Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Contingencias PDF
Plan de Contingencias PDF
ELABORACIN DE UN PLAN DE
CONTINGENCIA BASADO EN UN
ANLISIS DE RIESGO.
Alumno:
TSU. Teckelino.
Grupo: IMI - 73.
Noviembre de 2010.
Introduccin.
Ante el incremento de la cultura informtica en todos los mbitos derivada del
creciente empleo de la Tecnologa de la Informacin, surge la necesidad y
responsabilidad de la proteccin de la misma, de sus medios de almacenamiento y
de su ambiente de operacin. La informacin que se maneja en una empresa, por
considerarse como materia prima para la propia gestin y toma de decisiones, es
considerada como un activo importante y como tal, debe ser sujeta de custodia y
proteccin para asegurar su integridad, confidencialidad y disponibilidad.
La cantidad de datos guardados en los medios y equipos de almacenamiento se
acrecienta da con da y su integridad va relacionada con su prdida o destruccin
intencional o no intencional. Es por ello, que los usuarios o personal directa o
indirectamente relacionados con el uso y operacin de bienes informticos deben
propiciar la adopcin de medidas de seguridad para proteger su informacin.
Este documento pretende ser una gua, segn los estndares de planes de
contingencia informtico, para que cada Gerente de Departamento de cualquier
empresa defina y documente un Informe de Trabajo derivados de la definicin del
Plan de Contingencia Informtico.
El alcance de este plan guarda relacin con la infraestructura informtica, as
como los procedimientos relevantes de cada Departamento asociados con esta
infraestructura.
Se entiende como infraestructura informtica al hardware, software y elementos
complementarios que soportan la informacin o datos crticos para la correcta
funcin y operacin de la empresa.
Se entiende tambin como procedimientos relevantes a la infraestructura
informtica, a todas aquellas tareas que el personal realiza frecuentemente
cuando interacta con los sistemas informticos (entrada de datos, generacin de
reportes, consultas, etc.).
Un Plan de Contingencia debe considerar una "Planificacin de la Contingencia"
as como un conjunto de "Actividades" que buscan definir y cumplir metas que
permitan a cada Departamento de la empresa controlar el riesgo asociado a una
contingencia.
Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas
orientadas a reducir dichos riesgos. Naturalmente, en la generacin del Plan de
Trabajo de cada Departamento es recomendable trabajar con reportes clave a fin
de que las recomendaciones cuenten con una base operativa slida.
Es de esperarse que la administracin de la empresa ya haya definido el Plan de
Trabajo de Administracin para el Plan de Contingencia de Sistemas Informticos,
en donde TODOS somos miembros importantes del Comit de Recuperacin
frente a desastres. Este comit se activar frente a una Contingencia, segn la
convocacin del Director General y del Gerente de Administracin y Finanzas de
la empresa.
Objetivos.
Establecer
mecanismos
y
procedimientos
para
proporcionar
confidencialidad, integridad y disponibilidad de la informacin.
Planificacin de la contingencia.
El Plan est orientado a establecer, junto con otros trabajos de seguridad, un
adecuado sistema de seguridad fsica y lgica en previsin de desastres.
Se define la Seguridad de Datos Informticos como un conjunto de medidas
destinadas a salvaguardar la informacin contra los daos producidos por hechos
naturales o por el hombre. Se ha considerado que para la empresa, la seguridad
es un elemento bsico para garantizar su supervivencia y entregar el mejor
servicio a sus clientes, y por lo tanto, considera a la Informacin como uno de los
activos ms importantes de la Organizacin, lo cual hace que la proteccin de
esta, sea el fundamento ms importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan
realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y
recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua
para la definicin de los procedimientos de seguridad de la Informacin que cada
Departamento de la empresa debe definir.
Actividades asociadas.
Las actividades consideradas en este documento son:
Anlisis de Riesgos.
Medidas Preventivas.
Previsin de Desastres Naturales.
Plan de Respaldo.
Plan de Recuperacin.
Anlisis de Riesgos.
Para realizar un anlisis de los riesgos, se procede a identificar los objetos que
deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y
oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de
funcionamiento.
Posteriormente se procede a realizar los pasos necesarios para minimizar o anular
la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de
ocurrencia de estos, se procede a fijar un plan de emergencia para su
recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o
mejora como se ha visto a lo largo de las exposiciones de esta materia de
Protocolos de Operacin y Mantenimiento.
Bienes susceptibles de dao.
Se puede identificar los siguientes bienes afectos a riesgos:
a) Personal.
b) Hardware.
c) Software y utilitarios.
d) Datos e informacin.
e) Documentacin.
f) Suministro de energa elctrica.
g) Suministro de telecomunicaciones.
Daos.
Los posibles daos pueden referirse a:
1) Imposibilidad de acceso a los recursos debido a problemas fsicos en las
instalaciones donde se encuentran los bienes, sea por causas naturales o
humanas.
2) Imposibilidad de acceso a los recursos informticos por razones lgicas en
los sistemas en utilizacin, sean estos por cambios involuntarios o
intencionales, por ejemplo, cambios de claves o cdigos de acceso, datos
maestros claves, eliminacin o borrado fsico/lgico de informacin clave,
proceso de informacin no deseado.
3) Divulgacin de informacin a instancias fuera de la empresa y que afecte su
patrimonio estratgico comercial y/o Institucional, sea mediante robo o
infidencia.
Prioridades.
La estimacin de los daos en los bienes y su impacto, fija una prioridad en
relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de
los Servicios que se pierden en la contingencia.
Por lo tanto, los bienes de ms alta prioridad sern los primeros a
considerarse en el procedimiento de recuperacin ante un evento de
desastre.
Fuentes de daos.
(Ver Figura 2 en anexos)
Las posibles fuentes de dao que pueden causar una operacin anormal de la
empresa, asociadas al Departamento o rea de Sistemas Informticos de la
misma son:
Acceso no autorizado.
Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado
a las instalaciones).
Violacin de las claves de acceso a los sistemas informticos.
Desastres naturales.
a) Movimientos ssmicos que afecten directa o indirectamente a las
instalaciones fsicas de soporte (edificios) y/o de operacin (equipos de
cmputo).
b) Inundaciones causadas por falla en los sistemas de drenaje.
c) Fallas en los equipos de soporte:
1. Por fallas causadas por la agresividad del ambiente.
2. Por fallas de la red de energa elctrica pblica por diferentes razones
ajenas al manejo por parte de la empresa.
3. Por fallas de los equipos de acondicionamiento atmosfricos necesarios
para una adecuada operacin de los equipos computacionales ms
sensibles.
4. Por fallas de la comunicacin.
5. Por fallas en el tendido de la red local.
6. Fallas en las telecomunicaciones con la fuerza de venta.
7. Fallas en las telecomunicaciones con instalaciones externas.
8. Por fallas de la Central Telefnica (Telmex).
9. Por fallas de lneas de fax o de Internet.
Vandalismo.
Un intento de vandalismo ya sea menor o mayor, podra afectar a las PCs,
perifricos y servidores as como las comunicaciones. Si el intento de vandalismo
es mayor, se presenta un grave riesgo dentro del rea de Sistemas Informticos
ya que puede daar los dispositivos perdiendo toda la informacin y por
consecuencia las actividades se veran afectadas en su totalidad, as como el
servicio proporcionado al cliente.
A continuacin se menciona en forma enunciativa una serie de medidas
preventivas:
Establecer vigilancia mediante cmaras de seguridad en el sitio, el cual
registre todos los movimientos de entrada del personal.
Instalar identificadores mediante tarjetas de acceso.
Determinar lugares especiales, fuera del centro de datos, para almacenar
los medios magnticos de respaldo y copia de la documentacin de
referencia y procedimientos de respaldo y recuperacin (se puede contratar
una caja de seguridad bancaria donde se custodiaran los datos e
informacin crtica).
Contar, ya sea bajo contrato o mediante convenio, con un centro de
cmputo alterno de caractersticas fsicas y equipo de cmputo adecuado
para darle continuidad a las operaciones crticas de la empresa, an en
forma limitada de cobertura y de comunicaciones.
Medidas preventivas en caso de presentarse un paro total de las operaciones
(huelga):
a. Determinar lugares especiales, fuera del centro de datos, para almacenar
los respaldos y copia de la documentacin de referencia.
b. El personal clave del Plan de Contingencia Informtico, debe de dar la
alerta del paro total y sacar los respaldos de informacin fuera del edificio
dentro de un tiempo lmite antes de ser declarada la huelga.
c. Personal del rea de sistemas Informticos debe prever un sitio alterno
para continuar con las operaciones crticas. Asimismo, se tendr que
establecer un tiempo lmite de espera de solucin de la huelga como por
ejemplo 24 horas con el fin de que no afecte el servicio proporcionado a las
dems reas o al cliente, si despus de este intervalo la huelga continuara,
se determinar el lugar o lugares de reubicacin alternos.
En los casos en que la alteracin puede ser corregida sin problemas graves,
se procede conforme a lo siguiente:
Correccin de las alteraciones que se localicen en los servidores Hardware.
Responsable: Coordinador de Redes y Comunicaciones.
Correccin de las alteraciones que se localicen en los servidores Software.
Responsable: Coordinador de Sistemas.
Revisin y prueba de la integridad de los datos.
Responsable: Coordinador de Sistemas.
Iniciar las operaciones.
Plan de accin.
1. Realizar un levantamiento de los servicios informticos.
Llevar a cabo un Inventario de equipo de cmputo, software y mobiliario,
para determinar cul es la informacin crtica que se tiene que resguardar,
adicionalmente levantar un inventario de los servicios de cmputo,
telecomunicaciones, Internet, etc., que son requeridos para que los
usuarios estn en posibilidad de llevar a cabo sus actividades normales.
2. Identificar un conjunto de amenazas.
Identificar los tipos de siniestros a los cuales est propenso cada uno de los
procesos crticos, tales como falla elctrica prolongada, incendio, terremoto,
etc.
Identificar el conjunto de amenazas que pudieran afectar a los procesos
informticos, ya sea por causa accidental o intencional.
3. Revisar la seguridad, controles fsicos y ambientales existentes, evaluando si
son adecuados respecto a las amenazas posibles.
Se debe estar preparado para cualquier percance, verificando que dentro
de la empresa se cuente con los elementos necesarios para salvaguardar
sus activos.
4. Identificar los servicios fundamentales del rea de sistemas informticos de la
empresa (Factores Crticos).
Se deben analizar las funciones de mayor prioridad de la empresa, por
medio de diagramas de flujo de los procesos especficos para medir el
alcance de cada actividad.
Etapas de la metodologa.
En el Plan de Contingencia Informtico se establecen procedimientos preventivos
para el manejo de casos de emergencia que se presenten en la empresa al sufrir
una situacin anormal, protegiendo al personal, las instalaciones, la informacin y
el equipo.
En el momento que sea necesario aplicar el Plan de Contingencia, la reanudacin
de las actividades puede ser el mayor reto con el que la empresa se enfrente,
probablemente no pueda regresar a su lugar habitual de trabajo o no disponga de
menos cada seis meses, en donde se informe de los posibles cambios que se
deban efectuar al plan original y de que se efecten pruebas del correcto
funcionamiento del Plan de Contingencia Informtico, cuando menos dos veces al
ao o antes si se presentan circunstancias de cambio que as lo ameriten.
Al declararse una contingencia, deber tomar las decisiones correspondientes a la
definicin de las ubicaciones para instalar el centro de cmputo alterno y
autorizar las inversiones a realizar as como el fondo de efectivo a asignarse para
los gastos necesarios iniciales.
El presidente se mantendr permanentemente informado respecto de la activacin
del Plan hasta la declaracin de conclusin.
Coordinador General.- Tendr como funcin principal asegurar que se lleven a
cabo todas las fases para la realizacin del Plan de Contingencia, registrar las
reuniones que se realicen, a manera de minutas, aprobar los procesos crticos y
tipo de evento que abarcar el Plan de Contingencia y aprobar junto con el
Presidente del Comit la terminacin de cada una de las fases y la conclusin del
proyecto.
Durante la realizacin del plan, una de sus actividades principales ser la
coordinacin de la realizacin de las pruebas del Plan de Contingencia, la
aprobacin de las ubicaciones alternas que sea necesario definir, la aceptacin de
los gastos y/o adquisiciones o contratos de servicios que sean necesarios para la
realizacin del plan.
Al trmino de la realizacin de las pruebas, ser el Coordinador General quin d
su visto bueno de la conclusin de stas y de sus resultados, rindiendo un informe
a todos los coordinadores involucrados y en general al personal involucrado, y en
caso necesario, convocar a la realizacin de una segunda prueba, corrigiendo
previamente las fallas que se hubieran presentado. Una vez que se encuentre
aprobado el Plan de Contingencia, ser el Coordinador General quien lleve a cabo
formalmente la declaracin de una contingencia grave y d inicio formal de la
aplicacin del Plan de Contingencia, cuando as lo considere conveniente,
propiciando que la contingencia desaparezca con el objeto de continuar
normalmente con las actividades; ser el responsable de dar por concluida la
declaracin de contingencia.
Conclusiones.
Es un factor importante prepararse para algo que probablemente pueda ocurrir,
especialmente cuando se involucra a los sistemas de cmputo. Cuando se
depende de estos sistemas, un desastre puede o no dejar continuar las
operaciones de la Empresa.
En el momento que se presentan situaciones de desastre, el regresar a la
normalidad va ms all de mantener los sistemas de informacin en orden y
consistentes. Por lo anterior, es importante saber qu se va a recuperar y quin
puede hacerlo en caso de prdidas humanas.
Las Empresas se enfrentan a una amplia gama de desastres: desde los locales,
que ocurren en el interior de la empresa, en un espacio determinado del edificio,
hasta los que afectan todas las instalaciones de la misma o aquellos que abarcan
una regin entera.
Los primeros consisten en incendios, sabotajes o fallas en el suministro de la
energa elctrica, entre otras cosas; los segundos, conocidos como desastres en
el sitio, afectan a todo el edificio. Los provocan explosiones por bomba,
inundaciones o desrdenes en la tensin o suministro de la energa elctrica, etc.
Los desastres pueden agruparse en dos grandes tipos: por un lado los que tienen
su origen en la naturaleza, como ciclones, temblores, inundaciones, tormentas y
huracanes. Por otro lado, existen los que son provocados por el hombre, como
virus de computadoras, suspensiones o sobrecarga de energa, errores de
hardware y software, interrupciones de las redes, errores humanos, sabotaje, etc.
Anexos.
Bibliografa.
Chinto Ramrez, Rubn. Implementacin de la mejora continua: Clave del xito
empresarial. Ed. Grijalbo, Barcelona, Espaa. 2001. Pp. 222,274.
McLeeland, Robert. Handling of Risks. Ed. Stevenson & Sons. Vermont, Virginia,
Estados Unidos de Norteamrica. 1997. Pp 315, 342.
Plan de contingencia Informtico. Delegacin Miguel Hidalgo. Mxico, D.F. Archivo
PDF. 2005.