Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Contingencias
Plan de Contingencias
INGENIERA EN
MANTENIMIENTO INDUSTRIAL
PROTOCOLOS DE OPERACIN Y
MANTENIMIENTO.
ELABORACIN DE UN PLAN DE
CONTINGENCIA BASADO EN UN
ANLISIS DE RIESGO.
Alumno:
TSU. Teckelino.
Grupo: IMI - 73.
Noviembre de 2010.
Introduccin.
Ante el incremento de la cultura informtica en todos los mbitos derivada del
creciente empleo de la Tecnologa de la Informacin, surge la necesidad y
responsabilidad de la proteccin de la misma, de sus medios de almacenamiento y
de su ambiente de operacin. La informacin que se maneja en una empresa, por
considerarse como materia prima para la propia gestin y toma de decisiones, es
considerada como un activo importante y como tal, debe ser sujeta de custodia y
proteccin para asegurar su integridad, confidencialidad y disponibilidad.
La cantidad de datos guardados en los medios y equipos de almacenamiento se
acrecienta da con da y su integridad va relacionada con su prdida o destruccin
intencional o no intencional. Es por ello, que los usuarios o personal directa o
indirectamente relacionados con el uso y operacin de bienes informticos deben
propiciar la adopcin de medidas de seguridad para proteger su informacin.
Este documento pretende ser una gua, segn los estndares de planes de
contingencia informtico, para que cada Gerente de Departamento de cualquier
empresa defina y documente un Informe de Trabajo derivados de la definicin del
Plan de Contingencia Informtico.
El alcance de este plan guarda relacin con la infraestructura informtica, as
como los procedimientos relevantes de cada Departamento asociados con esta
infraestructura.
Se entiende como infraestructura informtica al hardware, software y elementos
complementarios que soportan la informacin o datos crticos para la correcta
funcin y operacin de la empresa.
Se entiende tambin como procedimientos relevantes a la infraestructura
informtica, a todas aquellas tareas que el personal realiza frecuentemente
cuando interacta con los sistemas informticos (entrada de datos, generacin de
reportes, consultas, etc.).
Un Plan de Contingencia debe considerar una "Planificacin de la Contingencia"
as como un conjunto de "Actividades" que buscan definir y cumplir metas que
permitan a cada Departamento de la empresa controlar el riesgo asociado a una
contingencia.
Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas
orientadas a reducir dichos riesgos. Naturalmente, en la generacin del Plan de
Trabajo de cada Departamento es recomendable trabajar con reportes clave a fin
de que las recomendaciones cuenten con una base operativa slida.
Es de esperarse que la administracin de la empresa ya haya definido el Plan de
Trabajo de Administracin para el Plan de Contingencia de Sistemas Informticos,
en donde TODOS somos miembros importantes del Comit de Recuperacin
frente a desastres. Este comit se activar frente a una Contingencia, segn la
convocacin del Director General y del Gerente de Administracin y Finanzas de la
empresa.
Objetivos.
Planificacin de la contingencia.
El Plan est orientado a establecer, junto con otros trabajos de seguridad, un
adecuado sistema de seguridad fsica y lgica en previsin de desastres.
Se define la Seguridad de Datos Informticos como un conjunto de medidas
destinadas a salvaguardar la informacin contra los daos producidos por hechos
naturales o por el hombre. Se ha considerado que para la empresa, la seguridad
es un elemento bsico para garantizar su supervivencia y entregar el mejor
servicio a sus clientes, y por lo tanto, considera a la Informacin como uno de los
activos ms importantes de la Organizacin, lo cual hace que la proteccin de
esta, sea el fundamento ms importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan
realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y
recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua
para la definicin de los procedimientos de seguridad de la Informacin que cada
Departamento de la empresa debe definir.
Actividades asociadas.
Las actividades consideradas en este documento son:
Anlisis de Riesgos.
Medidas Preventivas.
Previsin de Desastres Naturales.
Plan de Respaldo.
Plan de Recuperacin.
Anlisis de Riesgos.
Para realizar un anlisis de los riesgos, se procede a identificar los objetos que
deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y
oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de
funcionamiento.
Posteriormente se procede a realizar los pasos necesarios para minimizar o anular
la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de
ocurrencia de estos, se procede a fijar un plan de emergencia para su
recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o
mejora como se ha visto a lo largo de las exposiciones de esta materia de
Protocolos de Operacin y Mantenimiento.
Bienes susceptibles de dao.
Se puede identificar los siguientes bienes afectos a riesgos:
a) Personal.
b) Hardware.
c) Software y utilitarios.
d) Datos e informacin.
e) Documentacin.
f) Suministro de energa elctrica.
g) Suministro de telecomunicaciones.
Daos.
Los posibles daos pueden referirse a:
1) Imposibilidad de acceso a los recursos debido a problemas fsicos en las
instalaciones donde se encuentran los bienes, sea por causas naturales o
humanas.
2) Imposibilidad de acceso a los recursos informticos por razones lgicas en
los sistemas en utilizacin, sean estos por cambios involuntarios o
intencionales, por ejemplo, cambios de claves o cdigos de acceso, datos
maestros claves, eliminacin o borrado fsico/lgico de informacin clave,
proceso de informacin no deseado.
3) Divulgacin de informacin a instancias fuera de la empresa y que afecte su
patrimonio estratgico comercial y/o Institucional, sea mediante robo o
infidencia.
Prioridades.
La estimacin de los daos en los bienes y su impacto, fija una prioridad en
relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de
los Servicios que se pierden en la contingencia.
Por lo tanto, los bienes de ms alta prioridad sern los primeros a
considerarse en el procedimiento de recuperacin ante un evento de
desastre.
Fuentes de daos.
(Ver Figura 2 en anexos)
Las posibles fuentes de dao que pueden causar una operacin anormal de la
empresa, asociadas al Departamento o rea de Sistemas Informticos de la
misma son:
Acceso no autorizado.
Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado
a las instalaciones).
Violacin de las claves de acceso a los sistemas informticos.
Desastres naturales.
a) Movimientos ssmicos que afecten directa o indirectamente a las
instalaciones fsicas de soporte (edificios) y/o de operacin (equipos de
cmputo).
b) Inundaciones causadas por falla en los sistemas de drenaje.
c) Fallas en los equipos de soporte:
1. Por fallas causadas por la agresividad del ambiente.
2. Por fallas de la red de energa elctrica pblica por diferentes razones
ajenas al manejo por parte de la empresa.
3. Por fallas de los equipos de acondicionamiento atmosfricos necesarios
para una adecuada operacin de los equipos computacionales ms
sensibles.
4. Por fallas de la comunicacin.
5. Por fallas en el tendido de la red local.
6. Fallas en las telecomunicaciones con la fuerza de venta.
7. Fallas en las telecomunicaciones con instalaciones externas.
8. Por fallas de la Central Telefnica (Telmex).
9. Por fallas de lneas de fax o de Internet.
Vandalismo.
Un intento de vandalismo ya sea menor o mayor, podra afectar a las PCs,
perifricos y servidores as como las comunicaciones. Si el intento de vandalismo
es mayor, se presenta un grave riesgo dentro del rea de Sistemas Informticos
ya que puede daar los dispositivos perdiendo toda la informacin y por
consecuencia las actividades se veran afectadas en su totalidad, as como el
servicio proporcionado al cliente.
A continuacin se menciona en forma enunciativa una serie de medidas
preventivas:
Recoger los respaldos de datos, programas, manuales y claves del lugar en el que se
encuentren resguardados.
Responsable: Coordinador de
Sistemas.
En los casos en que la alteracin puede ser corregida sin problemas graves,
se procede conforme a lo siguiente:
Responsable: Coordinador de
Sistemas.
Plan de accin.
1. Realizar un levantamiento de los servicios informticos.
Identificar los tipos de siniestros a los cuales est propenso cada uno de los
procesos crticos, tales como falla elctrica prolongada, incendio, terremoto,
etc.
Definicin de Roles.
menos cada seis meses, en donde se informe de los posibles cambios que se
deban efectuar al plan original y de que se efecten pruebas del correcto
funcionamiento del Plan de Contingencia Informtico, cuando menos dos veces al
ao o antes si se presentan circunstancias de cambio que as lo ameriten.
Al declararse una contingencia, deber tomar las decisiones correspondientes a la
definicin de las ubicaciones para instalar el centro de cmputo alterno y
autorizar las inversiones a realizar as como el fondo de efectivo a asignarse para
los gastos necesarios iniciales.
El presidente se mantendr permanentemente informado respecto de la activacin
del Plan hasta la declaracin de conclusin.
Coordinador General.- Tendr como funcin principal asegurar que se lleven a
cabo todas las fases para la realizacin del Plan de Contingencia, registrar las
reuniones que se realicen, a manera de minutas, aprobar los procesos crticos y
tipo de evento que abarcar el Plan de Contingencia y aprobar junto con el
Presidente del Comit la terminacin de cada una de las fases y la conclusin del
proyecto.
Durante la realizacin del plan, una de sus actividades principales ser la
coordinacin de la realizacin de las pruebas del Plan de Contingencia, la
aprobacin de las ubicaciones alternas que sea necesario definir, la aceptacin de
los gastos y/o adquisiciones o contratos de servicios que sean necesarios para la
realizacin del plan.
Al trmino de la realizacin de las pruebas, ser el Coordinador General quin d
su visto bueno de la conclusin de stas y de sus resultados, rindiendo un informe
a todos los coordinadores involucrados y en general al personal involucrado, y en
caso necesario, convocar a la realizacin de una segunda prueba, corrigiendo
previamente las fallas que se hubieran presentado. Una vez que se encuentre
aprobado el Plan de Contingencia, ser el Coordinador General quien lleve a cabo
formalmente la declaracin de una contingencia grave y d inicio formal de la
aplicacin del Plan de Contingencia, cuando as lo considere conveniente,
propiciando que la contingencia desaparezca con el objeto de continuar
normalmente con las actividades; ser el responsable de dar por concluida la
declaracin de contingencia.
En el caso particular de los Sistemas Informticos:
Coordinador de Redes y Comunicaciones.- Es el responsable de determinar los
procedimientos a seguir en caso de que se presente una contingencia que afecte
las comunicaciones, Servicios de Internet, Intranet, correo electrnico y red de la
empresa, mantener actualizados dichos procedimientos en el Plan de
Contingencia, determinar los requerimientos mnimos necesarios, tanto de equipo
como de software, servicios, lneas telefnicas, cuentas de acceso a Internet,
enlaces dedicados, dispositivos de comunicacin (ruteadores, switchs, antenas
etc). Asimismo, deber mantener actualizado el inventario de equipo de
Conclusiones.
Es un factor importante prepararse para algo que probablemente pueda ocurrir,
especialmente cuando se involucra a los sistemas de cmputo. Cuando se
depende de estos sistemas, un desastre puede o no dejar continuar las
operaciones de la Empresa.
En el momento que se presentan situaciones de desastre, el regresar a la
normalidad va ms all de mantener los sistemas de informacin en orden y
consistentes. Por lo anterior, es importante saber qu se va a recuperar y quin
puede hacerlo en caso de prdidas humanas.
Las Empresas se enfrentan a una amplia gama de desastres: desde los locales,
que ocurren en el interior de la empresa, en un espacio determinado del edificio,
hasta los que afectan todas las instalaciones de la misma o aquellos que abarcan
una regin entera.
Los primeros consisten en incendios, sabotajes o fallas en el suministro de la
energa elctrica, entre otras cosas; los segundos, conocidos como desastres en
el sitio, afectan a todo el edificio. Los provocan explosiones por bomba,
inundaciones o desrdenes en la tensin o suministro de la energa elctrica, etc.
Los desastres pueden agruparse en dos grandes tipos: por un lado los que tienen
su origen en la naturaleza, como ciclones, temblores, inundaciones, tormentas y
huracanes. Por otro lado, existen los que son provocados por el hombre, como
virus de computadoras, suspensiones o sobrecarga de energa, errores de
hardware y software, interrupciones de las redes, errores humanos, sabotaje, etc.
Anexos.
Bibliografa.
Chinto Ramrez, Rubn. Implementacin de la mejora continua: Clave del xito
empresarial. Ed. Grijalbo, Barcelona, Espaa. 2001. Pp. 222,274.
McLeeland, Robert. Handling of Risks. Ed. Stevenson & Sons. Vermont, Virginia,
Estados Unidos de Norteamrica. 1997. Pp 315, 342.
Plan de contingencia Informtico. Delegacin Miguel Hidalgo. Mxico, D.F. Archivo
PDF. 2005.