Plan de contingencia de informática de Empresa_X Introducción Este manual es una guía, según los estándares de planes de contingencia informático, para que cada Gerente Gerente de de Departamento de Empresa_X (en adelante E_X) defina y documente un Informe de ra!a"o deri#ados de la definici$n del %lan de &ontingencia de Informático' El alcance de este plan guarda relaci$n con la infraestructura informática informática,, así como los procedimientos rele#antes de su Departamento asociados con la plataforma tecnol$gica' Entenderemos como infraestructura informática al ardare ardare,, softare y elementos complementarios que soportan la informaci$n o datos críticos para la funci$n funci$n del del negocio !a"o su responsa!ilidad responsa!ilidad'' Entendemos tam!i*n como procedimientos rele#antes a la infraestructura informática a todas aquellas tareas que su personal personal reali+a reali+a frecuentemente cuando interactúa con la plataforma informática (entrada de datos, generaci$n de reportes, consultas, etc')' n %lan de &ontengencia considera una -%lanificaci$n %lanificaci$n de de la &ontingencia- así como un con"unto de -.cti#idades- las que !uscan definir y cumplir metas que permitan a cada Departamento de E_X controlar el riesgo riesgo asociado asociado a una contingencia' &omo .dministrador &omo .dministrador sted sted de!erá leer aca!adamente este instructi#o, así como generar un -%lan de ra!a"o para el %lan de &ontingencia de I- que in#olucre a los actores rele#antes' Este plan de tra!a"o considera e#aluar las situaciones de riesgo y definir las tareas orientadas a reducir dicos riesgos riesgos'' /aturalmente, en la generaci$n del %lan de ra!a"o de su Departamento es recomenda!le tra!a"ar con sus reportes cla#e a fin de que sus recomendaciones cuenten con una !ase operati#a s$lida' 0a .dministraci$n 0a .dministraci$n de de E_X ya a definido el %lan de ra!a"o de .dministraci$n de .dministraci$n para el %lan de &ontingencia de I, en donde sted es un miem!ro importante del &omit* de 1ecuperaci$n frente a desastres' Este comit* se acti#ará frente a una &ontingencia, según la con#ocaci$n del Gte' de .dministraci$n y 2inan+as 2inan+as'' 3ugerimos que su plan de tra!a"o respecti#o, se genere como -una respuesta- a cada uno de los puntos que contiene esta Guía de %lan de &ontingencia de E_X' .gradecemos la diligencia que que in#ertirá en este aspecto tan tan importante del mane"o mane"o de contingencias informáticas, el que sa!emos #alorará en la e#entualidad de una contingencia mayor'
1. Planificación de Contingencia El %lan está orientado a esta!lecer, "unto con otros tra!a"os de seguridad seguridad,, un adecuado sistema sistema de de seguridad física y l$gica en pre#ision de desastres' 3e define la 3eguridad de Datos como un con"unto de medidas destinadas a sal#aguardar la informaci$n contra los da4os producidos por ecos naturales o por el om!re' om!re' 3e a considerado que para la compa4ía, la seguridad es un elemento !ásico para garanti+ar su super#i#encia y entregar el me"or 3er#icio 3er#icio a a sus &lientes &lientes,, y por lo tanto, considera a la Informaci$n como uno de
los acti#os más importantes de la 5rgani+aci$n, lo cual ace que la protecci$n de esta sea el fundamento más importante de este %lan de &ontingencia' En este documento se resalta la necesidad de contar con estrategias que permitan reali+ar6 .nálisis de 1iesgos, de %re#enci$n, de Emergencia, de 1espaldo y recuperacion para enfrentar algún desastre' %or lo cual, se de!e tomar como Guía para la definici$n de los procedimientos de seguridad de la Informaci$n que cada Departamento de la firma de!e definir' 1.1 Actividades Asociadas
0as acti#idades consideradas en este documento son 6 7 .nálisis de 1iesgos 7 8edidas %re#enti#as 7 %re#isi$n de Desastres /aturales 7 %lan de 1espaldo 7 %lan de 1ecuperaci$n
2. Análisis de Riesgos %ara reali+ar un análisis de los riegos, se procede a identificar los o!"etos que de!en ser protegidos, los da4os que pueden sufrir, sus posi!les fuentes de da4o y oportunidad, su impacto en la compa4ía, y su importancia dentro del mecanismo de funcionamiento' %osteriormente se procede a reali+ar los pasos necesarios para minimi+ar o anular la ocurrencia de e#entos que posi!iliten los da4os, y en último t*rmino, en caso de ocurrencia de estos, se procede a fi"ar un plan de emergencia para su recomposici$n o minimi+aci$n de las p*rdidas y9o los tiempos de reempla+o o me"oría' 2.1. Bienes susceptibles de un daño
3e puede identificar los siguientes !ienes afectos a riesgos6 a) %ersonal !) :ardare c) 3oftare y utilitarios d) Datos e informaci$n e) Documentaci$n f) 3uministro de energía el*ctrica g) 3uministro de telecomunicaciones 2.2. Daños
0os posi!les da4os pueden referirse a6 a) Imposi!ilidad de acceso a los recursos de!ido a pro!lemas fíisicos en las instalaciones donde se encuentran los !ienes, sea por causas naturales o umanas'
!) Imposi!ilidad de acceso a los recursos informáticos por ra+ones l$gicas en los sistemas en utili+aci$n, sean estos por cam!ios in#oluntarios o intencionales, llámese por e"emplo, cam!ios de cla#es de acceso, datos maestros cla#es, eliminaci$n o !orrado físico9l$gico de informaci$n cla#e, proceso de informaci$n no deseado' c) Di#ulgacion de informaci$n a instancias fuera de la &ompa4ía y que afecte su patrimonio estrat*gico &omercial y9o Institucional, sea mediante 1o!o o Infidencia' 2.3. Prioridades
0a estimaci$n de los da4os en los !ienes y su impacto, fi"a una prioridad en relaci$n a la cantidad del tiempo y los recursos necesarios para la reposici$n de los 3er#icios que se pierden en el acontecimiento' %or lo tanto, los !ienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperaci$n ante un e#ento de desastre' 2.4. Fuentes de daño
0as posi!les fuentes de da4o que pueden causar la no operaci$n normal de la compa4ía asociadas al &entro de 5peraciones &omputacionales de E_X son6 .cceso no autori+ado %or #ulneraci$n de los sistemas de seguridad en operaci$n (Ingreso no autori+ado a las instalaciones)' 1uptura de las cla#es de acceso a los sistema computacionales a) Instalaci$n de softare de comportamiento errático y9o da4ino para la operaci$n de los sistemas computacionales en uso (;irus, sa!ota"e)' !) Intromisi$n no calificada a procesos y9o datos de los sistemas, ya sea por curiosidad o malas intensiones' Desastres /aturales a) 8o#imientos telúricos que afecten directa o indirectamente a las instalaciones físicas de soporte (edificios) y9o de operaci$n (equipos computacionales)' !) Inundaciones causados por falla en los suministros de agua' c) 2allas en los equipos de soporte6 7 %or fallas causadas por la agresi#idad del am!iente 7 %or fallas de la red de energía el*ctrica pú!lica por diferentes ra+ones a"enas al mane"o por parte de la &ompa4ía'
7 %or fallas de los equipos de acondicionamiento atmosf*ricos necesarios para una adecuada operaci$n de los equipos computacionales más sensi!les' 7 %or fallas de la comunicaci$n' 7 %or fallas en el tendido físico de la red local' 7 2allas en las telecomunicaciones con la fuer+a de #enta' 7 2allas en las telecomunicaciones con instalaciones e
all' Incendios 2.5. Expectativa Anual de Daños
%ara las p*rdidas de informaci$n, se de!en tomar las medidas precautorias necesarias para que el tiempo de recuperaci$n y puesta en marca sea menor o igual al necesario para la reposici$n del equipamiento que lo soporta'
3. Medidas Preventivas 3.1. Control de Accesos
3e de!e definir medidas efecti#as para controlar los diferentes accesos a los acti#os computacionales6 a) .cceso físico de personas no autori+adas' !) .cceso a la 1ed de %&?s y 3er#idor' c) .cceso restringuido a las li!rerías, programas, y datos' 3.2. espaldos
En el punto /ro' @ se desc ri!irá el alcance de esta importante medida pre#enti#a'
4. Previsión de desastres Naturales 0a pre#isi$n de desastres naturales s$lo se puede acer !a"o el punto de #ista de minimi+ar los riesgos innecesarios en la sala de &omputaci$n &entral, en la medida de no de"ar o!"etos en posici$n tal que ante un mo#imiento telúrico pueda generar mediante su caída y9o destrucci$n, la interrupci$n del proceso de operaci$n normal' .demás, !a"o el punto de #ista de respaldo, el tener en claro los lugares de resguardo, #ías de escape y de la u!icaci$n de los arci#os, disAettes, discos con informaci$n #ital de respaldo de aquellos que se encuentren aun en las instalaciones de la compa4ía' Adecuado !oporte de "tilitarios
0as fallas de los equipos de procesamiento de informaci$n pueden minimi+arse mediante el uso de otros equipos, a los cuales tam!i*n se les de!e controlar peri$dicamente su !uen funcionamiento, nos referimos a6 a) %3 ''''''' de respaldo de actual ser#idor de 1ed o de estaciones críticas !) %3 ''''''' de respaldo sitces y9o :=?s !e#uridad F$sica del Personal
3e de!erá tomar las medidas para recomendar, incenti#ar y lograr que el personal comparta sus conocimientos con sus colegas dentro de cada área, en lo referente a la utili+aci$n de los softares y elementos de soporte rele#antes' Estas acciones permitirán me"orar los ni#eles de seguridad, permitiendo los reempla+os en caso de desastres, emergencias o períodos de ausencia ya sea por #acaciones o enfermedades' !e#uridad de la %n&or'aci(n
0a informaci$n y programas de los 3istemas de Informaci$n que se encuentran en el 3er#idor, o de otras estaciones de tra!a"o críticas de!en protegerse mediante cla#es de acceso y a tra#*s de un plan de respaldo adecuado'
5. Plan de Resaldo El %lan de 1espaldo trata de c$mo se lle#an a ca!o las acciones críticas entre la p*rdida de un ser#icio o recurso, y su recuperaci$n o reesta!lecimiento' odos los nue#os dise4os de 3istemas, %royectos o am!ientes, tendrán sus propios %lanes de 1espaldo' espaldo de datos )itales
Identificar las áreas para reali+ar respaldos6 a) 3istemas en 1ed' !) 3istemas no conectados a 1ed' c) 3itio >E='
!. Plan de Recueración *b+etivos del Plan de ecuperaci(n
0os o!"eti#os del plan de 1ecuperaci$n son6 B) Determinaci$n de las políticas y procedimientos para respaldar las aplicaciones y datos' C) %lanificar la reacti#aci$n dentro de las BC oras de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas' ) %ermanente mantenimiento y super#isi$n de los sistemas y aplicaciones' ) Esta!lecimiento de una disciplina de acciones a reali+ar para garanti+ar una rápida y oportuna respuesta frente a un desastre' Alcance del Plan de ecuperaci(n
El o!"eti#o es resta!lecer en el menor tiempo posi!le el ni#el de operaci$n normal del centro de procesamiento de la informaci$n, !asándose en los planes de emergencia y de respaldo a los ni#eles del &entro de &$mputos y de los demás ni#eles' 0a responsa!ilidad so!re el %lan de 1ecuperaci$n es de la .dministraci$n, la cual de!e considerar la com!inaci$n de todo su personal, equipos, datos, sistemas, comunicaciones y suministros' Activacion del Plan
Decisi$n Fueda a "uicio del Gerente de .dministraci$n y 2inan+as determinar la acti#aci$n del %lan de Desastres, y además indicar el lugar alternati#o de e"ecuci$n del 1espaldo y9o operaci$n de emergencia, !asándose en las recomendaciones indicadas por *ste' Duraci$n estimada
0os super#isores de cada area determinarán la duraci$n estimada de la interrupci$n del ser#icio, siendo un factor cla#e que podrá sugerir continuar el procesamiento en el lugar afectado o proceder al traslado del procesamiento a un lugar alternati#o' 1esponsa!ilidades 5rden de E"ecuci$n del %lan 6 Gerencia de .dmin' H 2inan+as' 3uper#isi$n General de %lan 6 Empresa en con#enio para 1ecuperaci$n' 3uper#isi$n del %lan de 1ec' 6 3uper#isor(es) de rea(s)' .!astecimiento (:>, 3>) 6 .sistente de .dministraci$n' areas de 1ecuperaci$n 6 %ersonal de tareas afines' .plicaci$n del %lan 3e aplicará el plan siempre que se pre#ea una p*rdida de ser#icio por un período mayor de J oras, en los casos que no sea un fin de mes, y un período mayor a C oras durante los fines de mes (durante los cierres conta!les)'
Consideraciones Adicionales 1. Plan debe ser probado una ve, al año
2rente a la contingencia, se notifica al Gte' de .dministraci$n y 2inan+as, quien e#alúa en terreno el desastre, y estima tiempo de paro de operaciones mientras se reesta!lecen las operaciones' 3i el tiempo estimado es mayor a J oras de iterrupci$n de operaciones en cualquier día sal#o el fin de mes, en cuyo caso el tiempo estimado es mayor a C oras, entonces con#oca al comit* de 1ecurperaci$n, compuesto por6 3uper#isor de %lataforma 6 Empresa en con#enio para 1ecuperaci$n' 3uper#isi$n del %lan de 1ec' 6 3uper#isor(es) de rea(s)' .!astecimiento (:>, 3>) 6 .sistente de .dministraci$n' areas de 1ecuperaci$n 6 %ersonal de tareas afines' El comit* determinará el lugar donde se instalará el sistema alternati#o (red y ser#idor alquilado), pudiendo ser en las mismas premisas de E_X si las condiciones lo permiten, o en las premisas de la empresa con con#enio recíproco de -%lan de &ontingencia-, si se contara con ella' &ada super#isor de área, tomará nota de las condiciones de la nue#a plataforma operati#a (sus capacidades y limitaciones, tanto en funcionalidad como en #elocidad), e informará a su personal para operar de acuerdo a estas restricciones, durante el tiempo que se #uel#e a reesta!ler el ni#el de operaciones normales, tal como se e
El Gte' de .dministraci$n y 2inan+as acti#ará el contrato de 1ecuperaci$n con la empresa respecti#a, y dará instrucci$n a la .sistente de .dministraci$n para que emita una 5& a!ierta para cu!rir el arriendo o compra de :> o 3> requerido para la instalaci$n temporal de 3er#idor9red, así como para el 3er#idor91ed en proceso de restauraci$n' &ada Gerente o Kefe con personal a cargo que est* in#olucrado en las tareas normales de la operaci$n de E_X, designará según lo instruya el Gerente de .dministraci$n y 2inan+as al personal necesario, a tareas afines' 2. -odos los 'ie'bros del co'it de recuperaci(n deben estar in&or'ados / entrenados, así
como poseer una copia del %lan de &ontingencia' 3. "na copia del plan deber$a 'antenerse al'acenado o&&0site, "unto con los respaldos' 4. %niciaci(n del Plan
7 Gerencia de .dministraci$n y 2inan+as de!ería ser notificada 7 Gerencia de .dministraci$n y 2ina+as contactará los equipos de recuperaci$n 7 &uartel General de 1ecuperaci$n in7site a definir 7 &uartel General de 1ecuperaci$n 5ff7site a definir
0eer más6 ttp699'monografias'com9tra!a"osLM9seguridad7informatica7empresa9seguridad7 informatica7empresa'stmlNi<++c05XD;