Allan Rayo, profile picture
Subido porAllan Rayo
4,416 vistas

plan-de-contingencia-sistemas-informaticos

Este documento presenta un plan de contingencia para proteger la información y los sistemas informáticos de una empresa ante posibles riesgos. Se identifican los bienes y sistemas críticos que deben protegerse, así como posibles amenazas como desastres naturales, fallas de hardware o software, acceso no autorizado y fallas de personal. El plan describe actividades como realizar un análisis de riesgos, medidas preventivas, planes de respaldo y recuperación para garantizar la continuidad de las operaciones ante una contingencia. El objetivo final es estable

Incrustar presentación

Descargado 115 veces
UNIVERSIDAD TECNOLÓGICA DEL VALLE DE TOLUCA. DIVISIÓN DE MANTENIMIENTO INDUSTRIAL INGENIERÍA EN MANTENIMIENTO INDUSTRIAL PROTOCOLOS DE OPERACIÓN Y MANTENIMIENTO. ELABORACIÓN DE UN PLAN DE CONTINGENCIA BASADO EN UN ANÁLISIS DE RIESGO. Alumno: TSU. Teckelino. Grupo: IMI - 73. Noviembre de 2010.
Introducción. Ante el incremento de la cultura informática en todos los ámbitos derivada del creciente empleo de la Tecnología de la Información, surge la necesidad y responsabilidad de la protección de la misma, de sus medios de almacenamiento y de su ambiente de operación. La información que se maneja en una empresa, por considerarse como materia prima para la propia gestión y toma de decisiones, es considerada como un activo importante y como tal, debe ser sujeta de custodia y protección para asegurar su integridad, confidencialidad y disponibilidad. La cantidad de datos guardados en los medios y equipos de almacenamiento se acrecienta día con día y su integridad va relacionada con su pérdida o destrucción intencional o no intencional. Es por ello, que los usuarios o personal directa o indirectamente relacionados con el uso y operación de bienes informáticos deben propiciar la adopción de medidas de seguridad para proteger su información. Este documento pretende ser una guía, según los estándares de planes de contingencia informático, para que cada Gerente de Departamento de cualquier empresa defina y documente un Informe de Trabajo derivados de la definición del Plan de Contingencia Informático. El alcance de este plan guarda relación con la infraestructura informática, así como los procedimientos relevantes de cada Departamento asociados con esta infraestructura. Se entiende como infraestructura informática al hardware, software y elementos complementarios que soportan la información o datos críticos para la correcta función y operación de la empresa. Se entiende también como procedimientos relevantes a la infraestructura informática, a todas aquellas tareas que el personal realiza frecuentemente cuando interactúa con los sistemas informáticos (entrada de datos, generación de reportes, consultas, etc.). Un Plan de Contingencia debe considerar una "Planificación de la Contingencia" así como un conjunto de "Actividades" que buscan definir y cumplir metas que permitan a cada Departamento de la empresa controlar el riesgo asociado a una contingencia. Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas orientadas a reducir dichos riesgos. Naturalmente, en la generación del Plan de Trabajo de cada Departamento es recomendable trabajar con reportes clave a fin de que las recomendaciones cuenten con una base operativa sólida. Es de esperarse que la administración de la empresa ya haya definido el Plan de Trabajo de Administración para el Plan de Contingencia de Sistemas Informáticos, en donde TODOS somos miembros importantes del Comité de Recuperación frente a desastres. Este comité se activará frente a una Contingencia, según la convocación del Director General y del Gerente de Administración y Finanzas de la empresa.
Objetivos.  Establecer mecanismos y procedimientos para proporcionar confidencialidad, integridad y disponibilidad de la información.  Estimular la creación de una cultura de seguridad en Informática, así como fomentar la ética entre el personal de la empresa.  Definir los requerimientos mínimos de seguridad en cada área, dependiendo del tipo de información que se procese: confidencial, restringida, de uso interno, general o público, estableciendo los procedimientos para identificación y uso de cada categoría de información.  Promover el establecimiento de procedimientos alternos en previsión a contingencias de cualquier naturaleza que garanticen en la medida de lo posible, la continuidad del procesamiento de la información y la prestación de servicios, mismos que al incorporarse al presente documento lo irán enriqueciendo y de esta manera se logrará contar cada vez con una mejor herramienta que apoye a superar las contingencias que se presenten. Planificación de la contingencia. El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y lógica en previsión de desastres. Se define la Seguridad de Datos Informáticos como un conjunto de medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. Se ha considerado que para la empresa, la seguridad es un elemento básico para garantizar su supervivencia y entregar el mejor servicio a sus clientes, y por lo tanto, considera a la Información como uno de los activos más importantes de la Organización, lo cual hace que la protección de esta, sea el fundamento más importante de este Plan de Contingencia. En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperación para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de los procedimientos de seguridad de la Información que cada Departamento de la empresa debe definir. Actividades asociadas. Las actividades consideradas en este documento son:  Análisis de Riesgos.  Medidas Preventivas.  Previsión de Desastres Naturales.  Plan de Respaldo.  Plan de Recuperación.
Análisis de Riesgos. Para realizar un análisis de los riesgos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría como se ha visto a lo largo de las exposiciones de esta materia de Protocolos de Operación y Mantenimiento. Bienes susceptibles de daño. Se puede identificar los siguientes bienes afectos a riesgos: a) Personal. b) Hardware. c) Software y utilitarios. d) Datos e información. e) Documentación. f) Suministro de energía eléctrica. g) Suministro de telecomunicaciones. Daños. Los posibles daños pueden referirse a: 1) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. 2) Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, por ejemplo, cambios de claves o códigos de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado. 3) Divulgación de información a instancias fuera de la empresa y que afecte su patrimonio estratégico comercial y/o Institucional, sea mediante robo o infidencia.
Prioridades. La estimación de los daños en los bienes y su impacto, fija una prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se pierden en la contingencia. Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre. Fuentes de daños. (Ver Figura 2 en anexos) Las posibles fuentes de daño que pueden causar una operación anormal de la empresa, asociadas al Departamento o Área de Sistemas Informáticos de la misma son: Acceso no autorizado. Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las instalaciones). Violación de las claves de acceso a los sistemas informáticos.  Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas informáticos en uso (virus, sabotaje, hackers).  Intromisión no autorizada a procesos y/o datos de los sistemas, ya sea por simple curiosidad o malas intenciones. Desastres naturales. a) Movimientos sísmicos que afecten directa o indirectamente a las instalaciones físicas de soporte (edificios) y/o de operación (equipos de cómputo). b) Inundaciones causadas por falla en los sistemas de drenaje. c) Fallas en los equipos de soporte: 1. Por fallas causadas por la agresividad del ambiente. 2. Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por parte de la empresa. 3. Por fallas de los equipos de acondicionamiento atmosféricos necesarios para una adecuada operación de los equipos computacionales más sensibles. 4. Por fallas de la comunicación. 5. Por fallas en el tendido de la red local. 6. Fallas en las telecomunicaciones con la fuerza de venta. 7. Fallas en las telecomunicaciones con instalaciones externas. 8. Por fallas de la Central Telefónica (Telmex). 9. Por fallas de líneas de fax o de Internet.
Vandalismo. Un intento de vandalismo ya sea menor o mayor, podría afectar a las PC’s, periféricos y servidores así como las comunicaciones. Si el intento de vandalismo es mayor, se presenta un grave riesgo dentro del área de Sistemas Informáticos ya que puede dañar los dispositivos perdiendo toda la información y por consecuencia las actividades se verían afectadas en su totalidad, así como el servicio proporcionado al cliente. A continuación se menciona en forma enunciativa una serie de medidas preventivas:  Establecer vigilancia mediante cámaras de seguridad en el sitio, el cual registre todos los movimientos de entrada del personal.  Instalar identificadores mediante tarjetas de acceso.  Determinar lugares especiales, fuera del centro de datos, para almacenar los medios magnéticos de respaldo y copia de la documentación de referencia y procedimientos de respaldo y recuperación (se puede contratar una caja de seguridad bancaria donde se custodiaran los datos e información crítica).  Contar, ya sea bajo contrato o mediante convenio, con un centro de cómputo alterno de características físicas y equipo de cómputo adecuado para darle continuidad a las operaciones críticas de la empresa, aún en forma limitada de cobertura y de comunicaciones. Medidas preventivas en caso de presentarse un paro total de las operaciones (huelga): a. Determinar lugares especiales, fuera del centro de datos, para almacenar los respaldos y copia de la documentación de referencia. b. El personal clave del Plan de Contingencia Informático, debe de dar la alerta del paro total y sacar los respaldos de información fuera del edificio dentro de un tiempo límite antes de ser declarada la huelga. c. Personal del área de sistemas Informáticos debe prever un sitio alterno para continuar con las operaciones críticas. Asimismo, se tendrá que establecer un tiempo límite de espera de solución de la huelga como por ejemplo 24 horas con el fin de que no afecte el servicio proporcionado a las demás áreas o al cliente, si después de este intervalo la huelga continuara, se determinará el lugar o lugares de reubicación alternos. Fallas de personal clave. Se considera personal clave aquel que cumple una función vital en el flujo de procesamiento de datos u operación de los Sistemas de Informáticos: a) Personal de Informática. b) Gerencia, supervisores de Red. c) Administración de Ventas. d) Personal de Administración de Bodegas-Despachos.
Pudiendo existir los siguientes inconvenientes: a) Enfermedad. b) Accidentes. c) Renuncias. d) Abandono de sus puestos de trabajo. e) Otros imponderables. Fallas de Hardware y Software. (Ver Figura 1 y 3 en anexos) a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. b) Falla en el hardware de Red: - Falla en los Switches. - Falla en el cableado de la Red. c) Falla en el Router. d) Falla en el FireWall. Las alteraciones que sufran los servidores tanto en Software y Hardware pueden ser corregidas en la mayoría de los casos, sin embargo en algunas ocasiones, las alteraciones llegan a ser tan grandes que el tiempo requerido para el inicio de las operaciones normales puede extenderse hasta por días sin tener la absoluta certeza de que las correcciones que se hicieron fueron las necesarias, por tal motivo es mejor acudir a los respaldos de información y restaurar los datos, de esta forma las operaciones del día no se verán afectadas y al mismo tiempo se ponen al día los datos faltantes de la operación del día anterior. Análisis y Evaluación del daño causado por la alteración. En el caso de que la alteración haga imposible el inicio inmediato de las operaciones se procede como sigue:  Recoger los respaldos de datos, programas, manuales y claves del lugar en el que se encuentren resguardados. Responsable: Coordinador de Redes y Comunicaciones.  Si las fallas se derivan del mal funcionamiento de un equipo(Hardware) se procede a su reemplazo inmediato o remitirse a la póliza de mantenimiento. Responsable: Coordinador de Redes y Comunicaciones.  Instalar (sí lo amerita) el sistema operativo. Responsable: Coordinador de Redes y Comunicaciones.  Restaurar la información de las bases de datos y programas. Responsable: Coordinador de Sistemas.  Revisar y probar la integridad de los datos. Responsable: Coordinador de Sistemas.  Iniciar las operaciones.
En los casos en que la alteración puede ser corregida sin problemas graves, se procede conforme a lo siguiente:  Corrección de las alteraciones que se localicen en los servidores Hardware. Responsable: Coordinador de Redes y Comunicaciones.  Corrección de las alteraciones que se localicen en los servidores Software. Responsable: Coordinador de Sistemas.  Revisión y prueba de la integridad de los datos. Responsable: Coordinador de Sistemas.  Iniciar las operaciones. Plan de acción. 1. Realizar un levantamiento de los servicios informáticos.  Llevar a cabo un Inventario de equipo de cómputo, software y mobiliario, para determinar cuál es la información crítica que se tiene que resguardar, adicionalmente levantar un inventario de los servicios de cómputo, telecomunicaciones, Internet, etc., que son requeridos para que los usuarios estén en posibilidad de llevar a cabo sus actividades normales. 2. Identificar un conjunto de amenazas.  Identificar los tipos de siniestros a los cuales está propenso cada uno de los procesos críticos, tales como falla eléctrica prolongada, incendio, terremoto, etc.  Identificar el conjunto de amenazas que pudieran afectar a los procesos informáticos, ya sea por causa accidental o intencional. 3. Revisar la seguridad, controles físicos y ambientales existentes, evaluando si son adecuados respecto a las amenazas posibles.  Se debe estar preparado para cualquier percance, verificando que dentro de la empresa se cuente con los elementos necesarios para salvaguardar sus activos. 4. Identificar los servicios fundamentales del área de sistemas informáticos de la empresa (Factores Críticos).  Se deben analizar las funciones de mayor prioridad de la empresa, por medio de diagramas de flujo de los procesos específicos para medir el alcance de cada actividad. Etapas de la metodología. En el Plan de Contingencia Informático se establecen procedimientos preventivos para el manejo de casos de emergencia que se presenten en la empresa al sufrir una situación anormal, protegiendo al personal, las instalaciones, la información y el equipo. En el momento que sea necesario aplicar el Plan de Contingencia, la reanudación de las actividades puede ser el mayor reto con el que la empresa se enfrente, probablemente no pueda regresar a su lugar habitual de trabajo o no disponga de
las herramientas usuales para desempeñar normalmente sus actividades. Incluso es posible tener que hacer el trabajo sin el equipo de gestión y colaboradores. No se debe dejar el Plan de Contingencia para una ocasión posterior debido a cargas excesivas de trabajo, es necesario presupuestar tiempo y recursos para crear un programa de contingencia completo y útil. La preparación ante un desastre comienza asegurándose de que se tienen los datos a recuperar. Un programa de contingencia no incluye solamente operaciones de copia de seguridad como parte de su contenido; sin embargo, la realización de copias de seguridad fiables es un requisito previo. Existen diferentes tipos de contingencia de acuerdo a los daños sufridos:  Menor.- Es la que tiene repercusiones sólo en la operación diaria y se puede recuperar en menos de 8 horas.  Grave.- Es la que causa daños a las instalaciones, pero pueden reiniciar las operaciones en menos de 24 horas.  Crítica.- Afecta la operación y a las instalaciones, este no es recuperable en corto tiempo y puede suceder por que no existen normas preventivas o bien porque estas no son suficientes. También puede suceder por ocurrir algún tipo de desastre natural como un terremoto. Tipos de Contingencias de acuerdo al grado de afectación: • En el mobiliario y equipo. • En el equipo de cómputo en general (procesadores, unidades de disco, impresoras etc.). • En comunicaciones (hubs, ruteadores, nodos, líneas telefónicas). • Información. • Instalaciones. Establecimiento de un Grupo de Trabajo y definición de Roles. A través de la realización de una junta de trabajo, establecer formalmente el Comité del Plan de Contingencia con la siguiente estructura:  Presidente del Grupo de Trabajo del Plan de Contingencia.  Coordinador General.  Coordinador de Redes y Comunicaciones.  Coordinador de Soporte Técnico.  Coordinador de Sistemas.  Personal Clave. Definición de Roles. Presidente del Grupo de Trabajo.- Es el responsable de aprobar la realización del Plan de Contingencia Informático, dirigir los comunicados de concientización y solicitud de apoyo a los jefes y/o gerentes de las diferentes áreas involucradas y aprobar su terminación. Una vez concluida la realización del Plan de Contingencia, el Presidente tendrá como función principal, verificar que se realicen reuniones periódicas, cuando
menos cada seis meses, en donde se informe de los posibles cambios que se deban efectuar al plan original y de que se efectúen pruebas del correcto funcionamiento del Plan de Contingencia Informático, cuando menos dos veces al año o antes si se presentan circunstancias de cambio que así lo ameriten. Al declararse una contingencia, deberá tomar las decisiones correspondientes a la definición de las ubicaciones para instalar el centro de cómputo alterno y autorizará las inversiones a realizar así como el fondo de efectivo a asignarse para los gastos necesarios iniciales. El presidente se mantendrá permanentemente informado respecto de la activación del Plan hasta la declaración de conclusión. Coordinador General.- Tendrá como función principal asegurar que se lleven a cabo todas las fases para la realización del Plan de Contingencia, registrará las reuniones que se realicen, a manera de minutas, aprobará los procesos críticos y tipo de evento que abarcará el Plan de Contingencia y aprobará junto con el Presidente del Comité la terminación de cada una de las fases y la conclusión del proyecto. Durante la realización del plan, una de sus actividades principales será la coordinación de la realización de las pruebas del Plan de Contingencia, la aprobación de las ubicaciones alternas que sea necesario definir, la aceptación de los gastos y/o adquisiciones o contratos de servicios que sean necesarios para la realización del plan. Al término de la realización de las pruebas, será el Coordinador General quién dé su visto bueno de la conclusión de éstas y de sus resultados, rindiendo un informe a todos los coordinadores involucrados y en general al personal involucrado, y en caso necesario, convocar a la realización de una segunda prueba, corrigiendo previamente las fallas que se hubieran presentado. Una vez que se encuentre aprobado el Plan de Contingencia, será el Coordinador General quien lleve a cabo formalmente la declaración de una contingencia grave y dé inicio formal de la aplicación del Plan de Contingencia, cuando así lo considere conveniente, propiciando que la contingencia desaparezca con el objeto de continuar normalmente con las actividades; será el responsable de dar por concluida la declaración de contingencia. En el caso particular de los Sistemas Informáticos: Coordinador de Redes y Comunicaciones.- Es el responsable de determinar los procedimientos a seguir en caso de que se presente una contingencia que afecte las comunicaciones, Servicios de Internet, Intranet, correo electrónico y red de la empresa, mantener actualizados dichos procedimientos en el Plan de Contingencia, determinar los requerimientos mínimos necesarios, tanto de equipo como de software, servicios, líneas telefónicas, cuentas de acceso a Internet, enlaces dedicados, dispositivos de comunicación (ruteadores, switchs, antenas etc). Asimismo, deberá mantener actualizado el inventario de equipo de
telecomunicaciones y redes, efectuar los respaldos correspondientes y llevar a cabo las pruebas de operatividad necesarias, para asegurar la continuidad del servicio, en caso de que se llegara a presentar alguna contingencia, ya sea parcial, grave o crítica. El Coordinador de Comunicaciones es el responsable de mantener el directorio de contactos, proveedores y usuarios de los servicios antes descritos y mantenerlo permanentemente actualizado e incluirlo dentro del Plan de Contingencia Informático. Coordinará las actividades correspondientes a los servicios de comunicaciones al declararse una contingencia, hasta su restablecimiento total. Coordinador de Soporte Técnico.- Es el responsable de llevar a cabo el inventario de equipo, software y equipos periféricos, como impresoras, CD Writer, escáners, faxes, copiadoras, etc.; mantener los equipos en óptimas condiciones de funcionamiento; determinar la cantidad mínima necesaria de equipo y sus características para dar continuidad a las operaciones de la empresa; es responsable de elaborar o coordinar con los usuarios los respaldos de información. Deberá realizar los procedimientos correspondientes para la emisión de los respaldos de cada uno de los servidores o equipos en donde se procese lo enunciado en el párrafo anterior, efectuar y mantener actualizado el directorio de proveedores de equipos, garantías, servicio de mantenimiento y reparaciones, suministros, refacciones y desarrollo de software, en su caso, e incluirlo dentro del Plan de Contingencia Informático. En caso de que se declare alguna contingencia que afecte a los equipos y al software, sea cual fuere su grado de afectación, es el responsable de restablecer el servicio a la brevedad, con el objeto de que no se agrave el daño o se llegara a tener consecuencias mayores. Para tal efecto debe participar en pruebas del Plan de Contingencia en conjunto con los demás participantes, con el objeto de estar permanentemente preparado para actuar en caso de contingencia. Coordinador de Sistemas.- Será el responsable de determinar los sistemas Críticos de la Empresa, que en caso de presentarse alguna contingencia como corte de energía eléctrica prolongada, temblor, incendio, falla del sistema de cómputo, pérdida de documentación, o alguna otra causa determinada, se llegara a afectar sensiblemente la continuidad de las operaciones en las áreas que utilicen dichos sistemas críticos. En caso de cambiar a otras instalaciones alternas, el Coordinador de Programación deberá definir cuáles serían las actividades que se deberán seguir para la configuración o instalación de los sistemas desarrollados, optimizando los recursos con los que se cuente, realizando las pruebas necesarias hasta su correcto funcionamiento en las terminales destinadas para su operación. Deberá mantener actualizados los Manuales Técnicos y de Usuario, resguardándolos fuera de las instalaciones para su consulta y utilización al momento de requerirse.
Personal Clave.- Es el responsable de la aplicación de los procedimientos que describa el Plan de Contingencia para cada una de las diferentes circunstancias o contingencias previstas y de reportar con la periodicidad que se indique en el plan, al Coordinador de su área y al Coordinador General, los resultados de la aplicación de alguna de las fases del plan. Coordinarán con el personal de la Empresa involucrado, la realización de las actividades contenidas en el Plan de Contingencia para la situación que se hubiera presentado y tratar por todos los medios que les sea posible el logro de los objetivos y asegurar la continuidad de las operaciones de la Empresa, disminuyendo el impacto de la contingencia al mínimo. Darán aviso al Coordinador de su área, cuando a su juicio, las circunstancias que provocaron la activación del plan hubieran desaparecido y se estuviera en condiciones de continuar normalmente con las actividades. En caso de requerir de actividades complementarias para regresar a las actividades normales, especialmente cuando se trate de los sistemas informáticos de la Empresa, deberán incluir el plan de actividades que se deberá seguir para retornar a la situación normal. Personal de la Empresa involucrado.- El personal, al verse afectado por una situación de contingencia, deberá en primera instancia apoyar para salvaguardar las vidas propias y de sus compañeros de trabajo, cuando la situación que se estuviera presentado sea grave (incendio, temblor, etc.); posteriormente, y en la medida en que la situación lo permita, deberá coadyuvar a salvaguardar los bienes de la Empresa (el propio inmueble, equipos, documentación importante, etc.). Con posterioridad a la crisis inicial, deberá apoyar a solicitud del Coordinador de su área y/o del personal clave del Plan de Contingencia, en la toma del inventario de daños, para lo cual deberá seguir las instrucciones generales que indique el propio plan. En forma alterna, deberá dar cumplimiento a las instrucciones que se incluyan en el Plan de Contingencia Informático para darle continuidad a las funciones informáticas críticas, siguiendo los procedimientos establecido, con la salvedad de que deberá, en forma creativa y responsable, adaptarlos a las circunstancias de limitación que represente el cambio de ubicación de las diferentes áreas involucradas en los procesos y la utilización de recursos de cómputo, mensajería, comunicaciones, etc., limitados. Al declararse concluida la contingencia, deberá participar activamente en la restauración de las actividades normales de la Empresa, esto es, apoyar en la movilización de documentación, mobiliario, etc., a las instalaciones originales o al lugar que le sea indicado, hasta la estabilización de las actividades. Cuando sea necesario, deberá participar en la capacitación del nuevo personal o del personal eventual que hubiera sido necesario contratar.
Determinar los tiempos de recuperación y los requerimientos mínimos de recursos. Para cada una de las fases críticas que se cubrirán con el Plan de Contingencia Informático, se deben determinar los tiempos mínimos requeridos para el establecimiento del plan, esto es, cuánto tiempo debe transcurrir desde el momento en que se inicia o activa el plan, hasta que las actividades, funciones o sistemas se encuentren en operación total o parcialmente. Es conveniente definir un tiempo aceptable y viable para que la red y la aplicación principal estén nuevamente activas. Para situaciones críticas: • Incluir el traslado de los medios de almacenamiento magnético que se encuentren fuera de las instalaciones. • La copia de los datos a los nuevos medios de almacenamiento magnético y la habilitación de las comunicaciones, servicios de Internet y correo electrónico. • El personal mínimo requerido para continuar operando. • Tiempo de restauración de cada uno de los servicios de Red, Comunicaciones, Internet y Correo Electrónico. • El tiempo determinado debe ser conocido y aceptado por todos los usuarios principales que operan los sistemas o cuentan con un equipo crítico. Para situaciones de bajo riesgo: • Tiempo de reparación o reposición de una estación de trabajo (PC). • Tiempo de configuración de las PC. • Tiempo de respuesta del proveedor para la reparación de los servidores (verificar contratos y garantías). • Tiempos de reparación de fallas eléctricas. • Tiempo de restauración de cada uno de los servidores y sus aplicaciones.
Conclusiones. Es un factor importante prepararse para algo que probablemente pueda ocurrir, especialmente cuando se involucra a los sistemas de cómputo. Cuando se depende de estos sistemas, un desastre puede o no dejar continuar las operaciones de la Empresa. En el momento que se presentan situaciones de desastre, el regresar a la normalidad va más allá de mantener los sistemas de información en orden y consistentes. Por lo anterior, es importante saber qué se va a recuperar y quién puede hacerlo en caso de pérdidas humanas. Las Empresas se enfrentan a una amplia gama de desastres: desde los locales, que ocurren en el interior de la empresa, en un espacio determinado del edificio, hasta los que afectan todas las instalaciones de la misma o aquellos que abarcan una región entera. Los primeros consisten en incendios, sabotajes o fallas en el suministro de la energía eléctrica, entre otras cosas; los segundos, conocidos como desastres en el sitio, afectan a todo el edificio. Los provocan explosiones por bomba, inundaciones o desórdenes en la tensión o suministro de la energía eléctrica, etc. Los desastres pueden agruparse en dos grandes tipos: por un lado los que tienen su origen en la naturaleza, como ciclones, temblores, inundaciones, tormentas y huracanes. Por otro lado, existen los que son provocados por el hombre, como virus de computadoras, suspensiones o sobrecarga de energía, errores de hardware y software, interrupciones de las redes, errores humanos, sabotaje, etc.
Anexos.
Figura 1. Diagrama de Flujo para Respuesta de Emergencia de Fallas de Hardware o Software.
Figura 2. Diagrama de flujo de respuesta de emergencia de Sabotaje o Daño Accidental.
Figura 3. Diagrama de flujo de respuesta a emergencia de falla de la Red de Voz y Datos.
Bibliografía. Chinto Ramírez, Rubén. Implementación de la mejora continua: Clave del éxito empresarial. Ed. Grijalbo, Barcelona, España. 2001. Pp. 222,274. McLeeland, Robert. Handling of Risks. Ed. Stevenson & Sons. Vermont, Virginia, Estados Unidos de Norteamérica. 1997. Pp 315, 342. Plan de contingencia Informático. Delegación Miguel Hidalgo. México, D.F. Archivo PDF. 2005.

Más contenido relacionado

PPTX
Plan de Contingencia Informatico
porFernando Alfonso Casas De la Torre
 
PPTX
Contingencia Informatica
porFernando Alfonso Casas De la Torre
 
PPSX
Plan de contingencia
porChenny3
 
PDF
Plan de recuperación de desastres .pptx
porLuis Flores
 
PDF
Modulo I: Arquitectura de Seguridad Informática
porJuan Manuel García
 
DOCX
Plan de contingencia para una empresa informatica
porVictor Hugo Imbaquingo Dueñaas
 
PPTX
Gestión del riesgos de seguridad de la información
porROBERTH CHAVEZ
 
PDF
Plan de contingencia
porLichi Decoud
 
Plan de Contingencia Informatico
porFernando Alfonso Casas De la Torre
 
Contingencia Informatica
porFernando Alfonso Casas De la Torre
 
Plan de contingencia
porChenny3
 
Plan de recuperación de desastres .pptx
porLuis Flores
 
Modulo I: Arquitectura de Seguridad Informática
porJuan Manuel García
 
Plan de contingencia para una empresa informatica
porVictor Hugo Imbaquingo Dueñaas
 
Gestión del riesgos de seguridad de la información
porROBERTH CHAVEZ
 
Plan de contingencia
porLichi Decoud
 

La actualidad más candente

PPT
ADMINISTRACION DE CENTRO DE COMPUTO
porguest879616
 
PPTX
Plan de contingencia en los centros de cómputo
pormarily calderón lizana
 
PPTX
Seguridad De la Informacion
porJessicakatherine
 
PPTX
Plan de contingencia en los centros de cómputo
porvanesa calderón lizana
 
PPTX
Unidad 1 conceptos generales del diseño de sistemas
poryenny enriquez
 
PDF
Proyecto final itil
porjuan vera castillo
 
PDF
Politicas de Seguridad Informática
porJose Manuel Acosta
 
PPTX
Pasos para el análisis de riesgos basados en MAGERIT
porJaime Barrios Cantillo
 
DOCX
Crear un centro de cómputo
porebm89
 
PPTX
Tratamiento de riesgo
porAlexander Velasque Rimac
 
PPTX
Documentación de sistemas
porGladys Rodriguez
 
PPTX
Sistemas críticos - Ingeniería de Sistemas
porUniminuto - San Francisco
 
PPTX
Capitulo 10 auditoria en base de datos
poroamz
 
PDF
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
porMiguel Cabrera
 
PPTX
Seguridad en la nube exposicion completa
porMaxwell Kenshin
 
PDF
Política de seguridad
porRamiro Cid
 
PPTX
Presentación iso 27001
porJohanna Pazmiño
 
PPTX
Auditoria Informatica
porMartin Zǝlɐzuoƃ
 
PDF
Integridad en las bases de datos
porGuadalupe Robles Calderón
 
PPT
Herramientas De Modelado
pormsc080277
 
ADMINISTRACION DE CENTRO DE COMPUTO
porguest879616
 
Plan de contingencia en los centros de cómputo
pormarily calderón lizana
 
Seguridad De la Informacion
porJessicakatherine
 
Plan de contingencia en los centros de cómputo
porvanesa calderón lizana
 
Unidad 1 conceptos generales del diseño de sistemas
poryenny enriquez
 
Proyecto final itil
porjuan vera castillo
 
Politicas de Seguridad Informática
porJose Manuel Acosta
 
Pasos para el análisis de riesgos basados en MAGERIT
porJaime Barrios Cantillo
 
Crear un centro de cómputo
porebm89
 
Tratamiento de riesgo
porAlexander Velasque Rimac
 
Documentación de sistemas
porGladys Rodriguez
 
Sistemas críticos - Ingeniería de Sistemas
porUniminuto - San Francisco
 
Capitulo 10 auditoria en base de datos
poroamz
 
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
porMiguel Cabrera
 
Seguridad en la nube exposicion completa
porMaxwell Kenshin
 
Política de seguridad
porRamiro Cid
 
Presentación iso 27001
porJohanna Pazmiño
 
Auditoria Informatica
porMartin Zǝlɐzuoƃ
 
Integridad en las bases de datos
porGuadalupe Robles Calderón
 
Herramientas De Modelado
pormsc080277
 

Destacado

PPT
Plan De Contingencia
porsardellayulia
 
PDF
Libro auditoria informatica Jose Antonio Echenique
porAngel Hernández
 
PPT
Guia para elaborar un plan de contingencias
porLuis Silva
 
PDF
Plan de contingencia
porDavid Herrero
 
DOCX
9.1) plan de contingencias.
porJose Ivan Vega Gonzalez
 
PDF
Manual de seguridad industrial
porLuis Guevara Aldaz
 
DOC
Modelo Plan de emergencia
porJacke Garcia
 
PPTX
Organización Del Centro De Cómputo
pordjelektro
 
DOCX
Plan de emergencia
porChris Lck Alvarado
 
PPTX
Plan de contingencia
porydaleuporsiempre_16
 
Plan De Contingencia
porsardellayulia
 
Libro auditoria informatica Jose Antonio Echenique
porAngel Hernández
 
Guia para elaborar un plan de contingencias
porLuis Silva
 
Plan de contingencia
porDavid Herrero
 
9.1) plan de contingencias.
porJose Ivan Vega Gonzalez
 
Manual de seguridad industrial
porLuis Guevara Aldaz
 
Modelo Plan de emergencia
porJacke Garcia
 
Organización Del Centro De Cómputo
pordjelektro
 
Plan de emergencia
porChris Lck Alvarado
 
Plan de contingencia
porydaleuporsiempre_16
 

Similar a plan-de-contingencia-sistemas-informaticos

PPTX
plan contingencia en gestión de proyectos
porAntonia Maria Herruzo
 
PPT
Medidas de Seguriadaddddddddddd_2025.ppt
porEnzorReyes
 
PPTX
Seguridad informática y plan de contigencia
porWilliam Matamoros
 
DOC
Plan de contingencia municipalidad de tumbes[1]
porgalactico_87
 
PPT
Plandecontingencia
porMiguel Diaz
 
PPTX
procesos de la auditoria
porJosLuisMndezMndezHer
 
DOC
Plan de contingencia municipalidad de tumbes
porRomario Correa Aguirre
 
DOC
Inf.seguridad informítica 1
porNaturales32
 
DOCX
Plan contingencia
porMarcel Castillo
 
DOCX
Plan de contingencia
porelsiscarolinacaasest
 
PDF
Plan de contingencia manuel mata
porManuelMataArocha1
 
PDF
06 05 manual de contingencia informatico
porDora Isabel Olea
 
DOC
Cicyt
porRoberto Valdes
 
PPTX
Plan de contingencia
porydaleuporsiempre_16
 
PDF
Recuperacion de desastres
porGobernación del estado Bolívar
 
DOCX
Evaluacion de la seguridad
porArgimiro Dominguez
 
PPTX
Seguridad informática y plan de contigencia
porWilliam Matamoros
 
PDF
Unidad 3 riesgos-contingencias
porgarivas2006
 
PPTX
Trabajo practico nº2
porAguss2906
 
PDF
PLDE CONTINGENCIAAN Y MANTENIMIENTO DE LOS EQUIPOS.pdf
porLennerValencia
 
plan contingencia en gestión de proyectos
porAntonia Maria Herruzo
 
Medidas de Seguriadaddddddddddd_2025.ppt
porEnzorReyes
 
Seguridad informática y plan de contigencia
porWilliam Matamoros
 
Plan de contingencia municipalidad de tumbes[1]
porgalactico_87
 
Plandecontingencia
porMiguel Diaz
 
procesos de la auditoria
porJosLuisMndezMndezHer
 
Plan de contingencia municipalidad de tumbes
porRomario Correa Aguirre
 
Inf.seguridad informítica 1
porNaturales32
 
Plan contingencia
porMarcel Castillo
 
Plan de contingencia
porelsiscarolinacaasest
 
Plan de contingencia manuel mata
porManuelMataArocha1
 
06 05 manual de contingencia informatico
porDora Isabel Olea
 
Cicyt
porRoberto Valdes
 
Plan de contingencia
porydaleuporsiempre_16
 
Recuperacion de desastres
porGobernación del estado Bolívar
 
Evaluacion de la seguridad
porArgimiro Dominguez
 
Seguridad informática y plan de contigencia
porWilliam Matamoros
 
Unidad 3 riesgos-contingencias
porgarivas2006
 
Trabajo practico nº2
porAguss2906
 
PLDE CONTINGENCIAAN Y MANTENIMIENTO DE LOS EQUIPOS.pdf
porLennerValencia
 

plan-de-contingencia-sistemas-informaticos

  • 1.
    UNIVERSIDAD TECNOLÓGICA DELVALLE DE TOLUCA. DIVISIÓN DE MANTENIMIENTO INDUSTRIAL INGENIERÍA EN MANTENIMIENTO INDUSTRIAL PROTOCOLOS DE OPERACIÓN Y MANTENIMIENTO. ELABORACIÓN DE UN PLAN DE CONTINGENCIA BASADO EN UN ANÁLISIS DE RIESGO. Alumno: TSU. Teckelino. Grupo: IMI - 73. Noviembre de 2010.
  • 2.
    Introducción. Ante el incrementode la cultura informática en todos los ámbitos derivada del creciente empleo de la Tecnología de la Información, surge la necesidad y responsabilidad de la protección de la misma, de sus medios de almacenamiento y de su ambiente de operación. La información que se maneja en una empresa, por considerarse como materia prima para la propia gestión y toma de decisiones, es considerada como un activo importante y como tal, debe ser sujeta de custodia y protección para asegurar su integridad, confidencialidad y disponibilidad. La cantidad de datos guardados en los medios y equipos de almacenamiento se acrecienta día con día y su integridad va relacionada con su pérdida o destrucción intencional o no intencional. Es por ello, que los usuarios o personal directa o indirectamente relacionados con el uso y operación de bienes informáticos deben propiciar la adopción de medidas de seguridad para proteger su información. Este documento pretende ser una guía, según los estándares de planes de contingencia informático, para que cada Gerente de Departamento de cualquier empresa defina y documente un Informe de Trabajo derivados de la definición del Plan de Contingencia Informático. El alcance de este plan guarda relación con la infraestructura informática, así como los procedimientos relevantes de cada Departamento asociados con esta infraestructura. Se entiende como infraestructura informática al hardware, software y elementos complementarios que soportan la información o datos críticos para la correcta función y operación de la empresa. Se entiende también como procedimientos relevantes a la infraestructura informática, a todas aquellas tareas que el personal realiza frecuentemente cuando interactúa con los sistemas informáticos (entrada de datos, generación de reportes, consultas, etc.). Un Plan de Contingencia debe considerar una "Planificación de la Contingencia" así como un conjunto de "Actividades" que buscan definir y cumplir metas que permitan a cada Departamento de la empresa controlar el riesgo asociado a una contingencia. Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas orientadas a reducir dichos riesgos. Naturalmente, en la generación del Plan de Trabajo de cada Departamento es recomendable trabajar con reportes clave a fin de que las recomendaciones cuenten con una base operativa sólida. Es de esperarse que la administración de la empresa ya haya definido el Plan de Trabajo de Administración para el Plan de Contingencia de Sistemas Informáticos, en donde TODOS somos miembros importantes del Comité de Recuperación frente a desastres. Este comité se activará frente a una Contingencia, según la convocación del Director General y del Gerente de Administración y Finanzas de la empresa.
  • 3.
    Objetivos.  Establecer mecanismosy procedimientos para proporcionar confidencialidad, integridad y disponibilidad de la información.  Estimular la creación de una cultura de seguridad en Informática, así como fomentar la ética entre el personal de la empresa.  Definir los requerimientos mínimos de seguridad en cada área, dependiendo del tipo de información que se procese: confidencial, restringida, de uso interno, general o público, estableciendo los procedimientos para identificación y uso de cada categoría de información.  Promover el establecimiento de procedimientos alternos en previsión a contingencias de cualquier naturaleza que garanticen en la medida de lo posible, la continuidad del procesamiento de la información y la prestación de servicios, mismos que al incorporarse al presente documento lo irán enriqueciendo y de esta manera se logrará contar cada vez con una mejor herramienta que apoye a superar las contingencias que se presenten. Planificación de la contingencia. El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y lógica en previsión de desastres. Se define la Seguridad de Datos Informáticos como un conjunto de medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. Se ha considerado que para la empresa, la seguridad es un elemento básico para garantizar su supervivencia y entregar el mejor servicio a sus clientes, y por lo tanto, considera a la Información como uno de los activos más importantes de la Organización, lo cual hace que la protección de esta, sea el fundamento más importante de este Plan de Contingencia. En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperación para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de los procedimientos de seguridad de la Información que cada Departamento de la empresa debe definir. Actividades asociadas. Las actividades consideradas en este documento son:  Análisis de Riesgos.  Medidas Preventivas.  Previsión de Desastres Naturales.  Plan de Respaldo.  Plan de Recuperación.
  • 4.
    Análisis de Riesgos. Pararealizar un análisis de los riesgos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría como se ha visto a lo largo de las exposiciones de esta materia de Protocolos de Operación y Mantenimiento. Bienes susceptibles de daño. Se puede identificar los siguientes bienes afectos a riesgos: a) Personal. b) Hardware. c) Software y utilitarios. d) Datos e información. e) Documentación. f) Suministro de energía eléctrica. g) Suministro de telecomunicaciones. Daños. Los posibles daños pueden referirse a: 1) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. 2) Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, por ejemplo, cambios de claves o códigos de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado. 3) Divulgación de información a instancias fuera de la empresa y que afecte su patrimonio estratégico comercial y/o Institucional, sea mediante robo o infidencia.
  • 5.
    Prioridades. La estimación delos daños en los bienes y su impacto, fija una prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se pierden en la contingencia. Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre. Fuentes de daños. (Ver Figura 2 en anexos) Las posibles fuentes de daño que pueden causar una operación anormal de la empresa, asociadas al Departamento o Área de Sistemas Informáticos de la misma son: Acceso no autorizado. Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las instalaciones). Violación de las claves de acceso a los sistemas informáticos.  Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas informáticos en uso (virus, sabotaje, hackers).  Intromisión no autorizada a procesos y/o datos de los sistemas, ya sea por simple curiosidad o malas intenciones. Desastres naturales. a) Movimientos sísmicos que afecten directa o indirectamente a las instalaciones físicas de soporte (edificios) y/o de operación (equipos de cómputo). b) Inundaciones causadas por falla en los sistemas de drenaje. c) Fallas en los equipos de soporte: 1. Por fallas causadas por la agresividad del ambiente. 2. Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por parte de la empresa. 3. Por fallas de los equipos de acondicionamiento atmosféricos necesarios para una adecuada operación de los equipos computacionales más sensibles. 4. Por fallas de la comunicación. 5. Por fallas en el tendido de la red local. 6. Fallas en las telecomunicaciones con la fuerza de venta. 7. Fallas en las telecomunicaciones con instalaciones externas. 8. Por fallas de la Central Telefónica (Telmex). 9. Por fallas de líneas de fax o de Internet.
  • 6.
    Vandalismo. Un intento devandalismo ya sea menor o mayor, podría afectar a las PC’s, periféricos y servidores así como las comunicaciones. Si el intento de vandalismo es mayor, se presenta un grave riesgo dentro del área de Sistemas Informáticos ya que puede dañar los dispositivos perdiendo toda la información y por consecuencia las actividades se verían afectadas en su totalidad, así como el servicio proporcionado al cliente. A continuación se menciona en forma enunciativa una serie de medidas preventivas:  Establecer vigilancia mediante cámaras de seguridad en el sitio, el cual registre todos los movimientos de entrada del personal.  Instalar identificadores mediante tarjetas de acceso.  Determinar lugares especiales, fuera del centro de datos, para almacenar los medios magnéticos de respaldo y copia de la documentación de referencia y procedimientos de respaldo y recuperación (se puede contratar una caja de seguridad bancaria donde se custodiaran los datos e información crítica).  Contar, ya sea bajo contrato o mediante convenio, con un centro de cómputo alterno de características físicas y equipo de cómputo adecuado para darle continuidad a las operaciones críticas de la empresa, aún en forma limitada de cobertura y de comunicaciones. Medidas preventivas en caso de presentarse un paro total de las operaciones (huelga): a. Determinar lugares especiales, fuera del centro de datos, para almacenar los respaldos y copia de la documentación de referencia. b. El personal clave del Plan de Contingencia Informático, debe de dar la alerta del paro total y sacar los respaldos de información fuera del edificio dentro de un tiempo límite antes de ser declarada la huelga. c. Personal del área de sistemas Informáticos debe prever un sitio alterno para continuar con las operaciones críticas. Asimismo, se tendrá que establecer un tiempo límite de espera de solución de la huelga como por ejemplo 24 horas con el fin de que no afecte el servicio proporcionado a las demás áreas o al cliente, si después de este intervalo la huelga continuara, se determinará el lugar o lugares de reubicación alternos. Fallas de personal clave. Se considera personal clave aquel que cumple una función vital en el flujo de procesamiento de datos u operación de los Sistemas de Informáticos: a) Personal de Informática. b) Gerencia, supervisores de Red. c) Administración de Ventas. d) Personal de Administración de Bodegas-Despachos.
  • 7.
    Pudiendo existir lossiguientes inconvenientes: a) Enfermedad. b) Accidentes. c) Renuncias. d) Abandono de sus puestos de trabajo. e) Otros imponderables. Fallas de Hardware y Software. (Ver Figura 1 y 3 en anexos) a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. b) Falla en el hardware de Red: - Falla en los Switches. - Falla en el cableado de la Red. c) Falla en el Router. d) Falla en el FireWall. Las alteraciones que sufran los servidores tanto en Software y Hardware pueden ser corregidas en la mayoría de los casos, sin embargo en algunas ocasiones, las alteraciones llegan a ser tan grandes que el tiempo requerido para el inicio de las operaciones normales puede extenderse hasta por días sin tener la absoluta certeza de que las correcciones que se hicieron fueron las necesarias, por tal motivo es mejor acudir a los respaldos de información y restaurar los datos, de esta forma las operaciones del día no se verán afectadas y al mismo tiempo se ponen al día los datos faltantes de la operación del día anterior. Análisis y Evaluación del daño causado por la alteración. En el caso de que la alteración haga imposible el inicio inmediato de las operaciones se procede como sigue:  Recoger los respaldos de datos, programas, manuales y claves del lugar en el que se encuentren resguardados. Responsable: Coordinador de Redes y Comunicaciones.  Si las fallas se derivan del mal funcionamiento de un equipo(Hardware) se procede a su reemplazo inmediato o remitirse a la póliza de mantenimiento. Responsable: Coordinador de Redes y Comunicaciones.  Instalar (sí lo amerita) el sistema operativo. Responsable: Coordinador de Redes y Comunicaciones.  Restaurar la información de las bases de datos y programas. Responsable: Coordinador de Sistemas.  Revisar y probar la integridad de los datos. Responsable: Coordinador de Sistemas.  Iniciar las operaciones.
  • 8.
    En los casosen que la alteración puede ser corregida sin problemas graves, se procede conforme a lo siguiente:  Corrección de las alteraciones que se localicen en los servidores Hardware. Responsable: Coordinador de Redes y Comunicaciones.  Corrección de las alteraciones que se localicen en los servidores Software. Responsable: Coordinador de Sistemas.  Revisión y prueba de la integridad de los datos. Responsable: Coordinador de Sistemas.  Iniciar las operaciones. Plan de acción. 1. Realizar un levantamiento de los servicios informáticos.  Llevar a cabo un Inventario de equipo de cómputo, software y mobiliario, para determinar cuál es la información crítica que se tiene que resguardar, adicionalmente levantar un inventario de los servicios de cómputo, telecomunicaciones, Internet, etc., que son requeridos para que los usuarios estén en posibilidad de llevar a cabo sus actividades normales. 2. Identificar un conjunto de amenazas.  Identificar los tipos de siniestros a los cuales está propenso cada uno de los procesos críticos, tales como falla eléctrica prolongada, incendio, terremoto, etc.  Identificar el conjunto de amenazas que pudieran afectar a los procesos informáticos, ya sea por causa accidental o intencional. 3. Revisar la seguridad, controles físicos y ambientales existentes, evaluando si son adecuados respecto a las amenazas posibles.  Se debe estar preparado para cualquier percance, verificando que dentro de la empresa se cuente con los elementos necesarios para salvaguardar sus activos. 4. Identificar los servicios fundamentales del área de sistemas informáticos de la empresa (Factores Críticos).  Se deben analizar las funciones de mayor prioridad de la empresa, por medio de diagramas de flujo de los procesos específicos para medir el alcance de cada actividad. Etapas de la metodología. En el Plan de Contingencia Informático se establecen procedimientos preventivos para el manejo de casos de emergencia que se presenten en la empresa al sufrir una situación anormal, protegiendo al personal, las instalaciones, la información y el equipo. En el momento que sea necesario aplicar el Plan de Contingencia, la reanudación de las actividades puede ser el mayor reto con el que la empresa se enfrente, probablemente no pueda regresar a su lugar habitual de trabajo o no disponga de
  • 9.
    las herramientas usualespara desempeñar normalmente sus actividades. Incluso es posible tener que hacer el trabajo sin el equipo de gestión y colaboradores. No se debe dejar el Plan de Contingencia para una ocasión posterior debido a cargas excesivas de trabajo, es necesario presupuestar tiempo y recursos para crear un programa de contingencia completo y útil. La preparación ante un desastre comienza asegurándose de que se tienen los datos a recuperar. Un programa de contingencia no incluye solamente operaciones de copia de seguridad como parte de su contenido; sin embargo, la realización de copias de seguridad fiables es un requisito previo. Existen diferentes tipos de contingencia de acuerdo a los daños sufridos:  Menor.- Es la que tiene repercusiones sólo en la operación diaria y se puede recuperar en menos de 8 horas.  Grave.- Es la que causa daños a las instalaciones, pero pueden reiniciar las operaciones en menos de 24 horas.  Crítica.- Afecta la operación y a las instalaciones, este no es recuperable en corto tiempo y puede suceder por que no existen normas preventivas o bien porque estas no son suficientes. También puede suceder por ocurrir algún tipo de desastre natural como un terremoto. Tipos de Contingencias de acuerdo al grado de afectación: • En el mobiliario y equipo. • En el equipo de cómputo en general (procesadores, unidades de disco, impresoras etc.). • En comunicaciones (hubs, ruteadores, nodos, líneas telefónicas). • Información. • Instalaciones. Establecimiento de un Grupo de Trabajo y definición de Roles. A través de la realización de una junta de trabajo, establecer formalmente el Comité del Plan de Contingencia con la siguiente estructura:  Presidente del Grupo de Trabajo del Plan de Contingencia.  Coordinador General.  Coordinador de Redes y Comunicaciones.  Coordinador de Soporte Técnico.  Coordinador de Sistemas.  Personal Clave. Definición de Roles. Presidente del Grupo de Trabajo.- Es el responsable de aprobar la realización del Plan de Contingencia Informático, dirigir los comunicados de concientización y solicitud de apoyo a los jefes y/o gerentes de las diferentes áreas involucradas y aprobar su terminación. Una vez concluida la realización del Plan de Contingencia, el Presidente tendrá como función principal, verificar que se realicen reuniones periódicas, cuando
  • 10.
    menos cada seismeses, en donde se informe de los posibles cambios que se deban efectuar al plan original y de que se efectúen pruebas del correcto funcionamiento del Plan de Contingencia Informático, cuando menos dos veces al año o antes si se presentan circunstancias de cambio que así lo ameriten. Al declararse una contingencia, deberá tomar las decisiones correspondientes a la definición de las ubicaciones para instalar el centro de cómputo alterno y autorizará las inversiones a realizar así como el fondo de efectivo a asignarse para los gastos necesarios iniciales. El presidente se mantendrá permanentemente informado respecto de la activación del Plan hasta la declaración de conclusión. Coordinador General.- Tendrá como función principal asegurar que se lleven a cabo todas las fases para la realización del Plan de Contingencia, registrará las reuniones que se realicen, a manera de minutas, aprobará los procesos críticos y tipo de evento que abarcará el Plan de Contingencia y aprobará junto con el Presidente del Comité la terminación de cada una de las fases y la conclusión del proyecto. Durante la realización del plan, una de sus actividades principales será la coordinación de la realización de las pruebas del Plan de Contingencia, la aprobación de las ubicaciones alternas que sea necesario definir, la aceptación de los gastos y/o adquisiciones o contratos de servicios que sean necesarios para la realización del plan. Al término de la realización de las pruebas, será el Coordinador General quién dé su visto bueno de la conclusión de éstas y de sus resultados, rindiendo un informe a todos los coordinadores involucrados y en general al personal involucrado, y en caso necesario, convocar a la realización de una segunda prueba, corrigiendo previamente las fallas que se hubieran presentado. Una vez que se encuentre aprobado el Plan de Contingencia, será el Coordinador General quien lleve a cabo formalmente la declaración de una contingencia grave y dé inicio formal de la aplicación del Plan de Contingencia, cuando así lo considere conveniente, propiciando que la contingencia desaparezca con el objeto de continuar normalmente con las actividades; será el responsable de dar por concluida la declaración de contingencia. En el caso particular de los Sistemas Informáticos: Coordinador de Redes y Comunicaciones.- Es el responsable de determinar los procedimientos a seguir en caso de que se presente una contingencia que afecte las comunicaciones, Servicios de Internet, Intranet, correo electrónico y red de la empresa, mantener actualizados dichos procedimientos en el Plan de Contingencia, determinar los requerimientos mínimos necesarios, tanto de equipo como de software, servicios, líneas telefónicas, cuentas de acceso a Internet, enlaces dedicados, dispositivos de comunicación (ruteadores, switchs, antenas etc). Asimismo, deberá mantener actualizado el inventario de equipo de
  • 11.
    telecomunicaciones y redes,efectuar los respaldos correspondientes y llevar a cabo las pruebas de operatividad necesarias, para asegurar la continuidad del servicio, en caso de que se llegara a presentar alguna contingencia, ya sea parcial, grave o crítica. El Coordinador de Comunicaciones es el responsable de mantener el directorio de contactos, proveedores y usuarios de los servicios antes descritos y mantenerlo permanentemente actualizado e incluirlo dentro del Plan de Contingencia Informático. Coordinará las actividades correspondientes a los servicios de comunicaciones al declararse una contingencia, hasta su restablecimiento total. Coordinador de Soporte Técnico.- Es el responsable de llevar a cabo el inventario de equipo, software y equipos periféricos, como impresoras, CD Writer, escáners, faxes, copiadoras, etc.; mantener los equipos en óptimas condiciones de funcionamiento; determinar la cantidad mínima necesaria de equipo y sus características para dar continuidad a las operaciones de la empresa; es responsable de elaborar o coordinar con los usuarios los respaldos de información. Deberá realizar los procedimientos correspondientes para la emisión de los respaldos de cada uno de los servidores o equipos en donde se procese lo enunciado en el párrafo anterior, efectuar y mantener actualizado el directorio de proveedores de equipos, garantías, servicio de mantenimiento y reparaciones, suministros, refacciones y desarrollo de software, en su caso, e incluirlo dentro del Plan de Contingencia Informático. En caso de que se declare alguna contingencia que afecte a los equipos y al software, sea cual fuere su grado de afectación, es el responsable de restablecer el servicio a la brevedad, con el objeto de que no se agrave el daño o se llegara a tener consecuencias mayores. Para tal efecto debe participar en pruebas del Plan de Contingencia en conjunto con los demás participantes, con el objeto de estar permanentemente preparado para actuar en caso de contingencia. Coordinador de Sistemas.- Será el responsable de determinar los sistemas Críticos de la Empresa, que en caso de presentarse alguna contingencia como corte de energía eléctrica prolongada, temblor, incendio, falla del sistema de cómputo, pérdida de documentación, o alguna otra causa determinada, se llegara a afectar sensiblemente la continuidad de las operaciones en las áreas que utilicen dichos sistemas críticos. En caso de cambiar a otras instalaciones alternas, el Coordinador de Programación deberá definir cuáles serían las actividades que se deberán seguir para la configuración o instalación de los sistemas desarrollados, optimizando los recursos con los que se cuente, realizando las pruebas necesarias hasta su correcto funcionamiento en las terminales destinadas para su operación. Deberá mantener actualizados los Manuales Técnicos y de Usuario, resguardándolos fuera de las instalaciones para su consulta y utilización al momento de requerirse.
  • 12.
    Personal Clave.- Esel responsable de la aplicación de los procedimientos que describa el Plan de Contingencia para cada una de las diferentes circunstancias o contingencias previstas y de reportar con la periodicidad que se indique en el plan, al Coordinador de su área y al Coordinador General, los resultados de la aplicación de alguna de las fases del plan. Coordinarán con el personal de la Empresa involucrado, la realización de las actividades contenidas en el Plan de Contingencia para la situación que se hubiera presentado y tratar por todos los medios que les sea posible el logro de los objetivos y asegurar la continuidad de las operaciones de la Empresa, disminuyendo el impacto de la contingencia al mínimo. Darán aviso al Coordinador de su área, cuando a su juicio, las circunstancias que provocaron la activación del plan hubieran desaparecido y se estuviera en condiciones de continuar normalmente con las actividades. En caso de requerir de actividades complementarias para regresar a las actividades normales, especialmente cuando se trate de los sistemas informáticos de la Empresa, deberán incluir el plan de actividades que se deberá seguir para retornar a la situación normal. Personal de la Empresa involucrado.- El personal, al verse afectado por una situación de contingencia, deberá en primera instancia apoyar para salvaguardar las vidas propias y de sus compañeros de trabajo, cuando la situación que se estuviera presentado sea grave (incendio, temblor, etc.); posteriormente, y en la medida en que la situación lo permita, deberá coadyuvar a salvaguardar los bienes de la Empresa (el propio inmueble, equipos, documentación importante, etc.). Con posterioridad a la crisis inicial, deberá apoyar a solicitud del Coordinador de su área y/o del personal clave del Plan de Contingencia, en la toma del inventario de daños, para lo cual deberá seguir las instrucciones generales que indique el propio plan. En forma alterna, deberá dar cumplimiento a las instrucciones que se incluyan en el Plan de Contingencia Informático para darle continuidad a las funciones informáticas críticas, siguiendo los procedimientos establecido, con la salvedad de que deberá, en forma creativa y responsable, adaptarlos a las circunstancias de limitación que represente el cambio de ubicación de las diferentes áreas involucradas en los procesos y la utilización de recursos de cómputo, mensajería, comunicaciones, etc., limitados. Al declararse concluida la contingencia, deberá participar activamente en la restauración de las actividades normales de la Empresa, esto es, apoyar en la movilización de documentación, mobiliario, etc., a las instalaciones originales o al lugar que le sea indicado, hasta la estabilización de las actividades. Cuando sea necesario, deberá participar en la capacitación del nuevo personal o del personal eventual que hubiera sido necesario contratar.
  • 13.
    Determinar los tiemposde recuperación y los requerimientos mínimos de recursos. Para cada una de las fases críticas que se cubrirán con el Plan de Contingencia Informático, se deben determinar los tiempos mínimos requeridos para el establecimiento del plan, esto es, cuánto tiempo debe transcurrir desde el momento en que se inicia o activa el plan, hasta que las actividades, funciones o sistemas se encuentren en operación total o parcialmente. Es conveniente definir un tiempo aceptable y viable para que la red y la aplicación principal estén nuevamente activas. Para situaciones críticas: • Incluir el traslado de los medios de almacenamiento magnético que se encuentren fuera de las instalaciones. • La copia de los datos a los nuevos medios de almacenamiento magnético y la habilitación de las comunicaciones, servicios de Internet y correo electrónico. • El personal mínimo requerido para continuar operando. • Tiempo de restauración de cada uno de los servicios de Red, Comunicaciones, Internet y Correo Electrónico. • El tiempo determinado debe ser conocido y aceptado por todos los usuarios principales que operan los sistemas o cuentan con un equipo crítico. Para situaciones de bajo riesgo: • Tiempo de reparación o reposición de una estación de trabajo (PC). • Tiempo de configuración de las PC. • Tiempo de respuesta del proveedor para la reparación de los servidores (verificar contratos y garantías). • Tiempos de reparación de fallas eléctricas. • Tiempo de restauración de cada uno de los servidores y sus aplicaciones.
  • 14.
    Conclusiones. Es un factorimportante prepararse para algo que probablemente pueda ocurrir, especialmente cuando se involucra a los sistemas de cómputo. Cuando se depende de estos sistemas, un desastre puede o no dejar continuar las operaciones de la Empresa. En el momento que se presentan situaciones de desastre, el regresar a la normalidad va más allá de mantener los sistemas de información en orden y consistentes. Por lo anterior, es importante saber qué se va a recuperar y quién puede hacerlo en caso de pérdidas humanas. Las Empresas se enfrentan a una amplia gama de desastres: desde los locales, que ocurren en el interior de la empresa, en un espacio determinado del edificio, hasta los que afectan todas las instalaciones de la misma o aquellos que abarcan una región entera. Los primeros consisten en incendios, sabotajes o fallas en el suministro de la energía eléctrica, entre otras cosas; los segundos, conocidos como desastres en el sitio, afectan a todo el edificio. Los provocan explosiones por bomba, inundaciones o desórdenes en la tensión o suministro de la energía eléctrica, etc. Los desastres pueden agruparse en dos grandes tipos: por un lado los que tienen su origen en la naturaleza, como ciclones, temblores, inundaciones, tormentas y huracanes. Por otro lado, existen los que son provocados por el hombre, como virus de computadoras, suspensiones o sobrecarga de energía, errores de hardware y software, interrupciones de las redes, errores humanos, sabotaje, etc.
  • 15.
  • 16.
    Figura 1. Diagramade Flujo para Respuesta de Emergencia de Fallas de Hardware o Software.
  • 17.
    Figura 2. Diagramade flujo de respuesta de emergencia de Sabotaje o Daño Accidental.
  • 18.
    Figura 3. Diagramade flujo de respuesta a emergencia de falla de la Red de Voz y Datos.
  • 19.
    Bibliografía. Chinto Ramírez, Rubén.Implementación de la mejora continua: Clave del éxito empresarial. Ed. Grijalbo, Barcelona, España. 2001. Pp. 222,274. McLeeland, Robert. Handling of Risks. Ed. Stevenson & Sons. Vermont, Virginia, Estados Unidos de Norteamérica. 1997. Pp 315, 342. Plan de contingencia Informático. Delegación Miguel Hidalgo. México, D.F. Archivo PDF. 2005.