PLAN DE CONTINGENCIAS

I. Esquema General El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden estar expuestos nuestros equipos de cmputo y la informacin contenida en los diversos medios de almacenamiento, por lo que en este Manual haremos un anlisis de los riesgos, cmo reducir su posibilidad de ocurrencia y los procedimientos a seguir en caso que se presentara el problema. Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres, el cual tendr como objetivo, restaurar el Servicio de Cmputo en forma rpida, eficiente y con el menor costo y prdidas posibles. Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de Contingencias lo ms completo posible. Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro local, el cual nos ha dejado sin equipos de cmputo y sin los archivos magnticos (programas y datos) contenidos en dichos equipos y en las oficinas del local. Hay dos mbitos que vamos a analizar. El primero abarca las actividades que se deben realizar y los grupos de trabajo o responsables de operarlas. El segundo, el control, esto es, las pruebas y verificaciones peridicas de que el Plan de Contingencias est operativo y actualizado. Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos: 1.- Plan de Reduccin de Riesgos (Plan de Seguridad). Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una lista de todos los riesgos conocidos, para lo cual se deber realizar un anlisis de riesgos. 1.1 PLAN DE RIESGOS (PLAN DE SEGURIDAD) El anlisis de riesgos supone mas que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se ha de poder obtener una evaluacin econmica del impacto de estos sucesos negativos. Este valor se podr utilizar para contrastar el costo de la proteccin de la Informacin en anlisis, versus el costo de volverla a producir (reproducir). La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin estimar el coste que supondra. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado. El anlisis de riesgos supone responder a preguntas del tipo : l Qu puede ir mal?

l Con qu frecuencia puede ocurrir? l Cules seran sus consecuencias? l Qu fiabilidad tienen las respuestas a las tres primeras preguntas? En lo fundamental la evaluacin de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas: l Qu se intenta proteger? l Cul es su valor para uno o para la organizacin? l Frente a qu se intenta proteger? l Cul es la probabilidad de un ataque? A continuacin se muestra un ejemplo de cmo se realiza una evaluacin de riesgos. El o los responsables de la oficina de informtica se sentarn con los responsables de las reas usuarias y realizarn el siguiente conjunto de puntualizaciones: A qu riesgos en la seguridad informtica se enfrenta la Institucin? l Al fuego, que puede destruir los equipos y archivos. l Al robo comn, llevndose los equipos y archivos. l Al vandalismo, que daen los equipos y archivos. l A fallas en los equipos, que daen los archivos. l A equivocaciones, que daen los archivos. l A la accin de virus, que daen los equipos y archivos. l A terremotos, que destruyen el equipo y los archivos. l A accesos no autorizados, filtrndose datos no autorizados. l Al robo de datos, difundindose los datos sin cobrarlos. l Al fraude, desviando fondos merced a la computadora. Esta lista de riesgos que se puede enfrentar en la seguridad, es bastante corta. La Institucin deber profundizar en el tema para poder tomar todas las medidas del caso. Luego de elaborar esta lista, el personal de la Institucin estar listo para responder a los efectos que estos riesgos tendrn para su Institucin.

Qu probabilidad hay de que tenga efecto alguno de los riesgos mencionados? l Al fuego, que puede destruir los equipos y los archivos l La Institucin cuenta con proteccin contra incendios? l Se cuenta con sistemas de aspersin automtica? l Diversos extintores? l Detectores de humo? l Los empleados estn preparados para enfrentar un posible incendio.?

l A un robo comn, llevndose los equipos y archivos l En que tipo de vecindario se encuentra la Institucin? l Hay venta de drogas? l Las computadoras se ven desde la calle? l Hay personal de seguridad en la Institucin? l Cuntos vigilantes hay? l Los vigilantes, estn ubicados en zonas estratgicas? l Al vandalismo, que daen los equipos y archivos l Existe la posibilidad que un ladrn desilusionado o frustrado cause daos? l Hay la probabilidad que causen algn otro tipo de dao intencionado? l A fallas en los equipos, que daen los archivos l Los equipos tienen un mantenimiento continuo por parte de personal calificado? l Cules son las condiciones actuales del hardware? l Es posible predecir las fallas a que estn expuestos los equipos? l A equivocaciones que daen los archivos l Cunto saben los empleados de computadoras o redes? l Los que no conocen del manejo de la computadora, saben a quin pedir ayuda?

l Durante el tiempo de vacaciones de los empleados, qu tipo de personal los sustituye y qu tanto saben del manejo de computadoras? l A la accin de virus, que daen los archivos l Se prueba software en la oficina sin hacerle un examen previo? l Est permitido el uso de disquetes en la oficina? l Todas las mquinas tienen unidades de disquetes? l Se cuentan con procedimientos contra los virus? l A terremotos, que destruyen los equipos y archivos l La Institucin se encuentra en una zona ssmica? l El edificio cumple con las normas antissmicas? l Un terremoto, cunto dao podra causar? l A accesos no autorizados, filtrndose datos importantes l Cunta competencia hay para la Institucin? l Qu probabilidad hay que un competidor intente hacer un acceso no autorizado? l El modem se usa para llamar fuera y tambin se puede utilizar para comunicarse hacia dentro? l Contamos con Sistemas de Seguridad en el Correo Electrnico o Internet? l Al robo de datos; difundindose los datos. l Cunto valor tienen actualmente las Bases de Datos? l Cunta prdida podra causar en caso de que se hicieran pblicas? l Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el robo? l La lista de sospechosos, es amplia o corta? l Al fraude, desviando fondos merced a la computadora. l Cuntas personas se ocupan de la contabilidad de la Institucin? l El sistema de contabilidad es confiable? l Las personas que trabajan en el departamento de contabilidad, qu tipo de antecedentes laborales tienen?

l Existe acceso al Sistema Contable desde otros Sistemas o Personas? Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como ejemplo se mencionan algunos factores de riesgo: l Factor de riesgo bajo l Factor de riesgo muy bajo l Factor de riesgo alto l Factor de riesgo muy alto l Factor de riesgo medio Luego se efectuar un resumen de los riesgos ordenados por el factor de riesgo de cada uno. Ejemplo:

2.- Plan de Recuperacin de Desastres. Es importante definir los procedimientos y planes de accin para el caso de una posible falla, siniestro o desastre en el rea Informtica, considerando como tal todas las reas de los usuarios que procesan informacin por medio de la computadora. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso perdido. La elaboracin de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos debern ser de ejecucin obligatoria y bajo la responsabilidad de los encargados de la realizacin de los mismos, debiendo haber procesos de verificacin de su cumplimiento. En estos procedimientos estar involucrado todo el personal de la Institucin. Los procedimientos de planes de recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. Las actividades a realizar en un Plan de Recuperacin de Desastres se pueden clasificar en tres etapas : 2.1.- Actividades Previas al Desastre. 2.1.1.- Establecimiento del Plan de Accin. 2.1.2.- Formacin de Equipos Operativos. 2.1.3.- Formacin de Equipos de Evaluacin (auditora de cumplimiento de procedimientos de Seguridad). 2.1 Actividades Previas al Desastre

Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin con el menor costo posible a nuestra Institucin. Podemos detallar las siguientes Actividades Generales : 2.1.1 Establecimiento del Plan de Accin. 2.1.2 Formacin de Equipos Operativos. 2.1.3 Formacin de Equipos de Evaluacin (auditora de cumplimiento de los procedimientos sobre Seguridad). 2.1.1 Establecimiento de Plan de Accin En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: a) Sistemas e Informacin. b) Equipos de Cmputo. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). d) Polticas (Normas y Procedimientos de Backups). a) Sistemas e Informacin. La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los realizados por el centro de cmputo como los hechos por las reas usuarias. Debiendo identificar toda informacin sistematizada o no, que sea necesaria para la buena marcha Institucional. La relacin de Sistemas de Informacin deber detallar los siguientes datos : l Nombre del Sistema. l Lenguaje o Paquete con el que fu creado el Sistema. Programas que lo conforman (tanto programas fuentes como programas objetos, rutinas, macros, etc.). l La Direccin (Gerencia, Departamento, etc) que genera la informacin base (el dueo del Sistema). l Las unidades o departamentos (internos/externos) que usan la informacin del Sistema. l El volumen de los archivos que trabaja el Sistema. l El volumen de transacciones diarias, semanales y mensuales que maneja el sistema. l El equipamiento necesario para un manejo ptimo del Sistema. l La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia.

l El nivel de importancia estratgica que tiene la informacin de este Sistema para la Institucin (medido en horas o das que la Institucin puede funcionar adecuadamente, sin disponer de la informacin del Sistema). Equipamiento mnimo necesario para que el Sistema pueda seguir funcionando (considerar su utilizacin en tres turnos de trabajo, para que el equipamiento sea el mnimo posible). l Actividades a realizar para volver a contar con el Sistema de Informacin (actividades de Restore). Con toda esta informacin se deber de realizar una lista priorizada (un ranking) de los Sistemas de Informacin necesarios para que la Institucin pueda recuperar su operatividad perdida en el desastre (contingencia). b) Equipos de Cmputo. Aparte de las Normas de Seguridad que se vern en los captulos siguientes, hay que tener en cuenta : Inventario actualizado de los equipos de manejo de informacin (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional. l Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la restitucin del Computador siniestrado se podr hacer por otro de mayor potencia (por actualizacin tecnolgica), siempre y cuando est dentro de los montos asegurados. l Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuacin. Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin importante o estratgica y color verde a las PC's de contenidos normales. l Tener siempre actualizada una relacin de PC's requeridas como mnimo para cada Sistema permanente de la Institucin (que por sus funciones constituyen el eje central de los Servicios Informticos de la Institucin), las funciones que realizara y su posible uso en dos o tres turnos de trabajo, para cubrir las funciones bsicas y prioritarias de cada uno de estos Sistemas. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). Se deber establecer los procedimientos para la obtencin de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con : 1) Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contar con una copia de cada uno de ellos). 2) Backups del Software Base (Paquetes y/o Lenguajes de Programacin con los cuales han sido desarrollados o interactan nuestros Aplicativos Institucionales). 3) Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que tambin trabaje con la data, para producir los resultados con los cuales trabaja el usuario final). Se debe considerar tambin las copias de los listados fuentes de los programas definitivos, para casos de problemas.

4) Backups de los Datos (Bases de Datos, Indices, tablas de validacin, passwords, y todo archivo necesario para la correcta ejecucin del Software Aplicativo de nuestra Institucin). 5) Backups del Hardware. Se puede implementar bajo dos modalidades : Modalidad Externa. Mediante convenio con otra Institucin que tenga equipos similares o mayores y que brinden la seguridad de poder procesar nuestra Informacin, y ser puestos a nuestra disposicin, al ocurrir una contingencia y mientras se busca una solucin definitiva al siniestro producido. Este tipo de convenios debe tener tanto las consideraciones de equipamiento como de ambientes y facilidades de trabajo que cada institucin se compromete a brindar, y debe de ser actualizado cada vez que se efectuen cambios importantes de sistemas que afecten a cualquiera de las instituciones. Modalidad Interna. Si tenemos ms de un local, en ambos debemos tener sealados los equipos, que por sus caractersticas tcnicas y capacidades, son susceptibles de ser usados como equipos de emergencia del otro local, debindose poner por escrito (igual que en el caso externo), todas las actividades a realizar y los compromisos asumidos. En ambos casos se deber probar y asegurar que los procesos de restauracin de Informacin posibiliten el funcionamiento adecuado de los Sistemas. En algunos casos puede ser necesario volver a recompilar nuestro software aplicativo bajo plataformas diferentes a la original, por lo que es imprescindible contar con los programas fuentes, al mismo grado de actualizacin que los programas objeto. d) Polticas (Normas y Procedimientos de Backups) Se debe establecer los procedimientos, normas, y determinacin de responsabilidades en la obtencin de los Backups mencionados anteriormente en el punto c, debindose incluir: l Periodicidad de cada Tipo de Backup. l Respaldo de Informacin de movimiento entre los perodos que no se sacan Backups (backups incrementales). l Uso obligatorio de un formulario estndar para el registro y control de los Backups (se incluye un formato tipo en el anexo IV.) Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la buena marcha de la empresa (mencionado en el punto a), y los backups efectuados. l Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo del medio magntico empleado. l Reemplazo de los Backups, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar (reciclaje o refresco). l Almacenamiento de los Backups en locales diferentes donde reside la informacin primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado). l Pruebas peridicas de los Backups (Restore), verificando su funcionalidad, a travs de los sistemas, comparando contra resultados anteriores confiables. 2.1.2 Formacin de Equipos Operativos

En cada unidad operativa de la Institucin, que almacene informacin y sirva para la operatividad Institucional, se deber designar un responsable de la seguridad de la Informacin de su unidad. Pudiendo ser el jefe de dicha Area Operativa. Sus labores sern: l Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos. l Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones. l Planificar y establecer los requerimientos de los sistemas operativos en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas. l Supervisar procedimientos de respaldo y restauracin. l Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los respaldos incrementales. l Coordinar lneas, terminales, modem, otros aditamentos para comunicaciones. l Establecer procedimientos de seguridad en los sitios de recuperacin. l Organizar la prueba de hardware y software. l Ejecutar trabajos de recuperacin. l Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante. l Realizar procedimientos de control de inventario y seguridad del almacenamiento en el local alternante. l Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin. l Participar en las pruebas y simulacros de desastres. 2.1.3 Formacin de Equipos de Evaluacin (auditora de cumplimiento de los procedimientos sobre Seguridad) Esta funcin debe ser realizada de preferencia por personal de Inspectora, de no ser posible, la realizar el personal del rea de Informtica, debiendo establecerse claramente sus funciones, responsabilidades y objetivos : l Revisar que las Normas y procedimientos con respecto a Backups y seguridad de equipos y data se cumpla. l Supervisar la realizacin peridica de los backups, por parte de los equipos operativos, comprobando fsicamente su realizacin, adecuado registro y almacenamiento. l Revisar la correlacin entre la relacin de Sistemas e Informaciones necesarios para la buena marcha de la Institucin (detallados en a), y los backups realizados.

l Informar de los cumplimientos e incumplimientos de las Normas, para las acciones de correccin respectivas.

2.2.- Actividades durante el Desastre. Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes actividades, planificadas previamente: 2.2.1.- Plan de Emergencias. 2.2.2.- Formacin de Equipos. 2.2.3.- Entrenamiento. 2.2.1 Plan de Emergencias En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, as como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del Siniestro : l Durante el da. l Durante la Noche o madrugada. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo detallar : l Vas de salida o escape. l Plan de Evacuacin del Personal. l Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan) l Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.) l Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos. 2.2.2 Formacin de Equipos Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber de existir dos equipos de personas

que actuen directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informticos, de acuerdo a los lineamientos o clasificacin de prioridades, para salvar los equipos sealados en el acpite 1.2.1.1. 2.2.3 Entrenamiento Establecer un programa de prcticas peridicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga a la Seguridad Institucional. 2.3.- Actividades despus del Desastre. Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Accin elaborado en el punto 2.1.1 2.3.1.- Evaluacin de Daos. 2.3.2.- Priorizacin de Actividades del Plan de Accin sealadas en 2.1.1 2.3.3.- Ejecucin de Actividades 2.3.4.- Evaluacin de Resultados. 2.3.5.- Retroalimentacin del Plan de Accin. 2.3.1 Evaluacin de Daos. Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se estan afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc. Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos el convenio de respaldo, para ir avanzando en las labores de preparacin de entrega de los equipos por dicha Institucin. 2.3.2 Priorizacin de actividades del Plan de Accin. Toda vez que el Plan de accin es general y contempla una prdida total, la evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra Institucin. Es importante evaluar la dedicacin del personal a actividades que puedan no haberse afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal de los sistenas afectados y soporte tcnico.

2.3.3 Ejecucin de Actividades. La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de accin (1.2.1.1). Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institucin o local de respaldo. 2.3.4 Evaluacin de Resultados. Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se comportaron los equipos de trabajo, etc. De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro. 2.3.5 Retroalimentacin del Plan de Accin. Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando las actividades que tuvieron algun tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra Institucin el plan de contingencias llevado a cabo.