Contingencia Informatica

BASES DE DATOS
Contingencia en
Sistemas Informáticos
MAESTRIA EN SISTEMAS COMPUTACIONALES
Catedrático: Dr. José Ruiz Ayala
Alumno: Ing. Fernando Alfonso Casas De la Torre

¿Qué hace el Administrador de Sistemas?

Contingencia en Sistemas Informáticos
Según la Real Academia de la Lengua, SEGURIDAD es la cualidad de «seguro»,
es decir, libre y exento de todo daño, peligro o riesgo.
En Informática como en tantas facetas de la vida la seguridad es prácticamente
imposible de conseguir por lo que se ha relajado la meta acercándose mas al
concepto de FIABILIDAD; se tiene entonces un sistema como seguro cuando
aquel que se comporta como se espera de él.
La figura del Administrador de Sistemas (SysAdmin)
cobra aquí importancia relevante ya que pos su
conocimiento y capacidad es el custodio de los
sistemas de información y la infraestructura
tecnológica que la respalda por lo que debe de tomar
medidas y tener mecanismos para que todo funcione
de manera segura y estar preparado ante imprevistos.

Contingencia suele referirse a algo que es probable que ocurra, aunque no se
tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o
aquello que puede, o no, concretarse, un acontecimiento cuya realización no está
prevista. Una contingencia, en este sentido, puede ser espontánea o estar
provocada.
Lo habitual es que, cuando una persona o entidad se enfrenta a una
contingencia, tenga que modificar su comportamiento previsto o desarrollar una
acción específica, motivada por la irrupción de la contingencia en cuestión pero
una vez que ocurre no hay mas remedio que enfrentar su ocurrencia.
CONTINGENCIA
«Todo lo que es contingente es posible,
pero no todo lo que es posible es contingente,
pues aquello que es necesario también es posible,
..pero no es contingente.
Por otra parte, no todo lo que no es necesario es contingente,
pues lo que es imposible no es ni necesario ni contingente.»

AMENAZAS DE SEGURIDAD
Se entiende por AMENAZA una condición del entorno del sistema
de información (persona, maquina, etc.) que dada una
oportunidad podría dar lugar a que se genere una VIOLACION
DE SEGURIDAD.
Las Violaciones de Seguridad son contrapartes a la certificación de un sistema
seguro y se clasifican en…
•Confidencialidad
•Integridad
•Disponibilidad
•Uso Legitimo
La POLÍTICA DE SEGURIDAD y el ANALISIS DE RIESGOS habrán
identificado las amenazas que deberán de ser contrarrestadas dependiendo del
diseño del sistema de seguridad especificando los servicios y mecanismos de
seguridad necesarios para prevenir eventos o enfrentar contingencias.

De los sistemas informáticos, ya sean operativos , bases de datos, servicios o
aplicaciones se dice que son seguros si cumplen las siguientes características:
CONFIDENCIALIDAD: Requiere que la información sea accesible únicamente
por las entidades autorizadas
INTEGRIDAD: Requiere que la información solo pueda ser modificada por la
entidades autorizadas. La modificación incluye escritura, cambio, borrado,
creación y reactivación de la información trasmitida.
NO REPUDIO: Ofrece protección a un usuario frente a otro usuario que niegue
posteriormente que realzo cierta operación. Esta protección se efectúa por medio
de una colección de evidencias irrefutables que permitirán la resolución de
cualquier controversia.
DISPONIBILIDAD: Requiere que los recursos del sistema
informático , ya sean operativos , bases de datos, servicios
o aplicaciones estén disponibles a las entidades
autorizadas cuando los necesiten.

ANALISIS DE RIESGOS INFORMATICOS
El análisis de riesgos informáticos es un proceso que comprende la identificación
de activos informáticos, sus vulnerabilidades y amenazas a los que se
encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las
mismas, a fin de determinar los controles adecuados para aceptar, disminuir,
transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría
daños o pérdidas financieras o administrativas a una
empresa u organización, se tiene la necesidad de poder
estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicación de controles.
Dichos controles, para que sean efectivos, deben ser
implementados en conjunto formando una arquitectura de
seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos
objetos de riesgo.

¿QUE ES UN
RIESGO INFORMÁTICO?
Es la incertidumbre existente
por la posible realización de
un suceso relacionado con la
amenaza de daño respecto a
los bienes o servicios
informáticos, como:
Equipos informáticos y de
comunicación, software,
datos, Instalaciones
Programas de computo, etc.

TIPOS DE RIESGOS
INFORMÁTICOS
De Integridad: asociados con la
autorización, completitud y exactitud de la
entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organización.
De Relación: al uso oportuno de la
información creada por una aplicación.
De Acceso: inapropiado acceso a sistemas,
datos e información. Asociados a la
integridad y confidencialidad de la
información.
De infraestructura: cuando no existe una
estructura de información tecnológica
efectiva (hardware, software, redes,
personas y procesos) para soportar las
necesidades futuras y presentes de los
negocios con un costo eficiente.
De seguridad general: incendios,
radiaciones, choque eléctrico, etc.

¿Que es un Delito Informático?
Un delito informático o ciberdelito es toda aquella acción anti jurídica y culpable, que se da por vías
informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de
Internet.
Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por
vías informáticas que no pueden considerarse como delito, según la "Teoría del delito", por lo cual se
definen como abusos informáticos (los tipos penales tradicionales resultan en muchos países
inadecuados para encuadrar las nuevas formas delictivas, y parte de la criminalidad informática. La
criminalidad informática consiste en la realización de un tipo de actividades que, reuniendo los
requisitos que delimitan el concepto de delito, sean llevados a cabo utilizando un elemento informático
ALGUNOS DELITOS INFORMÁTICOS
• Publicación o uso de claves confidenciales
• Estafas a través de subastas en línea
• Divulgación indebida de contenidos
• Pornografía infantil en internet
• Violación a los derechos de autor
• Piratería en internet

POLÍTICAS DE SEGURIDAD
DEFINICIÓN DE POLÍTICA: La política de seguridad es un conjunto de leyes, reglas y
prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización
para llevar a cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten
definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños”
y permiten adoptar una buena actitud dentro de la organización.
La OCDE considera que los elementos básicos de las políticas para cualquier empresa u
organización de sus estados miembros son:
•CONCIENTIZACIÓN
•POSTURA
•BENEFICIOS
•PROCESO DEL DISEÑO DE POLÍTICAS

CRITERIOS APLICABLES A SEGURIDAD FÍSICA Y AL PERSONAL
Las áreas catalogadas como seguras, a las que sólo deberá tener acceso el personal
autorizado, son:
•Centro de Datos.
•Área de Administración de Servidores y Área de Monitoreo.
•Área de Equipos de Red (Cuartos de comunicaciones).
•Área de Archivos Electrónicos y Respaldos de Información.
•Área de Servicios Eléctricos (Planta de emergencia y circuitos eléctricos relacionados).
Toda persona de la empresa que detecte alguna anomalía, deberá reportar
inmediatamente, cualquier evento que pueda tener un impacto sobre la seguridad de la
información.
Los accesos a las áreas en las que se tengan equipos de redes y
equipos eléctricos que estén relacionados directa o
indirectamente con los equipos de procesamiento de información
(Cuartos de comunicaciones), deben estar protegidos mediante
controles (perímetro seguro, gabinetes, cerraduras) que delimiten
el acceso a personal no autorizado

RESTRICCIONES FISICAS
Se debe aclarar como política de la organización o de la empresa que queda estrictamente prohibido:
•Introducir al área líquidos solventes, aerosoles, gases embotellados o cualquier tipo de estupefaciente.
•Introducir cualquier tipo de armas o explosivos.
•Introducir alimentos, bebidas, fumar y tirar basura.
•Introducir cualquier equipo ajeno para el desarrollo de sus actividades, así como equipo de carácter
personal como radios, televisiones, computadoras personales, tabletas electrónicas o cámaras
fotográficas.
•Ingresar al área con bultos, mochilas y/o portafolios.
•Ingresar al resto de las áreas restringidas del centro de cómputo.
•Utilizar la clave asignada para acceder al Centro de Cómputo para ingresar con personal interno o
externo sin previa autorización; ya que la clave es personal e intransferible.
•Conectarse a equipos no autorizados.
•Modificar los parámetros de configuración de hardware y software instalado, sin haber llenado la
bitácora de control de cambios.
•Mover el equipo de Cómputo de su ubicación física (Gabinete, Rack), desconectar o cambiar los cables
de conexión de red o de suministro de corriente; así como mover el mobiliario de su lugar.
•Utilizar cualquier tipo de juego.
•Utilizar la infraestructura para realizar ataques internos o externos y virus o realizar trabajos con fines de
lucro.
•Acceder a información que pueda dañar la imagen del instituto, faltas a la moral y a las buenas
costumbres.

CONTROLES DE CONFIDENCIALIDAD
• Los proveedores y terceros que manejen o conozcan información reservada o confidencial, deben firmar
acuerdos de confidencialidad con la empresa, que permitan asegurar la confidencialidad, integridad y
disponibilidad de la información.
• El personal que labora en la empresa deberá cumplir con cada uno de los criterios y controles de
seguridad vigentes, que correspondan al acceso físico y a los accesos a equipos que tenga bajo su
resguardo.
• Los terceros en todo momento, deben apegarse a los controles de seguridad de la información de la
empresa.
• Se deberá contar con controles lógicos y físicos para restringir y limitar el acceso a la información
sensible de la organización por parte de terceros
• Se debe contar con acuerdos de confidencialidad firmados por los terceros que permitan asegurar la
información del Instituto durante la relación laboral.
• Los acuerdos de confidencialidad deberán generarse tanto a nivel
empresa como de forma individual (cada persona que asigne el
proveedor a la empresa para prestar servicios).
• Dentro del contrato se debe asegurar que los terceros involucrados en
el proceso de servicio, son conscientes y aceptan sus responsabilidades;
además de que aceptan cumplir con lo establecido en los controles de
seguridad de la información.

CRITERIOS APLICABLES A CONTROL DE ACCESO
Se debe de promover el uso de métodos robustos de autenticación y control de acceso a sistemas de
información, servicios o redes del Instituto con el fin de asegurar que los usuarios internos, externos o
terceros con acceso a los servicios de información no comprometan la seguridad de los mismos. Esto
debe ser aplicable a todos los usuarios desde los mandos directivos hasta e personal operativo y
usuarios eventuales del sistema.
•Los esquemas de autenticación para el acceso a los sistemas de información, servicios o red deben ser
establecidos de acuerdo al nivel de criticidad de los mismos
•El acceso a los sistemas de información, servicios o red debe ser por medio de esquemas de
autenticación, basados en técnicas de cifrado, tokens de seguridad, firmas electrónicas o protocolos
especiales, controlados y asignados las autoridades correspondientes en el ámbito de sus funciones
•Se debe hacer patente que se podrá hacer revisiones de cumplimiento sin previa autorización para
validar la correcta aplicación del presente control
• Los usuarios deben ser autenticados con base en información que
conozcan, dispositivos que posean o características biométricas, como:
• Contraseña o pin, entre otros, por información conocida.
• Certificado, firma electrónica o token, entre otros, por dispositivos
que posean.
• Huella digital o voz, entre otros, por características biométricas.
• La autenticación debe ser de uno o dos factores (el usuario proporciona
una o dos pruebas de identidad respectivamente), de acuerdo al sistema
de información, servicio, dispositivo o área a la que se acceda.

RESPALDOS
Toda la información clasificada como reservada y confidencial en los sistemas de la empresa, debe
respaldarse periódicamente con base en su criticidad y cumpliendo con lineamientos generales para la
organización y conservación de los archivos.
• Los equipos de procesamiento de información de la empresa u organización deben contar con los
medios de almacenamiento necesarios para asegurar la disponibilidad de la información contenida en
éstos, aún en situaciones adversas.
• Los respaldos deben llevarse a cabo fuera de los horarios de operación.
• Los responsables del área de respaldos deberán planificar y gestionar con las áreas usuarias los
respaldos, la frecuencia (diaria, semanal o mensual. anual), tamaño y tipo de respaldo a realizar.
• Los responsables del área de respaldos en conjunto con el área dueña de la información (área de
negocio) deben definir los lapsos de tiempo de retención y/o resguardo de la información, bajo los
lineamientos definidos por las áreas de respaldo de acuerdo con los límites de capacidad de la misma.
•Se deberá generar una bitácora por parte del área responsable del
almacenamiento de respaldos donde se incluya número identificador del
respaldo, sistema informático relacionado con la información, fecha,
hora, tipo de respaldo, responsable de ejecución.
• Por razones de auditoria y control se podrá hacer revisiones de
cumplimiento sin previa autorización para validar la correcta aplicación
del presente control.

PLAN DE CONTINGENCIA
Es una guía para la restauración rápida y organizada de las operaciones de cómputo después de una
suspensión. Específica quién hace qué y cómo. Los objetivos de dicho plan son los de restablecer, lo
más pronto posible, el procesamiento de aplicaciones críticas (aquellas necesarias para la recuperación)
para posteriormente restaurar totalmente el procesamiento “normal”.
Un plan de contingencias no duplica un entorno comercial normal (en forma inmediata), pero sí
minimiza la pérdida potencial de activos y mantiene a la empresa operando, al tomar acciones decisivas
basadas en la planeación anticipada. Dicho de otra manera, un plan de contingencias es un programa de
recuperación de la organización, cabe aclarar que el plan de contingencias no sólo es un problema del
área de sistemas, sino de toda la organización.
Un plan de contingencia es un plan escrito en el
que se detallan acciones, procedimientos y recursos
que deben usarse durante un desastre que cause
destrucción parcial o total de los servicios de
computación.
En este plan se define qué tareas son críticas, quién
es el responsable de todos los aspectos del proceso
de recuperación, y cómo va a funcionar la
organización mientras los sistemas están siendo
reparados o transportados a un nuevo local.

PLAN DE CONTINGENCIA
Un plan de contingencia o también llamado PLAN DE RECUPERACIÓN DE DESASTRES,
permite controlar la situación y realizar las actividades necesarias sin afectar a la
información y para ello se debe de tomar en cuenta lo siguiente:
• Disminuirá los efectos de esos desafortunados desastres y permitirá una respuesta
rápida, una transferencia del procesamiento crítico a otras instalaciones, y una eventual
recuperación.
• Proporcionará a los directivos de una empresa una excelente oportunidad para aliviar o
minimizar problemas potenciales que, en un momento dado, podrían interrumpir el
procesamiento de datos.
• Deberán tener sentido, ser legibles e indicar todos los aspectos de la función de la
cuestión.
• El nivel de detalle para el plan de contingencia, para respaldar la información y para los
procedimientos de recuperación, dependerá de la importancia de la aplicación y del tipo
de información.
• Se desarrollará un plan de contingencia propio para cada empresa y así cubrirá sus
necesidades específicas.

PLAN DE CONTINGENCIA Y PLAN DE EMERGENCIA
Dentro de un sistema de gestión en seguridad en una empresa es imprescindible contar con un plan o
procedimiento que nos permita actuar ante diversas situaciones de peligro inesperadas, que podrían
producirse durante el desarrollo de las actividades de la organización. Es así que tenemos a las
herramientas denominadas PLANES DE EMERGENCIA Y CONTINGENCIA, que muchas veces se
suelen confundir, habiendo diferencias entre ambos.
En el PLAN DE CONTINGENCIA determina los procedimientos operacionales específicos a realizar
cuando una emergencia en particular (incendio, sismo, derrames, etc.) se manifieste.
En el PLAN DE EMERGENCIA se establece el marco general de la planificación de cómo afrontar una
situación de emergencia por parte de toda la empresa o institución, en este plan encontramos extensa
información como políticas, responsabilidades, recursos, organización, revisión, sistemas de
comunicación etc.
Eso sí, la relación entre un plan de contingencia y un plan de
emergencia, es relación parte-todo, es decir el plan de contingencia es
parte del plan de emergencia
Por otro lado, también existen varios reglamentos que exigen
implementarlas, lo que contribuye a la confusión, debido a que cada
reglamento trata al uno y al otro según los criterios empleados para su
elaboración.

PLAN DE CONTINGENCIA Y PLAN DE EMERGENCIA
En el cuadro siguiente podemos encontrar las características más distintivas de cada plan.
PLAN DE EMERGENCIA PLAN DE CONTINGENCIA
•Es general.
•El alcance abarca a toda la organización.
•Establece las condiciones de riesgo de la
organización.
•Define responsabilidades de dirección en la
organización y las estrategias a emplear.
•Es el marco en el que se establece el Plan
de Contingencia.
•Resalta en las estrategias y políticas de la
organización en el marco de la prevención y
seguridad.
• Es específico.
•El alcance está definido por la zona de
influencia del peligro.
•Determina los procedimientos específicos
para la respuesta ante un evento en particular
en las zonas de riesgo identificadas.
•Establece las acciones y responsables de
acción para cada emergencia.
•Se emplean cuando la situación de riesgo lo
requiere.
•Destaca por su contenido particular.

ELEMENTOS y PROCEDIMIENTOS
DE LOS PLANES DE CONTINGENCIA
El plan de contingencia, es un plan de emergencia y recuperación porque incorpora
seguridad física al centro de cómputo, es decir, es un plan formal que describe los pasos a
seguir en el caso de presentarse alguna situación de emergencia, con la finalidad de reducir
el impacto que pueda provocar el desastre, y posteriormente restablecer las operaciones
del procesamiento electrónico de datos en forma tan inmediata como sea posible.
Por lo tanto, el diseño e implementación de un plan de esta naturaleza debe contemplar:
• Los riesgos y los porcentajes de factibilidad de éstos, a los que está expuesta la
organización.
• La asignación de responsabilidades al personal, tanto en las actividades que se realizarán
durante la emergencia como en las de preparación y las de recuperación.
• La identificación de aplicaciones (sistemas automatizados) de mayor importancia dentro
de la producción de datos, para darles la seguridad necesaria.
• La especificación de alternativas de respaldo.
• La definición de procedimientos y políticas a seguir durante el momento de la crisis.
• La definición de medidas y el tiempo previsto para la recuperación.
• La integración de prácticas de mantenimiento, entrenamiento en el plan y pruebas del
mismo

¿QUIÉN DEBE ESCRIBIR EL PLAN DE CONTINGENCIA?
Una vez que se ha tomado la decisión de hacer un plan de contingencia, el Director de
Sistemas junto con el cuerpo directivo de la empresa determinarán que es lo que más le
interesa a la organización y así tomar la decisión si se contrata a un consultor externo para
hacerlo o desarrollarlo “en casa”. Ambas opciones tienen “pros” y “contras”.
A primera vista, contratar a un consultor externo con muchos años de experiencia en el
desarrollo de este tipo de proyectos puede parecer la mejor opción. Algunas de las ventajas
son:
1. El desarrollo de un plan de contingencia están complicado como el diseño de cualquier
sistema importante, debido a que en ambos se debe de seguir una serie de pasos
ordenadamente para obtener un buen resultado. Por esto requiere de una persona (o
un equipo) dedicado exclusivamente al desarrollo de este proyecto.
2. Los consultores poseen conocimientos especializados que pueden facilitar el desarrollo
más rápido de un buen plan. Un consultor con experiencia sabe cómo se hace un plan
de contingencias, además sabe quién es quién dentro de la industria de la seguridad de
la información.

METODOLOGÍAS DE DESARROLLO DE PLANES DE CONTINGENCIA
A continuación se describen metodologías de desarrollo de Planes de Contingencia para
Sistemas de Información (Rodríguez, 1995): la de William Toigo, la de Hewlett-Packard y
una “Universal” llamada así por sus características.
• Metodología de William Toigo
• Metodología de Hewlett-Packard
• Metodología “Universal”
• Metodología para el Desarrollo de Planes de Atención de Emergencias

PLANES DE ATENCIÓN DE EMERGENCIAS
El desarrollo de los planes de atención de emergencia constituye una parte esencial de
cualquier programa de control de desastres en un sistema, ya que proporciona una
herramienta de apoyo a la toma de decisiones para atender las emergencias, en
conjugación con los planes de otros sistemas externos.
Los planes de atención de emergencia tienen que contemplar una serie de actividades
previstas a realizarse para resolver las diversas situaciones de emergencia que se
presentan en un sistema como resultado de los impactos de una calamidad. A continuación
se presenta la concreción y adaptación de planeación para la atención de emergencias.
Se distinguen cuatro etapas:
1) Diagnóstico: plantea los problemas actuales y futuros.
2) Prescripción: busca y selecciona una de las soluciones.
3) Instrumentación: transforma la solución en actividades o programas que garantizan
su logro.
4) Control: pone en práctica los programas y evalúa sus resultados, a fin de realizar
ajustes y adaptaciones que mejoren la ejecución de las acciones.

BIBLIOGRAFÍA:
Administración de Sistemas Operativos, un enfoque practico
Juio Gómez López. Ed. Alfaomega, 2da Edición (2011).
Esquemas de Seguridad Informática
Facultad de Informática y Sistemas Computacionales
Universidad Autónoma de México (2015).
Wikipedia
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico
Blog Prevención y Seguridad
https://prevencionyseguridad.wordpress.com/2014/04/11/entre-el-plan-de-emergencia-y-el-plan-de-contingencia/ (2015)
Tesina: Seguridad Informática en la Empresa
Autor:Samuel Marinao, Preparado por Hernán Moraga Müller (E-Consulting Ltda. 2014)
http://www.monografias.com/trabajos90/seguridad-informatica-empresa/seguridad-informatica-empresa.shtml

¡ GRACIAS POR SU ATENCION !
MAESTRIA EN SISTEMAS COMPUTACIONALES
Expuso:
Ing. Fernando Alfonso Casas De la Torre
Matricula: 1713019
fernando_casas69@hotmail.com

Contingencia Informatica

Más contenido relacionado

La actualidad más candente

Similar a Contingencia Informatica

Más de Fernando Alfonso Casas De la Torre

Contingencia Informatica