cuales adems de que permiten la entrada del sol y calor (inconvenientes para el equipo de cmputo), puede ser un riesgo para la seguridad del Centro de Cmputo. Otra precaucin que se debe tener en la construccin del Centro de Cmputo, es que no existan materiales que sean altamente inflamables, que despiden humos sumamente txicos o bien paredes que no quedan perfectamente selladas y despidan polvo. El acceso al Centro de Cmputo debe estar restringido al personal autorizado. El personal de la Institucin deber tener su carn de identificacin siempre en un lugar visible. Se debe establecer un medio de control de entrada y salida de visitas al centro de cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas. Se recomienda que al momento de reclutar al personal se les debe hacer adems exmenes psicolgicos y mdico y tener muy en cuenta sus antecedentes de trabajo, ya que un Centro de Cmputo depende en gran medida, de la integridad, estabilidad y lealtad del personal. El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de informacin contenidos en dichos sistemas, debe estar controlado mediante la verificacin de la identidad de los usuarios autorizados. Deben establecerse controles para una efectiva disuasin y deteccin, a tiempo, de los intentos no autorizados de acceder a los sistemas y a los archivos de informacin que contienen.
PGINA 14
Se recomienda establecer polticas para la creacin de los password y establecer periodicidad de cambios de los mismos. Establecer polticas de autorizaciones de acceso fsico al ambiente y de revisiones peridicas de dichas autorizaciones. Establecer polticas de control de entrada y salida del personal, as como de los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrn ser controlados por medios de anulacin del disk drive, cubrindose de esa manera la seguridad contra robos de la informacin y el acceso de virus informticos. Los controles de acceso, el acceso en s y los vigilantes deben estar ubicados de tal manera que no sea fcil el ingreso de una persona extraa. En caso que ingresara algn extrao al centro de Cmputo, que no pase desapercibido y que no le sea fcil a dicha persona llevarse un archivo. Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sin permiso por escrito de la Direccin. Asignar a una sola persona la responsabilidad de la proteccin de los equipos en cada rea. e) Fase V: Documentacin del Proceso Todo el proceso de lograr identificar soluciones ante determinados problemas no tendr su efecto verdadero si es que no se realiza una difusin adecuada de todos los puntos importantes que este implica, y un plan de Contingencia con mucha mayor razn necesita de la elaboracin de una documentacin que sea eficientemente orientada. Como puntos importantes que debe de incluir esta documentacin podremos citar las siguientes: Cuadro de descripcin de los equipos y las tareas para ubicar las soluciones a las contingencias.
PGINA 15
La documentacin de los riesgos, opciones y soluciones por escrito y en detalle. La identificacin y documentacin de listas de contacto de emergencia, la identificacin de responsables de las funciones con el fin de garantizar que siempre haya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.
f) Fase VI: Pruebas y Validacin
1. Plan de Recuperacin de Desastres Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso perdido. La elaboracin de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Las actividades a realizar en un Plan de Recuperacin de Desastres se pueden clasificar en tres etapas: Actividades Previas al Desastre Actividades Durante el Desastre. Actividades Despus del Desastre.
i.
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin con el menor costo posible a nuestra Institucin. Podemos detallar las siguientes Actividades Generales:
PGINA 16
Establecimiento del Plan de Accin. Formacin de Equipos Operativos. Formacin de Equipos de Evaluacin (auditora de cumplimiento de los procedimientos sobre Seguridad). Establecimiento de Plan de Accin
En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: a) Sistemas e Informacin. b) Equipos de Cmputo. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). d) Polticas (Normas y Procedimientos de Backups).
a) Sistemas de Informacin. La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los realizados por el centro de cmputo como los hechos por las reas usuarias. Debiendo identificar toda informacin sistematizada o no, que sea necesaria para la buena marcha Institucional. La relacin de Sistemas de Informacin deber detallar los siguientes datos: Nombre del Sistema. Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo conforman (tanto programas fuentes como programas objetos, rutinas, macros, etc.). La Direccin (Gerencia, Departamento, etc.) que genera la informacin base (el dueo del Sistema). Las unidades o departamentos (internos/externos) que usan la informacin del Sistema. El volumen de los archivos que trabaja el Sistema.
PGINA 17
El volumen de transacciones diarias, semanales y mensuales que maneja el sistema. El equipamiento necesario para un manejo ptimo del Sistema. La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia. El nivel de importancia estratgica que tiene la informacin de este Sistema para la Institucin (medido en horas o das que la Institucin puede funcionar adecuadamente, sin disponer de la informacin del Sistema). Equipamiento mnimo necesario para que el Sistema pueda seguir funcionando (considerar su utilizacin en tres turnos de trabajo, para que el equipamiento sea el mnimo posible). Actividades a realizar para volver a contar con el Sistema de informacin (actividades de Restore). Con toda esta informacin se deber de realizar una lista priorizada (un ranking) de los Sistemas de Informacin necesarios para que la institucin pueda recuperar su operatividad perdida en el desastre (contingencia). b) Equipos de Cmputo. Aparte de las Normas de Seguridad, hay que tener en cuenta: Inventario actualizado de los equipos de manejo de informacin (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional. Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la restitucin del Computador siniestrado se podr hacer por otro de mayor potencia (por actualizacin tecnolgica), siempre y cuando est dentro de los montos asegurados. Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuacin.
PGINA 18
Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin importante o estratgica y color verde a las PC's de contenidos
c) Obtencin y Almacenamiento de los Respaldos de Informacin (BACKUPS). Se deber establecer los procedimientos para la obtencin de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con: Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contar con una copia de cada uno de ellos). Backups del Software Base (Paquetes y/o Lenguajes de Programacin). Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que tambin trabaje con la data, para producir los resultados con los cuales trabaja el usuario final). Se debe considerar tambin las copias de los listados fuentes de los programas definitivos, para casos de problemas. Backups de los Datos (Bases de Datos, ndices, tablas de validacin, passwords, y todo archivo necesario para la correcta ejecucin del Software Aplicativo.
d) Polticas (Normas y Procedimientos de Backups) Se debe establecer los procedimientos, normas, y determinacin de
responsabilidades en la obtencin de los Backups mencionados anteriormente debindose incluir:
PGINA 19
Periodicidad de cada Tipo de Backup. Respaldo de Informacin de movimiento entre los perodos que no se sacan Backups (backups incrementales). Uso obligatorio de un formulario estndar para el registro y control de los Backups. Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la buena marcha de la empresa, y los backups efectuados. Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo del medio magntico empleado. Reemplazo de los Backups, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar (reciclaje o refresco). Almacenamiento de los Backups en locales diferentes donde reside la informacin primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado). Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.
Formacin de Equipos Operativos En cada unidad operativa de la Institucin, que almacene informacin y sirva para la operatividad Institucional, se deber designar un responsable de la seguridad de la Informacin de su unidad. Pudiendo ser el jefe de dicha rea Operativa. Sus labores sern: Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos. Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones.
PGINA 20
Planificar y establecer los requerimientos de los sistemas operativos en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas. Supervisar procedimientos de respaldo y restauracin. Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los respaldos incrementales. Ejecutar trabajos de recuperacin. Coordinar lneas, terminales, mdem, otros aditamentos para
comunicaciones. Establecer procedimientos de seguridad en los sitios de recuperacin. Organizar la prueba de hardware y software. Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante. Realizar procedimientos de control de inventario y seguridad del almacenamiento en el local alternante. Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin. Participar en las pruebas y simulacros de desastres.
ii.
Actividades Durante el Desastre
Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes actividades, planificadas previamente: a) Plan de Emergencias. b) Formacin de Equipos. c) Entrenamiento. A. Plan de Emergencias
PGINA 21
En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, as como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del Siniestro: Durante el da. Durante la Noche o madrugada. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo detallar: Vas de salida o escape. Plan de Evacuacin del Personal. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.) Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos.
B. Formacin de Equipos Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber de existir dos equipos de personas que acten directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informticos, de acuerdo a los lineamientos o clasificacin de prioridades.
PGINA 22
UNASAM FILIAL BARRANCA C. Entrenamiento
Establecer un programa de prcticas peridicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga a la Seguridad Institucional. Actividad Despus del Desastre Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin. a) Evaluacin de Daos b) Priorizacin de Actividades del Plan de Accin. c) Ejecucin de Actividades. d) Evaluacin de Resultados. e) Retroalimentacin del Plan de Accin
A. Evaluacin de Daos. Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se estn afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc. Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos el convenio de respaldo, para ir avanzando en las labores de preparacin de entrega de los equipos por dicha Institucin.
PGINA 23
B. Priorizacin de Actividades del Plan de Accin. Toda vez que el Plan de Accin es general y contempla una prdida total, la evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra Institucin. Es importante evaluar la dedicacin del personal a actividades que puedan no haberse afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico. C. Ejecucin de Actividades. La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de accin. Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institucin o local de respaldo. D. Evaluacin de Resultados Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que
PGINA 24
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se comportaron los equipos de trabajo, etc. De la Evaluacin de resultados y del siniestro en s, deberan de salir dos tipos de recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro. E. Retroalimentacin del Plan de Accin Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cul hubiera sido el costo de no haber tenido nuestra Institucin el plan de contingencias llevado a cabo.
f) Fase VII: Implementacin La fase de implementacin se da cuando han ocurrido o estn por ocurrir los problemas para este caso se tiene que tener preparado los planes de contingencia para poder aplicarlos. Puede tambin tratarse esta etapa como una prueba controlada.
g) Fase VIII: Monitoreo La fase de Monitoreo nos dar la seguridad de que podamos reaccionar en el tiempo preciso y con la accin correcta. Esta fase es primordialmente de mantenimiento. Cada vez que se da un cambio en la infraestructura, debemos de realizar un mantenimiento correctivo o de adaptacin. Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo riesgo o una nueva solucin. En este caso, toda la evaluacin del riesgo se
PGINA 25
cambia, y comienza un nuevo ciclo completo, a pesar de que este esfuerzo podra ser menos exigente que el primero. Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones ante nuevos casos que se puedan presentar. Podramos enumerar las actividades principales a realizar: Desarrollo de un mapa de funciones y factores de riesgo. Establecer los procedimientos de mantenimiento para la documentacin y la rendicin de informes referentes a los riesgos. Revisin contina de las aplicaciones. Revisin continua del sistema de backup Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento de Datos.
PGINA 26
CASO A: Error Fsico de Disco de un Servidor (Sin RAID).
Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso. 4. Bajar el sistema y apagar el equipo. 5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle particin. 6. Restaurar el ltimo backup en el disco, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado. 8. Habilitar las entradas al sistema para los usuarios.
CASO B: Error de Tarjeta(s) Controladora(s) de Disco Se debe tomar en cuenta que ningn proceso debe quedar cortado, debindose ejecutar las siguientes acciones: 1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea.
PGINA 27
2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar la posicin de la tarjeta controladora. 4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o similar. 5. Retirar la conexin del servidor con el concentrador, sta se ubica detrs del servidor, ello evitar que al encender el sistema, los usuarios ingresen. 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarn las pruebas. 7. Al final de las pruebas, luego de los resultados de una buena lectura de informacin, habilitar las entradas al sistema para los usuarios.
PGINA 28
CASO C: Caso de Incendio Total

En el momento que se d aviso por los altavoces de alguna situacin de
emergencia general, se deber seguir al pie de la letra los siguientes pasos, los mismos que estn encausados a salvaguardar la seguridad personal, el equipo y los archivos de informacin que tenemos en cintas magnticas. Ante todo, se recomienda conservar la serenidad. Es obvio que en una situacin de este tipo, impera el desorden, sin embargo, es muy recomendable tratar de conservar la calma, lo que repercutir en un adecuado control de nuestras acciones. En ese momento cualquiera que sea(n) el (los) proceso(s) que se est(n) ejecutando en el Computador Principal, se deber enviar un mensaje (si el tiempo lo permite) de "Salir de Red y Apagar Computador", seguidamente digitar Down en el (los) servidor(es). Se apagar (poner en OFF) la caja principal de corriente del departamento de sistemas. Tomando en cuenta que se trata de un incendio de mediana o mayor magnitud, se debe tratar en lo posible de trasladar el servidor fuera del local, se abandonar el edificio en forma ordenada, lo ms rpido posible, por las salidas destinadas para ello.
CASO D: Caso de Inundacin Para evitar problemas con inundaciones se ha de instalar tarimas de un promedio de 20 cm de altura para la ubicacin de los servidores. De esta manera evitaremos inconvenientes como el referido. En lo posible, los tomacorrientes deben ser instalados a un nivel razonable de altura. Dado el caso de que se obvi una conexin que est al ras del piso, sta debe ser modificada su ubicacin o en su defecto anular su conexin. Para prevenir los corto circuitos, asegurarse de que no existan fuentes de lquidos cerca a las conexiones elctricas.
AUDITORIA DE SISTEMAS PGINA 29
Proveer cubiertas protectoras para cuando el equipo est apagado
CASO E: Caso de Fallas de Fluido Elctrico Se puede presentar lo siguiente: 1. Si fuera corto circuito, el UPS mantendr activo los servidores y algunas estaciones, mientras se repare la avera elctrica o se enciende el generador. 2. Para el caso de apagn se mantendr la autonoma de corriente que el UPS nos brinda (corriente de emergencia (*)), hasta que los usuarios completen sus operaciones (para que no corten bruscamente el proceso que tienen en el momento del apagn), hasta que finalmente se realice el By-pass de corriente con el grupo electrgeno, previo aviso y coordinacin. 3. Cuando el fluido elctrico de la calle se ha restablecido se tomarn los mismos cuidados para el paso de grupo electrgeno a corriente normal (o UPS). * Llmese corriente de emergencia a la brindada por grupo electrgeno y/o UPS. ** Llmese corriente normal a la brindada por la compaa elctrica. *** Se contar con transformadores de aislamiento (nivelan la corriente) asegurando que la corriente que entre y salga sea 220v, evitando que los equipos sufran corto circuito por elevacin de voltaje (protegiendo de esta manera las tarjetas, pantallas y CPU del computador).
CASO F: Caso de Virus Dado el caso crtico de que se presente virus en las computadoras se proceder a lo siguiente: Para servidor: Se contar con antivirus para el sistema que aslan el virus que ingresa al sistema llevndolo a un directorio para su futura investigacin. El antivirus muestra el nombre del archivo infectado y quin lo us.
PGINA 30
Estos archivos (exe, com, ovl, nlm, etc.) sern reemplazados del diskett original de instalacin o del backup. Si los archivos infectados son aislados y an persiste el mensaje de que existe virus en el sistema, lo ms probable es que una de las estaciones es la que caus la infeccin, debiendo retirarla del ingreso al sistema y proceder a su revisin. Para computadoras fuera de red: Se revisar las computadoras que no estn en red con antivirus de disquete. De suceder que una computadora se haya infectado con uno o varios virus ya sea en la memoria o a nivel disco duro, se debe proceder a realizar los siguientes pasos: 1. Utilizar un disquete que contenga sistema operativo igual o mayor en versin al instalado en el computador infectado. Reiniciar el computador con dicho disquete. 2. Retirar el disquete con el que arranc el computador e insertar el disquete antivirus, luego activar el programa de tal forma que revise todos los archivos y no slo los ejecutables. De encontrar virus, dar la opcin de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendar borrar el archivo, tomar nota de los archivos que se borren. Si stos son varios pertenecientes al mismo programa, reinstalar al trmino del Scaneado. Finalizado el scaneado, reconstruir el Master Boot del disco duro.
PGINA 31
El anlisis de sensibilidad es una tcnica muy empleada en la prctica. Aunque, vale la pena indicar que adems de esta tcnica existen muchas otras como los rboles de decisin, el anlisis del riesgo y la simulacin, las cuales pueden ser empleadas para evaluar la incertidumbre de una alternativa de inversin. En efecto, cuando en un proyecto de inversin todos sus parmetros son inciertos (probabilsticos), la tcnica de anlisis de sensibilidad no se recomienda emplear, y entonces es necesario seleccionar la ms apropiada de las tcnicas mencionadas.
PGINA 32
PGINA 33

Auditoria de Sistemas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA Su importancia radica en que:

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

Analizar slo los procesos crticos de los servicios.

c) Fase III: Identificacin de Soluciones

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

f) Fase VI: Pruebas y Validacin

Actividades Previas al Desastre

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

responsabilidades en la obtencin de los Backups mencionados anteriormente debindose incluir:

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

Actividades Durante el Desastre

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA C. Entrenamiento

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

CASO A: Error Fsico de Disco de un Servidor (Sin RAID).

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

CASO C: Caso de Incendio Total

UNASAM FILIAL BARRANCA

Proveer cubiertas protectoras para cuando el equipo est apagado

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

UNASAM FILIAL BARRANCA

También podría gustarte