PLAN DE CONTIGENCIA INFORMATICA DE LA EMPRESA AUDITORIA V

2014
1. Introduccin
2. Planificacin de contingencia
3. Anlisis de riesgos
4. Medidas preventivas
5. Previsin de desastres naturales
6. Plan de respaldo
7. Plan de recuperacin
. !onsideraciones adicionales
Introducc!n
"ste #anual es una gu$a% seg&n los estndares de planes de contingencia
infor#tico% para 'ue cada (erente de )eparta#ento de "#presa *Auditoria +
2,14- defina . docu#ente un Infor#e de /ra0a1o derivados de la definicin
del Plan de !ontingencia de Infor#tico.
"l alcance de este plan guarda relacin con la infraestructura infor#tica% as$
co#o los procedi#ientos relevantes de su )eparta#ento asociados con la
platafor#a tecnolgica. "ntendere#os co#o infraestructura infor#tica
al 2ard3are% soft3are . ele#entos co#ple#entarios 'ue soportan
la infor#acin o datos cr$ticos para la funcin del negocio 0a1o su responsa0ilidad.
"ntende#os ta#0i4n co#o procedi#ientos relevantes a la infraestructura
infor#tica a todas a'uellas tareas 'ue su personal reali5a frecuente#ente
cuando interact&a con la platafor#a infor#tica 6entrada de datos% generacin de
reportes% consultas% etc.7.
8n Plan de !ontingencia considera una 9Planificacin de la !ontingencia9 as$
co#o un con1unto de 9Actividades9 las 'ue 0uscan definir . cu#plir #etas 'ue
per#itan a cada )eparta#ento de *Auditoria + 2,14- controlar el riesgo asociado
a una contingencia. !o#o Ad#inistrador usted de0er leer aca0ada#ente este
instructivo% as$ co#o generar un 9Plan de /ra0a1o para el Plan de !ontingencia de
I/9 'ue involucre a los actores relevantes. "ste plan de tra0a1o considera evaluar
las situaciones de riesgo . definir las tareas orientadas a reducir dic2os riesgos.
:atural#ente% en la generacin del Plan de /ra0a1o de su )eparta#ento es
reco#enda0le tra0a1ar con sus reportes clave a fin de 'ue sus reco#endaciones
cuenten con una 0ase operativa slida.
;a Ad#inistracin de *A8)I/<=IA + 2,14- .a 2a definido el Plan de /ra0a1o
de Ad#inistracin para el Plan de !ontingencia de I/% en donde 8sted es un
#ie#0ro i#portante del !o#it4 de =ecuperacin frente a desastres. "ste co#it4
se activar frente a una !ontingencia% seg&n la convocacin del (te. de
Ad#inistracin . >inan5as.
?ugeri#os 'ue su plan de tra0a1o respectivo% se genere co#o 9una respuesta9 a
cada uno de los puntos 'ue contiene esta (u$a de Plan de !ontingencia de
*A8)I/<=IA + 2,14-.
Agradece#os la diligencia 'ue invertir en este aspecto tan i#portante del #ane1o
de contingencias infor#ticas% el 'ue sa0e#os valorar en la eventualidad de una
contingencia #a.or.
1" P#$n%c$c!n d& Contn'&nc$
"l Plan est orientado a esta0lecer% 1unto con otros tra0a1os de seguridad% un
adecuado siste#a de seguridad f$sica . lgica en prevision de desastres.
?e define la ?eguridad de )atos co#o un con1unto de #edidas destinadas a
salvaguardar la infor#acin contra los da@os producidos por 2ec2os naturales o
por el 2o#0re. ?e 2a considerado 'ue para la co#pa@$a% la seguridad es un
ele#ento 0sico para garanti5ar su supervivencia . entregar el #e1or ?ervicio a
sus !lientes% . por lo tanto% considera a la Infor#acin co#o uno de
los activos #s i#portantes de la <rgani5acin% lo cual 2ace 'ue la proteccin de
esta sea el funda#ento #s i#portante de este Plan de !ontingencia.
"n este docu#ento se resalta la necesidad de contar con estrategias 'ue per#itan
reali5arA Anlisis de =iesgos% de Prevencin% de "#ergencia% de =espaldo .
recuperacion para enfrentar alg&n desastre. Por lo cual% se de0e to#ar co#o (u$a
para la definicin de los procedi#ientos de seguridad de la Infor#acin 'ue cada
)eparta#ento de la fir#a de0e definir.
1"1 Act(d$d&) A)oc$d$)
;as actividades consideradas en este docu#ento son A
B Anlisis de =iesgos
B Medidas Preventivas
B Previsin de )esastres :aturales
B Plan de =espaldo
B Plan de =ecuperacin
2" An*#)) d& R&)'o)
Para reali5ar un anlisis de los riegos% se procede a identificar los o01etos 'ue
de0en ser protegidos% los da@os 'ue pueden sufrir% sus posi0les fuentes de da@o .
oportunidad% su i#pacto en la co#pa@$a% . su i#portancia dentro del #ecanis#o
de funciona#iento.
Posterior#ente se procede a reali5ar los pasos necesarios para #ini#i5ar o anular
la ocurrencia de eventos 'ue posi0iliten los da@os% . en &lti#o t4r#ino% en caso de
ocurrencia de estos% se procede a fi1ar un plan de e#ergencia para su
reco#posicin o #ini#i5acin de las p4rdidas .Co los tie#pos de ree#pla5o o
#e1or$a.
2"1" +&n&) )u)c&,t-#&) d& un d$.o
?e puede identificar los siguientes 0ienes afectos a riesgosA
a7 Personal 07 Dard3are
c7 ?oft3are . utilitarios d7 )atos e infor#acin e7 )ocu#entacin
f7 ?u#inistro de energ$a el4ctrica
g7 ?u#inistro de teleco#unicaciones
2"2" D$.o)
;os posi0les da@os pueden referirse aA
a7 I#posi0ilidad de acceso a los recursos de0ido a pro0le#as f$isicos en las
instalaciones donde se encuentran los 0ienes% sea por causas naturales o
2u#anas.
07 I#posi0ilidad de acceso a los recursos infor#ticos por ra5ones lgicas en
los siste#as en utili5acin% sean estos por ca#0ios involuntarios o intencionales%
ll#ese por e1e#plo% ca#0ios de claves de acceso% datos #aestros claves%
eli#inacin o 0orrado f$sicoClgico de infor#acin clave% proceso de infor#acin
no deseado.
c7 )ivulgacion de infor#acin a instancias fuera de la !o#pa@$a . 'ue afecte
su patri#onio estrat4gico
!o#ercial .Co Institucional% sea #ediante =o0o o Infidencia.
2"/" Prord$d&)
;a esti#acin de los da@os en los 0ienes . su i#pacto% fi1a una prioridad en
relacin a la cantidad del tie#po . los recursos necesarios para la reposicin de
los ?ervicios 'ue se pierden en el aconteci#iento.
Por lo tanto% los 0ienes de #s alta prioridad sern los pri#eros a considerarse en
el procedi#iento de recuperacin ante un evento de desastre.
2"4" Fu&nt&) d& d$.o
;as posi0les fuentes de da@o 'ue pueden causar la no operacin nor#al de la
co#pa@$a asociadas al !entro de
<peraciones !o#putacionales de *A8)I/<=IA + 2,14- sonA
Acceso no autori5ado
Por vulneracin de los siste#as de seguridad en operacin 6Ingreso no autori5ado
a las instalaciones7.=uptura de las claves de acceso a los siste#a
co#putacionales
a7 Instalacin de soft3are de co#porta#iento errtico .Co da@ino para la operacin
de los siste#as co#putacionales en uso 6+irus% sa0ota1e7.
07 Intro#isin no calificada a procesos .Co datos de los siste#as% .a sea por
curiosidad o #alas intensiones.
)esastres :aturales
a7 Movi#ientos tel&ricos 'ue afecten directa o indirecta#ente a las instalaciones
f$sicas de soporte 6edificios7 .Co de operacin 6e'uipos co#putacionales7.
07 Inundaciones causados por falla en los su#inistros de agua. c7 >allas en los
e'uipos de soporteA
B Por fallas causadas por la agresividad del a#0iente
B Por fallas de la red de energ$a el4ctrica p&0lica por diferentes ra5ones a1enas al
#ane1o por parte de la !o#pa@$a.
B Por fallas de los e'uipos de acondiciona#iento at#osf4ricos necesarios para una
adecuada operacin de los e'uipos co#putacionales #s sensi0les.
B Por fallas de la co#unicacin.
B Por fallas en el tendido f$sico de la red local.
B >allas en las teleco#unicaciones con la fuer5a de venta.
B >allas en las teleco#unicaciones con instalaciones eEternas.
B Por fallas de !entral /elefnica.
B Por fallas de l$neas de faE.
>allas de Personal !lave
?e considera personal clave a'uel 'ue cu#ple una funcin vital en el flu1o de
procesa#iento de datos u operacin de los ?iste#as de Infor#acinA
a7 Personal de Infor#tica.
07 (erencia% supervisores de =ed. c7 Ad#inistracin de +entas.
d7 Personal de Ad#inistracin de FodegasB)espac2os. Pudiendo eEistir los
siguientes inconvenientesA
a7 "nfer#edad. 07 Accidentes. c7 =enuncias.
d7 A0andono de sus puestos de tra0a1o. e7 <tros i#pondera0les.
>allas de Dard3are
a7 >alla en el ?ervidor de Aplicaciones . )atos% tanto en su6s7 disco6s7 duro6s7
co#o en el procesador central.
07 >alla en el 2ard3are de =edA
B >alla en los ?3itc2es.
B >alla en el ca0leado de la =ed.
c7 >alla en el =outer. d7 >alla en el >ireGall.
Incendios
2"0" E1,&ct$t($ Anu$# d& D$.o)
Para las p4rdidas de infor#acin% se de0en to#ar las #edidas precautorias
necesarias para 'ue el tie#po de recuperacin . puesta en #arc2a sea #enor o
igual al necesario para la reposicin del e'uipa#iento 'ue lo soporta.
/" M&dd$) Pr&(&nt($)
/"1" Contro# d& Acc&)o)
?e de0e definir #edidas efectivas para controlar los diferentes accesos a los
activos co#putacionalesA
a7 Acceso f$sico de personas no autori5adas. 07 Acceso a la =ed de P!Hs .
?ervidor.
c7 Acceso restringuido a las li0rer$as% progra#as% . datos.
/"2" R&),$#do)
"n el punto :ro. 5 se descri0ir el alcance de esta i#portante #edida preventiva.
4" Pr&()!n d& d&)$)tr&) N$tur$#&)
;a previsin de desastres naturales slo se puede 2acer 0a1o el punto de vista de
#ini#i5ar los riesgos innecesarios en la sala de !o#putacin !entral% en la
#edida de no de1ar o01etos en posicin tal 'ue ante un #ovi#iento tel&rico pueda
generar #ediante su ca$da .Co destruccin% la interrupcin del proceso de
operacin nor#al. Ade#s% 0a1o el punto de vista de respaldo% el tener en claro los
lugares de resguardo% v$as de escape . de la u0icacin de los arc2ivos% disIettes%
discos con infor#acin vital de respaldo de a'uellos 'ue se encuentren aun en las
instalaciones de la co#pa@$a.
Ad&cu$do So,ort& d& Ut#t$ro)
;as fallas de los e'uipos de procesa#iento de infor#acin pueden #ini#i5arse
#ediante el uso de otros e'uipos% a los cuales ta#0i4n se les de0e controlar
peridica#ente su 0uen funciona#iento% nos referi#os aA
a7 8P? ....... de respaldo de actual servidor de =ed o de estaciones cr$ticas 07
8P? ....... de respaldo s3itc2es .Co D8FHs
S&'urd$d F2)c$ d&# P&r)on$#
?e de0er to#ar las #edidas para reco#endar% incentivar . lograr 'ue el personal
co#parta sus conoci#ientos con sus colegas dentro de cada rea% en lo referente
a la utili5acin de los soft3ares . ele#entos de soporte relevantes.
"stas acciones per#itirn #e1orar los niveles de seguridad% per#itiendo los
ree#pla5os en caso de desastres% e#ergencias o per$odos de ausencia .a sea
por vacaciones o enfer#edades.
S&'urd$d d& #$ In%or3$c!n
;a infor#acin . progra#as de los ?iste#as de Infor#acin 'ue se encuentran en
el ?ervidor% o de otras estaciones de tra0a1o cr$ticas de0en protegerse #ediante
claves de acceso . a trav4s de un plan de respaldo adecuado.
0" P#$n d& R&),$#do
"l Plan de =espaldo trata de c#o se llevan a ca0o las acciones cr$ticas entre la
p4rdida de un servicio o recurso% . su recuperacin o reesta0leci#iento. /odos los
nuevos dise@os de ?iste#as% Pro.ectos o a#0ientes% tendrn sus propios Planes
de =espaldo.
R&),$#do d& d$to) Vt$#&)
Identificar las reas para reali5ar respaldosA
a7 ?iste#as en =ed.
07 ?iste#as no conectados a =ed. c7 ?itio G"F.
4" P#$n d& R&cu,&r$c!n
O-5&t(o) d&# P#$n d& R&cu,&r$c!n
;os o01etivos del plan de =ecuperacin sonA
17 )eter#inacin de las pol$ticas . procedi#ientos para respaldar las aplicaciones
. datos.
27 Planificar la reactivacin dentro de las 12 2oras de producido un desastre% todo
el siste#a de procesa#iento . sus funciones asociadas.
37 Per#anente #anteni#iento . supervisin de los siste#as . aplicaciones.
47 "sta0leci#iento de una disciplina de acciones a reali5ar para garanti5ar una
rpida . oportuna respuesta frente a un desastre.
A#c$nc& d&# P#$n d& R&cu,&r$c!n
"l o01etivo es resta0lecer en el #enor tie#po posi0le el nivel de operacin nor#al
del centro de procesa#iento de la infor#acin% 0asndose en los planes de
e#ergencia . de respaldo a los niveles del !entro de !#putos . de los de#s
niveles.
;a responsa0ilidad so0re el Plan de =ecuperacin es de la Ad#inistracin% la cual
de0e considerar la co#0inacin de todo su personal% e'uipos% datos%
siste#as% co#unicaciones . su#inistros.
Act($con d&# P#$n
)ecisin
Jueda a 1uicio del (erente de Ad#inistracin . >inan5as deter#inar la activacin
del Plan de )esastres% . ade#s indicar el lugar alternativo de e1ecucin del
=espaldo .Co operacin de e#ergencia% 0asndose en las reco#endaciones
indicadas por 4ste.
)uracin esti#ada
;os supervisores de cada area deter#inarn la duracin esti#ada de la
interrupcin del servicio% siendo un factor clave 'ue podr sugerir continuar el
procesa#iento en el lugar afectado o proceder al traslado del procesa#iento a un
lugar alternativo.
=esponsa0ilidades
K <rden de "1ecucin del Plan A (erencia de Ad#in. L >inan5as.
K ?upervisin (eneral de Plan A "#presa en convenio para =ecuperacin.
K ?upervisin del Plan de =ec. A ?upervisor6es7 de Mrea6s7.
K A0asteci#iento 6DG% ?G7 A Asistente de Ad#inistracin.
K /areas de =ecuperacin A Personal de tareas afines.
Aplicacin del Plan
?e aplicar el plan sie#pre 'ue se prevea una p4rdida de servicio por un per$odo
#a.or de 4 2oras% en los casos 'ue no sea un fin de #es% . un per$odo #a.or a
24 2oras durante los fines de #es 6durante los cierres conta0les7.
Con)d&r$con&) Adcon$#&)
1" P#$n d&-& )&r ,ro-$do un$ (&6 $# $.o
>rente a la contingencia% se notifica al (te. de Ad#inistracin . >inan5as% 'uien
eval&a en terreno el desastre% . esti#a tie#po de paro de operaciones #ientras se
reesta0lecen las operaciones.
?i el tie#po esti#ado es #a.or a 4 2oras de iterrupcin de operaciones en
cual'uier d$a salvo el fin de #es% en cu.o caso el tie#po esti#ado es #a.or a 24
2oras% entonces convoca al co#it4 de =ecurperacin% co#puesto porA
K ?upervisor de Platafor#a A "#presa en convenio para =ecuperacin.
K ?upervisin del Plan de =ec. A ?upervisor6es7 de Mrea6s7.
K A0asteci#iento 6DG% ?G7 A Asistente de Ad#inistracin.
K /areas de =ecuperacin A Personal de tareas afines.
"l co#it4 deter#inar el lugar donde se instalar el siste#a alternativo 6red .
servidor al'uilado7% pudiendo ser en las #is#as pre#isas de *A8)I/<=IA + 2,14-
si las condiciones lo per#iten% o en las pre#isas de la e#presa con convenio
rec$proco de 9Plan de !ontingencia9% si se contara con ella.
!ada supervisor de rea% to#ar nota de las condiciones de la nueva platafor#a
operativa 6sus capacidades . li#itaciones% tanto en funcionalidad co#o
en velocidad7% e infor#ar a su personal para operar de acuerdo a estas
restricciones% durante el tie#po 'ue se vuelve a reesta0ler el nivel de operaciones
nor#ales% tal co#o se eEperi#enta durante el si#ulacro anual.
"l (te. de Ad#inistracin . >inan5as activar el contrato de =ecuperacin con la
e#presa respectiva% . dar instruccin a la Asistente de Ad#inistracin para 'ue
e#ita una <! a0ierta para cu0rir el arriendo o co#pra de DG o ?G re'uerido
para la instalacin te#poral de ?ervidorCred% as$ co#o para el ?ervidorC=ed en
proceso de restauracin.
!ada (erente o Nefe con personal a cargo 'ue est4 involucrado en las tareas
nor#ales de la operacin de *A8)I/<=IA + 2,14-% designar seg&n lo instru.a el
(erente de Ad#inistracin . >inan5as al personal necesario% a tareas afines.
2" Todo) #o) 3&3-ro) d&# co3t7 d& r&cu,&r$c!n d&-&n &)t$r n%or3$do) 8
&ntr&n$do)% as$ co#o poseer una copia del Plan de !ontingencia.
/" Un$ co,$ d&# ,#$n d&-&r2$ 3$nt&n&r)& $#3$c&n$do o%%9)t&% 1unto con los
respaldos.
4" Inc$c!n d&# P#$n
B (erencia de Ad#inistracin . >inan5as de0er$a ser notificada
B (erencia de Ad#inistracin . >ina5as contactar los e'uipos de recuperacin
B !uartel (eneral de =ecuperacin inBsite a definir
B !uartel (eneral de =ecuperacin <ffBsite a definir