Diapositivas - Plan de Contingencia

Desarrollo de un
Plan de
Contingencia
Privacidad
Se define como el derecho que tienen los individuos y
organizaciones para determinar, ellos mismos, a quin, cundo y qu
informacin referente a ellos sern difundidas o transmitidas a otros.
Se refiere a las medidas tomadas con la finalidad de preservar los
datos o informacin que en forma no autorizada, sea accidental o
intencionalmente, puedan ser modificados, destruidos o simplemente
divulgados.
Seguridad
Conceptos Bsicos
Integridad
Se refiere a que los valores de los datos se mantengan tal como
fueron puestos intencionalmente en un sistema. Las tcnicas de integridad
sirven para prevenir que existan valores errados en los datos provocados
por el software de la base de datos, por fallas de programas, del sistema,
hardware o errores humanos.
Trmino general usado para cualquier accin o evento que intente
interferir con el funcionamiento adecuado de un sistema informtico, o
intento de obtener de modo no autorizado la informacin confiada a una
computadora.
Ataque
Intento de obtener informacin o recursos de una computadora
personal sin interferir con su funcionamiento, como espionaje electrnico,
telefnico o la intercepcin de una red. Todo sto puede dar informacin
importante sobre el sistema, as como permitir la aproximacin de los datos
que contiene.
Ataque Pasivo
Accin iniciada por una persona que amenaza con interferir el
funcionamiento adecuado de una computadora, o hace que se difunda de
modo no autorizado informacin confiada a una computadora personal.
Ejemplo: El borrado intencional de archivos, la copia no autorizada de
datos o la introduccin de un virus diseado para interferir el
funcionamiento de la computadora.
Ataque Activo
Cualquier cosa que pueda interferir con el funcionamiento
adecuado de una computadora personal, o causar la difusin no autorizada
de informacin confiada a una computadora. Ejemplo: Fallas de suministro
elctrico, virus, saboteadores o usuarios descuidados.
Amenaza
Cuando se produce un ataque o se materializa una amenaza,
tenemos un incidente, como por ejemplo las fallas de suministro elctrico o
un intento de borrado de un archivo protegido.
Incidente
Desastre
Se puede considerar como un desastre la interrupcin
prolongada de los recursos informticos y de comunicacin de una
organizacin, que no puede remediarse dentro de un periodo
predeterminado aceptable y que necesita el uso de un sitio o equipo
alterno para su recuperacin.
Ejemplos obvios son los grandes incendios, las inundaciones, los
terremotos, las explosiones, los actos de sabotaje, etctera.
Estadsticas recientes sobre los tipos ms comunes de desastres
que ocurren muestran que el terrorismo, los incendios y los huracanes
son las causas ms comunes en muchos pases.

Plan de Contingencia
Un Plan de contingencias es un instrumento de gestin
para el buen gobierno de las Tecnologas de la Informacin y las
Comunicaciones en el dominio del soporte y el desempeo.

Dicho plan contiene las medidas tcnicas, humanas y
organizativas necesarias para garantizar la continuidad del
negocio y las operaciones de una compaa. Un plan de
contingencias es un caso particular de plan de continuidad
aplicado al departamento de informtica o tecnologas.

Un Plan de Contingencia de Seguridad Informtica consiste
en los pasos que se deben seguir, luego de un desastre, para
recuperar, aunque sea en parte, la capacidad funcional del sistema
aunque, y por lo general, constan de reemplazos de dichos sistemas.
Se entiende por Recuperacin, "tanto la capacidad de seguir
trabajando en un plazo mnimo despus de que se haya producido el
problema, como la posibilidad de volver a la situacin anterior al
mismo, habiendo reemplazado o recuperado el mximo posible de
los recursos e informacin" .
La recuperacin de la informacin se basa en el uso de una
poltica de copias de seguridad (Backup) adecuada.

Un plan de contingencia es una estrategia
planificada constituida por un conjunto de recursos de
respaldo, una organizacin de emergencia y unos
procedimientos de actuacin encaminada a conseguir
una restauracin progresiva y gil de los servicios de
negocios por una paralizacin total o parcial de la
capacidad operativa de la empresa.


Podramos definir a un plan de contingencias como una
estrategia planificada con una serie de procedimientos que nos faciliten o
nos orienten a tener una solucin alternativa que nos permita restituir
rpidamente los servicios de la organizacin ante la eventualidad de todo
lo que lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que le ayudar a
que los procesos crticos de su empresa u organizacin continen
funcionando a pesar de una posible falla en los sistemas
computarizados. Es decir, un plan que le permite a su negocio u
organizacin, seguir operando aunque sea al mnimo.
Garantizar la continuidad de las operaciones de los
elementos considerados crticos que componen los
Sistemas de Informacin.

Definir acciones y procedimientos a ejecutar en caso
de fallas de los
elementos que componen un Sistema de Informacin.
Objetivos de un Plan de
Contingencia
Fases de la Metodologa para el
Desarrollo de un Plan de Contingencia
Planificacin: preparacin y aprobacin de esfuerzos y
costos.
Identificacin de riesgos: funciones y flujos del proceso de la
empresa.
Identificacin de soluciones: Evaluacin de Riesgos de fallas o
interrupciones.
Estrategias: Otras opciones, soluciones alternativas,
procedimientos manuales.
Documentacin del proceso: Creacin de un manual del
proceso.
Realizacin de pruebas: seleccin de casos soluciones que
probablemente funcionen.
Implementacin: creacin de las soluciones requeridas,
documentacin de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.
Fase I: Planificacin
La fase de planificacin es la etapa donde se define y prepara el
esfuerzo de planificacin de contingencia/continuidad. Las actividades durante
esta fase incluyen:
Definicin explcita del alcance, indicando qu es lo que se queda y lo que
se elimina, y efectuando un seguimiento de las ambigedades.
Definicin de las fases del plan de eventos (por ejemplo, los perodos
preevento, evento, y post-evento) y los aspectos sobresalientes de cada fase.
Definicin de una estrategia de planificacin de la continuidad del negocio de
alto nivel.
Identificacin y asignacin de los grupos de trabajos inciales; definicin de
los roles y responsabilidades.
Definicin de las partes ms importantes de un cronograma maestro y su
patrn principal.
Identificacin de las fuentes de financiamiento y beneficios del negocio;
revisin del impacto sobre los negocios.
Duracin del enfoque y comunicacin de las metas y objetivos, incluyendo
los objetivos de la empresa.
Definicin de estrategias para la integracin, consolidacin, rendicin de
informes y arranque.
Definicin de los trminos clave (contingencia, continuidad de los negocios,
etc.)
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
Obtencin de la aprobacin y respaldo de la empresa y del personal
gerencial de mayor jerarqua.
Las pruebas para el plan sern parte de (o mantenidas en conjuncin con)
los ejercicios normalmente programados para la recuperacin de desastres,
las pruebas especficas del plan de contingencia de los sistemas de
informacin y la realizacin de pruebas a nivel de todos los clientes.

Fase I: Planificacin
La Fase de Identificacin de Riesgos, busca
minimizar las fallas generadas por cualquier caso en
contra del normal desempeo de los sistemas de
informacin a partir del anlisis de los proyectos en
desarrollo, los cuales no van a ser implementados a
tiempo.
El objetivo principal de la Fase de Reduccin de
Riesgo, es el de realizar un anlisis de impacto
econmico y legal, determinar el efecto de fallas de los
principales sistemas de informacin y produccin de la
institucin o empresa.
Fase II: Anlisis de Riesgos
El anlisis y evaluacin de riesgos consta de:

1. Realizacin un diagnstico integral del Sistema de
Informacin.
2. Elaborar una lista de Servicios afectados evaluando
su importancia, magnitud del impacto, cuantificar con
niveles A, B, C u otro.
3. Identificar todos los procesos de los servicios
afectados.
4. Analizar slo los procesos crticos de los servicios.
Fase II: Anlisis de Riesgos
Fase III: Identificacin de
Soluciones
Identificacin de Alternativas
Estos son algunos ejemplos de alternativas que pudieran ayudarle
al inicio del proceso de preparacin.
Planifique la necesidad de personal adicional para atender los problemas
que ocurran.
Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si
fallan los sistemas automatizados.
Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que
se consideran en riesgo.
Instale generadores si no tiene acceso a la red de energa pblica.
Disponga del suministro adicional de combustible para los generadores, en
caso de fallas elctricas prolongadas.
Disponga de bombas manuales de combustible y selas si fallan las
electrnicas.
Elaborar un programa de vacaciones que garantice la presencia
permanente del personal.
No haga nada y vea qu pasa esta estrategia es algunas veces llamada
arreglar sobre falla.
Identificacin de eventos activadores

A continuacin se muestran algunos ejemplos de los tipos de
eventos que pueden servir como activadores en sus planes de
contingencia:
Informacin de un vendedor respecto a la tarda entrega o no
disponibilidad de un componente de software.
Tardo descubrimiento de serios problemas con una interfaz.
Tempranas (no anticipadas) fallas del sistema correccin/reemplazo no
est lista para sustituir.
Fallas del Sistema (datos corruptos en informes o pantallas,
transacciones prdidas, entre otros).
Fallas de interfaces intercambios de datos no cumplen los requisitos.
Fallo de la infraestructura regional (energa, telecomunicaciones, sistemas
financieros)
Problemas de implementacin (por ejemplo, falta de tiempo o de fondos).
Soluciones
Identificacin de Soluciones
El objetivo es reducir el costo de encontrar una solucin en la medida de lo posible,
a tiempo de documentar todos los riesgos identificados.
Actividades importantes a realizar:
La asignacin de equipos de solucin para cada funcin, rea funcional o rea de
riesgo de la organizacin.
La asociacin de soluciones con cada riesgo identificado- se recomienda tener un
abanico de alternativas de soluciones.
Comparar los riesgos y determinarles pesos respecto a su importancia crtica en
trmino del impacto de los mismos.
Clasificar los riesgos.
La elaboracin de soluciones de acuerdo con el calendario de eventos.
La revisin de la factibilidad de las soluciones y las reglas de implementacin.
La identificacin de los modos de implementacin y restricciones que afectan a las
soluciones.
La definicin e identificacin de equipos de accin rpida o equipos de
intensificacin por rea funcional o de negocios de mayor importancia.
Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta a
su eficacia y su costo, siendo la meta la solucin ms inteligente.
Soluciones
Las estrategias de contingencia / continuidad de
los negocios estn diseadas para identificar
prioridades y determinar en forma razonable las
soluciones a ser seleccionadas en primera instancia o
los riesgos a ser encarados en primer lugar. Hay que
decidir si se adoptarn las soluciones a gran escala,
como las opciones de recuperacin de desastres para
un centro de datos.
Fase IV: Estrategias
Los puntos que deben ser cubiertos por todos las reas
informticas y usuarios en general son:
Respaldar toda la informacin importante en medio magntico, ya sea en
disquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente
cada rea. Acordamos que lo que debe respaldarse es INFORMACION y
no las aplicaciones.
Generar discos de arranque para las mquinas dependiendo de su
sistema operativo, libres de virus y protegidos contra escritura.
Mantener una copia de antivirus ms reciente en disco para emergencias
(dependiendo del fabricante, variarn las instrucciones para generarlo).
Guardar una copia impresa de la documentacin de los sistemas e
interfaces, al igual de los planes de contingencia definidos por el resto de
las reas.
Instalar todos los Service Packs que el equipo necesite y llevar un
registro de los mismos, en caso de formatear el equipo o desinstalar
aplicaciones
En Relacin al Centro de Cmputo
Es recomendable que el Centro de Cmputo no est ubicado en las
reas de alto trfico de personas o con un alto nmero de invitados.
Hasta hace algunos aos la exposicin de los Equipos de Cmputo a
travs de grandes ventanales, constituan el orgullo de la organizacin,
considerndose necesario que estuviesen a la vista del pblico, siendo
constantemente visitados. Esto ha cambiado de modo radical,
principalmente por el riesgo de terrorismo y sabotaje.
Se deben evitar, en lo posible, los grandes ventanales, los cuales
adems de que permiten la entrada del sol y calor (inconvenientes para el
equipo de cmputo), puede ser un riesgo para la seguridad del Centro de
Cmputo.
Otra precaucin que se debe tener en la construccin del Centro de
Cmputo, es que no existan materiales que sean altamente inflamables,
que despiden humos sumamente txicos o bien paredes que no quedan
perfectamente selladas y despidan polvo.
El acceso al Centro de Cmputo debe estar restringido al personal
autorizado. El personal de la Institucin deber tener su carn de
identificacin siempre en un lugar visible.
Se debe establecer un medio de control de entrada y salida de visitas al
centro de cmputo. Si fuera posible, acondicionar un ambiente o rea de
visitas.
Se recomienda que al momento de reclutar al personal se les debe hacer
adems exmenes psicolgicos y mdico y tener muy en cuenta sus
antecedentes de trabajo, ya que un Centro de Cmputo depende en gran
medida, de la integridad, estabilidad y lealtad del personal.
El acceso a los sistemas compartidos por mltiples usuarios y a los
archivos de informacin contenidos en dichos sistemas, debe estar
controlado mediante la verificacin de la identidad de los usuarios
autorizados.
Deben establecerse controles para una efectiva disuasin y deteccin, a
tiempo, de los intentos no autorizados de acceder a los sistemas y a los
archivos de informacin que contienen.

Se recomienda establecer polticas para la creacin de los password y
establecer periodicidad de cambios de los mismos.
Establecer polticas de autorizaciones de acceso fsico al ambiente y de
revisiones peridicas de dichas autorizaciones.
Establecer polticas de control de entrada y salida del personal, as como de
los paquetes u objetos que portan.
La seguridad de las terminales de un sistema en red podrn ser controlados
por medios de anulacin del disk drive, cubrindose de esa manera la
seguridad contra robos de la informacin y el acceso de virus informticos.
Los controles de acceso, el acceso en s y los vigilantes deben estar
ubicados de tal manera que no sea fcil el ingreso de una persona extraa.
En caso que ingresara algn extrao al centro de Cmputo, que no pase
desapercibido y que no le sea fcil a dicha persona llevarse un archivo.
Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sin
permiso por escrito de la Direccin.
Asignar a una sola persona la responsabilidad de la proteccin de los
equipos en cada rea.
Respecto a la Administracin de la Cintoteca:

Debe ser administrada bajo la lgica de un almacn. Esto implica
ingreso y salida de medios magnticos (sean cintas, disquetes
cassettes, cartuchos, Discos remobibles, CD's, etc.), obviamente
teniendo ms cuidado con las salidas.
La cintoteca, que es el almacn de los medios magnticos (sean
cintas, disquetes cassettes, cartuchos, Discos remobibles, CD's, etc.) y
de la informacin que contienen, se debe controlar para que siempre
haya determinado grado de temperatura y de la humedad.
Todos los medios magnticos debern tener etiquetas que definan su
contenido y nivel de seguridad.
El control de los medios magnticos debe ser llevado mediante
inventarios peridicos.
Respecto a la Administracin de Impresoras:

Todo listado que especialmente contenga informacin confidencial,
debe ser destruido, as como el papel carbn de los formatos de
impresin especiales.
Establecer controles de impresin, respetando prioridades de acuerdo
a la cola de impresin.
Establecer controles respecto a los procesos remotos de impresin.
Todo el proceso de lograr identificar soluciones ante determinados
problemas no tendr su efecto verdadero si es que no se realiza una difusin
adecuada de todos los puntos importantes que este implica, y un plan de
Contingencia con mucho mayor razn necesita de la elaboracin de una
documentacin que sea eficientemente orientada.

Como puntos importantes que debe de incluir esta documentacin
podremos citar las siguientes:
Cuadro de descripcin de los equipos y las tareas para ubicar las
soluciones a las contingencias.
La documentacin de los riesgos, opciones y soluciones por escrito y en
detalle.
La identificacin y documentacin de listas de contacto de emergencia, la
identificacin de responsables de las funciones con el fin de garantizar que
siempre haya alguien a cargo, y que pueda ser contactada si falla un
proceso de importancia.
Fase V:Documentacin del
Proceso
Fase VI: Pruebas y Validacin
Plan de Recuperacin de Desastres
Cuando ocurra una contingencia, es esencial que se
conozca al detalle el motivo que la origin y el dao producido, lo
que permitir recuperar en el menor tiempo posible el proceso
perdido.
La elaboracin de los procedimientos que se determinen
como adecuados para un caso de emergencia, deben ser
planeados y probados fehacientemente.
Las actividades a realizar en un Plan de Recuperacin de
Desastres se pueden clasificar en tres etapas:
Actividades Previas al Desastre.
Actividades Durante el Desastre.
Actividades Despus del Desastre.
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparacin,
entrenamiento y ejecucin de las actividades de resguardo de la
informacin, que nos aseguren un proceso de Recuperacin con
el menor costo posible a nuestra Institucin.

Podemos detallar las siguientes Actividades Generales :
- Establecimiento del Plan de Accin.
- Formacin de Equipos Operativos.
-Formacin de Equipos de Evaluacin (auditora de
cumplimiento de los procedimientos sobre Seguridad).
Establecimiento de Plan de Accin

En esta fase de Planeamiento se debe de
establecer los procedimientos relativos a:
a) Sistemas e Informacin.
b) Equipos de Cmputo.
c) Obtencin y almacenamiento de los Respaldos de
Informacin (BACKUPS).
d) Polticas (Normas y Procedimientos de Backups
Sistemas de Informacin.
La Institucin deber tener una relacin de los Sistemas de Informacin
con los que cuenta, tanto los realizados por el centro de cmputo como los
hechos por las reas usuarias. Debiendo identificar toda informacin
sistematizada o no, que sea necesaria para la buena marcha Institucional.
La relacin de Sistemas de Informacin deber detallar los siguientes
datos:
Nombre del Sistema.
Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo
conforman (tanto programas fuentes como programas objetos, rutinas,
macros, etc.).
La Direccin (Gerencia, Departamento, etc.) que genera la informacin
base (el dueo del Sistema).
Las unidades o departamentos (internos/externos) que usan la
informacin del Sistema.
El volumen de los archivos que trabaja el Sistema.
El volumen de transacciones diarias, semanales y mensuales que maneja
el sistema.
El equipamiento necesario para un manejo ptimo del Sistema.
La(s) fecha(s) en las que la informacin es necesitada con carcter de
urgencia.
El nivel de importancia estratgica que tiene la informacin de este
Sistema para la Institucin (medido en horas o das que la Institucin puede
funcionar adecuadamente, sin disponer de la informacin del Sistema).
Equipamiento mnimo necesario para que el Sistema pueda seguir
funcionando (considerar su utilizacin en tres turnos de trabajo, para que el
equipamiento sea el mnimo posible).
Actividades a realizar para volver a contar con el Sistema de informacin
(actividades de Restore).

Con toda esta informacin se deber de realizar una lista priorizada
(un ranking) de los Sistemas de Informacin necesarios para que la
institucin pueda recuperar su operatividad perdida en el desastre
(contingencia).

Equipos de Cmputo.
Aparte de las Normas de Seguridad, hay que tener en cuenta:
Inventario actualizado de los equipos de manejo de informacin
(computadoras, lectoras de microfichas, impresoras, etc.), especificando
su contenido (software que usa, principales archivos que contiene), su
ubicacin y nivel de uso Institucional.
Plizas de Seguros Comerciales. Como parte de la proteccin de los
Activos Institucionales, pero haciendo la salvedad en el contrato, que en
casos de siniestros, la restitucin del Computador siniestrado se podr
hacer por otro de mayor potencia (por actualizacin tecnolgica), siempre
y cuando est dentro de los montos asegurados.
Sealizacin o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de evacuacin.
Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores,
color amarillo a las PC's con Informacin importante o estratgica y color
verde a las PC's de contenidos
Obtencin y Almacenamiento de los Respaldos de Informacin
(BACKUPS).
Se deber establecer los procedimientos para la obtencin de copias de
Seguridad de todos los elementos de software necesarios para asegurar
la correcta ejecucin de los Sistemas o aplicativos de la Institucin. Para
lo cual se debe contar con:
Backups del Sistema Operativo (en caso de tener varios Sistemas
Operativos o versiones, se contar con una copia de cada uno de ellos).
Backups del Software Base (Paquetes y/o Lenguajes de
Programacin).
Backups del Software Aplicativo (Considerando tanto los programas
fuentes, como los programas objetos correspondientes, y cualquier otro
software o procedimiento que tambin trabaje con la data, para producir
los resultados con los cuales trabaja el usuario final). Se debe considerar
tambin las copias de los listados fuentes de los programas definitivos,
para casos de problemas.
Backups de los Datos (Bases de Datos, Indices, tablas de validacin,
passwords, y todo archivo necesario para la correcta ejecucin del
Software Aplicativo.

Polticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinacin de
responsabilidades en la obtencin de los Backups mencionados
anteriormente debindose incluir:
Periodicidad de cada Tipo de Backup.
Respaldo de Informacin de movimiento entre los perodos que no se
sacan Backups (backups incrementales).
Uso obligatorio de un formulario estndar para el registro y control de los
Backups.
Correspondencia entre la relacin de Sistemas e Informaciones necesarias
para la buena marcha de la empresa, y los backups efectuados.
Almacenamiento de los Backups en condiciones ambientales ptimas,
dependiendo del medio magntico empleado.
Reemplazo de los Backups, en forma peridica, antes que el medio
magntico de soporte se pueda deteriorar (reciclaje o refresco).
Almacenamiento de los Backups en locales diferentes donde reside la
informacin primaria (evitando la prdida si el desastre alcanzo todo el
edificio o local estudiado).
Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.
Formacin de Equipos Operativos

En cada unidad operativa de la Institucin, que almacene informacin y
sirva para la operatividad Institucional, se deber designar un responsable
de la seguridad de la Informacin de su unidad. Pudiendo ser el jefe de
dicha Area Operativa. Sus labores sern:
Ponerse en contacto con los propietarios de las aplicaciones y trabajar
con ellos.
Proporcionar soporte tcnico para las copias de respaldo de las
aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos
en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales
sistemas y subsistemas.
Supervisar procedimientos de respaldo y restauracin.
Supervisar la carga de archivos de datos de las aplicaciones, y la
creacin de los respaldos incrementales.

Ejecutar trabajos de recuperacin.
Coordinar lneas, terminales, mdem, otros aditamentos para
comunicaciones.
Establecer procedimientos de seguridad en los sitios de recuperacin.
Organizar la prueba de hardware y software.
Cargar y probar archivos del sistema operativo y otros sistemas
almacenados en el local alternante.
Realizar procedimientos de control de inventario y seguridad del
almacenamiento en el local alternante.
Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperacin.
Participar en las pruebas y simulacros de desastres.
Actividades Durante el Desastre
Una vez presentada la Contingencia o Siniestro, se
deber ejecutar las
siguientes actividades, planificadas previamente:

a) Plan de Emergencias.
b) Formacin de Equipos.
c) Entrenamiento.
a) Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando
se presente un Siniestro, as como la difusin de las mismas. Es conveniente
prever los posibles escenarios de ocurrencia del Siniestro:
Durante el da.
Durante la Noche o madrugada.
Este plan deber incluir la participacin y actividades a realizar por
todas y cada una de las personas que se pueden encontrar presentes en el
rea donde ocurre el siniestro, debiendo detallar :
Vas de salida o escape.
Plan de Evacuacin del Personal.
Plan de puesta a buen recaudo de los activos (incluyendo los activos de
Informacin) de la Institucin (si las circunstancias del siniestro lo posibilitan)
Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores,
cobertores contra agua, etc.)
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de
iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura
de Seguridad y de su personal (equipos de seguridad) nombrados para estos
casos.
b) Formacin de Equipos

Establecer claramente cada equipo (nombres, puestos,
ubicacin, etc.) con funciones claramente definidas a ejecutar durante
el siniestro. Si bien la premisa bsica es la proteccin de la Integridad
del personal, en caso de que el siniestro lo permita (por estar en un
inicio o estar en una rea cercana, etc.), deber de existir dos equipos
de personas que acten directamente durante el siniestro, un equipo
para combatir el siniestro y otro para el salvamento de los recursos
Informticos, de acuerdo a los lineamientos o clasificacin de
prioridades.
c) Entrenamiento

Establecer un programa de prcticas peridicas de todo el
personal en la lucha contra los diferentes tipos de siniestros, de acuerdo
a los roles que se le hayan asignado en los planes de evacuacin del
personal o equipos, para minimizar costos se puede aprovechar fechas
de recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de
que los siniestros (incendios, inundaciones, terremotos, apagones, etc.)
pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos
entrenamientos, para estos efectos es conveniente que participen los
elementos directivos, dando el ejemplo de la importancia que la alta
direccin otorga a la Seguridad Institucional.

Actividad Despus del Desastre
Despus de ocurrido el Siniestro o Desastre es
necesario realizar las
actividades que se detallan, las cuales deben estar
especificadas en el Plan
de Accin.
a) Evaluacin de Daos.
b) Priorizacin de Actividades del Plan de Accin.
c) Ejecucin de Actividades.
d) Evaluacin de Resultados.
e) Retroalimentacin del Plan de Accin
a) Evaluacin de Daos.

Inmediatamente despus que el siniestro ha concluido, se deber
evaluar la magnitud del dao que se ha producido, que sistemas se estn
afectando, que equipos han quedado no operativos, cuales se pueden
recuperar, y en cuanto tiempo, etc.
Adicionalmente se deber lanzar un pre-aviso a la Institucin con
la cual tenemos el convenio de respaldo, para ir avanzando en las labores
de preparacin de entrega de los equipos por dicha Institucin.
b) Priorizacin de Actividades del Plan de Accin.

Toda vez que el Plan de Accin es general y contempla una
prdida total, la evaluacin de daos reales y su comparacin contra el
Plan, nos dar la lista de las actividades que debemos realizar, siempre
priorizndola en vista a las actividades estratgicas y urgentes de nuestra
Institucin.
Es importante evaluar la dedicacin del personal a actividades
que puedan no haberse afectado, para ver su asignamiento temporal a las
actividades afectadas, en apoyo al personal de los sistemas afectados y
soporte tcnico.
c) Ejecucin de Actividades.

La ejecucin de actividades implica la creacin de equipos de trabajo
para realizar las actividades previamente planificadas en el Plan de accin.
Cada uno de estos equipos deber contar con un coordinador que
deber reportar diariamente el avance de los trabajos de recuperacin y, en
caso de producirse algn problema, reportarlo de inmediato a la jefatura a
cargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera la
restauracin del servicio usando los recursos de la Institucin o local de
respaldo, y la segunda etapa es volver a contar con los recursos en las
cantidades y lugares propios del Sistema de Informacin, debiendo ser esta
ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen
servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la
operatividad de la Institucin o local de respaldo.
d) Evaluacin de Resultados

Una vez concluidas las labores de Recuperacin del (los)
Sistema(s) que fueron afectados por el siniestro, debemos de evaluar
objetivamente, todas las actividades realizadas, que tan bien se hicieron,
que tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades del plan de accin, como se comportaron los
equipos de trabajo, etc.
De la Evaluacin de resultados y del siniestro en si, deberan de
salir dos tipos de recomendaciones, una la retroalimentacin del plan de
Contingencias y otra una lista de recomendaciones para minimizar los
riesgos y prdida que ocasionaron el siniestro.
e) Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, debemos de optimizar el plan de
accin original, mejorando las actividades que tuvieron algn tipo de
dificultad y reforzando los elementos que funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no haber
tenido nuestra Institucin el plan de contingencias llevado a cabo.
La fase de implementacin se da cuando
han ocurrido o estn por ocurrir los problemas para
este caso se tiene que tener preparado los planes
de contingencia para poder aplicarlos. Puede
tambin tratarse esta etapa como una prueba
controlada.
Fase VII: Implementacin
La fase de Monitoreo nos dar la seguridad de que podamos
reaccionar en el tiempo preciso y con la accin correcta. Esta fase es
primordialmente de mantenimiento. Cada vez que se da un cambio en la
infraestructura, debemos de realizar un mantenimiento correctivo o de
adaptacin.
Un punto donde se tiene que actuar es por ejemplo cuando se ha
identificado un nuevo riesgo o una nueva solucin. En este caso, toda la
evaluacin del riesgo se cambia, y comienza un nuevo ciclo completo, a pesar
de que este esfuerzo podra ser menos exigente que el primero.
Esto es importante ya que nos alimentamos de las nuevas
posibilidades de soluciones ante nuevos casos que se puedan presentar.
Podramos enumerar las actividades principales a realizar:
Desarrollo de un mapa de funciones y factores de riesgo.
Establecer los procedimientos de mantenimiento para la documentacin y la
rendicin de informes referentes a los riesgos.
Revisin continua de las aplicaciones.
Revisin continua del sistema de backup
Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento
de Datos.
Fase VIII: Monitoreo
Visin Prctica para realizar un Plan de
Contingencias de los sistemas de
informacin
ETAPA 1

Anlisis y
Seleccin de las
Operaciones
crticas
ETAPA 2

Identificacin de
Procesos en cada
operacin
ETAPA 3

Listar los recursos
utilizados por las
operaciones
ETAPA 4

Especificar los
escenarios donde
ocurriran los
problemas
ETAPA 5

Determinar y detallar
medidas preventivas
ETAPA 6

Formacin y
funciones de los
grupos de trabajo
ETAPA 7

Desarrollo de los
planes de accin
ETAPA 8
Preparar lista de
personas y
organizaciones con
quien comunicarse
ETAPA 9

Prueba y Monitoreo
En esta etapa hay que definir cuales sern nuestras operaciones
crticas y tienen que ser definidas en funcin a los componentes de los
sistemas de informacin los cuales son: Datos, Aplicaciones, Tecnologa
Hardware y Software, instalaciones y personal.
Dentro de las cuales podemos identificar las siguientes, las cuales
pueden variar de sistema a sistema :
Reportes Impresos de Informes del Sistema.
Consultas a las Bases de Datos va Internet.
Consultas a las Bases de Datos va LAN.
Sistema de Backup y Recuperacin de Data.
Sistema de ingreso y modificacin en la Base de Datos de documentos que
llegan y salen al exterior.
Los Servidores de Bases de Datos y Aplicaciones.
Los Servicios de Red.
Los Medios de Transmisin.
Las Topologas de Red.
Los Mtodos de control de acceso.
Etapa 1: Anlisis y Seleccin de
Operaciones crticas
Se ha listado los procesos crticos de manera genrica y evaluado su grado
de importancia en funcin a la magnitud del impacto si los procesos pueden
detenerse, y luego clasificados en niveles H (Alta), R (Regular) y L (Bajo)
Se tiene que elaborar una tabla denominada Operaciones Crticas de los
SI, que consta de tres campos:
Operaciones crticas
Objetivo de la Operacin
Prioridad de la Operacin
Operaciones Crticas Objetivos de la Operacin Prioridad
Reportes Impresos de
Informes del Sistema
Informes de los estados financieros de la organizacin.
Informes de plantillas del personal.
Informes de produccin mensual, anual.
R
Consultas a las Bases
de Datos va Internet
Informes a los clientes.
Informacin a los proveedores.
Sistema de ventas va Internet.
L
Consultas a las Bases de
Datos va LAN
Inventarios
Revistas, electrnicas
R
Sistema de Backup y
Recuperacin de Data
Procesos de Backups de la informacin.
Establecimiento de las frecuencias de almacenamiento
de datos
H
OPERACION PRINCIPAL CONTENIDO DE LA OPERACION PRIORIDAD
Ventas (A) Ventas a los clientes R
Ordenes aceptadas (B) Aceptar rdenes de los clientes
Administracin de las ventas a crdito
H
Envio y Reparto (C) Administracin del inventario
Envo de productos
Reparto de las ventas a crdito
H
Compras (D) Dando rdenes a los fabricantes
Administracin de la compra a crdito
H
Estadisticas ( E) Estadsticas mensuales
Estadsticas anuales
R
Procesos Estratgicos del Negocio
Para cada una de las operaciones principales, enumerar sus
procesos.
Investigar qu recursos de la empresa (equipamiento, herramientas,
sistemas, etc.) son usados, descrbalos y enumrelos
NMERO DE
PROCEDIMIEN
TOS
PROCESOS DE
NEGOCIOS
RECURSOS
USADOS
NUMERO DE
SERIE DEL
RECURSO
B-1 Recepcin de rdenes de
pedido
Telefonos fijos S-1
PCs
S-2
Lineas dedicadas
S-3
B-2 Confirmar la cantidad
total linea de orden
recibidas
Sistema de
aceptacin de
la orden (Software)
S-4
B-3 Confirmar si se
cuenta con el
Stock para
atender los
pedidos
Sistema de
aceptacin de
la orden
S-4
B-4 Registrar las
rdenes
Sistema de
aceptacin de
la orden
S-4
Anlisis de un Proceso de Negocio:
Nombre de la Operacin: Aceptacin de Ordenes de Compra
Periodos aceptables de interrupcin
N Serie del
Recurso
recurso Operaciones
que lo usan
Frecuencia de
Uso
Perodo
aceptable de
interrupcin
S1-1 PCs (Red) B1 Todo el dia Medio da
S1-2 PCs (Red) B1 Todo el dia Medio da
S2-1 Software (red) B1 Todo el dia Medio da
K1 Todo el dia Medio da
S2-2 Software de
administracin
de
Compras
B1 Todo el dia Medio da
B5 Todo el dia Medio da
K1 Todo el dia Medio da
Estudio Puntual de Fallas
Considerando el contenido de cada operacin, determinar cuanto
tiempo una interrupcin puede ser tolerada.
Describir con que frecuencia se utiliza un recurso y que tiempo una
parada o interrupcin bloquea la operacin.
Etapa 2: Identificacin de
Procesos en cada Operacin
Para cada una de las operaciones crticas en la Etapa 1, se debe
enumerar los procesos que tienen.
Los responsables de desarrollar los planes de contingencia deben
de coordinar en cooperacin con el personal a cargo de las operaciones de
los Sistemas Analizados, los cuales son conocedores de dichos procesos
crticos. Se debe de investigar que recursos administrativos (equipamiento,
herramientas, sistemas, etc.) son usados en cada proceso, se ha descrito y
codificado cada recurso, como: sistema elctrico, tarjetas, transporte, red de
datos, PC's. A su vez tambin se ha determinado su novel de riesgo, como
crticos y no crticos.
La tabla elaborada contiene cinco campos:
Cdigo de procedimientos
Procesos
Recursos Utilizados
Cdigo del Recurso
Nivel de Riesgo
Cdigo Proceso Proceso Plan de
Contingencia
Cdigo Recurso Nivel de Riesgo

E-1

Proceso de los
programas que
realizan la
entrada y
salida de la
informacin
Sistema electricos R1 Crtico
Redes de datos R2 Crtico
Servidores R3 Crtico
Sistemas de
Gestin
R4 Crtico
Impresoras R5 Crtico
Humanos R6 Crtico
PCs R7 Crtico
PROCESOS DEL AREA ANALIZADA
Etapa 3: Listar los recursos
usados por cada Operacin
En esta etapa se identifica a los proveedores de los servicios y recursos
usados, considerados crticos, para los procesos de cada operacin en la
Etapa 2.
Se tiene que identificar los recursos asociados al Sistema de Informacin,
basados en los cdigos del recurso descritos en la etapa 2.
Se investiga y describe, si los recursos estn dentro del Sistema de
Informacin o fuera de este, (como compra a otros proveedores de servicios
externos o productos).
Se investiga y describe a los proveedores de servicios y recursos.
La importancia de un mismo recurso difiere de operacin en operacin.
Para esto se seala a que operaciones esta relacionado el mismo recurso,
esto es necesario para determinar las medidas preventivas para posibles
problemas del Sistema de Informacin.
N Serie del
Recurso
Recurso Ubicacin Proveedor
del Servicio
Operacione
s que usan
el recurso
S1-1 PCs externo Proveedor A B-1
S1-2 interno Soporte
tcnico
B-1
S2-1 Software de
administraci
n de compras
Externo Proveedor A B-1, B-5
S2-2 interno Soporte
Tcnico
Lista de Recursos Utilizados
Se utiliza las nomenclaturas para identificar los procedimientos y a que
proceso pertenece.
Enumerar Recursos Utilizados para los Procesos
Describir ubicaciones de proveedores de servicios por los procesos de
cada operacin.
Investigue y describa a los proveedores de servicios
Etapa 4: Especificacin de escenarios
en los cuales puede ocurrir problemas
En consideracin de la condicin de preparar medidas preventivas para
cada recurso, se ha evaluado su posibilidad de ocurrencia del problema
como (alta, mediana, pequea).
Se calcular y describir el perodo que se pasar hasta la recuperacin
en caso de problemas, basados en informacin confirmada relacionada
con los Sistemas de informacin.
Recurso Probabilidad de Falla
Alta Media Baja Ninguna
S1 X
S2 X
S3 X
Problemas probables a ocurrir
N Serie
del
Recurso
Recurso Proveedor
del Servicio
Operaciones
que usan el
recurso
Medidas
preventivas
Probabilid
ad del
Problema
Tiempo
necesario
para la
recuperac
in
Frecuen
cia de
Uso
S1-1 PCs Proveedor A B-1 Preparado Baja 10 minutos 24 horas
S1-2 Soporte
tcnico
B-1 Programado Media /
Alta
2 horas 15 horas
S2-1 Software de
administraci
n de
compras
Proveedor A B-1, B-5 Preparado Media /
Alta
2 horas 15 horas
S2-2 Soporte
Tcnico
B-1 Preparado Media /
Alta
2 horas 15 horas
Cdigo del Recurso
Recurso
Proveedor del Servicio
Resultados Confirmados
Anlisis de Riesgo (probabilidad del problema, perodo necesario para la
recuperacin, frecuencia de uso)
Orden Procesos Procedimientos Medida Alternativa
1 Proceso de los
programas que
realizan la entrada y
salida de la
informacin
Ingreso y recepcin de
expedientes
(cartas, oficios, informes,
etc.)
Envo de los documentos a
todas las reas de la
institucin
Salida de documentos(cartas,
oficios, informes, etc
Puesta en funcionamiento
del grupo electrgeno
Operaciones Manuales
Puesta en marcha de una
red LAN interna.
2 Mantenimiento
adecuado de las
aplicaciones
Programacin de cronograma
de mantenimiento
Elaboracin de rdenes de
compra y rdenes de servicios
red LAN interna
3 Equipamiento
necesario para un
funcionamiento
optimo del sistema
Actividades de soporte
tcnico para casos de fallas
Almacn de control de
bienes
Programacin de
requerimientos
red LAN interna
Detalle de Medidas Alternativas por procesos
Etapa 5: Determinar y detallar
medidas preventivas
Se ha determinado y descrito las medidas preventivas para cada
recurso utilizado en el uso y mantenimiento de los Sistemas de
Informacin, cuando los problemas ocurran, considerando el entorno de
problemas que suceden y el perodo de interrupcin aceptable que se
estima en la etapa 4.
Si hay mas de un conjunto de medidas preventivas para un
recurso, se ha determinado cual se empleara, para tomar en
consideracin sus costos y efectos.
Los campos principales considerados en la tabla 5 son los
siguientes:
Cdigo del Recurso
Recurso
Problema Asumido (Anlisis de Riesgo)
Medidas preventivas / alternativas
Cdigo del
Recurso
Recurso Probabilidad
de ocurrencia
del problema
Perodo
aceptable de
parada
Medidas Preventivas
Ejecutada
Si /No

Contenido

S1 PCs Baja Medio dia No Transacciones
manuales
S2
Software de
administracin
de
compras
Media / Alta Medio dia Si Transacciones
manuales
S3
Servidores
Media / Alta Medio dia Si Red local
S4 Sistemas de
Gestin
Media / Alta 2 horas Si Transacciones
manuales
Lista de Medidas Preventivas
Etapa 6: Formacin y funciones
de grupos de trabajo
Se debe determinar claramente los pasos para establecer los
Grupos de Trabajo, desde las acciones en la fase inicial, las cuales
son importantes para el manejo de la crisis de administracin.
Los Grupos de Trabajo permanecern en operacin cuando
los problemas ocurran, para tratar de solucionarlos.
Se elaborar un Organigrama de la estructura funcional de los
Grupos de Trabajo del sistema administrativo de los SI.
Direccin Nombre Cargo Funciones
Etapa 7: Desarrollo de los Planes
de Accin
Lista de Acciones ante fallas de Recursos
Codigo
Recurso
Recurso Accin Cmo
confirmar
Operador Programa
de accin
Localizaci
n para la
accin
Ocurrencia
de
problema
S1 PCs Confirmar
ocurrencia
de
problemas
El rea de
administracin
comunicara al
responsable
sobre
la ocurrencia del
problema
Area de
administra
cin
En la
maana
Todas las
ofcinas
Fallas de
los PCs
S2 Software
de
administra
cin
de
compras
Confirmar
ocurrencia
de
problemas

El administrador
de la Red
supervisar la
red
e informara
cualquier
problema
Direccin
Tcnica de
Soporte
Tcnico
En todo el
dia
Oficinas
administrat
ivas
Caida de la
red en
ciertas
reas
S3 Software
de Gestin
Confirmar
ocurrencia
de
problemas

El administrador
de la Red
supervisar la
red
e informara
cualquier
problema
Direccin
Tcnica de
Soporte
Tcnico

En todo el
dia
Oficinas
administrat
ivas

Cada de la
red en el
rea de
gestin
Etapa 8: Preparar Lista de Personas u
Organizaciones para comunicar en caso de
emergencia
Direccin Cargo Empleado Primer
Nmero de
contacto
Segundo
Nmero de
contacto
Cdigo
del
recurso
Recurso Proveedo
r del
servicio
Dpto. a
cargo
Persona a
cargo
Telfono
Formato Lista telefnica de proveedores de Servicio
Formato Lista telefnica del personal esencial en caso de
emergencia
rea
afectada
Riesgo
Identificado
Impacto rea
seleccion
ada
Probabilid
ad de
falla
Area de
accin
Prioridad Estrategia
de
mitigacin
Todas las
oficinas
Prdida del
Software del
Cliente
Todas las
oficinas

Falla del
software de
administraci
n de
compra
Todas las
oficinas

Fallas de los
servicios de
red
(servidores)
Tabla de Anlisis de Riesgo
Etapa 9: Pruebas y Monitoreo
En esta etapa hay que desarrollar la estrategia seleccionada,
implantndose con todas las acciones previstas, sus procedimientos y
generando una documentacin del plan.
Hay que tener en claro como pasamos de una situacin normal a
una alternativa, y de que forma retornamos a la situacin normal. Hay
situaciones en que debemos de contemplar la reconstruccin de un proceso
determinado, ejemplo: por alguna circunstancia dada se determino que la
facturacin se realice en forma manual, restablecido el servicio que nos llevo
a esta contingencia debemos tener el plan como recuperar estos datos para
completar la informacin que da a da utilizan las dems reas.
Antes de realizar las pruebas, los planes deberan ser revisados y
juzgados independientemente en lo que respecta a su eficacia y
razonabilidad.

Las pruebas recomendadas para los planes de recuperacin
de desastres incluyen una prueba peridica preliminar y un ensayo
general, en el que se crea un simulacro de una crisis con el fin de
observar la eficacia del plan. Las actividades importantes a realizar
son:
La validacin de las estrategias de continuidad de los negocios de
una unidad de negocios.
La validacin en implementacin de un plan (con las operaciones de
la empresa y los representantes de dichas operaciones)
Realizacin de pruebas en cada unidad para ver la eficacia de la
solucin.
La preparacin y ejecucin de pruebas integradas para verificar la
eficacia de la solucin.
Etapa 9: Pruebas y Monitoreo

Diapositivas - Plan de Contingencia

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Diapositivas - Plan de Contingencia

Transféré par

Droits d'auteur :

Formats disponibles

Desarrollo de un

Vous aimerez peut-être aussi