Universidad de Guayaquil

Facultad de Ciencias Administrativas

Plan de Contingencia Informa tica

Grupo #7
Integrantes
Alvarado Cercado Jennifer
Franco Pantalen Edilma
Macas Intriago Julio
Muoz Arvalo Karina
Zavala Torres Robinson

Docente: Ing. Sixto Ronquillo

Paralelo: 7/24
 1. PLAN DE CONTINGENCIA INFORMATICA

1.1. Qu es un plan de contingencia

Un plan de contingencia es un conjunto de procedimientos alternativos a la operatividad

normal de cada institucin.

Su finalidad es la de permitir el funcionamiento de esta, aun cuando alguna de sus funciones

deje de hacerlo por culpa de algn incidente tanto interno como ajeno a la organizacin.

Todas las instituciones deberan contar con un plan de contingencia actualizado, valiosa

herramienta en general basada en un anlisis de riesgo.

Permitir ejecutar un conjunto de normas, procedimientos y acciones bsicas de respuesta

que se debera tomar para afrontar de manera oportuna, adecuada y efectiva, ante la

eventualidad de incidentes, accidentes y/o estados de emergencias que pudieran ocurrir tanto

en las instalaciones como fuera de ella, por ejemplo el secuestro de un funcionario.

Los riesgos los puedes eliminar, transferir, mitigar o aceptar. Ello depender de varios

factores tales como la probabilidad de ocurrencia o impacto del riesgo.

En la informtica, un plan de contingencia es un programa alternativo para que una empresa

pueda recuperarse de un desastre informtico y restablecer sus operaciones con rapidez. Estos

planes tambin se conocen por la sigla DRP, del ingls Disaster Recovery Plan.

Un programa DRP incluye un plan de respaldo (que se realiza antes de la amenaza), un plan

de emergencia (que se aplica durante la amenaza) y un plan de recuperacin (con las medidas

para aplicar una vez que la amenaza ha sido controlada).

1.2. Los objetivos del plan de contingencia

Los objetivos del plan de contingencia son el de planificar y describir la capacidad para

respuestas rpidas, requerida para el control de emergencias. Paralelo al plan se debe

identificar los distintos tipos de riesgos que potencialmente podran ocurrir e incorporar una

estrategia de respuesta para cada uno, con algunos objetivos especficos:

1. Establecer un procedimiento formal y por escrito que indique las acciones a seguir

frente a determinados riesgos.

2. Optimizar el uso de recursos humanos y materiales
3. Un control adecuado para cumplir con las normas y procedimientos establecidos.

1.3. Etapas de un plan de contingencia

1.- Evaluacin

2.- Planificacin

3.- Pruebas de viabilidad

4.- Ejecucin

5.- Recuperacin

Las tres primeras etapas hacen referencia al componente preventivo y las ultimas a la

ejecucin del plan una vez ocurrido el siniestro.

1.3.1 Evaluacin:

1. Constitucin del grupo de desarrollo del plan.

Este grupo debe estar liderado por un responsable del plan y formado por los lderes de las

reas que se desean cubrir con dicho plan. Su elaboracin ha de desarrollarse con la continua

supervisin por parte de la direccin ya que durante la elaboracin y/o ejecucin de ste,

debern comprometerse recursos y aprobarse procedimientos especiales que requieran un

nivel de autorizacin superior.

2. Identificacin de las funciones crticas.

Esta sub-fase consiste en identificar aquellos elementos de nuestra empresa o funciones que

puedan ser crticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de

importancia dentro de la organizacin.

3. Definicin y documentacin de los posibles escenarios con los que podemos

encontrarnos para cada elemento o funcin crtica.

Puede tratarse de problemas en el hardware, software de base, de telecomunicaciones,

software de aplicacin propio o provisto por terceros, etc. Tambin deben incluirse en esta

categora los siniestros provocados por incendios, una utilizacin indebida de medios

magnticos de resguardo o back up o cualquier otro dao de origen fsico que pudiera

provocar la prdida masiva de informacin. Tambin incluimos en este apartado todos

aquellos problemas asociados con la carencia de fuentes de energa y de telecomunicaciones.

4. Anlisis del impacto del desastre en cada funcin crtica.

Consiste en realizar un anlisis del impacto de cada problema sobre cada una de las funciones

crticas de la organizacin, teniendo en cuenta las siguientes prioridades:

-Evitar prdidas de vida.

-Satisfacer las necesidades bsicas.

-Reanudar las operaciones lo antes posible.

-Proteger el medio ambiente.

-Lograr las conexiones con los principales clientes y proveedores.

-Mantener la confianza en la empresa.

Una correcta cuantificacin del impacto econmico de cada problema ayudar a una correcta

seleccin de la solucin alternativa.

5. Definicin de los niveles mnimos de servicio.

Se trata de definir los mnimos niveles de servicio aceptables para cada problema que se

pueda plantear. Es importante que dicho nivel se consense con cada uno de los responsables

de las reas que puedan verse afectadas.

6. Identificacin de las alternativas de solucin.

En esta sub-fase debern identificarse las soluciones alternativas para cada uno de los

problemas previsibles. Para ello se puede considerar:

-Implementar procesos manuales.

-Contratar las tareas crticas con terceros.

-Diferir la tarea crtica por un tiempo determinado.

-Otra medida que permita continuar las operaciones

7. Evaluacin de la relacin coste/beneficio de cada alternativa.

De cada alternativa identificada en el punto anterior y sobre la base del impacto econmico

de cada problema, deber determinarse la mejor solucin desde el punto de vista

coste/beneficio para cada proceso crtico y su tiempo de elaboracin con un nivel de servicio

que satisfaga el nivel mnimo.

1.3.2. PLANIFICACION

1. Documentacin del plan de contingencia.

Es necesario documentar el plan, cuyo contenido mnimo ser:

-Objetivo del plan.

-Modo de ejecucin.

-Tiempo de duracin.

-Costes estimados.

-Recursos necesarios.

-Evento a partir del cual se pondr en marcha el plan.

-Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.

2. Validacin del plan de contingencia.

Es necesario que el plan sea validado por los responsables de las reas involucradas. De igual manera

hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen derivarse de las

actuaciones contempladas en l.
1.3.3. Pruebas de viabilidad:

1. Definir y documentar las pruebas del plan

Es necesario definir las pruebas del plan y el personal y recursos necesarios para su

realizacin. Una correcta documentacin ayudar a la hora de realizar las pruebas.

2. Obtener los recursos necesarios para las pruebas

Deben obtenerse los recursos para las pruebas, ya sean recursos fsicos o mano de obra para

realizarlas.

3. Ejecutar las pruebas y documentarlas

Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible

problema dentro de los escenarios establecidos como posibles.

La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales

para poner en evidencia posibles carencias del plan.

Es necesario documentar las pruebas para su aprobacin por parte de las reas implicadas.

4. Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las

pruebas

Ser necesario realimentar el plan de acuerdo a los resultados obtenidos en las pruebas.

Hay que tener en cuenta que el plan de contingencia general o de continuidad de operaciones

de la empresa contiene los planes de contingencia especficos para cada problema definido.

Los distintos planes deben integrarse en un todo, considerando las posibles relaciones

mutuas.
1.3.4. Ejecucin:

En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema,

sino asegurar la continuidad de las tareas crticas de la empresa.

1.3.5. Recuperacin:

Los datos afectados por el siniestro que pudiesen haber quedado desactualizados o corruptos,

deben corregirse usando los procedimientos ya definidos.

En general, la reiniciacin del proceso normal no implica la cancelacin del alternativo, salvo

que deban utilizarse los mismos recursos. Si esto no es as, durante cierto tiempo, los

procesos deberan ejecutarse en paralelo para asegurar que la reiniciacin de la operacin

normal es correcta y, ante cualquier defecto, continuar con el de contingencia.

Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su

ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas

eventualidades.

Faces para la elaboracin de un plan de contingencia

1. Planificacin: preparacin y aprobacin de esfuerzos y costos.

2. Identificacin de riesgos: funciones y flujos del proceso de la empresa.
3. Identificacin de soluciones: Evaluacin de Riesgos de fallas o interrupciones.
4. Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
5. Documentacin del proceso: Creacin de un manual del proceso.
6. Realizacin de pruebas: seleccin de casos soluciones que probablemente

funcionen.
7. Implementacin: creacin de las soluciones requeridas, documentacin de los casos.
8. Monitoreo: Probar nuevas soluciones o validar los casos.

Fase 1: Planificacin

Diagnstico
Cada vez que nos encontremos en una actividad que requiere el diseo de una propuesta de

solucin para un determinado problema, es necesario siempre la revisin exhaustiva de cada

uno de los componentes que conforman nuestro sistema, es por esta razn siempre debemos

de realizar una etapa de diagnstico para poder asegurar que las acciones de solucin

propuestas tengan un fundamento realista y no tener que volver a rehacer toda propuesta.

Organizacin Estructural y Funcional.

En este aspecto se deben describir y analizar las Direcciones, Gerencias o dependencias en

las que se divide la empresa o institucin haciendo referencia de las funciones ms

importantes que desempean cada una de ellas, priorizando tales funciones en relacin al

sistema productivo de bienes o servicios que desarrollan.

Estas Entidades tienen Organigramas que se rigen por Manuales de Organizacin y

Funciones.

Servicios y/o Bienes Producidos.

En este punto se har referencia sobre los bienes y/o servicios que produce a empresa o

institucin segn el orden de importancia por la generacin de beneficios. Si la empresa

produce ms de un bien la prioridad ser determinada segn el criterio de los Directivos.

Adems se debe elaborar un directorio de clientes priorizando de acuerdo a la magnitud de

los bienes o servicios que consumen. Tambin se harn un breve anlisis del mercado de

consumo de los bienes y servicios producidos, identificando las zonas o sectores de mayor

consumo.

Servicios y Materiales Utilizados.

Con relacin a los servicios utilizados se debe elaborar un directorio de empresas o

instituciones que abastecen de energa, comunicacin, transporte, agua, salud y otros

servicios resaltando la importancia de ellos en el sistema de produccin de la entidad y

verificando la seguridad de los servicios sin problemas de afectacin por algn tipo de

problema.

Tambin debe hacerse un directorio de todas las entidades abastecedoras de materias primas o

insumos para la produccin de informacin.

Inventario de Recursos Informticos.

El inventario de recursos informticos se realizar por dependencias y en forma clasificada:

Computadoras: 386, 486 y las Pentium, impresoras, scanners, etc.

Programas: De sistemas operativos, procesadores de textos, hojas de clculo, lenguajes de

programacin, software de base.

Aplicativos Informticos: Del sistema de Contabilidad, de Trmite Documentario, Planillas,

Almacn, Ventas, Presupuesto, Personal.

Equipos Empotrados: De Industrias: Hornos y envasadoras. De Banca y Seguros, Cajeros

automticos y bvedas. De Oficinas, Centrales telefnicas.

Estos inventarios debern hacerse a travs de formularios sistemticamente elaborados.

El procesamiento de este inventario puede ser de dos tipos:

Proceso Automatizado.- Utilizando herramientas informticas de diferente nivel, grado de

detalle y costo, que pueden acelerar el tiempo de la toma del inventario, procesamiento de

datos y emisin de resultados.

Proceso Manual.- Utilizando formatos de recopilacin de informacin. El conocimiento del

Inventario de estos recursos nos permitir hacer una evaluacin de los riesgos de la

operatividad de los sistemas de informacin. Cada formato consta de dos partes:

Datos componentes: Donde se registran los datos bsicos de ubicacin, identificacin

y caractersticas primarias, as como tambin su importancia, compatibilidad y

adaptabilidad.
Anlisis del proceso de adaptacin del componente:
Incluye datos de costos, fecha de culminacin, medios utilizados y medidas de

contingencia.

Planificacin

La fase de planificacin es la etapa donde se define y prepara el esfuerzo de planificacin de

contingencia/continuidad. Las actividades durante esta fase incluyen:

Definicin explcita del alcance, indicando qu es lo que se queda y lo que se elimina,

y efectuando un seguimiento de las ambigedades. Una declaracin tpica podra ser,

La continuidad de los negocios no cubre los planes de recuperacin de desastres que

ya fueron emitidos.
Definicin de las fases del plan de eventos (por ejemplo, los perodos preevento,

evento, y post-evento) y los aspectos sobresalientes de cada fase.

Definicin de una estrategia de planificacin de la continuidad del negocio de alto

nivel.
Identificacin y asignacin de los grupos de trabajo iniciales; definicin de los roles y

responsabilidades.
Definicin de las partes ms importantes de un cronograma maestro y su patrn

principal.
Identificacin de las fuentes de financiamiento y beneficios del negocio; revisin del

impacto sobre los negocios.

Duracin del enfoque y comunicacin de las metas y objetivos, incluyendo los

objetivos de la empresa.
 Definicin de estrategias para la integracin, consolidacin, rendicin de informes y

arranque.
Definicin de los trminos clave (contingencia, continuidad de los negocios, etc.)
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
Obtencin de la aprobacin y respaldo de la empresa y del personal gerencial de

mayor jerarqua. Provisin de las primeras estimaciones del esfuerzo.

El plan debe ser ejecutado independientemente de las operaciones y procedimientos

operativos normales.
Las pruebas para el plan sern parte de (o mantenidas en conjuncin con) los

ejercicios normalmente programados para la recuperacin de desastres, las pruebas

especficas del plan de contingencia de los sistemas de informacin y la realizacin de

pruebas a nivel de todos los clientes.

Fase 2: Identificacin de Riesgos

La Fase de Identificacin de Riesgos, busca minimizar las fallas generadas por cualquier caso

en contra del normal desempeo de los sistemas de informacin a partir del anlisis de los

proyectos en desarrollo, los cuales no van a ser implementados a tiempo.

El objetivo principal de la Fase de Reduccin de Riesgo, es el de realizar un anlisis de

impacto econmico y legal, determinar el efecto de fallas de los principales sistemas de

informacin y produccin de la institucin o empresa.

Anlisis y Evaluacin de Riesgos

Es necesario reconocer y reducir de riesgos potenciales que afecten a los productos y

servicios; es por ello que se considera dentro de un Plan de Contingencia, como primer paso

la Reduccin de Riesgos, para favorecer el cumplimiento de los objetivos institucionales.

El anlisis y evaluacin de riesgos consta de:

Realizacin un diagnstico integral del Sistema de Informacin.
Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del

impacto, cuantificar con niveles A, B, C u otro.

Identificar todos los procesos de los servicios afectados.
Analizar slo los procesos crticos de los servicios.

Fase 3: Identificacin de soluciones

Un proyecto de plan de contingencia no sirve si se queda en plan o papel. Un plan de

contingencias debe contemplar todos los procesos institucionales sean estos manuales y/o

automatizados, evaluando el volumen de informacin o materiales afectados, a fin de definir

la complejidad de los sistemas.

La magnitud, de un plan de contingencia ser proporcional a la complejidad, importancia,

costo del servicio al cual est destinado a proteger y el riesgo asociado a la misma.

Identificacin de Alternativas

Estos son algunos ejemplos de alternativas que pudieran ayudarle al inicio del proceso de

preparacin.
 Planifique la necesidad de personal adicional para atender los problemas que ocurran.
Recurra al procesamiento manual (de facturas, rdenes, cheques, etc.) si fallan los

sistemas automatizados.
Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se

consideran en riesgo.
Instale generadores si no tiene acceso a la red de energa pblica.
Disponga del suministro adicional de combustible para los generadores, en caso de

fallas elctricas prolongadas.

Disponga de bombas manuales de combustible y selas si fallan las electrnicas.
Elaborar un programa de vacaciones que garantice la presencia permanente del

personal.
No haga nada y vea qu pasa esta estrategia es algunas veces llamada arreglar sobre

falla

Identificacin de eventos activadores

A continuacin se muestran algunos ejemplos de los tipos de eventos que pueden servir

como activadores en sus planes de contingencia:

Informacin de un vendedor respecto a la tarda entrega o no disponibilidad de un

componente de software.
Tardo descubrimiento de serios problemas con una interfaz.
Tempranas (no anticipadas) fallas del sistema correccin/reemplazo no est lista

para sustituir.
Fallas del Sistema (datos corruptos en informes o pantallas, transacciones prdidas,

entre otros).
Fallas de interfaces intercambios de datos no cumplen los requisitos.
Fallo de la infraestructura regional (energa, telecomunicaciones, sistemas

financieros)
Problemas de implementacin (por ejemplo, falta de tiempo o de fondos)

Identificacin de Soluciones
El objetivo es reducir el costo de encontrar una solucin en la medida de lo posible, a tiempo

de documentar todos los riesgos identificados.

Actividades importantes a realizar:

La asignacin de equipos de solucin para cada funcin, rea funcional o rea de

riesgo de la organizacin.
La asociacin de soluciones con cada riesgo identificado- se recomienda tener un

abanico de alternativas de soluciones.

Comparar los riesgos y determinarles pesos respecto a su importancia crtica en

trmino del impacto de los mismos.

Clasificar los riesgos.
La elaboracin de soluciones de acuerdo con el calendario de eventos.
La revisin de la factibilidad de las soluciones y las reglas de implementacin.
La identificacin de los modos de implementacin y restricciones que afectan a las

soluciones.
La definicin e identificacin de equipos de accin rpida o equipos de intensificacin

por rea funcional o de negocios de mayor importancia.

Sopesar las soluciones y los riesgos y su importancia crtica en lo que respecta a su

eficacia y su costo, siendo la meta la solucin ms inteligente.

Fase 4: Estrategias

Las estrategias de contingencia / continuidad de los negocios estn diseadas para identificar

prioridades y determinar en forma razonable las soluciones a ser seleccionadas en primera

instancia o los riesgos a ser encarados en primer lugar. Hay que decidir si se adoptarn las

soluciones a gran escala, como las opciones de recuperacin de desastres para un centro de

datos

Los puntos que deben ser cubiertos por todas las reas informticas y usuarios en general son:
 Respaldar toda la informacin importante en medio magntico, ya sea en disquetes,

cintas o CD-ROM, dependiendo de los recursos con que cuente cada rea. Acordamos

que lo que debe respaldarse es INFORMACION y no las aplicaciones.

Generar discos de arranque para las mquinas dependiendo de su sistema operativo,

libres de virus y protegidos contra escritura.

Mantener una copia de antivirus ms reciente en disco para emergencias (dependiendo

del fabricante, variarn las instrucciones para generarlo).

Guardar una copia impresa de la documentacin de los sistemas e interfaces, al igual

de los planes de contingencia definidos por el resto de las reas.

Instalar todos los Service Packs que el equipo necesite y llevar un registro de los

mismos, en caso de formatear el equipo o desinstalar aplicaciones

En Relacin al Centro de Cmputo

Es recomendable que el Centro de Cmputo no est ubicado en las reas de alto

trfico de personas o con un alto nmero de invitados.

Hasta hace algunos aos la exposicin de los Equipos de Cmputo a travs de grandes

ventanales, constituan el orgullo de la organizacin, considerndose necesario que

estuviesen a la vista del pblico, siendo constantemente visitados. Esto ha cambiado

de modo radical, principalmente por el riesgo de terrorismo y sabotaje.

Se deben evitar, en lo posible, los grandes ventanales, los cuales adems de que

permiten la entrada del sol y calor (inconvenientes para el equipo de cmputo), puede

ser un riesgo para la seguridad del Centro de Cmputo.

Otra precaucin que se debe tener en la construccin del Centro de Cmputo, es que

no existan materiales que sean altamente inflamables, que despiden humos

sumamente txicos o bien paredes que no quedan perfectamente selladas y despidan

polvo.
El acceso al Centro de Cmputo debe estar restringido al personal autorizado. El

personal de la Institucin deber tener su carn de identificacin siempre en un lugar

visible.
 Se debe establecer un medio de control de entrada y salida de visitas al centro de

cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas.

Se recomienda que al momento de reclutar al personal se les debe hacer adems

exmenes psicolgicos y mdico y tener muy en cuenta sus antecedentes de trabajo,

ya que un Centro de Cmputo depende en gran medida, de la integridad, estabilidad y

lealtad del personal.

El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de

informacin contenidos en dichos sistemas, debe estar controlado mediante la

verificacin de la identidad de los usuarios autorizados.

Deben establecerse controles para una efectiva disuasin y deteccin, a tiempo, de los

intentos no autorizados de acceder a los sistemas y a los archivos de informacin que

contienen.
Se recomienda establecer polticas para la creacin de los password y establecer

periodicidad de cambios de los mismos.

Establecer polticas de autorizaciones de acceso fsico al ambiente y de revisiones

peridicas de dichas autorizaciones.

Establecer polticas de control de entrada y salida del personal, as como de los

paquetes u objetos que portan.

La seguridad de las terminales de un sistema en red podrn ser controlados por

medios de anulacin del disk drive, cubrindose de esa manera la seguridad contra

robos de la informacin y el acceso de virus informticos.

Los controles de acceso, el acceso en s y los vigilantes deben estar ubicados de tal

manera que no sea fcil el ingreso de una persona extraa. En caso que ingresara

algn extrao al centro de Cmputo, que no pase desapercibido y que no le sea fcil a

dicha persona llevarse un archivo.

Las cmaras fotogrficas no se permitirn en ninguna sala de cmputo, sin permiso

por escrito de la Direccin.

Asignar a una sola persona la responsabilidad de la proteccin de los equipos en cada

rea.

Respecto a la Administracin de la Cintoteca

 Debe ser administrada bajo la lgica de un almacn. Esto implica ingreso y salida de

medios magnticos (sean cintas, disquetes cassettes, cartuchos, Discos remobibles,

CD's, etc.), obviamente teniendo ms cuidado con las salidas.

La cintoteca, que es el almacn de los medios magnticos (sean cintas, disquetes

cassettes, cartuchos, Discos remobibles, CD's, etc.) y de la informacin que contienen,

se debe controlar para que siempre haya determinado grado de temperatura y de la

humedad.
Todos los medios magnticos debern tener etiquetas que definan su contenido y nivel

de seguridad.
El control de los medios magnticos debe ser llevado mediante inventarios peridicos.

Respecto a la Administracin de Impresoras:

Todo listado que especialmente contenga informacin confidencial, debe ser

destruido, as como el papel carbn de los formatos de impresin especiales.

Establecer controles de impresin, respetando prioridades de acuerdo a la cola de

impresin.
Establecer controles respecto a los procesos remotos de impresin.

Fase 5: Documentacin del Proceso

Todo el proceso de lograr identificar soluciones ante determinados problemas no tendr su

efecto verdadero si es que no se realiza una difusin adecuada de todos los puntos

importantes que este implica, y un plan de Contingencia con mucha mayor razn necesita de

la elaboracin de una documentacin que sea eficientemente orientada.

Como puntos importantes que debe de incluir esta documentacin podremos citar las

siguientes:
 Cuadro de descripcin de los equipos y las tareas para ubicar las soluciones a las

contingencias.
La documentacin de los riesgos, opciones y soluciones por escrito y en detalle.
La identificacin y documentacin de listas de contacto de emergencia, la

identificacin de responsables de las funciones con el fin de garantizar que siempre

haya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.

Fase6: Pruebas y Validacin

Plan de Recuperacin de Desastres

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la

origin y el dao producido, lo que permitir recuperar en el menor tiempo posible el proceso

perdido.

La elaboracin de los procedimientos que se determinen como adecuados para un caso de

emergencia, deben ser planeados y probados fehacientemente.

Las actividades a realizar en un Plan de Recuperacin de Desastres se pueden clasificar en

tres etapas:

Actividades Previas al Desastre.

Actividades Durante el Desastre.
Actividades Despus del Desastre

Actividades Previas al Desastre

Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las

actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin

con el menor costo posible a nuestra Institucin.

Podemos detallar las siguientes Actividades Generales:

 Establecimiento del Plan de Accin.
Formacin de Equipos Operativos.
Formacin de Equipos de Evaluacin (auditora de cumplimiento de los

procedimientos sobre Seguridad).

Establecimiento de Plan de Accin

En esta fase de Planeamiento se debe de establecer los procedimientos relativos a:

a) Sistemas e Informacin.
b) Equipos de Cmputo.
c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS).
d) Polticas (Normas y Procedimientos de Backups

Sistemas de Informacin.

La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta,

tanto los realizados por el centro de cmputo como los hechos por las reas usuarias.

Debiendo identificar toda informacin sistematizada o no, que sea necesaria para la buena

marcha Institucional. La relacin de Sistemas de Informacin deber detallar los siguientes

datos:

Nombre del Sistema.

Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo conforman

(tanto programas fuentes como programas objetos, rutinas, macros, etc.).

La Direccin (Gerencia, Departamento, etc.) que genera la informacin base (el

dueo del Sistema).

Las unidades o departamentos (internos/externos) que usan la informacin del

Sistema.
El volumen de los archivos que trabaja el Sistema.
El volumen de transacciones diarias, semanales y mensuales que maneja el sistema.
El equipamiento necesario para un manejo ptimo del Sistema.
La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia.
El nivel de importancia estratgica que tiene la informacin de este Sistema para la

Institucin (medido en horas o das que la Institucin puede funcionar

 adecuadamente, sin disponer de la informacin del Sistema). Equipamiento mnimo

necesario para que el Sistema pueda seguir funcionando (considerar su utilizacin en

tres turnos de trabajo, para que el equipamiento sea el mnimo posible).

Actividades a realizar para volver a contar con el Sistema de informacin (actividades

de Restore).

Con toda esta informacin se deber de realizar una lista priorizada<br />(un ranking) de los

Sistemas de Informacin necesarios para que la institucin pueda recuperar su operatividad

perdida en el desastre (contingencia).

Equipos de Cmputo.

Aparte de las Normas de Seguridad, hay que tener en cuenta:

Inventario actualizado de los equipos de manejo de informacin (computadoras,

lectoras de microfichas, impresoras, etc.), especificando su contenido (software que

usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional.

Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos

Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la

restitucin del Computador siniestrado se podr hacer por otro de mayor potencia (por

actualizacin tecnolgica), siempre y cuando est dentro de los montos asegurados.

Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su

contenido, para ser priorizados en caso de evacuacin. Por ejemplo etiquetar (colocar

un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin

importante o estratgica y color verde a las PC's de contenidos.

Obtencin y Almacenamiento de los Respaldos de Informacin (BACKUPS).

Se deber establecer los procedimientos para la obtencin de copias de Seguridad de todos

los elementos de software necesarios para asegurar la correcta ejecucin de los Sistemas o

aplicativos de la Institucin. Para lo cual se debe contar con:

Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o

versiones, se contar con una copia de cada uno de ellos).

Backups del Software Base (Paquetes y/o Lenguajes de Programacin).
Backups del Software Aplicativo (Considerando tanto los programas fuentes, como

los programas objetos correspondientes, y cualquier otro software o procedimiento

que tambin trabaje con la data, para producir los resultados con los cuales trabaja el

usuario final). Se debe considerar tambin las copias de los listados fuentes de los

programas definitivos, para casos de problemas.

Backups de los Datos (Bases de Datos, Indices, tablas de validacin, passwords, y

todo archivo necesario para la correcta ejecucin del Software Aplicativo.

Polticas (Normas y Procedimientos de Backups)

Se debe establecer los procedimientos, normas, y determinacin de responsabilidades en la

obtencin de los Backups mencionados anteriormente debindose incluir:

Periodicidad de cada Tipo de Backup.

Respaldo de Informacin de movimiento entre los perodos que no se sacan Backups

(backups incrementales).
Uso obligatorio de un formulario estndar para el registro y control de los Backups.
Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la

buena marcha de la empresa, y los backups efectuados.

Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo

del medio magntico empleado.

Reemplazo de los Backups, en forma peridica, antes que el medio magntico de

soporte se pueda deteriorar (reciclaje o refresco).

Almacenamiento de los Backups en locales diferentes donde reside la informacin

primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado).

 Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.

Formacin de Equipos Operativos

En cada unidad operativa de la Institucin, que almacene informacin y sirva para la

operatividad Institucional, se deber designar un responsable de la seguridad de la

Informacin de su unidad. Pudiendo ser el jefe de dicha Area Operativa. Sus labores sern:

Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos.
Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos en cuanto a

archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas.

Supervisar procedimientos de respaldo y restauracin.
Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los

respaldos incrementales.
Ejecutar trabajos de recuperacin.
Coordinar lneas, terminales, mdem, otros aditamentos para comunicaciones.
Establecer procedimientos de seguridad en los sitios de recuperacin.
Organizar la prueba de hardware y software.
Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el

local alternante.
Realizar procedimientos de control de inventario y seguridad del almacenamiento en

el local alternante.
Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin.
Participar en las pruebas y simulacros de desastres.

Actividades Durante el Desastre

Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes actividades,

planificadas previamente:

a) Plan de Emergencias.
b) Formacin de Equipos.
c) Entrenamiento.
a) Plan de Emergencias

En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, as

como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia

del Siniestro:

Durante el da.
Durante la Noche o madrugada.

Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las

personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo

detallar:

Vas de salida o escape.

Plan de Evacuacin del Personal.
Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin)

de la Institucin (si las circunstancias del siniestro lo posibilitan)

Ubicacin y sealizacin de los elementos contra el siniestro (extinguidores,

cobertores contra agua, etc.

Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin

(linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de

su personal (equipos de seguridad) nombrados para estos casos.

b) Formacin de Equipos

Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones

claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica es la proteccin

de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o

estar en una rea cercana, etc.), deber de existir dos equipos de personas que acten

directamente durante el siniestro, un equipo para combatir el siniestro y otro para el

salvamento de los recursos Informticos, de acuerdo a los lineamientos o clasificacin de

prioridades.

c) Entrenamiento

Establecer un programa de prcticas peridicas de todo el personal en la lucha contra los

diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de

evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de

recarga de extinguidores, charlas de los proveedores, etc.

Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios,

inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y

responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los

elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga a la

Seguridad Institucional.

Actividad Despus del Desastre

Despus de ocurrido el Siniestro o Desastre es necesario realizar las<br />actividades que se

detallan, las cuales deben estar especificadas en el Plan<br />de Accin.

a) Evaluacin de Daos.
b) Priorizacin de Actividades del Plan de Accin.
c) Ejecucin de Actividades.
d) Evaluacin de Resultados.
e) Retroalimentacin del Plan de Accin<br />

a) Evaluacin de Daos.

Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del

dao que se ha producido, que sistemas se estn afectando, que equipos han quedado no

operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.

Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos el convenio

de respaldo, para ir avanzando en las labores de preparacin de entrega de los equipos por

dicha Institucin.

b) Priorizacin de Actividades del Plan de Accin.

Toda vez que el Plan de Accin es general y contempla una prdida total, la evaluacin de

daos reales y su comparacin contra el Plan, nos dar la lista de las actividades que debemos

realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra

Institucin.

Es importante evaluar la dedicacin del personal a actividades que puedan no haberse

afectado, para ver su asignamiento temporal a las actividades afectadas, en apoyo al personal

de los sistemas afectados y soporte tcnico.

c) Ejecucin de Actividades.

La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las

actividades previamente planificadas en el Plan de accin. Cada uno de estos equipos deber

contar con un coordinador que deber reportar diariamente el avance de los trabajos de

recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a

cargo del Plan de Contingencias.

Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del servicio

usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar

con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser

esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar el buen servicio de

nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la

Institucin o local de respaldo.

d) Evaluacin de Resultados

Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron afectados por

el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien

se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron)

las actividades del plan de accin, como se comportaron los equipos de trabajo, etc.

De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de

recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de

recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro.

e) Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, debemos de optimizar el plan de accin original, mejorando

las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que

funcionaron adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no

haber tenido nuestra Institucin el plan de contingencias llevado a cabo.

Fase 7: Implementacin

La fase de implementacin se da cuando han ocurrido o estn por ocurrir los problemas para

este caso se tiene que tener preparado los planes de contingencia para poder aplicarlos. Puede

tambin tratarse esta etapa como una prueba controlada.

Fase 8: Monitoreo

La fase de Monitoreo nos dar la seguridad de que podamos reaccionar en el tiempo preciso y

con la accin correcta. Esta fase es primordialmente de mantenimiento. Cada vez que se da
un cambio en la infraestructura, debemos de realizar un mantenimiento correctivo o de

adaptacin.

Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo riesgo

o una nueva solucin. En este caso, toda la evaluacin del riesgo se cambia, y comienza un

nuevo ciclo completo, a pesar de que este esfuerzo podra ser menos exigente que el primero.

Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones ante

nuevos casos que se puedan presentar. Podramos enumerar las actividades principales a

realizar:

Desarrollo de un mapa de funciones y factores de riesgo.

Establecer los procedimientos de mantenimiento para la documentacin y la rendicin

de informes referentes a los riesgos.

Revisin continua de las aplicaciones.
Revisin continua del sistema de backup
Revisin de los Sistemas de soporte elctrico del Centro de Procesamiento de Datos.

Bibliografias

http://www.forodeseguridad.com/artic/discipl/4132.htm

http://definicion.de/plan-de-contingencia/

https://victdelr.wordpress.com/category/guia-para-elaborar-un-plan-de-contingencia-informatico/

http://pazsystemengineering.blogspot.com/2010/05/plan-de-contingencia-informatico.html