“Año del buen servicio al ciudadano”
UNIVERSIDAD PERUANA LOS ANDES ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS Y COMPUTACIÓN
“IDENTIFICACIÓN “IDENTIFICACIÓN Y VALORACIÓN DE LOS
ACTIVOS DEL ÁREA DE ASUNTOS ACADÉMICOS DE LA FIM – UNCP” INTEGRANTES:
• • • • •
Porras Gago Ghampier Hector Quintana Ore Yang Yhonatan Quispe Fernández Noel Sedano Quiñones Christian Ricardo Ventura Rosario Arnold Paul
Huancayo – Perú 2017 – I
DEFINICION DEL ESCENARIO DE ACCION La oficina de Asuntos Académicos es responsable de cumplir en forma eficiente y oportuna las funciones señaladas en el Reglamento de Organización y Funciones, el Manual de Organización y Funciones, y demás disposiciones legales vigentes que norman su actividad; también es responsable de los bienes muebles, equipos y materiales asignados a la oficina. Tiene como principales funciones: a. Proponer soluciones soluciones a los problemas académicos. b. Dictaminar los expedientes de grados y títulos. c. Dictaminar los expedientes de convalidaciones. convalidaciones. d. Dictaminar en coordinación con con el Decano los profesores revisores para tesis e informe de experiencia profesional. e. Dictaminar en coordinación coordinación con el Decano la terna de jurados para titulación por modalidad de examen de capacidad profesional. f. Organizar las matriculas en coordinación con el asistente administrativo. g. Programar las evaluaciones evaluaciones en todas sus sus modalidades de acuerdo al calendario académico, en coordinación con el asistente administrativo. h. Ejecutar las encuestas encuestas estudiantiles estudiantiles semestrales, semestrales, en coordinación coordinación con la Dirección Universitaria de Administración Académica. i. Implementar, supervisar supervisar y evaluar evaluar la consejería consejería por cada periodo lectivo, debiendo dar cuenta de los resultados al Decanato y a la Dirección Universitaria de Administración Académica. j. Controlar el procesamiento de las pre-actas y actas de evaluación, promocional y aplazados, así como de la correcta emisión de los certificados de estudios en cuanto a los datos en los contenidos. k. Controlar el proceso de convalidación por por traslado interno, traslado externo, segunda carrera y actualización de matrícula, así como la adecuación a nuevos planes de estudios, en coordinación con la subcomisión de convalidaciones y el Asistente Administrativo. l. Proponer el número de vacantes vacantes para el concurso de admisión admisión previo estudio de la oferta y la demanda. m. Establecer la conclusión de los estudios de acuerdo a la directiva vigente. n. Revisar la documentación para el otorgamiento de los grados de bachiller y el título profesional, de acuerdo al reglamento general y el reglamento de grados y títulos de la Universidad.
DEFINICION DEL ESCENARIO DE ACCION La oficina de Asuntos Académicos es responsable de cumplir en forma eficiente y oportuna las funciones señaladas en el Reglamento de Organización y Funciones, el Manual de Organización y Funciones, y demás disposiciones legales vigentes que norman su actividad; también es responsable de los bienes muebles, equipos y materiales asignados a la oficina. Tiene como principales funciones: a. Proponer soluciones soluciones a los problemas académicos. b. Dictaminar los expedientes de grados y títulos. c. Dictaminar los expedientes de convalidaciones. convalidaciones. d. Dictaminar en coordinación con con el Decano los profesores revisores para tesis e informe de experiencia profesional. e. Dictaminar en coordinación coordinación con el Decano la terna de jurados para titulación por modalidad de examen de capacidad profesional. f. Organizar las matriculas en coordinación con el asistente administrativo. g. Programar las evaluaciones evaluaciones en todas sus sus modalidades de acuerdo al calendario académico, en coordinación con el asistente administrativo. h. Ejecutar las encuestas encuestas estudiantiles estudiantiles semestrales, semestrales, en coordinación coordinación con la Dirección Universitaria de Administración Académica. i. Implementar, supervisar supervisar y evaluar evaluar la consejería consejería por cada periodo lectivo, debiendo dar cuenta de los resultados al Decanato y a la Dirección Universitaria de Administración Académica. j. Controlar el procesamiento de las pre-actas y actas de evaluación, promocional y aplazados, así como de la correcta emisión de los certificados de estudios en cuanto a los datos en los contenidos. k. Controlar el proceso de convalidación por por traslado interno, traslado externo, segunda carrera y actualización de matrícula, así como la adecuación a nuevos planes de estudios, en coordinación con la subcomisión de convalidaciones y el Asistente Administrativo. l. Proponer el número de vacantes vacantes para el concurso de admisión admisión previo estudio de la oferta y la demanda. m. Establecer la conclusión de los estudios de acuerdo a la directiva vigente. n. Revisar la documentación para el otorgamiento de los grados de bachiller y el título profesional, de acuerdo al reglamento general y el reglamento de grados y títulos de la Universidad.
o. Integrar la comisión de Planificación Economía y Evaluación para proponer la currícula de estudios de la Facultad y para la elaboración de los horarios de clase. p. Solucionar (en casos debidamente justificados) problemas académicos, y elevar el expediente a Consejo de Facultad, Oficina de Administración Académica o a Vicerrectorado Académico en el orden indicado para su evaluación con el fin de dar solución a dicho problema; pr oblema; asimismo, se podrá elevar el caso a Consejo Universitario, como última instancia. q. Coordinar las prácticas pre-profesionales pre-profesionales de los estudiantes. estudiantes. r. Proponer convenios convenios a instituciones instituciones y empresas empresas a fin de contar con con prácticas pre profesionales. s. Supervisa y certifica las prácticas prácticas pre-profesionales pre-profesionales según según reglamento. reglamento.
CAPITULO I ANÁLISIS DE ACTIVOS DE TI 1.1.
Identificación y Clasificación Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio. Este tipo de información imprescindible para las organizaciones es lo que se ha denominado activo de seguridad de la información. Su protección es el objetivo de todo Sistema de Gestión de Seguridad de la Información. Para proteger los activos de información es necesario conocerlos e identificar cuáles son dentro de la organización. Para ello se debe elaborar un inventario que los identifique y clasifique.
1.1.1. CLAVES CRIPTOGRAFICAS -
[K-INF-SIGN-CASG] Clave de acceso al Sistema Galileo [K-INF-SIGN-CASO] Clave de acceso al Sistema Operativo
1.1.2. SERVICIOS -
[S-INT-WWW] Internet [S-INT-GLO] Sistema Galileo
1.1.3. SOFTWARE DE APLICACIÓN -
[SW-STD-BROWSER] Navegador Web [SW-STD-OFFICE] Ofimática [SW-STD-AV] Antivirus [SW-STD-SO] Sistema Operativo
1.1.4. EQUIPAMIENTO INFORMÁTICO -
[HW-PC] Informática personal [HW-PERIPHERAL-PRINT] Impresora [HW-NETWORK-SWITCH] Conmutador
1.1.5. REDES DE COMUNICACIÓN -
[COM-INTERNET] Internet [COM-MOBILE] Telefonía Móvil [COM-LAN] Red local
1.1.6. SOPORTE DE INFORMACIÓN
-
[MEDIA-ELECTRONIC-CD] Cederrón (CD-ROM) [MEDIA-ELECTRONIC-USB] Memorias usb [MEDIA-NON-ELECTRONIC-PRINTED-EXP] Expedientes
1.1.7. EQUIPAMIENTO AUXILIAR -
[AUX-CABLING-WIRE] Cable eléctrico [AUX-SUPPLY] Suministros esenciales [AUX-FURNITURE] Escritorios, Estantes
1.1.8. INSTALACIONES -
[L-BUILDING] Edificio
1.1.9. PERSONAL -
1.2.
[P-UI-DIR] Director de Escuela Profesional [P-UI-SEC] Secretaria [P-UI-JSGT] Jefe de la subcomisión de grados y títulos UI-JSPP] Jefe de la subcomisión de prácticas pre prof.
[P-
Valoración Después de la identificación y clasificación de los mismos, es necesario realizar una valoración cualitativa de 0 a 10, bajo, medio, alto, el criterio que se utilizara está basado en las características principales de la información: • I: Integridad • C: Confidencialidad • D: Disponibilidad • A: Autenticidad • T: Trazabilidad Criterio de valoración Nivel Criterio 0 Despreciable 1 Bajo 2 Bajo (+) 3 Medio (-) 4 Medio 5 Medio (+) 6 Alto (-) 7 Alto 8 Alto (+)
9 10
Muy Alto Extremo CARACTERISTICAS DE SEGURIDAD ACTIVOS D
I
C A T TOTAL
CLA VES CRIPTOGRAFICAS [K-INF-SIGN-CASG] Clave de acceso al Sistema Galileo [K-INF-SIGN-CASO] Clave de acceso al Sistema Operativo
7
6
9 6 6
6.8
9
8
4 4 4
5.8
S ERVICIOS [S-INT-WWW] Internet
7
5
2 2 2
3.6
[S-INT-GLO] Sistema Galileo
7
8
9 8 9
8.2
SOF TWARE DE APLICACIÓN [SW-STD-BROWSER] Navegador Web [SW-STD-OFFICE] Ofimática [SW-STD-AV] Antivirus [SW-STD-SO] Sistema Operativo
7
5
4 6 2
4.8
4
7
2 2 5
4
4
4
1 1 1
2.2
9
7
7 6 6
7
EQUIP AMIE NTO INFORMÁTICO [HW-PC] Informática personal [HW-PERIPHERALPRINT] Impresora [HW-NETWORKSWITCH] Conmutador
9
7
2 3 5
5.2
7
1
2 0 4
2.8
5
4
2 0 4
3
REDE S DE COMUNICA CIONES [COM-INTERNET] Internet [COM-MOBILE] Telefonía Móvil
5
4
5 2 2
3.6
3
1
5 5 1
3
[COM-LAN] Red local
1
6
5 8 3
4.6
SOP ORTE DE IN FORMACIÓN [MEDIAELECTRONIC-CD] Cederrón (CD-ROM) [MEDIAELECTRONIC-USB] Memorias usb [MEDIA-NONELECTRONIC-PRINTED-
4
4
3 2 1
2.8
4
4
5 5 1
3.8
10
10 2 6 8
7.2
EXP] Expedientes
EQ UIPAMIENTO AUXILIAR [AUX-CABLINGWIRE] Cable eléctrico [AUX-SUPPLY] Suministros esenciales [AUX-FURNITURE] Escritorios, Estantes
8
1
1 0 1
2.2
8
1
1 0 1
2.2
4
1
1 0 1
1.4
2 6 4
4.6
INST ALAC IONE S [L-BUILDING] Edificio
8
3
P ERSONAL OFICINA ADMINIS TRATIVA DE ASUNTOS ACADEMICOS [P-UI-DIR] Director de Escuela 9 6 7 5 7 Profesional [P-UI-SEC] 8 2 6 4 6 Secretaria [P-UI-JSGT] Jefe de la subcomisión de 4 4 4 5 4 grados y títulos [P-UI-JSPP] Jefe de la subcomisión de 4 4 4 5 4 prácticas pre prof.
Tabla No1 – Valoración de activos
6.8 5.2 4.2
4.2
1.3.
Estructura de dependencia
Gráfico No1 – Estructura de dependencia
Gráfico No1 – Estructura de dependencia
CAPITULO II ANÁLISIS DE ESTADO DE ACTIVOS DE TI El siguiente análisis pretende dar una vista de cuáles son las amenazas, vulnerabilidades, riesgos y salvaguardas, que se pueden manejar y están al alcance del área de Asuntos Académicos de la FIM – UNCP.
2.1. Activos seleccionados Los siguientes activos fueron seleccionados después de haber realizado la valoración, para brindarles protección aplicando los controles que ofrece la ISO/IEC 27002:2013. Los siguientes activos son los que presentan más valor para la organización y sus vulnerabilidades afectan directamente a la actividad pr imaria. 2.1.1. Servicios -
[S-INT-GLO] Sistema Galileo
2.1.2. Software [SW-STD-SO] Sistema Operativo
CAPITULO II ANÁLISIS DE ESTADO DE ACTIVOS DE TI El siguiente análisis pretende dar una vista de cuáles son las amenazas, vulnerabilidades, riesgos y salvaguardas, que se pueden manejar y están al alcance del área de Asuntos Académicos de la FIM – UNCP.
2.1. Activos seleccionados Los siguientes activos fueron seleccionados después de haber realizado la valoración, para brindarles protección aplicando los controles que ofrece la ISO/IEC 27002:2013. Los siguientes activos son los que presentan más valor para la organización y sus vulnerabilidades afectan directamente a la actividad pr imaria. 2.1.1. Servicios -
[S-INT-GLO] Sistema Galileo
2.1.2. Software -
[SW-STD-SO] Sistema Operativo
2.1.3. Soporte de información -
[MEDIA-NON-ELECTRONIC-PRINTED-EXP] Expedientes
2.2. Frecuencia de amenazas FRECUENCIA DE AMENAZA Valor
Criterio
Muy frecuente
MF
A diario
Frecuente
F
Mensualmente
Normal
FN
Una vez al año
Poco frecuente
PF
Cada varios años
Muy raro
MR
Despreciable
2.3. Análisis de amenazas, vulnerabilidades, riesgos y salvaguardas. ACTIVO
AMENAZA
Suplantación de identidad [S-INT-GLO] Sistema Galileo
VULNERABILIDA RIESG D O [S] Servicios
SALVAGUARD A
Falta establecer una política de control de acceso
Definir políticas para el control de acceso. Exigir actualización de las claves de acceso.
PF
[SW] Software
[SW-STD-SO] Sistema Operativo
Suplantación de identidad
Falta establecer una política de control de acceso
Errores de mantenimient o/ actualización de programas
Falta de supervisión en los cambios que garanticen el rendimiento de los sistemas
Indisponibilid a d del personal
de personal capacitado
PF
Definir políticas para el control de acceso. Exigir actualización de las claves de acceso.
F
Exigir procesos de actualización de programas.
PF
Exigir un plan de entrenamiento al personal de acuerdo a su capacidad profesional.
Falta
[Media] Soportes de información Errores del responsable [MEDIA Alteración de NONELECTRONICPRINTE la D-EXP] documentaci Expedientes ón Indisponibilid a d del personal
Incumplimiento de las funciones establecidas en el ROF Falta de política de control de acceso a la información Falta del personal capacitado
MF
Cumplir la asignación de roles y funciones
PF
Trazabilidad del acceso a la información
PF
Plan de capacitación para el personal
PLAN DE CONTINGENCIA
Objetivos.
Establecer mecanismos y procedimientos para proporcionar confidencialidad, integridad y disponibilidad de la información.
Estimular la creación de una cultura de seguridad en Informática, así como fomentar la ética entre el personal de la empresa.
Definir los requerimientos mínimos de seguridad en cada área, dependiendo del tipo de información que se procese: confidencial, restringida, de uso interno, general o público, estableciendo los procedimientos para identificación y uso de cada categoría de información.
Promover el establecimiento de procedimientos alternos en previsión a contingencias de cualquier naturaleza que garanticen en la medida de lo posible, la continuidad del procesamiento de la información y la prestación de servicios, mismos que al incorporarse al presente documento lo irán enriqueciendo y de esta manera se logrará contar cada vez con una mejor herramienta que apoye a superar las contingencias que se presenten.
Planificación de la contingencia. El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y lógica en previsión de desastres. Se define la Seguridad de Datos Informáticos como un conjunto de medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. Se ha considerado que para la empresa, la seguridad es un elemento básico para garantizar su supervivencia y entregar el mejor servicio a sus clientes, y por lo tanto, considera a la Información como uno de los activos más importantes de la Organización, lo cual hace que la protección de esta, sea el fundamento más importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperación para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de los procedimientos de seguridad de la Información que cada Departamento de la empresa debe definir.
Actividades asociadas. • • • • •
Las actividades consideradas en este documento son: Análisis de Riesgos. Medidas Preventivas. Previsión de Desastres Naturales. Plan de Respaldo. Plan de Recuperación. Análisis de Riesgos. Para realizar un análisis de los riesgos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría como se ha visto a lo largo de las exposiciones de esta materia de Protocolos de Operación y Mantenimiento.
Bienes susceptibles de daño. a) b) c) d)
Se puede identificar los siguientes bienes afectos a riesgos: Hardware. Software y utilitarios. Datos e información. Documentación.
Daños. Los posibles daños pueden referirse a: 1) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. 2) Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, por ejemplo, cambios de claves o códigos de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado. 3) Divulgación de información a instancias fuera de la empresa y que afecte su patrimonio estratégico comercial y/o Institucional, sea mediante robo o infidencia.
Prioridades. La estimación de los daños en los bienes y su impacto, fija una prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se pierden en la contingencia. Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre.
Fuentes de daños. (Ver Figura 2 en anexos)
Las posibles fuentes de daño que pueden causar una operación anormal de la empresa, asociadas al Departamento o Área de Sistemas Informáticos de la misma son:
Acceso no autorizado. Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a los sistemas de informacion). Violación de las claves de acceso a los sistemas informáticos.
Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas informáticos en uso (virus, sabotaje, hackers). Intromisión no autorizada a procesos y/o datos de los sistemas, ya sea por simple curiosidad o malas intenciones. Desastres naturales.
a) Movimientos sísmicos que afecten directa o indirectamente a las instalaciones físicas de soporte (edificios) y/o de operación (equipos de cómputo). b) Fallas en los equipos de soporte: 1. Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por parte de la empresa. 2. Por fallas de la comunicación. 3. Por fallas en el tendido de la red local. 4. Por fallas de la Central Telefónica (Movistar). 5. Por fallas de líneas de fax o de Internet. Vandalismo. Un intento de vandalismo ya sea menor o mayor, podría afectar a las PC’s, periféricos y servidores
así como las comunicaciones. Si el intento de vandalismo es mayor, se presenta un grave riesgo dentro del área de Sistemas Informáticos ya que puede dañar los dispositivos perdiendo toda la información y por consecuencia las actividades se verían afectadas en su totalidad, así como el servicio proporcionado al cliente.
A continuación se menciona en forma enunciativa una serie de medidas preventivas: Establecer vigilancia mediante cámaras de seguridad en el sitio, el cual registre todos los movimientos de entrada del personal.
Contar, ya sea bajo contrato o mediante convenio, con un centro de cómputo alterno de características físicas y equipo de cómputo adecuado para darle continuidad a las operaciones críticas de la empresa, aún en forma limitada de cobertura y de comunicaciones.
Medidas preventivas en caso de presentarse un paro total de las operaciones (huelga): a. Determinar lugares especiales, fuera del centro de datos, para almacenar los respaldos y copia de la documentación de referencia. b. El personal clave del Plan de Contingencia Informático, debe de dar la alerta del paro total y sacar los respaldos de información fuera del edificio dentro de un tiempo límite antes de ser declarada la huelga.
Fallas de personal clave. Se considera personal clave aquel que cumple una función vital en el flujo de procesamiento de datos u operación de los Sistemas de Informáticos: a) Personal de Informática. a) Jefe de asuntos académicos b) Secretaria Pudiendo existir los siguientes inconvenientes: a) Enfermedad. b) Accidentes. c) Renuncias. d) Abandono de sus puestos de trabajo. e) Otros imponderables.
Fallas de Hardware y Software. (Ver Figura 1 y 3 en anexos)
a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. b) Falla en el hardware de Red: - Falla en los Switches. - Falla en el cableado de la Red. c) Falla en el Router.
Las alteraciones que sufran los servidores tanto en Software y Hardware pueden ser corregidas en la mayoría de los casos, sin embargo en algunas ocasiones, las alteraciones llegan a ser tan grandes que el tiempo requerido para el inicio de las operaciones normales puede extenderse hasta por días sin tener la absoluta certeza de que las correcciones que se hicieron fueron las necesarias, por tal motivo es mejor acudir a los respaldos de información y restaurar los datos, de esta forma las operaciones del día no se verán afectadas y al mismo tiempo se ponen al día los datos faltantes de la operación del día anterior. Análisis y Evaluación del daño causado por la alteración.
En el caso de que la alteración haga imposible el inicio inmediato de las operaciones se procede como sigue: Recoger los respaldos de datos, programas, manuales y claves del lugar en el que se encuentren resguardados. Responsable: Coordinador de Redes y Comunicaciones. Si las fallas se derivan del mal funcionamiento de un equipo(Hardware) se procede a su reemplazo inmediato o remitirse a la póliza de mantenimiento. Responsable: Coordinador de Redes y Comunicaciones. Instalar (sí lo amerita) el sistema operativo. Responsable: Coordinador de Redes y Comunicaciones. Restaurar la información de las bases de datos y programas. Responsable: Coordinador de Sistemas. Revisar y probar la integridad de los datos. Responsable: Coordinador de Sistemas. Iniciar las operaciones.
En los casos en que la alteración puede ser corregida sin problemas graves, se procede conforme a lo siguiente: Corrección de las alteraciones que se localicen en los servidores Hardware. Responsable: Coordinador de Redes y Comunicaciones.
Corrección de las alteraciones que se localicen en los servidores Software. Responsable: Coordinador de Sistemas. Revisión y prueba de la integridad de los datos. Responsable: Coordinador de Sistemas. Iniciar las operaciones.
Plan de acción. 1. Realizar un levantamiento de los servicios informáticos. Llevar a cabo un Inventario de equipo de cómputo, software y mobiliario, para determinar cuál es la información crítica que se tiene que resguardar, adicionalmente levantar un inventario de los servicios de cómputo, telecomunicaciones, Internet, etc., que son requeridos para que los usuarios estén en posibilidad de llevar a cabo sus actividades normales. 2. Identificar un conjunto de amenazas. Identificar los tipos de siniestros a los cuales está propenso cada uno de los procesos críticos, tales como falla eléctrica prolongada, incendio, terremoto, etc. Identificar el conjunto de amenazas que pudieran afectar a los procesos informáticos, ya sea por causa accidental o intencional. 3. Revisar la seguridad, controles físicos y ambientales existentes, evaluando si son adecuados respecto a las amenazas posibles. Se debe estar preparado para cualquier percance, verificando que dentro de la empresa se cuente con los elementos necesarios para salvaguardar sus activos. 4. Identificar los servicios fundamentales del área de sistemas informáticos de la empresa (Factores Críticos). Se deben analizar las funciones de mayor prioridad de la empresa, por medio de diagramas de flujo de los procesos específicos para medir el alcance de cada actividad.
Etapas de la metodología. En el Plan de Contingencia Informático se establecen procedimientos preventivos para el manejo de casos de emergencia que se presenten en la empresa al sufrir una situación anormal, protegiendo al personal, las instalaciones, la información y el equipo.
En el momento que sea necesario aplicar el Plan de Contingencia, la reanudación de las actividades puede ser el mayor reto con el que la empresa se enfrente, probablemente no pueda regresar a su lugar habitual de trabajo o no disponga de las herramientas usuales para desempeñar normalmente sus actividades. Incluso es posible tener que hacer el trabajo sin el equipo de gestión y colaboradores. No se debe dejar el Plan de Contingencia para una ocasión posterior debido a cargas excesivas de trabajo, es necesario presupuestar tiempo y recursos para crear un programa de contingencia completo y útil. La preparación ante un desastre comienza asegurándose de que se tienen los datos a recuperar. Un programa de contingencia no incluye solamente operaciones de copia de seguridad como parte de su contenido; sin embargo, la realización de copias de seguridad fiables es un requisito previo. Existen diferentes tipos de contingencia de acuerdo a los daños sufridos: Menor.- Es la que tiene repercusiones sólo en la operación diaria y se puede recuperar en menos de 8 horas. Grave.- Es la que causa daños a las instalaciones, pero pueden reiniciar las operaciones en menos de 24 horas. Crítica.- Afecta la operación y a las instalaciones, este no es recuperable en corto tiempo y puede suceder por que no existen normas preventivas o bien porque estas no son suficientes. También puede suceder por ocurrir algún tipo de desastre natural como un terremoto. Tipos de Contingencias de acuerdo al grado de afectación: • En el mobiliario y equipo. • En el equipo de cómputo en general (procesadores, unidades de disco, impresoras etc.). • En comunicaciones (hubs, ruteadores, nodos, líneas telefónicas). • Información. • Instalaciones.
Establecimiento de un Grupo de Trabajo y definición de Roles.
A través de la realización de una junta de trabajo, establecer formalmente el Comité del Plan de Contingencia con la siguiente estructura: Presidente del Grupo de Trabajo del Plan de Contingencia. Coordinador General. Coordinador de Redes y Comunicaciones. Coordinador de Soporte Técnico. Coordinador de Sistemas. Personal Clave. Definición de Roles. Presidente del Grupo de Trabajo.- Es el responsable de aprobar la realización del Plan de Contingencia Informático, dirigir los comunicados de concientización y solicitud de apoyo a los jefes y/o gerentes de las diferentes áreas involucradas y aprobar su terminación. Una vez concluida la realización del Plan de Contingencia, el Presidente tendrá como función principal, verificar que se realicen reuniones periódicas, cuando menos cada seis meses, en donde se informe de los posibles cambios que se deban efectuar al plan original y de que se efectúen pruebas del correcto funcionamiento del Plan de Contingencia Informático, cuando menos dos veces al año o antes si se presentan circunstancias de cambio que así lo ameriten. Al declararse una contingencia, deberá tomar las decisiones correspondientes a la definición de las ubicaciones para instalar el centro de cómputo alterno y autorizará las inversiones a realizar así como el fondo de efectivo a asignarse para los gastos necesarios iniciales. El presidente se mantendrá permanentemente informado respecto de la activación del Plan hasta la declaración de conclusión. Coordinador General.- Tendrá como función principal asegurar que se lleven a cabo todas las fases para la realización del Plan de Contingencia, registrará las reuniones que se realicen, a manera de minutas, aprobará los procesos críticos y tipo de
evento que abarcará el Plan de Contingencia y aprobará junto con el Presidente del Comité la terminación de cada una de las fases y la conclusión del proyecto. Durante la realización del plan, una de sus actividades principales será la coordinación de la realización de las pruebas del Plan de Contingencia, la aprobación de las ubicaciones alternas que sea necesario definir, la aceptación de los gastos y/o adquisiciones o contratos de servicios que sean necesarios para la realización del plan. Al término de la realización de las pruebas, será el Coordinador General quién dé su visto bueno de la conclusión de éstas y de sus resultados, rindiendo un informe a todos los coordinadores involucrados y en general al personal involucrado, y en caso necesario, convocar a la realización de una segunda prueba, corrigiendo previamente las fallas que se hubieran presentado. Una vez que se encuentre aprobado el Plan de Contingencia, será el Coordinador General quien lleve a cabo formalmente la declaración de una contingencia grave y dé inicio formal de la aplicación del Plan de Contingencia, cuando así lo considere conveniente, propiciando que la contingencia desaparezca con el objeto de continuar normalmente con las actividades; será el responsable de dar por concluida la declaración de contingencia.
En el caso particular de los Sistemas Informáticos: Coordinador de Redes y Comunicaciones.- Es el responsable de determinar los procedimientos a seguir en caso de que se presente una contingencia que afecte las comunicaciones, Servicios de Internet, Intranet, correo electrónico y red de la empresa, mantener actualizados dichos procedimientos en el Plan de Contingencia, determinar los requerimientos mínimos necesarios, tanto de equipo como de software,
servicios, líneas telefónicas, cuentas de acceso a Internet, enlaces dedicados, dispositivos de comunicación (ruteadores, switchs, antenas etc). Asimismo, deberá mantener actualizado el inventario de equipo de telecomunicaciones y redes, efectuar los respaldos correspondientes y llevar a cabo las pruebas de operatividad necesarias, para asegurar la continuidad del servicio, en caso de que se llegara a presentar alguna contingencia, ya sea parcial, grave o crítica. El Coordinador de Comunicaciones es el responsable de mantener el directorio de contactos, proveedores y usuarios de los servicios antes descritos y mantenerlo permanentemente actualizado e incluirlo dentro del Plan de Contingencia Informático. Coordinará las actividades correspondientes a los servicios de comunicaciones al declararse una contingencia, hasta su restablecimiento total.
Coordinador de Soporte Técnico.- Es el responsable de llevar a cabo el inventario de equipo, software y equipos periféricos, como impresoras, CD Writer, escáners, faxes, copiadoras, etc.; mantener los equipos en óptimas condiciones de funcionamiento; determinar la cantidad mínima necesaria de equipo y sus características para dar continuidad a las operaciones de la empresa; es responsable de elaborar o coordinar con los usuarios los respaldos de información. Deberá realizar los procedimientos correspondientes para la emisión de los respaldos de cada uno de los servidores o equipos en donde se procese lo enunciado en el párrafo anterior, efectuar y mantener actualizado el directorio de proveedores de equipos, garantías, servicio de mantenimiento y reparaciones, suministros, refacciones y desarrollo de software, en su caso, e incluirlo dentro del Plan de Contingencia Informático.
En caso de que se declare alguna contingencia que afecte a los equipos y al software, sea cual fuere su grado de afectación, es el responsable de restablecer el servicio a la brevedad, con el objeto de que no se agrave el daño o se llegara a tener consecuencias mayores. Para tal efecto debe participar en pruebas del Plan de Contingencia en conjunto con los demás participantes, con el objeto de estar permanentemente preparado para actuar en caso de contingencia.
Coordinador de Sistemas.- Será el responsable de determinar los sistemas Críticos de la Empresa, que en caso de presentarse alguna contingencia como corte de energía eléctrica prolongada, temblor, incendio, falla del sistema de cómputo, pérdida de documentación, o alguna otra causa determinada, se llegara a afectar sensiblemente la continuidad de las operaciones en las áreas que utilicen dichos sistemas críticos. En caso de cambiar a otras instalaciones alternas, el Coordinador de Programación deberá definir cuáles serían las actividades que se deberán seguir para la configuración o instalación de los sistemas desarrollados, optimizando los recursos con los que se cuente, realizando las pruebas necesarias hasta su correcto funcionamiento en las terminales destinadas para su operación. Deberá mantener actualizados los Manuales Técnicos y de Usuario, resguardándolos fuera de las instalaciones para su consulta y utilización al momento de requerirse. Personal Clave.- Es el responsable de la aplicación de los procedimientos que describa el Plan de Contingencia para cada una de las diferentes circunstancias o contingencias previstas y de reportar con la periodicidad que se indique en el plan, al Coordinador de su área y al Coordinador General, los resultados de la aplicación de alguna de las fases del plan. Coordinarán con el personal de la Empresa involucrado, la realización de las actividades contenidas en el Plan de Contingencia
para la situación que se hubiera presentado y tratar por todos los medios que les sea posible el logro de los objetivos y asegurar la continuidad de las operaciones de la Empresa, disminuyendo el impacto de la contingencia al mínimo. Darán aviso al Coordinador de su área, cuando a su juicio, las circunstancias que provocaron la activación del plan hubieran desaparecido y se estuviera en condiciones de continuar normalmente con las actividades. En caso de requerir de actividades complementarias para regresar a las actividades normales, especialmente cuando se trate de los sistemas informáticos de la Empresa, deberán incluir el plan de actividades que se deberá seguir para retornar a la situación normal.
Personal de la Empresa involucrado.- El personal, al verse afectado por una situación de contingencia, deberá en primera instancia apoyar para salvaguardar las vidas propias y de sus compañeros de trabajo, cuando la situación que se estuviera presentado sea grave (incendio, temblor, etc.); posteriormente, y en la medida en que la situación lo permita, deberá coadyuvar a salvaguardar los bienes de la Empresa (el propio inmueble, equipos, documentación importante, etc.). Con posterioridad a la crisis inicial, deberá apoyar a solicitud del Coordinador de su área y/o del personal clave del Plan de Contingencia, en la toma del inventario de daños, para lo cual deberá seguir las instrucciones generales que indique el propio plan. En forma alterna, deberá dar cumplimiento a las instrucciones que se incluyan en el Plan de Contingencia Informático para darle continuidad a las funciones informáticas críticas, siguiendo los procedimientos establecido, con la salvedad de que deberá, en forma creativa y responsable, adaptarlos a las circunstancias de limitación que represente el cambio de ubicación de las diferentes áreas involucradas en los procesos y la utilización
de recursos de cómputo, mensajería, comunicaciones, etc., limitados. Al declararse concluida la contingencia, deberá participar activamente en la restauración de las actividades normales de la Empresa, esto es, apoyar en la movilización de documentación, mobiliario, etc., a las instalaciones originales o al lugar que le sea indicado, hasta la estabilización de las actividades. Cuando sea necesario, deberá participar en la capacitación del nuevo personal o del personal eventual que hubiera sido necesario contratar.
Determinar los tiempos de recuperación y los requerimientos mínimos de recursos. Para cada una de las fases críticas que se cubrirán con el Plan de Contingencia Informático, se deben determinar los tiempos mínimos requeridos para el establecimiento del plan, esto es, cuánto tiempo debe transcurrir desde el momento en que se inicia o activa el plan, hasta que las actividades, funciones o sistemas se encuentren en operación total o parcialmente. Es conveniente definir un tiempo aceptable y viable para que la red y la aplicación principal estén nuevamente activas. Para situaciones críticas: • Incluir el traslado de los medios de almacenamiento magnético que se encuentren fuera de las instalaciones. • La copia de los datos a los nuevos medios de almacenamiento magnético y la habilitación de las comunicaciones, servicios de Internet y correo electrónico. • El personal mínimo requerido para continuar operando. • Tiempo de
restauración de cada uno de los servicios de Red, Comunicaciones, Internet y Correo Electrónico. • El tiempo determinado debe ser conocido y aceptado por todos los usuarios principales que operan los sistemas o cuentan con un equipo crítico. Para situaciones de bajo riesgo: • Tiempo de reparación o reposición de una estación de trabajo (PC).
• Tiempo de configuración de las PC. • Tiempo de respuesta del proveedor para la reparación de los servidores
(verificar contratos y garantías). • Tiempos de reparación de fallas eléctricas. • Tiempo de restauración de cada uno de los servidores y sus aplicaciones.
Conclusiones. Es un factor importante prepararse para algo que probablemente pueda ocurrir, especialmente cuando se involucra a los sistemas de cómputo. Cuando se depende de estos sistemas, un desastre puede o no dejar continuar las operaciones de la Empresa. En el momento que se presentan situaciones de desastre, el regresar a la normalidad va más allá de mantener los sistemas de información en orden y consistentes. Por lo anterior, es importante saber qué se va a recuperar y quién puede hacerlo en caso de pérdidas humanas. Las Empresas se enfrentan a una amplia gama de desastres: desde los locales, que ocurren en el interior de la empresa, en un espacio determinado del edificio, hasta los que afectan todas las instalaciones de la misma o aquellos que abarcan una región entera.
Los primeros consisten en incendios, sabotajes o fallas en el suministro de la energía eléctrica, entre otras cosas; los segundos, conocidos como desastres en el sitio, afectan a todo el edificio. Los provocan explosiones por bomba, inundaciones o desórdenes en la tensión o suministro de la energía eléctrica, etc. Los desastres pueden agruparse en dos grandes tipos: por un lado los que tienen su origen en la naturaleza, como ciclones, temblores, inundaciones, tormentas y huracanes. Por otro lado, existen los que son provocados por el hombre, como virus de computadoras, suspensiones o sobrecarga de energía, errores de hardware y software, interrupciones de las redes, errores humanos, sabotaje, etc.
Anexos.
Figura 1. Diagrama de Flujo para Respuesta de Emergencia de Fallas de Hardware o Software.
Figura 2. Diagrama de flujo de respuesta de emergencia de Sabotaje o Daño Accidental.
