Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La posibilidad de interconecta rse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informticos y la informacin como activos de una organizacin, mantenindolos libres de peligros, daos o riesgos. La seguridad informtica se puede clasificar en seguridad lgica y seguridad fsica y busca con la ayuda de polticas y controles mantener la seguridad de los recursos y la informacin manejando los riesgos.
sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relac in con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc. PARMETROS PARA ESTABLECER POLTICAS DE SEGURIDAD - Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa. - Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas. - Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. - Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea. - Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente. - Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas.
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin.
PLAN DE CONTINGENCIA
Es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de sta, an cuando alguna de sus funciones deje de hacerlo por culpa de algn incidente tanto interno como ajeno a la o rganizacin como un fallo en la correcta circulacin de informacin o la falta de provisin de servicios. El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos largo.
- Definicin de los niveles mnimos de servicio. Se trata de definir los mnimos niveles de servicio aceptables para cada pro blema que se pueda plantear. Es importante que dicho nivel se consense con cada uno de los responsables de las reas que puedan verse afectadas. - Identificacin de las alternativas de solucin. En esta subfase debern identificarse las soluciones alterna tivas para cada uno de los problemas previsibles. Para ello se puede considerar: Implementar procesos manuales. Contratar las tareas crticas con terceros. Diferir la tarea crtica por un tiempo determinado. Otra medida que permita continuar las operaciones. - Evaluacin de la relacin costo/beneficio de cada alternativa. De cada alternativa identificada en el punto anterior y sobre la base del impacto econmico de cada problema, deber determinarse la mejor solucin desde el punto de vista costo/beneficio para cada proceso crtico y su tiempo de elaboracin con un nivel de servicio que satisfaga el nivel mnimo. 2. PLANIFICACIN - Documentacin del plan de contingencia. Es necesario documentar el plan, cuyo contenido mnimo ser: Objetivo del plan. Modo de ejecucin. Tiempo de duracin. Costes estimados. Recursos necesarios. Evento a partir del cual se pondr en marcha el plan. Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades. - Validacin del plan de contingencia. Es necesario que el plan sea validado por los responsables de las reas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen derivarse de las actuaciones contempladas en l. 3. PRUEBAS DE VIABILIDAD - Definir y documentar las pruebas del plan Es necesario definir las pruebas del plan y el personal y recursos necesarios para su realizacin. Una correcta documentacin ayudar a la hora de realizar las pruebas. - Obtener los recursos necesarios para las pruebas Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano de obra para realizarlas. - Ejecutar las pruebas y documentarlas Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles carencias del plan. - Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas. Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas. Hay que tener en cuenta que el plan de contingencia general o de continuidad de
operaciones de la empresa contiene los planes de contingencia especficos para cada problema definido. Los distintos planes deben integrarse en un todo, considerando las posibles relaciones mutuas. 4. EJECUCIN En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas de la empresa. 5. RECUPERACIN Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos, deben corregirse usando los procedimientos ya definidos. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades.
- Formacin del equipo. Plan de Contingencia Director del rea de informtica Sub-director de procesamiento electrnicos de datos. Gerente de departamento Gerente de centro de cmputo Gerente de administracin de informacin Gerente de programacin Gerente de Cementacin Auditores internos y externos de informtica Gerente Soporte Tcnico Operadores
cumplimiento. En estos procedimientos estar involucrado todo el personal de la Institucin. Los procedimientos de planes de recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. Se pueden clasificar en tres etapas : - Actividades Previas al Desastre. - Actividades Durante el Desastre. - Actividades Despus del Desastre