Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Libro Tic PDF
Libro Tic PDF
Desarrollo de Planes de
Contingencia de Sistemas de
Informacin
Presentacin
El INEI realiza con esta publicacin un aporte muy especial para todos los sectores de
nuestro pas, para garantizar en todo momento la continuidad de los Sistemas de
Informacin, por ello pone a disposicin la presente publicacin, esperando una vez
ms contribuir en el desarrollo de la Sociedad de la Informacin.
Contenido
Captulo I : Definiciones y Alcances............................................................................... 7
1. Introduccin ..................................................................................................... 7
2. Qu es un Sistema de Informacin?............................................................. 7
3. Qu es un Plan de Contingencias? ............................................................... 8
4. Objetivos del Plan de Contingencia................................................................ 8
5. Aspectos Generales de la Seguridad de la Informacin ............................... 8
5.1 La Seguridad Fsica................................................................................. 8
5.2 Conceptos Generales............................................................................. 11
6. Seguridad Integral de la Informacin ............................................................ 13
ANEXOS.................................................................................................................. 81
BIBLIOGRAFIA........................................................................................................ 82
1. Introduccin
Durante varias dcadas, los japoneses han desarrollado diversos programas para
enfrentar los terremotos que permanentemente tienen lugar en su pas. Su trabajo
de preparacin y contingencias no slo ha consistido en construir infraestructura
capaz de resistir los movimientos telricos, sino que tambin ha contemplado un
amplio proceso de educacin a la poblacin. Este es un ejemplo destacable de
cmo un programa para enfrentar emergencias puede ayudar a salvar muchas
vidas y a reducir los daos causados por un desastre natural.
Sin embargo la mayor parte de los sistemas son mas complejos que el enunciando
anteriormente. Normalmente una organizacin tiene ms de un sistema de
computadoras para soportar las diferentes funciones de la organizacin, ya sean
de ventas, recursos humanos, contabilidad, produccin, inventario, etc.
Normas
Ratios
Salidas
Entradas CONTROL
PROCESO
3. Qu es un Plan de Contingencia?
5.1.1 Antes
5.1.2 Durante
5.1.3 Despus
5.2.1 Privacidad
5.2.2 Seguridad
5.2.3 Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron
puestos intencionalmente en un sistema. Las tcnicas de integridad
sirven para prevenir que existan valores errados en los datos
provocados por el software de la base de datos, por fallas de
programas, del sistema, hardware o errores humanos.
5.2.4 Datos
Los datos son hechos y cifras que al ser procesados constituyen una
informacin, sin embargo, muchas veces datos e informacin se
utilizan como sinnimos.
5.2.6 Acceso
5.2.7 Ataque
5.2.10 Amenaza
5.2.11 Incidente
FASE 1 : PLANIFICACION
1.1 Diagnstico
Cada vez que nos encontremos en una actividad que requiere el diseo de una
propuesta de solucin para un determinado problema, es necesario siempre la
revisin exhaustiva de cada uno de los componentes que conforman nuestro
sistema, es por esta razn siempre debemos de realizar una etapa de diagnostico
para poder asegurar que las acciones de solucin propuestas tengan un
fundamento realista y no tener que volver a rehacer toda propuesta.
En este punto se har referencia sobre los bienes y/o servicios que produce
la empresa o institucin segn el orden de importancia por la generacin de
beneficios. Si la empresa produce ms de un bien la prioridad ser
determinada segn el criterio de los Directivos.
1. 2 Planificacin
Definicin de las fases del plan de eventos (por ejemplo, los perodos pre-
evento, evento, y post-evento) y los aspectos sobresalientes de cada fase.
Definicin de una estrategia de planificacin de la continuidad del negocio de
alto nivel.
Identificacin y asignacin de los grupos de trabajo iniciales; definicin de los
roles y responsabilidades.
Definicin de las partes ms importantes de un cronograma maestro y su patrn
principal.
Identificacin de las fuentes de financiamiento y beneficios del negocio; revisin
del impacto sobre los negocios.
Duracin del enfoque y comunicacin de las metas y objetivos, incluyendo los
objetivos de la empresa.
Definicin de estrategias para la integracin, consolidacin, rendicin de
informes y arranque.
Definicin de los trminos clave (contingencia, continuidad de los negocios,
etc.)
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
Obtencin de la aprobacin y respaldo de la empresa y del personal gerencial
de mayor jerarqua. Provisin de las primeras estimaciones del esfuerzo.
El plan debe ser ejecutado independientemente de las operaciones y
procedimientos operativos normales .
Las pruebas para el plan sern parte de (o mantenidas en conjuncin con) los
ejercicios normalmente programados para la recuperacin de desastres, las
pruebas especficas del plan de contingencia de los sistemas de informacin y la
realizacin de pruebas a nivel de todos los clientes.
No habr un plan de respaldo, y tampoco se dar una reversin ni se podr
frenar el avance del plan de contingencia.
Si ocurre un desastre, una interrupcin, o un desfase de gran magnitud en los
negocios de la empresa durante el perodo del calendario de eventos, se
pondrn en prctica los planes de continuidad de los negocios o de
contingencia.
Si la organizacin ha puesto en moratoria los cambios al sistema, se deben
permitir las excepciones a dicha moratoria solamente para los cambios de tipo
regulador o para los problemas ms importantes que afecten la produccin o las
operaciones de la empresa, y solamente despus de haber obtenido la
aprobacin del nivel ejecutivo.
La Fase de Identificacin de Riesgos, busca minimizar las fallas generadas por cualquier
caso en contra del normal desempeo de los sistemas de informacin a partir del anlisis
de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.
Al igual que las situaciones de falla, las alternativas pueden ser infinitas. Por ende,
se deben identificar muchas para ser capaces de seleccionar las mejores opciones
de contingencia. Comience por los riesgos ya identificados como prioridades
mximas porque causaran el mayor impacto negativo en los servicios y en las
funciones crticas de su organizacin.
Algunas funciones probablemente pueden ser realizadas por terceros sin prdida
de control. Probablemente pueden reducirse algunas operaciones en trminos de
Si consideramos que "No existe producto y/o servicio sin un proceso. De la misma
manera, que no existe proceso sin un producto o servicio". Aunque no todos los
procesos generan un producto o servicio til (creando valor agregado) para la
institucin. Por lo que es necesario realizar un anlisis de las operaciones y los
procesos que involucran.
Al emplear estas definiciones, se puede observar que casi todo lo que hacemos es
un proceso y que los procesos de la empresa desempean un papel importante en
la supervivencia econmica de nuestras organizaciones.
Manejo de ndices.
Diseo de sistemas de control.
Desarrollo de comunicaciones avanzadas
Diseo de componentes de cable
Prueba de diseo
Revisin de diseo y materiales
Revisin de documentos
Especificacin de diseo a alto nivel
Coordinacin entre divisiones
Diseo lgico y verificacin
Calificacin de componentes
Diseo del sistema de energa
Divulgacin del producto
Confiabilidad y utilidad del sistema
Requerimiento del sistema
Diseo interactivo de sistemas para el usuario
Anlisis de la competencia
Apoyo de los sistemas de diseo
Desarrollo de la informacin
Instrumentos de diseo fsico
Diseo de sistemas
Gerencia de cambio en ingeniera
EXTERNALIZACION DEL
OPCIONES OPERACIN MANUAL REEMPLAZO
SERVICIO
Recurra al proceso manual slo en
Tenga disponible software
Reparacin rpida caso de clientes prioritarios. Asegure Use personal temporalmente
de repuesto que cumpla con
y de defecto que contar con personal el 1 y 2 de para llenar brecha
los requisitos
enero.
Use hojas de clculo o base de datos Use base de datos o
Haga que el contratista
para ofrecer alguna de la paquetes COTS para
Reparacin parcial procese los pagos en sus
funcionalidad original del sistema reemplazar la funcionalidad
propias instalaciones
(fecha de captura). del sistema
Ofrezca operaciones totalmente Elimine esfuerzos de
Entregue el manejo de la
funcionales a travs del proceso reparacin e implemente un
Reparacin total plantilla de pago a una firma
manual, utilizando personal adicional sistema comercial funcional,
comercial especialista
si es necesario rpidamente
No haga nada y vea qu pasa esta estrategia es algunas veces llamada arreglar
sobre falla.
La informacin necesaria para definir los activadores para cada sistema o proceso,
provendr tanto del programa de implementacin para los sistemas de informacin,
como de los requerimientos de tiempo desplegados para cada plan de
contingencia.
Cabe mencionar que, para desarrollar este proyecto es necesario conocer los
lineamientos generales del sistema afectado, es decir el tipo de produccin al cual
pertenece pudiendo pertenecer al sector de bienes o al sector servicios. Una vez
establecido a que rubro de la produccin pertenece, identificamos el departamento
u rea ligada y las funciones que en ella realiza, las reas principales pueden ser:
Contabilidad
Administracin
Finanzas
Comercializacin
Produccin
Seguridad
Se debern identificar las fallas potenciales que puedan ocurrir para cada sistema,
considerando la provisin de datos incorrectos, y fiabilidad del sistema para la
institucin, y as desarrollar una lista de alternativas priorizadas de fallas.
Estos incluyen:
Confianza implcita. Un problema corriente, una rutina supone que otra est
funcionando bien cuando, de hecho, debera estar examinando detenidamente
los parmetros suministrados por la otra.
Valores de umbral. Estn diseados para desanimar los intentos de entrada, por
ejemplo. Despus de cierto nmero de intentos invlidos de entrar al sistema,
ese usuario (o el terminal desde donde se intentan las entradas) debe ser
bloqueado y el administrador del sistema, advertido. Muchos sistemas carecen
de esta caracterstica.
Caballo de Troya. El intruso coloca un cdigo dentro del sistema que le permita
accesos posteriores no autorizados. El caballo de Troya puede dejarse
permanentemente en el sistema o puede borrar todo rastro de s mismo,
despus de la penetracin.
Los requisitos de seguridad de un sistema dado, definen lo que para ese sistema
significa la seguridad. La seguridad externa se ocupa de la proteccin del sistema
de computacin contra intrusos y desastres. La seguridad de la interfase del usuario
se encarga de establecer la identidad del usuario antes de permitir el acceso al
sistema. La seguridad interna se encarga de asegurar una operacin confiable y sin
Cuando los programas de vigilancia han de tener un acceso mayor que los
programas del usuario, para servir las peticiones del usuario, sto se denomina
amplificacin.
a. El anfitrin promiscuo
b. Autenticacin
c. Autorizacin
An cuando usted puede probar que usted es quien dice que es,
simplemente, Qu informacin debera permitir el sistema local
accesar desde a travs de una red?. Este problema de autorizacin
parecera ser simple en concepto, pero considerar los problemas de
control de acceso, cuando todo el sistema tiene su identidad remota de
usuario, el problema de autorizacin sera un problema de seguridad
bastante serio, en donde intervienen los conceptos de funciones
autorizadas, niveles de autorizacin, etc.
d. Contabilidad
Para un intruso que busque acceder a los datos de la red, la lnea de ataque
ms prometedora ser una estacin de trabajo de la red. Estas se deben
proteger con cuidado. Debe habilitarse un sistema que impida que usuarios
no autorizados puedan conectarse a la red y copiar informacin fuera de ella,
e incluso imprimirla.
Por supuesto, una red deja de ser eficiente si se convierte en una fortaleza
inaccesible. El administrador de la red tal vez tenga que clasificar a los
usuarios de la red con el objeto de adjudicarles el nivel de seguridad
adecuado. A continuacin se sugiere un sistema en tres niveles:
Estaciones de trabajo sin floppy disk. Una posible solucin para poder
impedir la copia de programas y datos fuera de la red en disquetes, y que a
travs de los disquetes ingresen virus y otros programas dainos a la red, es
dotar a los usuarios vulnerables con estaciones de trabajo sin floppy disk.
Adems, los sistemas RAID pueden ofrecer a los usuarios de las redes,
acceso a todos los datos, aunque un disco duro en el arreglo, falle
catastrficamente.
NIVELES DE RAID
RAID viene en cinco niveles diferentes, los niveles del uno al cinco, cada uno
diseado para un uso especfico. Estos nmeros son simples designaciones
de los diferentes mtodos de proteger los datos en los discos duros y no
describen los niveles de velocidad o calidad: RAID 1 no es mejor ni peor que
RAID 5. El tipo de RAID apropiado para su servidor depende de cmo usa su
red y el tipo de proteccin que desea proporcionarle.
Dos tipos de RAID dominan los arreglos usados por las computadoras.
RAID 1 es popular en los servidores de archivos NetWare, aunque
Novell usualmente se refiere a esta tecnologa como reflexin
(mirroring). Sin embargo, la mayora de los dispositivos de
computadoras llamados arreglos de discos, se adaptan al diseo RAID
5, ya que RAID 4 no ofrece ventajas reales, y RAID 2 y RAID 3 requieren
demasiados discos y tienen demasiadas desventajas para ser tiles en la
mayora de las aplicaciones del entorno de la PC.
FASE 4 : ESTRATEGIAS
Los puntos que deben ser cubiertos por todos las reas informticas y usuarios en
general son:
Niveles de Control:
a. Cintas Magnticas:
Temperatura : 4C a 32C
Humedad Relativa : 20 % a 80 %
b. Cartuchos:
Temperatura : 16C a ms
Humedad Relativa : 20 % a 80 %
Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entre
las teclas, puede causar un cruce de funcin.
Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10 cm.
Para asegurar as una ventilacin mnima adecuada.
Mouse. Poner debajo del mouse una superficie plana y limpia, de tal manera
que no se ensucien los rodillos y mantener el buen funcionamiento de ste.
Por Ejemplo:
Caso Epson FX-1170/LQ-1070 no usar rodillo cuando est prendido.
Como puntos importantes que debe de incluir esta documentacin podremos citar las
siguientes:
Cuadro de descripcin de los equipos y las tareas para ubicar las soluciones a las
contingencias.
La documentacin de los riesgos, opciones y soluciones por escrito y en detalle.
La identificacin y documentacin de listas de contacto de emergencia, la
identificacin de responsables de las funciones con el fin de garantizar que siempre
haya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.
a) Sistemas e Informacin.
b) Equipos de Cmputo.
Inventario actualizado
de los equipos de manejo
de informacin (compu-
tadoras, lectoras de
microfichas, impresoras,
etc.), especificando su
contenido (software que
usa, principales archivos
que contiene), su ubicacin
y nivel de uso Institucional.
Plizas de Seguros
Comerciales. Como parte
de la proteccin de los
Activos Institucionales,
pero haciendo la salvedad
en el contrato, que en
casos de siniestros, la
restitucin del Computador
siniestrado se podr hacer por otro de mayor potencia (por
actualizacin tecnolgica), siempre y cuando est dentro de los
montos asegurados.
Sealizacin o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de
evacuacin. Por ejemplo etiquetar (colocar un sticker) de color
rojo a los Servidores, color amarillo a las PC's con Informacin
importante o estratgica y color verde a las PC's de contenidos
normales.
a) Plan de Emergencias.
b) Formacin de Equipos.
c) Entrenamiento.
a) Plan de Emergencias
Durante el da.
Durante la Noche o madrugada.
b) Formacin de Equipos
c) Entrenamiento
a) Evaluacin de Daos.
c) Ejecucin de Actividades.
d) Evaluacin de Resultados.
a) Evaluacin de Daos.
Toda vez que el Plan de Accin es general y contempla una prdida total,
la evaluacin de daos reales y su comparacin contra el Plan, nos dar
la lista de las actividades que debemos realizar, siempre priorizndola en
vista a las actividades estratgicas y urgentes de nuestra Institucin.
c) Ejecucin de Actividades.
d) Evaluacin de Resultados
Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que
fueron afectados por el siniestro, debemos de evaluar objetivamente,
todas las actividades realizadas, que tan bien se hicieron, que tiempo
tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las
actividades del plan de accin, como se comportaron los equipos de
trabajo, etc.
FASE 7 : IMPLEMENTACION
La fase de implementacin se da cuando han ocurrido o estn por ocurrir los problemas
para este caso se tiene que tener preparado los planes de contingencia para poder
aplicarlos. Puede tambin tratarse esta etapa como una prueba controlada.
Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser
reparadas, se debe tomar las acciones siguientes:
Se debe tomar en cuenta que ningn proceso debe quedar cortado, y se deben
tomar las acciones siguientes:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
telfono a jefes de rea.
2. El servidor debe estar apagado, dando un correcto apagado del sistema.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.
5. Retirar la conexin del servidor con el concentrador, sta se ubica detrs del
servidor, ello evitar que al encender el sistema, los usuarios ingresen.
6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia
el concentrador, habilitar entradas para estaciones en las cuales se realizarn
las pruebas.
7. Probar los sistemas que estn en red en diferentes estaciones.
8. Finalmente luego de los resultados, habilitar las entradas al sistema para los
usuarios.
Se debe tomar en cuenta que ningn proceso debe quedar cortado, debindose
ejecutar las siguientes acciones:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
telfono a jefes de rea.
2. El servidor debe estar apagado, dando un correcto apagado del sistema.
3. Ubicar la posicin de la tarjeta controladora.
4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o
similar.
5. Retirar la conexin del servidor con el concentrador, sta se ubica detrs del
servidor, ello evitar que al encender el sistema, los usuarios ingresen.
6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia
el concentrador, habilitar entradas para estaciones en las cuales se realizarn
las pruebas.
7. Al final de las pruebas, luego de los resultados de una buena lectura de
informacin, habilitar las entradas al sistema para los usuarios.
La ocurrencia de errores en los sectores del disco duro del servidor puede deberse
a una de las siguientes causas:
Para servidor:
Se contar con antivirus para el sistema que aslan el virus que ingresa al
sistema llevndolo a un directorio para su futura investigacin
El antivirus muestra el nombre del archivo infectado y quin lo us.
Estos archivos (exe, com, ovl, nlm, etc.) sern reemplazados del diskett original
de instalacin o del backup.
Si los archivos infectados son aislados y an persiste el mensaje de que existe
virus en el sistema, lo ms probable es que una de las estaciones es la que
caus la infeccin, debiendo retirarla del ingreso al sistema y proceder a su
revisin.
FASE 8 : MONITOREO
Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo
riesgo o una nueva solucin. En este caso, toda la evaluacin del riesgo se cambia, y
comienza un nuevo ciclo completo, a pesar de que este esfuerzo podra ser menos
exigente que el primero.
ETAPA 5
ETAPA 4 ETAPA 6
Determinar y
Especificar los detallar las Formacin y
escenarios medidas Funciones de
donde preventivas los Grupos de
ocurrirn los trabajo
problemas
En esta etapa hay que definir cuales sern nuestras operaciones crticas y tienen que ser
definidas en funcin a los componentes de los sistemas de informacin los cuales son:
Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal.
Dentro de las cuales podemos identificar las siguientes, las cuales pueden variar de
sistema a sistema :
Se tiene que elaborar una tabla denominada Operaciones Crticas de los SI, que consta
de tres campos:
Operaciones crticas
Objetivo de la Operacin
Prioridad de la Operacin
Prioridad de la
Operaciones Crticas Objetivos de la Operacin
Operacin
! Informes de los estados
financieros de la
Reportes Impresos de organizacin. R
Informes del Sistema ! Informes de plantillas del
personal.
! Informes de produccin
mensual, anual.
! Informes a los clientes.
Consultas a las Bases ! Informacin a los
de Datos va Internet proveedores. L
! Sistema de ventas va
Internet.
Consultas a las Bases de ! Inventarios
Datos va LAN ! Revistas, electrnicas. R
Prioridad de la
Operaciones Crticas Objetivos de la Operacin
Operacin
! Procesos de Backups de la
informacin.
Sistema de Backup y
! Establecimiento de las H
Recuperacin de Data
frecuencias de
almacenamiento de datos.
Se ha tomado solo estas operaciones como modelo para detallar el desarrollo del Plan,
pero cabe recordar que debemos de tener muy en cuenta que hay mas operaciones que
son crticas y que debemos tener cuidado al identificarlas ya que esto contribuir para el
buen desarrollo del Sistema de Informacin de su organizacin, es por eso que debemos
de analizar con cuidado para no tener problemas posteriores.
PRODUCCIN ( E ) ! Fabricacin H
ELABORACION DE INFORMES L
! Elaboracin de reportes totales de Administracin
DE LA ADMINISTRACIN (G)
NUMERO DE
NMERO DE PROCESOS DE ORDENES
RECURSOS USADOS SERIE DEL
PROCEDIMIENTOS NEGOCIOS NOTAS
RECURSO
Recepcin de
B1 PCs S2 Clientes G
rdenes de pedido
Confirmar la
cantidad total Sistema de aceptacin de
B2 S4
lmite de rdenes la orden (Software)
recibidas
Confirmar si se
cuenta con el
Sistema de aceptacin de
B3 Stock para S4
la orden
atender los
pedidos
Registrar las Sistema de aceptacin de
B4 S4
rdenes la orden
Enviar las Sistema de aceptacin de
S4
confirmaciones de la orden
B5 rdenes
(faxearlas De nosotros para
Faxes S2
automticamente) los clientes
Indicar el envo o
remitirlas Sistema de aceptacin de
S4
a sus respectivos la orden
centros
B6
De los Grupos
de Trabajo a los
Lneas dedicadas S3
centros de
reparto
S11 Software Clientes Interno Desarrollo Interno B1- , N-9 , B-2 , B-3
Recursos de
N Serie del Perodo aceptable de
Recurso operaciones Frecuencia de uso
Recurso Interrupcin
utilizados por
S1-1 PCs (Red) B-1 Cada da Medio da
S1-2 PCs (Red) B-1 Cada da Medio da
B-1 Cada da Medio da
S2-1 Software (Red)
K-1 Cada da Medio da
B-1 Cada da Medio da
Software de
S2-2 administracin de B-5 Cada da Medio da
Compras
K-1 Cada da Medio da
Recursos de
N Serie del Perodo aceptable de
Recurso operaciones Frecuencia de uso
Recurso Interrupcin
utilizados por
B-1 Cada da Medio da
S3 Lneas dedicadas B-6 Cada noche Un da
K-1 Cada 3 das 3 das
B-2 Cada da Medio da
Sistema de
S4-1 B-3 Cada da Medio da
aceptacin de orden
B-4 Cada da Medio da
S10 Servidores B-1 Cada da 3 horas
S11 Software Cliente B1,B3, B5 Cada da 3 horas
Para cada una de las operaciones crticas en la Etapa 1, se debe enumerar los procesos
que tienen.
Cdigo de procedimientos
Procesos
Recursos Utilizados
Cdigo del Recurso
Nivel de Riesgo
Mediante la siguiente tabla de costos, podremos identificar cuales son los procesos que
representan mayor costo y posteriormente utilizar esta informacin para evaluar la
prioridad de acciones frente a los procedimientos en nuestra tabla de prioridades.
A Ventas 10,000
D Compras 50,000
E Produccin 80,000
F Estadsticas 5,000
Podemos personalizar nuestra tabla de costos segn nuestro caso y detallarla segn lo
mas realistamente posible, ya que de esto depender el darle la prioridad necesaria a
cierto tipo de procesos los cuales quizs no puedan ser identificadas a simple inspeccin.
Probabiliad de Falla
Recursos
Alta Media Baja Ninguna
Alta Media Baja
S1 X
Resultados Confirmados
Anlisis de Riesgo (probabilidad del problema, perodo necesario para la
recuperacin, frecuencia de uso)
Probabilidad
Orden
Procesos
Procedimiento
Recursos necesarios (medidas alternativas)
! Ingreso y recepcin de
Proceso de los expedientes ! Puesta en funcionamiento del grupo
programas que ! (cartas, oficios, informes, etc.) electrgeno
1 realizan la entrada y ! Envo de los documentos a ! Operaciones Manuales
salida de la todas las reas de la institucin ! Puesta en marcha de una red LAN
informacin ! Salida de documentos(cartas, interna.
oficios, informes, etc.)
! Programacin de cronograma
Mantenimiento ! Puesta en funcionamiento del grupo
de mantenimiento
2 adecuado de las electrgeno.
! Elaboracin de rdenes de
aplicaciones ! Comunicacin con telfonos mviles.
compra y rdenes de servicios
Como paso OPCIONAL, se pueden mostrar los riesgos en la Matriz de Anlisis de Riesgo.
Cada riesgo se coloca en el rectngulo. Esto corresponde a la evaluacin del impacto y
probabilidad de falla del rea del riesgo
I Software de Gestin
M ALTA de compras
P MEDIA
A
PCs
C BAJA
T BAJA MEDIA ALTA
O
Probabilidad
Problema Asumido
Medidas preventivas/alternativas
(anlisis de Riesgo)
Cdigo del
Recurso Posibilidad de
Recurso Perodo de parada Ejecutada
ocurrencia del Contenido
aceptable Si o No
problema
Transacciones
S1 PCs Baja Medio da NO
Manuales
Software de
Transacciones
S2 administracin de Media/Alta Medio da SI
Manuales
compras
Transacciones
S4 Sistemas de Gestin Media/Alta 2 horas SI
Manuales
Transacciones
S11 Software cliente Baja 4 horas NO
Manuales
I
m
p MED.
a
c
t BAJO
o
BAJA MED. ALTA
Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde
las acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de
administracin.
Los Grupos de Trabajo permanecern en operacin cuando los problemas ocurran, para
tratar de solucionarlos.
rea de
Director Tcnico Direccin de Administracin
Administracin
Encargado de la oficina de
Especialista
abastecimientos y servicios auxiliares
Encargado de la oficina ejecutiva de
Especialista
personal
rea de Desarrollo de Direccin tcnica de desarrollo de
Director Tcnico
Software software
Responsable del respaldo de la
Especialista
informacin Bases de Datos y Aplicaciones
Responsable de configuracin e
Especialista instalacin de los programas o
aplicaciones
Direccin Tcnica de
Director Tcnico Direccin tcnica de soporte tcnico
Soporte
Tcnico Responsable de las Pcs y Servidores
Tcnico Responsable del Software Base
Especialista Responsable de Correo Electrnico
Tcnico Soporte Tcnico a usuarios
Se estableci los das en los cuales los problemas son mas probables a ocurrir,
incluyendo los sistemas de la institucin, clientes, proveedores e infraestructura de la
organizacin. Se seala los das anunciados, cuando los problemas pueden ocurrir y
otros temas.
Cdigo Programa
Localizacin Ocurrencia
del Recurso Accin Como Confirmar Operador para la
para la accin del Problema
Recurso accin
El rea de
administracin
Confirmar la En la Todas las
comunicara al rea de Falla de los
S1 Pcs ocurrencia de los maana oficinas de la
responsable sobre Administracin PCs
problemas del da institucin
la ocurrencia del
problema
El administrador
de la Red Direccin
Software de Confirmar la Cada de la
supervisar la red Tcnica de En todo el Oficinas
S2 administracin ocurrencia de los red en ciertas
e informara Soporte da administrativas
de compras problemas reas
cualquier Tcnico
problema
El administrador
de la red Direccin
Confirmar la Cada de la
Servidores de supervisar e Tcnica de En todo el Oficinas
S3 ocurrencia de los red en el rea
Gestin informar Soporte da administrativas
problemas de gestin
cualquier tcnico
problema
El administrador
de los servidores Paralizacin o
Confirmar la Direccin
Sistemas de supervisar e En todo el Oficinas fallas en los
S 10 ocurrencia de los Tcnica de
Gestin informar da administrativas programas o
problemas Soporte
cualquier aplicaciones
problema
Cada del
Confirmar la rea de Lugar de la
Cobertura de los sistema en el
S 11 Software cliente ocurrencia de los Soporte En el da persona a
medios rea de
problemas Tcnico cargo
inters.
A su vez tambin se crear un listado telefnico de todos los proveedores de servicio del
recurso.
Este directorio se usa para realizar comunicaciones rpidas con los proveedores de
servicio del recurso, incluso con los fabricantes, vendedores o abastecedores de servicio
contrados, si ocurren los problemas, para hacer que investiguen y que identifiquen las
causas de los problemas y que comiencen la recuperacin de los sistemas
Funcin
Segundo
Primer Nmero de
Empleado Nmero de Tiempo
contacto
Direccin Cargo contacto
Como Resultado final deberemos elaborar un cuadro donde se muestre los principales
componentes de el plan de contingencias . En la cual podremos anotar los riesgos en el
siguiente Formato tabla de Anlisis de Riesgo, la prioridad que tendr la accione de
determinada rea afectada en funcin al impacto tanto funcional como de costos, as
como tambin anotaremos su correspondiente estrategia de contingencia.
Falla del
Todas las software de
Oficinas administraci
n de compras
Falla de los
Todas las servicios de
Oficinas red
(servidores)
En esta etapa hay que desarrollar la estrategia seleccionada, implantndose con todas las
acciones previstas, sus procedimientos y generando una documentacin del plan.
Hay que tener en claro como pasamos de una situacin normal a una alternativa, y de
que forma retornamos a la situacin normal. Hay situaciones en que debemos de
contemplar la reconstruccin de un proceso determinado, ejemplo: por alguna
circunstancia dada se determino que la facturacin se realice en forma manual,
restablecido el servicio que nos llevo a esta contingencia debemos tener el plan como
recuperar estos datos para completar la informacin que da a da utilizan las dems
reas.
Antes de realizar las pruebas, los planes deberan ser revisados y juzgados
independientemente en lo que respecta a su eficacia y razonabilidad.
Las pruebas recomendadas para los planes de recuperacin de desastres incluyen una
prueba peridica preliminar y un ensayo general, en el que se crea un simulacro de una
crisis con el fin de observar la eficacia del plan. Las actividades importantes a realizar
son:
4.1 Introduccin
Todos los planes de contingencia deben ser probados para demostrar su habilidad
de mantener la continuidad de los procesos crticos de la empresa. Las pruebas se
efectan simultneamente a travs de mltiples departamentos, incluyendo
entidades comerciales externas.
4.2 Objetivos
a) Prueba Especfica
b) Prueba de Escritorio
Caractersticas:
La prueba final debe ser una prueba integrada que involucre secciones mltiples e
instituciones externas. La capacidad funcional del plan de contingencia radica en el
hecho, de que tan cerca se encuentren los resultados de la prueba con las metas
planteadas. El siguiente diagrama de bloques representa los pasos necesarios, para
la ejecucin de las pruebas del plan de contingencias. La figura adjunta muestra los
pasos necesarios para hacer la comprobacin del Plan de Contingencias.
Inicio
Identificar al Personal
El Plan de que har la prueba
Si
pruebas es
correcto?
Preparar el plan de pruebas Plan Aprobado
No
Observar el comportamiento
del Plan
No
Revisar el Plan
Existen ms
S
niveles para
probar?
No Reexaminar?
No
S
Continuar Ms planes
probando otros
planes Ejemplo.aHoja
probar?de Operacin del Plan
Iniciar el
siguiente nivel
No de pruebas
Iniciar el plan
de
mantenimiento
Este formato se propone para describir el escenario real donde se har la prueba.
Documentar el da de la semana y la hora (si es necesario) de ocurrencia del
acontecimiento. La Descripcin del Evento/Mensaje define los eventos del
incidente presentados en el departamento, los cuales se deben solucionar. Las
soluciones deben ser coincidentes con los planes de contingencia previamente
aprobados. El tem # debe ser utilizado por los observadores y los evaluadores
para realizar identificaciones, dar respuestas a los acontecimientos y a los mensajes
especficos mientras estos ocurren.
1.- Pru ebas de alcance s y El est ado qu e se pie nsa log rar t r as la
objet iv os r ealiza cin d e las pru eb as.
2.- Pr uebas m et odol gic as Pro porc iona una descrip c i n d el t ipo
d e pru eba q ue se realizar.
3.- Prec isar equip os y re cur sos Id en t if ica y e st ab lec e lo necesar io.
4.- D em and a de perso n al Enu m era y desc rib e e l perso nal y las
c apacit a do nece sid ad es de c ap ac itaci n.
5.- D et allar itin er ario s y D esarr olla las t areas, lm it es, y las
loca lizacio n es respon sabilidad es qu e m u est ran el
plan p ara la ejec u ci n d e la p rueb a.
6.- Co nt r ol de l pro ceso Describ e la dispo sic in; desar rollo d el
esc en ario de e nsay o , y
p roc e dim ient os
7.- C ont rol de la ac cin d el De t alla la sec uenc ia de ev ent os pa ra
tiem po la p ru eb a.
8.- Objet iv os t razad os a p art ir Def ine las m edid as d e x it o par a la
del co n tr ol p rueb a.
9.- Co nt r ol de perso n al D ef ine los pr oc edim ient os pa ra
t erm inar, suspen der , y reiniciar la
pr ueba. .
1 0 . - Pr uebas de ev alu ac i n y De t alla lo s result ad o s de la ev aluac in
ob serv acio n es y de la obser v ac in, ad em s p lan es
de ac cin alt er nado s para rec t if ic ar
f allas.
Por supuesto que un plan de contingencia tiene un valor limitado desde el punto de
vista comercial o legal, si no fue redactado por escrito y si no se mantiene
adecuadamente en lugares de fcil acceso para el personal clave. Generalmente,
para propsitos legales para evitar y defender cualquier alegato de negligencia o
falta de cuidado debido es de importancia crtica que los planes de contingencia
sean revisados apropiadamente para que se adecuen al sistema de informacin,
con los jefes de equipo y los funcionarios y/o los miembros de las juntas directivas
y adems que dichas acciones sean tomadas con una anticipacin suficiente ante
cualquier problema, con el fin de permitir el tiempo suficiente para los comentarios,
reacciones e implementacin de las mismas, ya que un plan de contingencia
requiere de negociacin y seguimiento. Adems, si se decide que no se necesita
ningn plan de contingencia, esa decisin debera estar adecuadamente
documentada y explicada a la luz de la atencin que se est dando actualmente a
los planes de contingencia. En ltima instancia, la compaa querr evitar cualquier
responsabilidad individual de sus directores y funcionarios bajo el reglamento del
juicio de la empresa, aseverando que todas sus decisiones en cuanto a la forma
de manejar las contingencias del Sistema de Informacin fueron debidamente
consideradas, y/o que se bas en las opiniones de los expertos en los que la
compaa razonablemente confi para formular un plan de contingencia.
Anexos
ATAQUE
INFORMACION SISTEMA
RECURSOS
REDES
ATAQUE
ATAQUE
CONCLUSION
No existe un plan nico para todas las organizaciones, esto depende mucho de la
capacidad de la infraestructura fsica como de las funciones que realiza en CPD
(Centro de Procesamiento de Datos) mas conocido como Centro de Cmputo.
BIBLIOGRAFIA