Académique Documents
Professionnel Documents
Culture Documents
Dante Carrizo
Departamento de Ingeniería y Cs de la Informática, Universidad de Atacama
Copiapó, 1530000, Chile
Andrés A. Alfaro
Departamento de Ingeniería y Cs de la Informática, Universidad de Atacama
Copiapó, 1530000, Chile.
Rodrigo Loyola
Departamento de Ingeniería y Cs de la Informática, Universidad de Atacama
Copiapó, 1530000, Chile.
97
Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016)
que proteja los intereses, la imagen y el valor de las actividades Establecer los tiempos de vuelta a la normalidad: Para
realizadas por la misma [2]. poder realizar el establecimiento de los tiempos de vuelta a
la normalidad, hay que determinar los lapsos de tiempo que
Es necesario conocer algunos elementos o conceptos en la podrían ser críticos desde el momento en que el activo
cuales están basada la BCI, estos son; los activos de una sufre un evento por alguna amenaza o un alto de su
organización “son todas aquellas cosas a las que la empresa les servicio.
da valor” [5], una amenaza es “el intento de hacer daño” [4],
las vulnerabilidades son “condiciones de la organización que Tabla 1: Dimensiones de Seguridad.
pueden hacer que una amenaza se manifieste” [6], el riesgo se
define como “la probabilidad que una amenaza pueda Tipo Descripción
explotar una vulnerabilidad y causar daño a los activos de Disponibilidad Propiedad o característica de los activos
una organización.” [1]. consistentes en que las entidades o procesos
autorizados tienen acceso a los mismos cuando
3. VARIANTE DEL MODELO BUSINESS CONTINUITY lo requieren.
PLANNING. Integridad de los Propiedad o característica consistente en que el
datos activo de información no ha sido alterado de
manera no autorizada.
A continuación presentaremos BCI-v, que es un modelo basado
Propiedad o característica consistente en que la
en [3], estas modificaciones, se realizaron en torno a las Información información ni se pone a disposición, ni se
necesidades de la empresa lo que derivó en esta nueva variante confidencial revela a individuos, entidades o procesos no
del modelo BCI, que se mostrara a continuación. autorizados.
Propiedad o característica consistente en que
Fase 1: Iniciación y Gestión de Proyecto. Autenticidad una organización es quien dice ser o bien que
garantiza la fuente de la que derivan los datos.
El propósito de esta fase es conseguir que el desarrollo e Propiedad o característica consistente en que
implantación de un Plan de Continuidad de Negocio sea un Trazabilidad las actuaciones de una organización pueden ser
proyecto estratégico de toda la organización, involucrando a atribuidas exclusivamente a dicha
organización.
todas las unidades y áreas de la empresa.
Junto con el alcance del plan y recolectar la información Tabla 2: Tabla resumen del contenido de la Matriz de Impacto y
necesaria se debe determinar qué áreas, unidades, dependencias Riesgo.
o instalaciones relacionadas con el Departamento de TI que van
a ser incluidas en el plan. Activos
Corresponde al nombre del activo que se
Fase 2: Análisis de Riesgo e Impacto. Nombre encuentra definido dentro de del área e empresa
en cuestión.
El objetivo de esta fase es proporcionar a la dirección la Corresponde a la clasificación de activo a la cual
Tipo
información necesaria para que pueda tomar decisiones en el pertenece. (véase Tabla 6)
Corresponde al criterio de jerarquizar los
desarrollo de su estrategia de recuperación. Para ello, los riesgos
activos, en función de su impacto global,
deben ser identificados, eliminados o reducidos. Se debe Criticidad
pudiendo tomar los valores Bajo (B), Medio (M)
determinar el grado de criticidad de dichas funciones en la razón o Alto (A).
de las necesidades de la organización y el tiempo máximo a Exposición
partir del cual la interrupción de cada una de ellas es Corresponde a la amenaza asignada desde el
inaceptable. Amenaza Listado de Amenazas a un activo específico. A
modo de ejemplo Tabla 6
Para analizar y determinar el Riesgo dentro de una organización Corresponde al grado de exposición que queda
Rango de
se debe: el activo en relación a la materialización de la
Vulnerabilidad
amenaza asignada, pudiendo tomar los valores
Determinar los activos relevantes para la organización: Bajo (B), Medio (M) o Alto (A).
Para ello se clasifican con un código, y nombre. Impacto Alto (A): Cuando ante una
eventualidad se encuentran imposibilitadas para
realizar sus funciones normalmente.
Determinar a qué amenazas están expuestos aquellos
activos: Para ello se propone una tabla de descripción de Impacto Medio (M): Cuando la falla de ésta
amenazas (véase tabla 7). Para poder completar la Tabla 7 ocasiona una interrupción en las operaciones del
se tiene que determinar la amenaza, los activos que están Área o Empresa, por un tiempo mínimo de
Rango de
expuestos a dicha amenaza y las dimensiones que se Impacto tolerancia.
describen en la Tabla 1 (ver Tabla 1), además de una Impacto Bajo (B): Cuando la falla de ésta no
descripción del tipo de amenaza. tiene un impacto en la continuidad de las
operaciones del Área o Empresa.
Estimar el impacto y riesgo: Para ello se propone una Posibilidad de ocurrencia de la amenaza
matriz de impacto y riesgo (véase Tabla 8). Para Probabilidad asignada al activo, pudiendo tomar los valores
Bajo (B), Medio (M) o Alto (A).
completar esta matriz se consideran las definiciones de la
Proximidad de un daño que puede causar la
Tabla 2. Resumen
amenaza asignada al activo. Pudiendo tomar los
Nivel de Riesgo
valores Bajo (B), Medio (M) o Alto (A).
98
Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016)
Esta fase se refiere a los equipos que interviene dentro del Plan
Fase 3: Desarrollo de la Estrategia de Continuidad. de Continuidad de negocio, participando desde la gestión plan
hasta la recuperación de las actividades normales del negocio.
En esta etapa se definen las posibles opciones para decidir la
estrategia de operación para la recuperación de las funciones del Los equipos de recuperación son grupos de personas que se
área o empresa y de negocio dentro de los límites definidos encargan de una serie de actividades para conseguir un proceso
como objetivos. de recuperación efectivo, esto quiere decir la vuelta a la
normalidad en el funcionamiento de la empresa. Cada equipo
La primera acción es el almacenamiento y respaldo de la deberá estar constituido por un jefe y a su vez estos equipos
información. Dentro de esta estrategia se busca establecer o pueden contener sub-equipos. Como parte de la estrategia
definir la frecuencia, ubicación, estándares y el modo en que se general, es esencial que las responsabilidades principales sean
realizarán los respaldos, la Tabla 3 presenta los procedimientos asignadas al equipo adecuado.
de respaldo de la información que contiene la empresa.
Por lo general, las responsabilidades de recuperación van en
Tabla 3: Procedimientos de Respaldo de la Información paralelo con las actividades del día a día, sin embargo, la
asignación de responsabilidades puede depender del lugar
Tipos Descripción donde se realice la recuperación, la logística y el tiempo.
Procedimientos de Deberá ejecutar diariamente, de Lunes a
respaldos diarios Viernes Fase 5: Desarrollo e Implementación de los Planes de
Procedimientos de
Se ejecutará al término de cada semana
Continuidad de Negocio.
respaldo semanal
Se ejecutará, el último día hábil del mes o El aspecto más importante de la continuidad del negocio es la
Procedimientos de
dentro de los cinco primeros días hábiles del inmediata notificación al responsable apropiado de cualquier
respaldo mensual
mes siguiente suceso que pueda causar una interrupción en las operaciones
Se ejecutará, el último día hábil del mes del
informáticas, independiente de su dimensión. Como primer
año o dentro de los cinco primeros días
Procedimientos de paso, tan pronto como reciba la notificación de un incidente, el
respaldo anual hábiles del mes siguiente como máximo, al
término de la jornada. coordinador del Plan tomará acción según se especifica en la
lista de actividades de la gestión del mismo, desencadenando la
Procedimientos para puesta en marcha de los distintos procedimientos de acción.
Estos respaldos deben ser periódicos y deben
respaldo de sistemas
ser solicitados por el usuario.
específicos Estos procedimientos se han clasificado en cuatro grandes
Son respaldos que no corresponden a los grupos, cada una con una denominación genérica como se
temporales, a respaldos temporales y son
Procedimientos para
solicitados deben ser solicitados al área
muestra en la Tabla 4.
respaldos eventuales
correspondiente, y serán resguardadas en un
lugar específico. Tabla 4: Procedimientos para un Plan de Acción.
En los casos que un usuario requiera restaurar
información respaldada, esta se encontrara Procedimientos Descripción
Procedimientos para
disponible previa autorización del encargado, Son acciones inmediatas al incidente que
restauración de
además se debe dejar constancia del tratan de proteger la integridad de las
información Procedimientos de
procedimiento. personas (si está amenazada), contener la
emergencia
progresión del incidente y pararlo en la
medida de lo que sea posible
Son acciones de cada unidad, área específica
Como segundo paso, se debe disponer de un centro de control Procedimientos de
de este o servicio que tienden a sustituir los
alternativo, propio o subcontratado, en el que se realizarán las respuesta
procedimientos habituales de trabajo por otros
operaciones que permitan la continuidad de las funciones alternativos
críticas en un periodo inferior al definido por los umbrales de Procedimientos de Son los procedimientos que permiten volver a
respuesta y recuperación. recuperación utilizar datos, aplicaciones, sistemas, etc.
Es una actividad va orientada hacia el
Si se mantiene un centro de datos o servidores de procesamiento Planificar la vuelta establecimiento y desarrollo de todo tipo de
de datos, la estrategia es asegurar la continuidad de estos la normalidad acciones con el fin de volver al estado normal
servicios, a través de diferentes alternativas, hasta que dure la de las tareas y actividades de la empresa.
emergencia.
Y por último definir las medidas de prevención, el propósito de Para establecer el nivel del plan a seguir en el supuesto de un
las medidas de prevención es la determinación de controles y desastre, se observarán las siguientes directrices presentadas en
métodos para detectar y prevenir daños a los diversos activos la Tabla 5, teniendo en cuenta su gravedad en función del
del área o empresa en cuestión. Está orientado cien por ciento a periodo de interrupción previsto.
la parte física (hardware) de los sistemas.
Tabla 5: Tabla de Definición de Desastres.
Fase 4: Organización de Equipos de Emergencia y
Tipo Descripción
Recuperación.
Desastre Aquel que provoca una parada que no sobrepase las
menor dos horas establecidas como mínimo
Desastre Aquel que provoca una parada de más de dos horas y
mayor que no sobrepase las horas hábiles de trabajo.
99
Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016)
Desastre Cuando el sistema informático vaya a estar fuera de Categorización de los tipos de incidentes que se pueden
catastrófico servicio más de las horas hábiles o fuera del horario provocar por una contingencia.
normal de trabajo y que no sobrepase una semana.
Fase 2: Análisis de Riesgo e Impacto.
Fase 6: Entrenamiento, Pruebas y Mantenimiento de los
Planes de Continuidad de Negocio. Se deben clasificar los activos desde un punto de vista macro a
un entorno más detallado, con efecto de poder realizar el
El objetivo de esta fase es planificar cómo mantener actualizado análisis de riesgo de manera óptima y clara.
el plan y al mismo tiempo cómo conseguir que el personal esté
preparado para utilizarlo correctamente.
El programa de mantenimiento del plan debe contar al menos Tabla 6: Clasificación de algunos activos Minera del Cobre
con tres elementos:
Tipo Código
Revisiones periódicas: El plan de Continuidad de Negocio Servicios [S]
debe ser actualizado constantemente. Datos / Información [D]
Aplicaciones / Software [SW]
Ejercicios de entrenamiento: Todo el personal TI debe Equipos informáticos [HW]
entrenarse en los procesos de recuperación del Plan de Instalaciones [L]
Contingencia.
La detección de las amenazas a las que podrían estar expuesto
Pruebas: Para asegurar que todo funciona según lo los activos del Área de informática de Minera el Cobre, se
previsto. clasificaron según lo expuesto arriba.
Después de cada revisión o ejercicio, los diversos componentes A modo de ejemplo, la Tabla 7 presenta una descripción de una
del plan deben ser actualizados, con las experiencias obtenidas posible amenaza, los activos que estarían expuestos y las
por ejercicios anteriores. dimensiones.
100
Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016)
umbral comienzan los problemas de funcionamiento del flujo de Al momento de realizar los Planes de Continuidad de Negocio,
información que debe existir dentro de toda la Minera. dependiendo de la magnitud de la contingencia, actuarán ciertos
equipos tanto para los procedimientos de respuesta, como los de
Fase 3: Desarrollo de las Estrategias de Continuidad. recuperación.
Para esta fase, fue definir la estrategia de respaldo y A modo de ejemplo, en la Tabla 9 se detalla la conformación
almacenamiento de la información que se genera en la Minera el del equipo de Gestión de Instalaciones, que es un sub equipo del
Cobre. Esta estrategia contiene un manual de procedimientos Equipo de Logística.
que define los tiempos y modos en que se realizarán los backup,
además del hardware donde se almacenarán estos respaldos y
buenas prácticas para este procedimiento.
Tabla 9: Miembros de equipo de instalaciones
En base a lo anterior, se plantea y propone, que la Unidad de
Operaciones del área de Informática de la Minera sea la Miembros equipo de Gestión de instalaciones
responsable de cumplir las siguientes normas tendientes a Jefe Informática Minera el Cobre
proteger la seguridad de la información de los sistemas. Técnico en telecomunicaciones de informática Minera el Cobre
Administrador de redes locales de informática Minera el Cobre
Respaldo de forma segura (cintotecas o lugares
alternativos) dejando por escrito fecha y hora de ejecución Fase 5: Desarrollo e Implementación de los Planes de
de los procedimientos, en orden correlativo que permita Continuidad de Negocio.
continuar con la operación de los sistemas en alguna
instalación de respaldo alternativos. Junto con ello definir A continuación se presentan los planes de acción para la
lugares de almacenamiento de información y por ultimo continuidad del negocio de informática Minera el Cobre
estos espacios deben estar protegidos con los medios de enfocados tanto en emergencias catastróficas como emergencias
prevención de riesgos adecuados para estos recintos. potenciales. Estos dos planes de acción se basan en los
procedimientos de Plan de acción (véase tabla 4), teniendo en
Para los procedimientos de respaldos de la información, la cuenta el tipo de desastre (véase tabla 5).
Unidad de Operaciones del Área de Informática de la Minera el
Cobre deben observarse las rutinas establecidas dependiendo
del tipo de almacenamiento de información. Estos procesos se Plan Continuidad de Negocio Genérico de Informática
describen en la Tabla 3. Minera el Cobre, enfocado en Emergencias Catastróficas.
Además, se procede a asegurar la disponibilidad del Centro de El plan de acción comienza con la activación de procedimientos
Procesamiento de Datos tanto en Hardware como para de emergencia que muestran el flujo de notificaciones y
Software. Para ello se duplica o multiplica el número de acciones iniciales según el acontecimiento. Luego se procede a
elementos, llegando a formar un clúster o agrupación de la evaluación de daños. Una vez sea permitido el acceso al
servidores. Los servidores que participan en el clúster se darán edificio se realizará una inspección in situ de las áreas afectadas
respaldo mutuamente en forma activa, permanente e para evaluar el daño. Entonces se procede a la respuesta frente a
independientemente, logrando de esta manera minimizar el la situación a través de un conjunto de procedimientos de
riesgo de la falla en el servidor. Además de un disco espejo que respuesta ante emergencia. A modo de ejemplo se muestra el
escribe simultáneamente en ambos sobre un mismo canal, si procedimiento N° 11, del Plan de Continuidad del Negocio.
alguno de los discos falla, el otro es capaz de mantener
operando el sistema sin perder información o interrumpir al Tabla 10: Procedimiento N°11 del Plan de Continuidad del
usuario y para el software se dispone de una sistema que detecte Negocio
y ejecute procedimientos para recuperar fallas, no se pretende
evitarlas, sino recuperarlas en menos tiempo posible N° 11. Procedimientos del área de Informática Minera el Cobre
11.1. Procedimientos Generales.
Se definen las medidas de prevención que son de dos tipos: Los integrantes de esta área serán responsables de las siguientes
acciones:
Controles Físicos de Acceso como: personal de seguridad, A. Presentarse en el Centro de Control según instrucciones
llaves, alarmas, sistemas de vigilancia entre otros. recibidas durante la alerta.
B. Coordinar con el equipo de Reacondicionamiento, la
Mecanismo Correctivos y Preventivos como: corrientes estimación del tiempo necesario para la reconstrucción del
Centro de Proceso de Datos.
reguladas, controles de medio ambiente y detección de
fuego que minimicen el daño y faciliten la recuperación
Luego de la emergencia viene la recuperación, basándose en la
reconstrucción de los registros perdidos, tanto de información
Fase 4: Organización de Equipos de Emergencia y
como del equipamiento de inmuebles y equipo de los lugares de
Recuperación.
trabajo afectados, para luego reanudar las operaciones normales
En función del tamaño de Informática Minera el Cobre y con el después de sufrido el corte o alto de éstas.
objetivo de clarificar las distintas funciones, se han definido
varios equipos para poder asignar tareas del plan de Plan de Continuidad de Negocio de Informática Minera
contingencia, siendo el número y funciones de cada equipo el Cobre, enfocado a Emergencias Potenciales.
ajustadas a las necesidades específicas de la organización.
101
Memorias de la Décima Quinta Conferencia Iberoamericana en Sistemas, Cibernética e Informática (CISCI 2016)
N° Asignado a Cargo
1.0 Cristian Rojas Jefe Informática
1.1 Juan Morales G Administrador de Redes Locales
2.0 Víctor Pérez S. Jefe de área Contrato
102