Informe Final Seguridad de La Información

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12
MAESTRA EN GESTIN DE TECNOLOGAS DE LA INFORMACIN SEGURIDAD DE LA INFORMACIN PLAN DE IMPLEMENTACIN DE LA GESTIN DE SEGURIDAD DE LA INFORMACIN SBADO, 01 DE SEPTIEMBRE DE 2012
Grupo No. 4: Joaqun Donato Alcerro Julio Csar Sandoval Ligia Mara Castellanos Ren Velsquez Roberto Emilio Bueso 10323084 11143088 11143099 11143112 11143127
NDICE
1. INTRODUCCIN .................................................................................................................................. 1 2. RESUMEN EJECUTIVO...................................................................................................................... 2 3. DESCRIPCIN GENERAL DE LA EMPRESA ................................................................................ 3 3.1 Misin ................................................................................................................................................ 3 3.2 Visin ................................................................................................................................................ 3 3.3 Objetivos Estratgicos .................................................................................................................... 3 4. DEFINICIN DEL PROBLEMA .......................................................................................................... 4 5. JUSTIFICACIN ................................................................................................................................... 5 6. COMPROMISO DE LA ALTA GERENCIA EN RELACIN A LA GESTIN DE SEGURIDAD INFORMTICA ........................................................................................................................................... 6 7. PLAN DE IMPLEMENTACIN DE UN GOBIERNO DE SEGURIDAD INFORMTICA ........... 8 7.1 MARCO GENERAL DE FUNCIONAMIENTO DEL GOBIERNO DE SEGURIDAD INFORMATICA....................................................................................................................................... 9 7.2 IMPLEMENTACION DEL GOBIERNO DE SEGURIDAD INFORMATICA .......................... 10 7.3 POLITICA DE SEGURIDAD DE LA INFORMACION .............................................................. 14 7.4 OPERATIVIDAD DEL GOBIERNO DE SEGURIDAD DE INFORMACION ................... 15 7.5 CONCIENTIZACION Y CAPACITACION ............................................................................ 16 8. DESARROLLO DE UN PLAN DE IDENTIFICACIN Y EVALUACIN DE RIESGO ............. 18 8.1 8.2 8.3 8.4 Percepcin del Riesgo ............................................................................................................ 18 Procedimiento de Identificacin del Riesgo ......................................................................... 19 Riesgos en Seguridad de la Informacin ............................................................................. 20 Beneficios de la Identificacin de Riesgos........................................................................... 24
9. DETERMINACIN DE AMENAZAS Y VULNERABILIDADES ................................................... 25 10. CREACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO Y RECUPERACION EN CASO DE DESATRES ............................................................................................................................ 36 10.1 Propsito y Alcance .................................................................................................................... 36 10.1.1 Propsito ............................................................................................................................... 36 10.1.2 Alcance ................................................................................................................................. 36 10.1.3 Supuestos ............................................................................................................................. 37 10.2 Primeros Pasos ........................................................................................................................... 38 10.2.1 Consideraciones de Seguridad y Medios de Comunicacin ........................................ 38 10.2.2 Reconocimiento ................................................................................................................... 38 10.2.3 Montar el Equipo de Evaluacin de Desastres ............................................................... 39 10.2.4 Evaluacin ............................................................................................................................ 39 10.3 Estrategia de Recuperacin ...................................................................................................... 41 10.3.1 Paso de Recuperacin 1- Enfoque de Equipo................................................................ 41 10.3.2 Paso de Recuperacin 2 Montar Equipos de Recuperacin ................................... 43
10.3.3 Paso de Recuperacin 3 - Invocar los Procedimientos de Servicios de Recuperacin de Negocio .............................................................................................................. 43 10.3.4 Paso de Recuperacin 4 Recuperar los Registros Vitales........................................ 44 10.3.5 Paso de Recuperacin 5 Desplegar Equipos de Recuperacin............................... 45 10.3.6 Recuperacin Lnea de Servicios .................................................................................. 45 10.3.7 Recuperacin Prximos Pasos ...................................................................................... 45 10.4 Restablecimiento de los Servicios IT en la Secretara de la Presidencia .......................... 46 10.4.1 Lugares para el restablecimiento de servicio IT de la Secretara de la Presidencia 46 10.4.2 Consideraciones para el restablecimiento de los Servicios IT. .................................... 47 11. DESARROLLO DE UN PLAN DE GESTIN DE RESPUESTAS A INCIDENTES ............... 68 11.1 Propsito y Alcance .................................................................................................................... 68 11.1.1 Propsito ............................................................................................................................... 68 11.1.2 Alcance ................................................................................................................................. 68 11.1.3 Supuestos ............................................................................................................................. 69 11.1 Primeros Pasos ........................................................................................................................... 69 11.2.1 Consideraciones de Seguridad y Medios de Comunicacin ........................................ 69 11.2.2 Reconocimiento ................................................................................................................... 70 11.2.3 Montar el Equipo de Evaluacin de Emergencias (Triage). ......................................... 70 11.2.4 Evaluacin ............................................................................................................................ 71 11.2.5 Escalada ............................................................................................................................... 71 11.3 Estrategia de Accin y Evaluacin (Triage) ............................................................................ 72 11.3.1 Paso de Evaluacin 1- Enfoque de Equipo..................................................................... 72 11.3.2 Paso de Evaluacin 2 Tipos de Desastre .................................................................... 75 11.3.3 Paso de Evaluacin 3 Nomenclatura ............................................................................ 75 11.3.4 Paso de Evaluacin 4 Evaluacin Rpida de Equipos .............................................. 78 11.3.6 Recuperacin Lnea de Servicios .................................................................................. 81 11.3.7 Recuperacin Prximos Pasos ...................................................................................... 81 12. CONCLUSIONES Y RECOMENDACIONES ............................................................................... 84 12.1 Conclusiones ............................................................................................................................... 84 12.2 Recomendaciones ...................................................................................................................... 84 ANEXOS ....................................................................................................................................................... I Anexo A. Formato de Reporte Mensual de Seguridad de Informacin.......................................... i BIBLIOGRAFA ..........................................................................................................................................II
1. INTRODUCCIN
El mundo globalizado y altamente competitivo en el que se vive actualmente, exige que las organizaciones cada vez se preocupen mas por muchos temas como ser el de la Seguridad de la Informacin y que cada vez ms necesiten de mejores medios para administrar dicha informacin de manera eficiente garantizando la disponibilidad e integridad de la misma. Partiendo de ello es que en el siguiente informe se muestra la creacin de un plan detallado de la Gestin de Seguridad de la Informacin para la Secretaria de Estado del Despacho Presidencial de Honduras, la cual necesita de un plan bien definido de este tipo para cumplir con sus objetivos concerniente a los asuntos del estado en Despacho de la Presidencia, coordinando asuntos de gabinete, economa, aspectos judiciales, instituciones autnomas, informacin relevante para la toma de decisiones de la Presidencia, aspectos civiles etc. Es por ello que en el presente informe es realizado en base a la necesidad que en la actualidad requieren las organizaciones privadas o de gobierno respecto a tener un plan que le ayude a implementar y controlar la Seguridad desde el punto de vista fsico as como lgico para con l poder controlar o mitigar los posibles riesgos o ataques que sufren en la actualidad los sistemas de informacin. Teniendo en consideracin la importancia de la seguridad de la informacin en las empresas es imprescindible tambin determinar en el plan desarrollado en este informe un gobierno de seguridad de la informacin que es parte del gobierno corporativo de las organizaciones en este caso de la Secretara de Despacho de la Presidencia de la Republica, esto permite y garantiza que exista un mejor control de los procesos, que los riesgos estn relacionados con la informacin , que a su vez se puedan tomar las mejores prcticas y que los recursos de informacin de la empresa se utilicen con responsabilidad.
2. RESUMEN EJECUTIVO
El presente informe muestra la creacin de un plan detallado de la Gestin de Seguridad de la Informacin para la Secretaria de Estado del Despacho Presidencial de Honduras as como la creacin de un Gobierno de Seguridad de la Informacin eficiente capaz de mejorar, controlar y prevenir los riesgos y vulnerabilidades en los Sistemas de Informacin. Para ello es importante la definicin de un plan para enfrentar a los riesgos y vulnerabilidades tecnolgicas de la actualidad por las que pasan las organizaciones respecto a la informacin y a su integridad. Es importante tambin como lo muestra el informe que exista un compromiso por parte de la gerencia respecto a todo lo concerniente a la seguridad de la informacin en lo que se refiere a costos, amenazas, riesgos, mtricas, metodologas de mitigacin para el cumplimiento y resguardo de la informacin. A su vez el informe muestra las principales y ms importantes amenazas y vulnerabilidades que la Secretaria de Estado del Despacho Presidencial debe tomar en cuenta para cuidar o salvaguardar la informacin de cualquier dao humano, informtico o natural que pueda ocurrir. Teniendo en cuenta las posibles amenazas o ataques es de gran importancia que la Secretaria tenga determinado un plan de gestin y continuidad de negocio o recuperacin en caso de ocurrir un desastre. Por ltimo el informe muestra una propuesta o mejora de una infraestructura y arquitectura de la seguridad de la informacin capaz de controlar y utilizar las mejores prcticas para la deteccin de problemas en base a los argumentos antes descritos.
3. DESCRIPCIN GENERAL DE LA EMPRESA

3.1 MISIN Tiene como misin primordial analizar, evaluar y asesorar el desempeo de la Poltica Interior del Gobierno, para darle objetividad a las determinaciones que se apliquen, atendiendo a los requerimientos de las Dependencias y la Ciudadana y con ello brindar equilibrio a las acciones de Gobierno estableciendo los nexos con los dems Poderes del Estado que permitan alcanzar los acuerdos necesarios en beneficio del mismo. 3.2 VISIN Ser la Dependencia de apoyo confiable y oportuno del Presidente de la Repblica en las decisiones que se apliquen en la obtencin del equilibrio de Gobernabilidad para brindar resultados giles que se reflejen en los planteamientos de la ciudadana y organizaciones. 3.3 OBJETIVOS ESTRATGICOS Conduccin y Apoyo a la Gestin Institucional. Sostenibilidad de los programas y proyectos prioritarios de la Presidencia de la Repblica. Modernizacin del Estado. Competitividad. Conduccin Tcnico Poltica.
4. DEFINICIN DEL PROBLEMA

La Secretara de la Presidencia no tiene un plan de gestin de la seguridad de la informacin, por lo tanto no tiene polticas de seguridad ni estndares que requiere un gobierno de seguridad. Debido a esto, en el momento que ocurra un desastre, no existe documentacin alguna que nos ayude a actuar debidamente para la mitigacin de desastres. Un plan de seguridad de la informacin contiene acciones preventivas y reactivas que permiten resguardar y proteger la informacin buscando estos principios: Confidencialidad. Disponibilidad. Integridad. Tambin sirve para realizar auditoras de sistemas de informacin y la planificacin de la continuidad del negocio que son elementos necesarios que toda institucin debe tener.
5. JUSTIFICACIN
Debido a la gran cantidad de riesgos y amenazas a las que puede exponerse la Secretara de la Presidencia si no se toman las medidas necesarias, es importante implementar un gobierno de seguridad de la informacin que asegure la seguridad de la informacin. Con la implementacin de un gobierno de seguridad se busca: Asegurar la continuidad del negocio. Minimizar riesgos y Mejor funcionamiento de las operaciones de la Secretara.
El gobierno de seguridad debe establecer polticas, controles, estndares y actividades que puedan detectar vulnerabilidades y amenazas que pongan en riesgo la informacin de la Secretara de la Presidencia.
6.
COMPROMISO DE LA ALTA GERENCIA EN RELACIN A LA
GESTIN DE SEGURIDAD INFORMTICA

La Alta Gerencia en la Secretara de la Presidencia tiene como funcin principal coordinar la labor presidencial, dando seguimiento a las prioridades del Presidente de la Republica para asegurar el cumplimiento de los acuerdos de los gabinetes sectoriales y la evaluacin de las metas e indicadores para la medicin del desempeo de la Gestin Presidencial, en torno a instrumentos de planificacin estratgica, con el fin de asegurar la eficiencia y eficacia de las demandas de la sociedad hondurea. Un problema que encontramos en los altos directivos es el desconocimiento de temas importantes referentes a la seguridad de la informacin como son: 1. Seguridad de la informacin y 2. Tecnologa. Para crear un compromiso de la Alta Gerencia en actividades de seguridad de la informacin, es necesario que estn claros de los costos que involucrara si un incidente o desastre afecta la organizacin. Existen herramientas que pueden apoyar a la alta gerencia en la toma de decisiones como ser el ROSI que busca justificar la inversin en seguridad de la informacin en trminos monetarios. Con esta herramienta y otras ms podemos potenciar la seguridad de la informacin en un entorno en el que exista un alto grado de confianza en una institucin gubernamental importante como lo es una Secretara de Estado. La Secretara de la Presidencia como pilar fundamental del Estado de Honduras debe ser un ejemplo para las dems instituciones gubernamentales en temas relacionados con la tecnologa y debe crear una estrategia en la cual se involucre la seguridad de la informacin para crear confianza en todos sus sistemas de informacin. Es importante que la Alta Gerencia entienda ella misma lo importante que es su consciente involucramiento y participacin en la implementacin de un gobierno de
seguridad y que a su vez haga partcipe de esta conciencia a todo el personal de la organizacin.
7. PLAN DE IMPLEMENTACIN DE UN GOBIERNO DE SEGURIDAD INFORMTICA

Tal como lo menciona Peter Drucker El conocimiento se esta convirtiendo rpidamente en el nico factor de productividad dejando a un lado el capital y la mano de obra. Entenderemos por conocimiento a la informacin que tiene un propsito y sentido. Tomando en cuenta lo anterior, las organizaciones deben considerar la informacin como un activo de alto valor el cual deben proteger de la manera ms adecuada a fin de garantizar su integridad, confidencialidad y disponibilidad. Para lograr lo anterior, las organizaciones debe conformar un Gobierno de Seguridad de la Informacin a fin de: 1. Alinear estratgicamente la seguridad de la informacin a las necesidades del negocio tomando en cuenta la cultura organizacional, modelo de administracin, tecnologa e inversin. 2. Gestionar los riesgos inherentes a la administracin de los activos, en este caso particular, informacin. Cuando hablamos de gestin de riesgo nos referimos a una gestin integral y desde una perspectiva gerencial. Incluye el entendimiento colectivo de amenazas, vulnerabilidades, riesgo organizacional, mitigacin, aceptacin y transferencia de riesgos. 3. Entrega de valor a la organizacin siendo eficiente en el uso de recursos en las reas de mayor impacto y beneficio econmico, basndose en estndares y conformando una cultura de mejora continua que integra la seguridad informtica en sus procesos de negocio. 4. Gestionar adecuadamente los recursos informticos y asegurarse que el conocimiento adquirido sean parte de la organizacin y estn disponibles. 5. Medir el desempeo utilizando mtricas definidas, acordadas y alineadas a los objetivos estratgicos que faciliten la medicin del desempeo. 6. Implementar una estrategia de seguridad integral en toda la organizacin.
El objetivo principal de la seguridad de la informacin es reducir el impacto en la organizacin a un nivel aceptable mediante la administracin y mitigacin de riesgos. Por otra parte, muchas veces la seguridad se convierte en un factor crtico de xito en organizaciones que dependen mucho de informacin sensitiva tanto propios como de sus clientes y tambin, puede ser un requisito legal o regulatorio que obliga a las organizaciones a implementar un plan de seguridad de la informacin. 7.1 MARCO GENERAL DE FUNCIONAMIENTO DEL GOBIERNO DE SEGURIDAD INFORMATICA Siguiendo los estndares del Instituto de Gobernabilidad de TI el marco general de funcionamiento del Gobierno de Seguridad de la Secretara de Estado en el Despacho Presidencial (SDP) debe adoptar es el siguiente: Diagrama conceptual del Gobierno de Seguridad de la Informacin
Fuente: Information Security Governance Guideance for Boards of Directors and Executive Management 2nd Edition
Como muestra el diagrama, el Gobierno de Seguridad de Informacin es responsabilidad de la alta gerencia y directores de la organizacin tomando de base la estrategia y objetivos corporativos. As mismo, es importante hacer notar que este diagrama representa el marco conceptual general del Gobierno de Seguridad de Informacin. La SDP deber conformar un Gobierno de Seguridad Informtica que tendr como parte de sus funciones la gestin de riesgos e implementacin de la Estrategia de Seguridad de la Informacin. As mismo deber establecer mtricas que contribuyan o faciliten el monitoreo del cumplimiento de los objetivos propuesto en sta estrategia para finalmente reportar a la alta gerencia sobre el desempeo y efectividad de la misma. 7.2 IMPLEMENTACION DEL GOBIERNO DE SEGURIDAD INFORMATICA Se propone entonces integrar, mediante memorando interno, el Gobierno de Seguridad Informtica de la SDP como se indica en la siguiente matriz de roles y responsabilidades: Relaciones de los resultados del gobierno de seguridad con las
responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o Consejo Direccin: Ministra Aprueba la Aprueba estrategia de Seguridad de las medidas asociad Valida que Confirma la la Gestiona la En base al desempe o valida si Gestin de Recursos Aseguram iento del
Estratgica de Riesgo
proceso
estrategi a
efectividad obtencin la de
de de
los el proceso requiere
la as a la segurida Gestin d entrega el
implement
recursos
Informacin alineada la
acin de la necesarios ajustes estrategia para la
a de Riesgos
valor de
implement
10
Relaciones
de
los
resultados
del
gobierno
de
seguridad
con
las
responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o estrategia organizacio nal esperad o seguridad acin de la estrategia de seguridad Direccin Ejecutiva: ViceMinistro Valida que Analizan la estrategia de Seguridad de Informacin se con estrategia organizacio nal. el impacto de Aprueba la propuest Aprueba las mtricas Valida correcta asignacin la Valida la Gestin de Recursos Aseguram iento del
proceso
integracin de los
los a valor
de de
y uso de procesos para una
riesgo en
e evaluacin los recursos
la indicador del es
eficiente lo Seguridad de la
organiza
Desempe segn ha
aline cin
y relaciona o dos.
la propone al Consejo Direcci n el
determina do Comit Ejecutivo
Informaci
el n
plan de mitigaci n Comit Directivo Coordina Coordin Valida Valida que Asigna los Valida que lo las mtricas recursos solicitados por el proceso de
con el CISO a con el que la
CISO la propuest elaborac
Directores, elaboracin
o por el estn
el seguridad
11
Relaciones
de
los
resultados
del
gobierno
de
seguridad
con
las
responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o Coordinad ores, de estrategia la in del CISO es acorde el que a CISO y funciona correctame nte desde inicio a fin Gestin de Recursos Aseguram iento del
proceso
anlisis de
valor la realidad garantiza de la su disponibili dad
Administra de cin, Secretario General, RRHH, Asesora Legal Director de seguridad de seguridad alineada la estrategia organizaci n Toma base estrategia
riesgo y realment a plan de e
organizaci
se n
mitigaci necesita n en la
organiza cin.
de Elaborar la el anlisis de
Especific a la estrategi
Define las Elabora un Ejecuta plan de administra
como mtricas de medicin
gestin de y gestiona recursos las
la organizacio
informaci n CISO
nal y define riesgo y a la estrategia propone
de del desempe
en base a polticas la para la
segurida
r el plan d de la o de
e estrategia de
integracin de los
Coordinad
de
informaci instrument os
or Unidad seguridad de Tecnolog a de
mitigaci n la n generar valor a la organiza cin
de Seguridad de
procesos
medicin
la de seguridad de la
informacin .
Informaci n aprobada
informaci n a lo largo de toda la
12
Relaciones
de
los
resultados
del
gobierno
de
seguridad
con
las
responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o empresa Auditores: Valida que Supervis Dan la Auditora Interna estrategia de seguridad de la an la seguimie nto Monitoreo de Monitoreo del adecuado Verificaci n del Gestin de Recursos Aseguram iento del
proceso
gestin del riesgo
al resultados
cumplimien
cumplim ento los avances segn los
segn las uso de los to de los recursos procesos de asegurami ento
de mtricas aprobadas
informacin este alineada con estrategia organizacio nal y no se contrapone a objetivos organizacio nales. los la
indicador es.
La conformacin del Gobierno de Seguridad incluye a la alta gerencia, que conforman el Consejo Directivo y Direccin Ejecutiva y todos los mandos intermedios como Directores, Coordinadores, entre otros que conforman el Comit Directivo. As mismo, incluye el Director de Seguridad de la Informacin que por afinidad asume la
13
responsabilidad el Coordinador de la Unidad de Tecnologa y Auditora Interna quienes harn el rol auditor. La conformacin del Gobierno de Seguridad de Informacin ser muestra del compromiso y apoyo de la alta gerencia en la gestin de la seguridad de la informacin de la Secretara y ser la base para su implementacin. 7.3 POLITICA DE SEGURIDAD DE LA INFORMACION Establecer las polticas internas de seguridad de la informacin es un elemento vital para establecer una estrategia de seguridad de la informacin alineada a la estrategia organizacional. En ese sentido, el Comit Directivo en coordinacin con el Director de Seguridad de Informacin (CISO) deber elaborar una poltica de seguridad de la informacin con al menos los siguientes aspectos: 1. Objetivo de la poltica 2. Alcance de la poltica 3. La poltica de seguridad de la informacin que incluye: a. Identificacin y valoracin de activos organizacionales b. Clasificacin de la informacin segn su nivel de confidencialidad c. Uso de los recursos tecnolgicos como laptops, computadoras, equipos de comunicacin, servidores de datos. d. Manejo y administracin de documentos fsicos internos e. Control de acceso a reas restringidas f. Uso correcto del correo electrnico g. Uso correcto de acceso a Internet h. Licenciamiento, derechos de autor e instalacin de aplicaciones en equipos de la organizacin i. Auditoras de Tecnologas de Informacin
4. Procedimientos internos para cumplir con las polticas 5. Sanciones relacionadas a la falta de cumplimiento de la poltica Estas polticas debern ser aprobadas por la Direccin Ejecutiva y el Consejo de Direccin para garantizar su implementacin.
14
7.4 OPERATIVIDAD DEL GOBIERNO DE SEGURIDAD DE INFORMACION La seguridad de la informacin requiere de rpidas respuestas a incidentes ya que de no atenderse pueden involucrar prdidas significativas para la organizacin. En ese sentido, se propone el siguiente esquema funcional: Esquema funcional del Gobierno de Seguridad de la Informacin
Fuente: Department of Computer Science at Johns Hopkins University (http://www.cs.jhu.edu/~sdoshi/jhuisi650/papers/spimacs/SPIMACS_CD/wisg/p1.p df) Direct Desde el punto de vista operativo, es de suma importancia tener a todos los responsables en la seguridad informtica en estrecha comunicacin. Estableciendo un mecanismo interno de trabajo que les permita responder rpidamente a cualquier incidente de seguridad.
15
Monitor Desde el punto de vista de monitoreo, se requiere una continua evaluacin de los riesgos y establecer contramedidas a stos sin embargo, tambin se requiere de un monitoreo en tiempo real de incidentes de seguridad a fin de darles seguimiento en ese mismo momento. Evaluate En esta fase, se toma de base la informacin capturada en la fase de monitoreo para medir el desempeo y efectividad de la estrategia de seguridad implementada. As mismo, en esta fase se toman las acciones pertinentes para mejorar la seguridad o atender cualquier incidente. En este proceso de evaluacin se harn los reportes a los altos ejecutivos quienes en todo momento debern estar enterados de cualquier situacin relacionada a la seguridad de la informacin. Oversee Sern responsables de las auditoras relacionadas a Seguridad de la Informacin. 7.5 CONCIENTIZACION Y CAPACITACION Para asegurar el cumplimiento de la estrategia de seguridad de la informacin es importante que todos los involucrados, incluyendo a los usuarios finales sean capacitados en Seguridad Informtica la cual se deber acompaar de una campaa de concientizacin. En ese sentido, el Comit Directivo deber elaborar una estrategia de concientizacin y capacitacin de todo el personal de la organizacin incluyendo al menos los siguientes temas: Nivel de Gestin Consejo Direccin Capacitacin Conceptos bsicos de Gestin de
seguridad de la informacin y riesgo Direccin Ejecutiva Conceptos bsicos de Gestin de
seguridad de la informacin, riesgo y
16
planeacin estratgica Comit Directivo Conceptos seguridad, bsicos riesgos, de gestin de de
Administracin
proyectos, mejores practicas Director de seguridad de la informacin Certificacin en auditoria, mejores CISO practicas, ( COBIT, ITIL, Ethical Hacking, ISACA, CCNA) Auditores Certificacin en auditoria, mejores
practicas, ( COBIT, ITIL, Ethical Hacking, ISACA, CCNA)
17
8. DESARROLLO DE UN PLAN DE IDENTIFICACIN Y EVALUACIN DE RIESGO

La identificacin del riesgo es un proceso repetido que debe realizarse constantemente y debe integrarse con la estrategia y planificacin de la organizacin. Es de gran importancia, identificar aquellos riesgos a los que se enfrenta la institucin, que representan una amenaza para el cumplimiento de los objetivos estratgicos y el cumplimiento de la estrategia de seguridad de la informacin. PROCESO RIESGOS ITERATIVO DE GESTIN DE
8.1 PERCEPCIN DEL RIESGO En el proceso de identificacin de riesgos, influye la percepcin que se distingue de los riesgos. La percepcin del riesgo como amenaza es el tipo ms utilizado para identificarlos. En este contexto, gestionar el riesgo significa instalar sistemas de control que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad (la prdida econmica que supondra para el emprendedor). Es un enfoque de naturaleza defensiva, su propsito es asignar recursos para reducir la probabilidad de sufrir impactos negativos. Desde la percepcin del riesgo como oportunidad, la gestin significa utilizar tcnicas que maximicen los resultados, limitando los posibles
18
perjuicios o costes. El enfoque es de naturaleza ofensiva. La gestin del riesgo desde la perspectiva del riesgo como incertidumbre se dirige a minimizar la desviacin entre los resultados que la empresa desea obtener y los que realmente obtiene. Para la identificacin de los riesgos en seguridad de la informacin de la Secretara del Estado del Despacho Presidencial, se hizo uso de la percepcin del riesgo como amenaza. 8.2 PROCEDIMIENTO DE IDENTIFICACIN DEL RIESGO Existen diversas tcnicas utilizadas para la identificacin de riesgos. Entre los procedimientos ms comunes se destacan: Anlisis de Procesos: Procedimiento enfocado en identificar riesgos
operativos. Cuestionarios: Enfocados a detectar las preocupaciones del personal sobre riesgos o amenazas que perciben en el entorno operativo. Lluvia de Ideas: Un equipo de empleados se rene para exponer ideas o sensaciones de riesgo. Entrevistas: Un especialista(s) en riesgos prepara una serie de entrevistas para diferentes responsables en la organizacin, con el fin de extraer sus preocupaciones. Talleres de Trabajo: Reunin de un grupo de empleados, enfocados en identificar riesgos y su posible impacto en la empresa. Comparacin con Otras Organizaciones: Utilizacin de BENCHMARKING para compararse con los competidores. Con el fin de que el procedimiento de riesgos sea exitoso, es necesario considerar los siguientes factores: 1. Obtener el apoyo y particin de la alta gerencia. 2. Involucrar a expertos tcnicos y expertos en el negocio. 3. Distribuir la responsabilidad a travs de las unidades de negocio. 4. Documentar y mantener los resultados.
19
El conjunto de tcnicas utilizadas para la identificacin de los riesgos de seguridad de la informacin en la Secretara del Estado del Despacho Presidencial se bas en la combinacin de Anlisis de Procesos, Lluvia de Ideas y Talleres de Trabajo. 8.3 RIESGOS EN SEGURIDAD DE LA INFORMACIN Las organizaciones generalmente logran percibir los riesgos en la seguridad de la informacin hasta que se ven altamente expuestos a estos. La identificacin de riesgos es un proceso constante debido a que la utilizacin de nuevos equipos y tecnologas, hace que los riesgos clsicos de seguridad tambin vayan cambiando y se vayan modificando. La identificacin de los riesgos permite a los tomadores de decisiones tener la informacin necesaria para comprender los factores que influyen
negativamente en las operaciones de la institucin. De este modo, la toma de decisiones se realiza de forma informada, tomando las acciones necesarias para reducir el riesgo. La evaluacin de los riesgos en la seguridad de la informacin representa un gran reto, debido a que los datos y probabilidad asociados con los factores de seguridad de la informacin son limitados y cambian constantemente. Por ejemplo: La probabilidad de que un hacker sofisticado ataque y los costos de los daos, prdidas o problemas son difciles de calcular. La prdida en la confianza del cliente y la divulgacin de informacin sensible, inherentemente son difciles de cuantificar. Los riesgos de seguridad de la informacin encontrados en la Secretara del Estado del Despacho Presidencial, se presentan a continuacin:
20
Escala de Probabilidades y Magnitud 1 Insignificante Ninguna) 2 3 4
(incluido
Baja Media Alta Riesgo = Probabilidad de Amenaza
x Magnitud de Dao

Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo)
IDENTIFICACIN DE RIESGOS Riesgo Exposicin Cdigo Malicioso Fuga Informacin Confidencial Ataques de 1 2 2 de 2 2 4 Probabilidad a 2 Magnitud 3 Clasificacin 6
Ingeniera Social Accesos Lgicos 2 3 6
No Autorizados Accesos Fsicos 3 4 12
No Autorizados Daos por Fallas 3 de Elctrica Energa 4 12
21
Daos Perforacin Tuberas Incendios Inundacin Terremotos Infeccin Mquinas Virus Intromisiones Nivel de Red
por 4 de
16
3 1 1 de 2 Por
4 4 4 2
12 4 4 4
a 2
Intrusiones en la 2 Base de Datos Huelgas Fallas de Terceros Intromisiones 4 3
3 3 4
12 9 8
a 2
Nivel de Sistema Operativo Fallas por Errores 3 Humanos Fraudes 1 2 3 3 6 3 9
Fallas en los Aires 2 de Precisin Robo Contraseas Hurto Hacking a 3 la 2 de 2
3 4
9 8
Pgina de Internet Falta de Planes de 2 4 8
22
Contingencia Fallas Control Cambios Configuraciones Falta Identificacin de 3 de 3 9 en el 3 de de 3 9
Vulnerabilidades Cultura Organizacional no Orientada Seguridad Informacin Fallas en Filtros de 3 Correo Electrnico Fallas Restricciones Mensajera Instantnea Fallas en las 3 de de 2 6 en 2 de 2 4 3 9 a de la la 4 4 16
Restricciones Navegacin Internet Fallas Seguridad VPNs Fallas en en
la 3 de
la 2 de
Segmentacin las VLANs
23
8.4 BENEFICIOS DE LA IDENTIFICACIN DE RIESGOS El proceso de identificacin de los principales riesgos, trae consigo los siguientes beneficios: Existe una garanta de que los mayores riesgos han sido identificados y evaluados. Existe una mayor comprensin de los riesgos y las acciones a tomar. Permite hacer uso de mecanismos en donde se llega a un consenso para priorizacin de los riesgos. La identificacin de los riesgos es un soporte para proceder a la implementacin de controles y para la elaboracin de un plan de accin de seguridad de la informacin. El proceso iterativo, permite monitorear el riesgo y reducir los impactos de estos.
24
9. DETERMINACIN DE AMENAZAS Y VULNERABILIDADES

Una vulnerabilidad en seguridad informtica se refiere a una debilidad que permite a un atacante reducir la capacidad de un sistema para asegurar la confidencialidad de la informacin. La vulnerabilidad es una interseccin de tres elementos bsicos: la susceptibilidad de un sistema de informacin, la capacidad del atacante de acceder al sistema de informacin y la capacidad del atacante de explotar la debilidad encontrada. Para explotar la vulnerabilidad, el atacante puede hacer uso de herramientas o tcnicas, capaces de infringir con la seguridad de los sistemas de informacin o de la red. La administracin de vulnerabilidades, al igual que la gestin del riesgo, se convierte en un proceso cclico de identificar, clasificar, remediar y mitigar las vulnerabilidades. En seguridad de la informacin, una amenaza se refiere a la probabilidad de que ocurra una situacin capaz de explotar una vulnerabilidad que comprometa la informacin y que pueda causar daos. Cuando una amenaza hace uso de una vulnerabilidad para infringir daos, se genera un impacto. En seguridad informtica, el impacto se contextualiza por medio de la prdida de disponibilidad, integridad y confidencialidad. Las vulnerabilidades y amenazas pueden clasificarse segn los efectos causados, como ser: Interrupcin: Los recursos de un sistema o servicios no se encuentran disponibles. Intercepcin: Una entidad no autorizada, consigue acceso a un recurso. Modificacin: Una entidad no autorizada consigue acceso a informacin y es capaz de manipularla. Fabricacin: Creacin de elementos nuevos dentro de los servicios tecnolgicos.
Por otro lado, las vulnerabilidades y amenazas pueden clasificarse segn su forma actuar: Escaneo de Puertos: Identificacin de puertos abiertos y de utilidad para el atacante.
25
Ataques de Autentificacin: Un atacante es capaz de suplantar un ente con autorizacin para acceder a los servicios. Explotacin de Errores: Bsqueda de agujeros de seguridad en los sistemas operativos, protocolos de red o aplicaciones. Ataques de Denegacin de Servicios: Consiste en dejar fuera de servicio un ente, un servidor u otro componente de la infraestructura tecnolgica.
La identificacin de amenazas y vulnerabilidades es un paso crucial para determinar el grado de exposicin de la seguridad de la informacin. A continuacin se presenta una lista de las amenazas ms comunes que existen en la Seguridad de la Informacin. Las amenazas marcadas con una X, se determinaron como posibles amenazas de la Secretaria de Estado del Despacho Presidencial. La Naturaleza y Accidentes 1 2 3 4 5 6 7 8 Terremotos Derrumbes Volcanes Incendios Lluvias e Inundaciones Accidentes de Transporte (Carros, Aviones) Exposicin a Materiales Peligrosos Llamaradas Solares X X
Empleados Actuales y Ex Empleados 1 2 Errores Humanos Sabotaje X X
26
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
Alteracin Vandalismo Hurto Sindicatos y Huelgas Pandemias y Enfermedades Intercambios de Informacin Fraude Responsabilidad en Acciones de Empleados Escndalos Crmenes Corporativos Abuso Discriminatorio Acoso Laboral Acoso Sexual Conducta No Profesional Negligencia Conducta Pasiva/Agresiva Venganzas Fraudes en Seguros Demandas en Contra del Empleador
X X X X X X X X
X X
Competidores 1 Espionaje Industrial
27
2 3 4 5 6 7 8 9
Hurto de Propiedad Intelectual Infracciones de Copyright Vilipendio Infracciones Ilegales Sobornos Infraccin de Patentes Investigaciones Competitivas Vigilancia de Precios
Litigantes 1 Bsqueda de Datos Confidenciales como Prueba X
La Prensa 1 2 3 Mala Publicidad Exposicin de Secretos Industriales Exposicin de Estrategia y Nuevos Productos X
HACKERS 1 2 3 4 Suplantacin IP Ingeniera Social Ataques de MAN IN THE MIDDLE Envenenamiento DNS X X X X
28
5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Troyanos CRACKS Gusanos Virus Espionaje SPAM PHISHING SPYWARE MALWARE Desciframiento de Contraseas SNIFFING de Red BACK DOOR/TRAP DOOR TUNNELING Ataques a la Pgina WEB Secuestro de Sesiones/IP Ataques REPLAY Manipulacin de Sistemas Penetracin de Sistemas
X X X X X X X X X
X X X
Criminales 1 2 Secuestro Soborno X X
29
3 4 5 6 7 8 9 10
Extorsin Fraude Robo Ataques Fsicos a la Infraestructura Chantaje de Informacin Asaltos Venta de Informacin Robada Acoso Ciberntico
X X
Gobierno, Terroristas y Organizaciones Polticas 1 2 3 4 5 6 7 8 9 10 Actos de Guerra Guerras Nucleares Guerras Biolgicas Guerras Qumicas Guerras Tecnolgicas Espionaje Terrorismo Ciber-Guerras Armas Electromagnticas Intervencin Telefnica X X X X
Existe un mito comn en la gestin de la seguridad de la informacin: Vulnerabilidades = Amenazas. Existen expertos en seguridad que generalmente confunden 2 de los
30
trminos ms importantes en seguridad de la informacin. Las amenazas se refieren a personas, tecnologa o eventos que tienen el potencial de causar incidentes de seguridad de la informacin. Las vulnerabilidades son las brechas que pueden ser explotadas por las amenazas. A continuacin, se enumeran las vulnerabilidades ms comunes en la Seguridad de la Informacin. Las que se encuentran marcadas con una X, se encontraron durante la investigacin realizada a la Secretara del Estado del Despacho Presidencial. Empleados 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Interaccin Social Interaccin con el Cliente Discutir Asuntos de Trabajo en Lugares Pblicos Sacar Documentos e Informacin de la Oficina Enviar Documentos e Informacin Por Correo Enviar Por Correo o Fax Informacin de la Oficina Instalacin de Aplicaciones No Autorizadas Desinstalar o Deshabilitar Herramientas de Seguridad Permitir Acceso a Personas No Autorizadas Abrir EMAILS que Contienen SPAM Conectar Dispositivos Personales a la Red de la Compaa Escribir las Contraseas o Informacin Sensible Prdida de Documentos de Identificacin (Carnet de la Empresa) Poco Conocimiento de Seguridad de la Informacin X X X X X X X X X X
31
Ex Empleados 1 2 3 Ex Empleados Trabajando para la Competencia Ex Empleados que Conservan Informacin de la Empresa Ex Empleados que Discuten Informacin de la Empresa X X
Tecnologa 1 2 3 4 5 6 Redes Sociales Paginas para Compartir Archivo Cambios Rpidos en la Tecnologa Sistemas Viejos de Legaca Almacenar Informacin en Dispositivos Mviles Navegadores de Internet X X X
HARDWARE 1 2 3 4 Susceptibilidad al Sucio, Calor y Humedad Debilidades de Diseo de Hardware Hardware Desactualizado Hardware Mal Configurado X X
SOFTWARE 1 2 Pruebas de Compatibilidad Insuficientes Falta de Controles de Rastros para Auditoras X
32
3 4 5 6 7
Mal Diseo de Software Software que No Considera Factores Humanos Complejidad del Software Software como Un Servicio Vendedores de Software que Cambian de Dueo o Quiebran
X X
Redes 1 2 3 4 5 6 7 Comunicaciones de Red Desprotegidas Conexiones Fsicas Abiertas Infraestructuras de Red Inseguras Cuentas de Usuario sin Utilizar Privilegios Excesivos a Usuarios Ejecucin de SCRIPTS Innecesarios Redes Inalmbricas X X X
Administracin de TI 1 2 3 4 5 6 Capacidad Insuficiente de TI Falta de Actualizacin de Parches Mal Manejo de Incidentes y Problemas Falta de Notificacin de Errores y Alertas de Seguridad Errores de Sistema Operativo Falta de Auditoras Regulares X X X X
33
7 8 9 10 11 12 13 14 15 16
Mal Manejo de la Basura Insuficiente Control de Cambios Fallas en los Procesos de Negocio Reglas de Negocio Inadecuadas Controles de Negocio Inadecuados Procesos Incapaces de Considerar Factores Humanos Sobre-Confianza en Controles de Seguridad Falta de Gestin de Riesgos Constantes Cambios en el Negocio Falta de un Plan de Continuidad del Negocio
X X X X X X X X
Socios y Proveedores 1 2 3 4 5 6 7 Disrupcin de Servicios de Telecomunicaciones Disrupcin de Servicios Pblicos como Electricidad, Gas y Agua Fallas de Hardware Fallas de Software Prdidas de Correo y Paquetes (Fsicos) Interrupciones de Suministro Compartir Datos Confidenciales con Socios y Proveedores X X X X X X
Clientes 1 Los Clientes Acceden a reas Seguras
34
Los Clientes Acceden a Datos Confidenciales
Oficinas y Data Centers 1 2 3 4 5 6 Sitios Propicios a Desastres Naturales Lugares de Inestabilidad Poltica Lugares Sujetos a Espionaje de Gobierno Fuentes de Energa Poco Confiables reas de Altos ndices de Criminalidad Sitios Mltiples en la Misma rea Geogrfica X X
Algunas vulnerabilidades especficas, encontradas en la investigacin, se enumeran a continuacin: 1. No existe un sitio alterno para recuperacin de los datos en caso de que el Data Center actual se vea comprometido. 2. Existe una tubera de agua desprotegida que cruza el espacio fsico del Data Center. 3. No existe un dispositivo de comunicacin de respaldo, para el dispositivo de comunicacin en donde se conectan todos los servidores. 4. No existen mecanismos de proteccin contra incendios. 5. El acceso al Data Center principal se realiza por medio de una llave comn. No existe autenticacin biomtrica, ni una bitcora de accesos de entradas y salidas del Data Center.
35
10.
CREACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO Y
RECUPERACION EN CASO DE DESATRES

Este plan se diseo para asistir con la recuperacin de sistemas empresariales crticos. Su estructura se describe continuacin pero, idealmente, los usuarios debern haberlo ledo antes y estar familiarizados con su contenido. Si usted no esta familiarizado con este documento y su contenido, gran parte de la informacin que usted requiere esta dentro de este plan y puede ser entendido rpidamente. La tabla de contenido a continuacin le ayudara a travs del plan. Lee la tabla de contenido a continuacin para entender lo que esta en este plan, a continuacin comenzar con la seccin 2 y trabajar a travs del plan por etapas. El resto del plan provee mas detalles y debe ser contemplado como lo requiere la seccin 2 y si es necesario. 10.1 PROPSITO Y ALCANCE 10.1.1 Propsito El propsito de este Plan de Recuperacin de Desastres es proporcionar un conjunto de procedimientos para: Evaluar si una situacin potencialmente desastrosa ha surgido. Limitar el dao causado por el desastre. Asegurar que la recuperacin es posible despus de un desastre. Habilitar el restablecimiento de los servicios estratgicos al personal clave dentro de un plazo definido. Habilitar la restauracin del servicio completo normal en el menor tiempo posible.
10.1.2 Alcance El Plan de Recuperacin de Desastres esta limitado a la recuperacin del Ministerio de la Presidencia en la oficina principal y no cubre todos los aspectos de la recuperacin del negocio. En el peor de los escenarios, este plan supone la destruccin parcial o
36
total en la oficina principal con la consiguiente perdida de algunos o todos los materiales. Este plan se limita a: Aplicaciones de Bases de Datos SQL Server y MySQL. Servidor de correos Exchange. Windows 2003 y Aplicaciones identificadas como crticas. La conectividad de la red como esta prevista en Honduras. Capacidad inicial para apoyar a los usuarios designados clave.
Este plan no incluye: Recuperacin de las oficinas general de la casa presidencial y otros ministerios. Enlaces de comunicacin WAN. Los procedimientos de usuario final para cubrir la prdida de servicio y de datos entre las aplicaciones de respaldo. 10.1.3 Supuestos Los usuarios finales remotos de Ministerio de la Presidencia, son capaces de continuar con su negocio sin las instalaciones centrales, por un periodo que podra ser superior a tres das. Los usuarios finales de la Secretara de la Presidencia, son capaces de recuperarse desde el punto de las ltimas copias de seguridad, que podra ser de hasta dos das de trabajo en el momento del desastre. Que el contenido de este plan ser aplicado y probado dos veces por ao. Que la Secretara de la Presidencia y sus procedimientos de control y cambios incluye la enmienda a este plan cuando sea relevante.
37
10.2 PRIMEROS PASOS 10.2.1 Consideraciones de Seguridad y Medios de Comunicacin Con carcter prioritario, todas las acciones deben ser adoptadas para garantizar la vida de las personas y reducir al mnimo cualquier posible dao en caso de que el desastre sea total. Considere la posibilidad de: Las personas que resultaron heridas deben moverse a una zona segura, y brindarles primeros auxilios. Es seguro para entrar o permanecer en el lugar afectado? Contactar a los servicios de emergencia pertinentes ej. polica, servicios de ambulancia, bomberos y similares. Es imperativo que los comentarios emitidos por la Secretara de la Presidencia sean claros, coherentes y correctos; por lo tanto, todas las comunicaciones externas deben ser dirigidas a travs de la oficina de comunicaciones de la Secretara.
10.2.2 Reconocimiento En el caso de una emergencia es esencial evaluar la situacin y reconocer que es probable que tenga o haya ocurrido un desastre. En esta etapa el objetivo no es llevar acabo una evaluacin formal, sino reconocer que ha surgido una situacin de emergencia de manera que la escalada puede seguir. Debe tener en cuenta: Que personas han sido afectadas? Qu edificios son afectados? Que servicios han sido afectados? Qu recursos han sido afectados? Que acceso ha sido afectado?
38
10.2.3 Montar el Equipo de Evaluacin de Desastres Si hay alguna razn para creer que la situacin puede ser un desastre, entonces tantos miembros como sea posible del equipo designado para evaluacin de desastres, deben ser contactados. Equipo de Evaluacin de Desastres Nombre Telfono Casa Joaqun Alcerro (504) (504)33905458 (504) (504)99465074 (504) (504)99820026 (504) (504)99820026 Administrador de la Red Director Tcnico Gerente de Operaciones Celular Habilidades/Funcin Trabajo DR Designado Coordinador de
Una vez montado si el designado coordinador de recuperacin de desastres no esta disponible, el equipo debe designar a uno de los presentes. Si esto no puede ser realizado rpidamente entonces la persona de ms alto nivel del equipo de recuperacin de desastres actuara como coordinador de recuperacin de desastres. En ausencia de un lugar adecuado para cumplir, se sugiere lo siguiente: Si el desastre se suscito en la oficina principal, el lugar definido por la Alta Gerencia se utilizara como un centro de datos o con un proveedor que proporcione servicios de Data Center certificado.
10.2.4 Evaluacin El equipo de desastre debe verificar la informacin que puede ser obtenida y decidir sobre el grado de severidad del desastre y sus implicaciones. Una definicin de un desastre ya ha sido acordada con la gestin empresarial de alto nivel, para ayudar en esta evaluacin lo siguiente:
39
El evento que significa que la comunicacin con los sistemas de principales necesarios para ejecutar el negocio no estarn disponibles durante un periodo de 72 horas Cualquier evento que signifiqu que los sistemas crticos necesarios para ejecutar el negocio no estarn disponibles por un periodo de 72 horas El equipo debe evaluar la magnitud del desastre y el curso de accin necesario. Considere: Evaluacin Accin Tpica
Daos importantes en el sitio de los Invocar con el proveedor de DR contratados equipos que requieren los servicios (outsourcing) y poner en marcha el plan de completos de instalacin de recuperacin completa.
recuperacin remota. El desastre ha limitado el impacto Invocar con el proveedor de DR contratados fsico pero los servicios de IT estn para el sitio alterno, solucin mvil, enviar al gravemente daados. sitio un de kit de IT, especifico si procede. Un subconjunto del plan de recuperacin para restaurar los servicios. El desastre se limita a un equipo Invocar con el proveedor de DR contratados especfico. para enviar al sitio base. O proceder con los manuales y procedimientos para la recuperacin
10.2.5 Escalada En este punto se considera que la evaluacin se concluye en un desastre, que la situacin existe y es necesario intensificar el proceso e invocar los planes de recuperacin. Notificacin Es esencial que las siguientes personas y organizaciones sean notificadas inmediatamente de la situacin de 'desastre' y el plan de accin propuesto: Gerente de IT HN IT Manager
40
Gerente Financiero HN Local CFO Gerente General HN Local CEO Encargado de comunicaciones Proveedores de servicio de recuperacin de desastre
10.3 ESTRATEGIA DE RECUPERACIN En el caso de la prdida total de la prestacin o que la oficina de la Secretara de la Presidencia este inoperable por un perodo de tres das, el objetivo es recuperar las instalaciones de servicios de TI en otro sitio. Si despus de un perodo adicional de hasta ochenta das es imposible volver a ocupar la oficina principal los servicios de TI, ser restablecido en otro sitio. Para ayudar a la recuperacin: Mltiples equipos de recuperacin deberan ser reunidos y desplegados. Los servicios de mltiples proveedores deben ser contratados. Los registros vitales se mantienen y se almacenan fuera del sitio. Los planes individuales se mantienen para cada plataforma.
10.3.1 Paso de Recuperacin 1- Enfoque de Equipo Se sugiere que la recuperacin se realice con el despliegue de hasta cinco equipos: Gestin de Desastres y Coordinacin del Equipo Encabezado por el Coordinador de Recuperacin de Desastres que gestiona la recuperacin efectiva del proyecto, este equipo: Evala y concilia las prioridades de la cooperacin, mientras que coordina los equipos de recuperacin especficos de IT. Informa a los ejecutivos de la Secretara de la Presidencia y proporciona los medios de informacin, ya sea directamente o a travs de un portavoz. Sirve de enlace con la Secretara de Finanzas en funciones y sitios.
41
Equipo de Recuperacin de Windows Este equipo administra y efecta la recuperacin de los sistemas Windows y las aplicaciones de IT incluyendo la "infraestructura". El equipo trabaja en conjunto con el equipo de Bases de Datos local, redes y equipos de recuperacin de aplicaciones al mismo tiempo reporta directamente al Coordinador de recuperacin de desastres. Equipo de Recuperacin de Bases de Datos Local. Este equipo administra y efecta la recuperacin de Bases Datos local. El equipo trabaja en conjunto con el equipo de Windows, Redes y Aplicaciones de los equipos de recuperacin y presenta informes directamente al Coordinador de recuperacin de desastres. Equipo de Recuperacin de Redes Este equipo administra y maneja la recuperacin de los enlaces de red. El equipo trabaja en conjunto con el equipo de Windows, aplicaciones y el equipo de recuperacin de Bases de Datos local y presenta informes directamente al coordinador de recuperacin de desastres. Equipo de Recuperacin de Aplicaciones Este equipo administra y maneja la recuperacin del resto de las aplicaciones. El equipo trabaja en conjunto con el equipo de Windows, redes, y Bases de Datos local y presenta informes directamente al coordinador de recuperacin de desastres. Equipo de Recuperacin de Servicios de Asistencia y Operaciones Este equipo proporciona servicios de asistencia y reporta directamente al coordinador de recuperacin de desastres. Los equipos deben ser revisados y modificados si fuera necesario a la luz de las prioridades acordadas y el curso de accin. Asegrese que las personas asignadas a los equipos tengan las habilidades y los conocimientos necesarios para llevar a cabo las tareas. En este punto, el equipo de Evaluacin de Desastres se disolver y pasa el control a la gestin de desastres y Equipo de Coordinacin.
42
10.3.2 Paso de Recuperacin 2 Montar Equipos de Recuperacin Dependiendo de la magnitud de la catstrofe es ahora necesario montar los equipos de recuperacin adecuado. La coordinacin de recuperacin de desastres es responsable de la formacin de estos equipos.
10.3.3 Paso de Recuperacin 3 - Invocar los Procedimientos de Servicios de Recuperacin de Negocio El equipo de Gestin de Desastres ahora debe invocar la recuperacin de desastres completo con un proveedor de servicios de Data Center certificado. Utilice el siguiente procedimiento: Preparar la siguiente informacin antes de hacer la llamada al proveedor. 1. 2. 3. 4. Nombre del cliente y direccin Nmero de cliente: 1929 El sitio designado afectado Numero de telfono para la llamada devuelta por el director o equipo de especialistas de recuperacin de desastres. 5. Especifique que producto o servicio debe ser utilizado, y alguna capacidad adicional (como previamente se ha arreglado con el proveedor). 6. El tiempo de utilizacin para empezar, y si es posible la duracin prevista.
Representantes autorizados a llamar al proveedor, numero de telfono 000-0000 (0800 17.30 lunes a viernes), 0000-0000 (otros horarios). Si el llamado se hace fuera de horarios, deje un mensaje y el coordinador de operaciones lo llamara en 15 minutos. (Este acuerdo se deber negociar) Brinde el estado que esta colocando una LLAMADA DE ALERTA DE DESASTRE. El coordinador de operaciones de suministro con la informacin requerida. La persona asignada para la recuperacin de desastres se pondr en contacto con el cliente, o bien confirmar el uso de las instalaciones del proveedor y una copia de seguridad de la Secretara de la Presidencia.
43
10.3.4 Paso de Recuperacin 4 Recuperar los Registros Vitales Los registros vitales se almacenan fuera del sitio con el apoyo de medios electrnicos e incluyen guas tcnicas de recuperacin especficas para cada plataforma. Adicionalmente, el DR de la Secretara enva el Documento de Recuperacin de desastres de la Secretara de la Presidencia y copias adicionales mantenidas en memorias Flash USB, y Cintas Magnticas. Utilice el siguiente procedimiento para autorizar y solicitar servicios contratados fuera del sitio de almacenamiento de la Secretara de la Presidencia para entregar los materiales de recuperacin para recuperacin de desastres o al proveedor: Prepare la siguiente informacin antes de hacer la llamada al proveedor. 1. Nombre del cliente y direccin 2. un numero de referencia 3. La direccin de que los materiales deben ser entregados a El proveedor Tegucigalpa D.C. Honduras C.A. TEL. (504)2222-0345 mvil (504)9999-5074, 3333-5458, 9998-0026 4. Los materiales que se entregaran: Servidor de Respaldo - semana 1, 2, 3, 4 o 5 Las cintas ms recientes de Bases de Datos semanal o mensual Estado del sistema ms reciente del Windows Ultima cinta de configuracin del Router principal Ultimo reporte de las aplicaciones Lista mas reciente de las direcciones IP Toda la informacin necesaria para las diferentes aplicaciones Etc. Representantes Autorizados para llamar a la Secretara de la Presidencia, numero de telfono 222-2222 (Horas de Oficina) o 999-9999 (fuera de horarios). Personal de recepcin deber estar registrado en la firma de compaas autorizadas para la recepcin de los materiales de la Secretara de la Presidencia.
44
10.3.5 Paso de Recuperacin 5 Desplegar Equipos de Recuperacin Desplegar el: Equipo de recuperacin de Windows Equipo de recuperacin de Bases de Datos Local Equipo de recuperacin de Redes Equipo de recuperacin de Aplicaciones a: El proveedor. Edif xxxxx Col. xxxx fte. Lugar xxxx Tel. (504)2222-0345 mvil (504)9999-5074, 3333-5458, 9998-0026 Tegucigalpa D.C. Honduras C.A.
10.3.6 Recuperacin Lnea de Servicios Servicio de asistencia debe ser puesta en el Data Center del proveedor o lugar alternativo hasta que las instalaciones de IT se restablezcan en la oficina principal de la Secretara o un lugar alternativo.
10.3.7 Recuperacin Prximos Pasos En esta etapa el Servicio de Recuperacin de Negocios ha sido invocado, los equipos de recuperacin desplegados y los registros vitales transportados desde el almacenamiento fuera del sitio del centro de recuperacin. Cada equipo de recuperacin ahora emplea guas especficas para la recuperacin de las plataformas que son responsables para. Por favor refirase a los documentos vitales: SDP HN Honduras DR BD Local Gua de Recuperacin de Desastres - SDP HN-DR-002. SDP HN Honduras DR Aplicaciones Gua de Recuperacin de Desastres SDP HN-DR-003. SDP HN Honduras DR Windows Gua de Recuperacin de Desastres SDP HN-DR-004.
45
SDP HN Honduras DR Comunicaciones e Infraestructura de Red Gua de Recuperacin de Desastres SDP HN-DR-005. SDP HN Honduras DR Empieza Aqu SDP HN-DR-006.
La Recuperacin de Desastres y Gestin de Equipo de Coordinacin debe ahora controlar el progreso de la recuperacin de aplicaciones especficas con el fin de buscar la aceptacin del usuario y sign-off de la recuperacin con un acceso controlado a los sistemas de recuperacin. La recuperacin proporciona una lista de consideraciones y acciones que deben revisarse de manera peridica durante la recuperacin. Con la recuperacin inminente es necesario abordar el restablecimiento a la normalidad de los servicios de IT en la Secretara de la Presidencia.
10.4 RESTABLECIMIENTO DE LOS SERVICIOS IT EN LA SECRETARA DE LA

PRESIDENCIA El acuerdo actual con los proveedores de servicios y productos para el uso de sus servicios de recuperacin es de hasta 16 semanas. En el caso de que la oficina de la Secretara de la Presidencia este desocupada por un perodo superior a este perodo, y la construccin no esta de acuerdo a una extensin temporal de otras disposiciones, ser necesaria volver a establecer instalaciones permanentes de TI. Es muy difcil predecir las circunstancias que prevalecen por lo que este captulo tiene por objeto proporcionar una lista de consideraciones y probablemente lugares.
10.4.1 Lugares para el restablecimiento de servicio IT de la Secretara de la Presidencia Las siguientes localidades pueden ser consideradas para el restablecimiento de los servicios IT: Lugares El proveedor Consideraciones Conexin existente a la red de la Secretara de la Presidencia, sitio controlado, ej. Acceso seguro, suministro de oficinas con espacios de parqueo, solo para el personal necesario.
46
En un permetro no mayor de 20 kilmetros. Direccin exactos y lugar Conexin existente a la red de la Secretara de la Presidencia, sitio controlado ej. Acceso seguro, suministro de oficinas y espacios para parqueo. En un permetro no mayor de 130 kilmetros.
10.4.2 Consideraciones para el restablecimiento de los Servicios IT. Equipo de Escritorio Adquisicin, configuracin. Comunicaciones Voz, datos. Personal viaje, pago, perturbacin, alojamiento, moral. Sitio distancia, acceso (posiblemente 24 horas), parqueos, espacios de oficina. Ambiente IT.
Equipos de Recuperacin de Desastres El Equipo de Evaluacin de Desastres Nombre Telfono casa Telfono Celular Habilidades trabajo /Funcin de
3390-5458 9946-5074
Designado Coordinador DR Administracin, Aplicaciones,
Sistemas Operativos de Red / Gerente de IT y Operaciones 9982-0026 Asociado a Redes, Sistemas
Operativos de Red, Aplicaciones / Gerente Tcnico
La Gestin de Desastres y el Equipo de Coordinacin Nombre Telfono de Telfono Casa Celular 9946-5074 Habilidades/Funcin Trabajo Gerente IT de
47
9982-0026
Gerente de Operaciones
Equipo de Recuperacin de Windows (HW/SW) Equipos: Windows Server, Active Directory, Exchange, SQL Server local. Nombre Telfono de Telfono Casa Joaqun Alcerro Celular 9982-0026 Habilidades/Funcin Trabajo Preparacin Server/Active Webmail/Proxy/ Joaqun Alcerro 9982-0026 Preparacin de Windows Server para /Exchange/Domino Outsourcing1 Restauracin y configuracin de SAN Outsourcing2 Configuracin Firewall Outsourcing3 Configuracin y restauracin de SQL Server Outsourcing4 Configuracin Antivirus Outsourcing5 Instalacin, Configuracin y y restauracin/ y restauracin/ de Windows Directory/ de
restauracin de Virtualizacin
Equipo de Recuperacin de Bases de Datos Local (HW/SW) Equipos: Windows, SQL Server, Restauracin y configuracin de Aplicaciones. Nombre Telfono de Telfono Casa Joaqun Alcerro Outsourcing1 Celular 9982-0026 Habilidades/Funcin Trabajo Preparacin de Windows Server. Restauracin y configuracin de Aplicaciones de
48
Outsourcing2
Configuracin de SQL Server.
El Equipo de Recuperacin de Redes Equipos: Cisco IOS, TCP/IP Nombre Telfono de Telfono Casa Joaqun Alcerro Proveedor 1 Celular 9982-0026 9982-4816 Habilidades/Funcin Trabajo CCNA/Administrador de la Red CCNA/Supervisor Configuracin de la red Proveedor 2 Certificado en Cat5 and 6 de de
/Supervisor de red cableada.
Equipo de Servicios de Asistencia y Operaciones Nombre Telfono de Telfono Casa Donaldo Sarmiento Joaqun Alcerro Outsourcing Celular 9946-5074 9982-0026 Habilidades/Funcin Trabajo Administrador IT Administrador de Operaciones Supervisor Coordinador asistencia Outsourcing Supervisor de operaciones / de de operaciones/ Servicios de de
Centro Soporte Outsourcing Supervisor de operaciones /
Soporte Tcnico Nota: el primer miembro de cada equipo de la lista es el lder del equipo sugerido, sin embargo, las circunstancias podran dictar lo contrario.
49
Contactos Internos Nombre Telfo Telfono Habilidades Direccin
no de Celular Casa 9946-5074 IT Manager Col la Campaa 3ra calle casa 2943. 9982-0026 Infrastructure Manager, NOS Col Israel sur bloque R casa 18, 2da etapa cuadra al norte del anillo perifrico. 33903390-5458 3390CEO Honduras CFO Honduras Director Recursos Humanos 3390-3157 Director Comercial 3390-4536 Gerente Planta 3391-8606 Industrial Expantion Manager (Lempira) Coordinador de Seguridad Empresarial de
50
Externos Compaa Contacto / Telfono Habilidades Direccin en
Funcin de trabajo
Tegucigalpa D.C. / Sistema maneja que
GBM
Tulio Tercero
232-2319
Respaldo de datos
Edif. Sonisa fte colonia Luis Landa /Representante de IBM y sus productos, consultoras, partes.
Netsystem
Emyl Ponce / Gerente General
9920-6091
Soporte IT, Network Asociated
Col. Villa vieja /soporte IT /Outsourcing IT, Infraestructura, comunicaciones, Equipos por pedido.
Electryce
Carlos Fernndez/ Gerente General
255-2132
Cableado Estructurado, Electricidad
Col. Hato de En medio / cableado de red en lugar, acometidas de servicio.
Multidata
Yuri Lpez/ Asesor Ventas
206-3282
Comunicacin e infraestructura
Anillo perifrico contiguo a Nacional de ingenieros Coliseo, / enlace de datos TGU-COM.
Navega
Wilfredo Banegas Jefe NOC/
99963202/2754545
ISP
Boulevard La Hacienda, plaza Creta/ proveedor de
51
Gabriela Urrea Siemens Sergio Paz/Jefe de Ventas 269-2424 Proveedor de Planta telefnica y accesorios
Internet.
Boulevard Suyapa Contiguo Procredit/ representante de Siemens internacional.
ENETCOM
Javier
230-
Proveedor de Servicios de Configuracin de plantas Telefnicas Siemens
Col. Kennedy 3ra calle, 3era entrada 3ra avenida, casa 3617/configuracin de plantas telefnicas Centro Comercial los Castaos/Final del Boulevard Morazn edif. Tigo / telefona celular Roaming internacional, GSM, plan corporativo.
Crcamo/Ge 6993/7217 rente General 5601/3309 -2514
Tigo
Hilda Mabel Pagoaga /Flor Idalma Herrera
99475116/9992 -5810
Proveedor de telefona Celular
Claro
Lourdes Manzanares
205-4301
Proveedor de telefona Celular
Col. San Carlos contiguo a metro media. / Telefona celular Roaming internacional, plan corporativo.
Lufergo
Marco Baca/ asesor de ventas
232-4016, 232-4317
Proveedor de Equipos de computo DELL,
Col. Florencia atrs de Banpas del Boulevard Suyapa/
52
software Symantec.
Representante de DELL venta de Hardware y software Symantec.
Cosem
Allan Chinchilla
235-2150
Proveedor de Equipos de computo HP
Edificio Cosem, Atrs de Plaza Sta. Mnica del Boulevard Suyapa / Representante de HP Venta de porttiles y desktop HP
CCS Intelisys
Fernando Castro B
232-4141
Proveedor de Equipos de Computo, Software de antivirus, NOS.
Edif. Quilico, Boulevard Morazn / venta de computadoras HP y software (HP, McAfee, Microsoft)
Grupo POPA
Norman Meja/ Asesor de ventas
235-9509
Proveedor de Equipos de Computo/software/
Colonia Tepeyac Ave. Luis Bogrn 1326 Tegucigalpa
Virtualizacin/Servi D.C. cios.
Infotec
Tulio Tercero/Ra l Aguilera
2694462/63
Proveedor de Equipo de Cmputo.
Centro Comercial del aeropuerto o Centro Comercial los Prceres.
Multisistem as
Irma Gonzales/ asesor de
220-1454
Proveedor de Equipos de Computo.
Representante de HP tramita garantas a equipos
53
Ventas Columbia electrnica Rodman Elvir/asesor de ventas, tcnico 225-0698 Proveedor de equipos brother y servicios de mantenimientos a los mismos Jetstereo Yuri Rub/asesor de ventas Rosabal Electrnica Jos Chacn 2320290/2887619 287-844050 Proveedor de Equipo para impresin en Red Proveedor de Equipos de proteccin elctrica
HP Boulevard comunidad econmica europea, barrio Guacerique # 2029 Sala de ventas de equipos de oficina boulevard Morazn. Colonia Alameda Ave, Tiburcio Carias Andino casa# 528 /representante de Panam APC, venta, instalacin y asesora de equipo de proteccin, UPS, Reguladores, Racks, gabinetes.
Ingelmec
Ing. Abraham Riera/ asesor de Ventas
2310846/64/9 7
Proveedor de Equipos de proteccin elctrica
Colonia las minitas contiguo al redondel hacia Cybex /representante de Liebert venta, instalacin y asesora de equipo de proteccin UPS, reguladores, piso falso. Racks, gabinetes.
54
Contactos del Edificio y Servicios Compaa Contacto Numero Telfono de Direccin /sistema que maneja de
/oficina/celular Empresa de Seguridad SANAA ENEE Jos Arely Alemn Emergencias Emergencias 239-8472 239-2939/ 9547-0186 Predios del IPM y FHIS, col. Lomas de Toncontn D.C. 1era Ave. Fte. Yude Canahuati Boulevard Suyapa fte. Supermercado La colonia # 1. Bomberos Control de Incendios 246-4900/ 239-8472 198 Cruz Roja Polica Mantenimiento de aire acondicionado Servicios de Correo Sonia Moreno de Meza 239-2728/ 9986-1609 Colonia el Prado, 1ra calle. Calle de la salud Casa # 872. Emergencias 195 Emergencias 199 Adalid Izaguirre 245-8759/ 9905-7411 Tegucigalpa D.C. Tegucigalpa D.C. Anillo perifrico fte. International School. Tegucigalpa D.C.
Hardware Incluido en este DR Plan
55
Servidores Windows incluidos en este DR Plan Equipos: Windows, SQL Server, Restauracin y configuracin de Aplicaciones. Servidor Funcin No CPU Memoria Infraestructura Active Directory PDC / WINS / DNS / 1 DHCP / Exchange Domino Mail Server 1 4096MB 2048MB 2x68GB RAID 6.10 IBM 278.87GB RAID 5 DELL SQL local File Server Share Folders 1 4096MB Server BD Historical Data Base. 1 3072/640MB 305.1+33.9GB RAID 7.0 IBM 278.87GB RAID 5 DELL McAfee Antivirus Web Mail Antivirus Server External Mail Service by DMZ. Proxy SQL Server SQL local De Escritorio Desktops Support/recovery staff 160 1 2.8 Almacenamiento SAN Almacenamiento 8 200 GB Normal 400 ZIP x 1.00gb 80gb Server BD Historical data base 1 3072MB 305.1GB IBM ISA Server 1 512MB 1 6144MB 136.73GB 42.37GB IBM 37.29GB ATA RAID 1 Especificacin Disco Duro
SERVERAID 7.00
Equipo de Redes Incluido en este Plan
56
Servidores
Funcin
No Especificacin
Cisco 2950
Switch Ncleo
de 1 /
de configuracin fija, gestionado conmutadores 10/100 Mbps proporciona una conectividad de grupos de trabajo de base para las redes de pequeas a medianas empresas.
Core Switch
Cisco series
2900
XL Switch ncleo
de 1 /
Deteccin automtica 10/100 Fast Ethernet que ofrecen un rendimiento excepcional, modularidad verstil y fcil de usar de gestin. incluye tres configuraciones modulares con diferentes
Core Switch
densidades de Puerto. Trendnet Te 100 - Switch S24V de 1 24 10/100Mbps Auto-negociacin, Auto-MDIX Fast Ethernet Ports, Full / Half-Duplex modo de transferencia para cada puerto, Soporta 768K bytes de datos de RAM de bfer, el control de flujo IEEE 802.3x para modo half duplex, Soporta puertos VLAN (25 grupos) y Port-Based / IEEE 802.1p Calidad de servicio (alta o baja). Linksys SR224 Switch de 3 Cuenta con 24 puertos 10/100 proporcionar ancho de banda dedicado a la mitad-o full-duplex modos, sus puertos conmutados 10/100 funcionan a 200 Mbps en modo full-duplex, una serie de puertos que el apoyo automtico MDI / MDI-X de deteccin de cable, compatible con los principales sistemas operativos de red, la tienda ha avanzado y renvo de conmutacin de paquetes optimiza la
Distribucin
Distribucin /Distribution switch
transferencia de datos, ha particionado automtico que protege los ordenadores de las lneas cadas de red, y tiene la regeneracin de seales
57
garantiza la integridad de la transferencia de datos. Dlink DES-1024D Switch de 1 Soporte Full / Half duplex por puerto
Distribucin
Control de flujo para la transmisin segura Auto-negociacin MDI / MDIX
Inventario de Software Software Software Software de Oficina MS Office Standard Edition MS Project Adobe Acrobat Internet Explorer Back Office Software Windows Server Exchange SQL Server Database Sistema Operativo de Desktop Windows End of table XP sp 2 /Vista 20/09/09 Server CAL 8.0.6 / 8.1.6 7 7 2003 2003 8.0 6.0 Vendedor Versin
Informacin sobre licencia de Software Producto MS Office 2003 Suplidor Microsoft Llave de Licencia
Tabla de Aplicaciones Criticas de la Secretara de la Presidencia
58
Aplicacin Active Directory Exchange
ABO / Descripcin Joaqun Alcerro / Provee polticas, permisos para el acceso de todos los usuarios. Joaqun Alcerro SDP HN / Exchange es la aplicacin de correo de Ministerio de la Presidencia.
SQL Server BD Local McAfee Firewall
Joaqun Alcerro SDP HN / Servidor de Bases de Datos Joaqun Alcerro SDP HN / Servidor de Antivirus. Joaqun Alcerro SDP HN / El firewall protege la red corporativa desde el acceso no autorizado de la red externa. Una vez que la conexin se establece desde el sitio de recuperacin para acceder a la red externa SDP HN los accesos sern siempre garantizados por el cortafuego y servidores Proxy.
Internet access
Joaqun Alcerro SDP HN / acceso a internet.
Registros Vitales y de los Materiales La Secretara de la Presidencia utiliza los servicios de datos de la empresa especialista en almacenamiento de un proveedor vital para almacenar copias de seguridad de medios y documentos. Una serie de documentos y materiales se han identificado como esenciales para la recuperacin de las operaciones de IT. Estos documentos son designados como "documentos vitales". La siguiente es una lista de los registros vitales designados: Registros Vitales Titulo del Documento Plan de Recuperacin de Este documento contiene un plan detallado de las medidas necesarias para identificar, escalada, invocar y recuperar los Contenido
59
Desastres SDP HN.
servicios clave a personal clave en caso de un desastre. Proporciona informacin sobre la planificacin para la restauracin de los servicios normales. Se complementa con: Gua de Recuperacin de Aplicaciones de Bases de Datos SDP HN. Gua de Recuperacin de Aplicaciones de Servidores Windows SDP HN. Paquete de Recuperacin de Desastres para Router SDP HN.
Gua de Recuperacin de Aplicaciones Bases de Datos SDP HN Gua de Recuperacin de Aplicaciones de Servidores Windows Paquete de Recuperacin de Desastres para Router Contraseas
Instrucciones detalladas para restaurar y recuperar las aplicaciones de Bases de Datos SDP HN.
Instrucciones detalladas para restaurar y recuperar las aplicaciones crticas de servidores Windows SDP HN, incluyendo Exchange, aplicaciones hospedadas, PDC y DNS, DHCP instalaciones.
Las instrucciones detalladas y los elementos para recuperar la infraestructura crtica de comunicaciones SDP HN.
Detalles o almacenamiento de contraseas crticas por ejemplo, Administradores de dominio, raz, etc.
60
Material de Respaldo Material SAN Propsito Copias de seguridad de Servidor de archivos, BD Local, Exchange Concesin de Licencias Documentos de Oficina Copia de Seguridad del Estado del Sistema Memoria Flash del Router Respaldo de datos de la configuracin del router Respaldo de Datos o el almacenamiento de contraseas crticas, por ejemplo, Administrador de dominio, usuario, etc. Numero de Licencia
Ver especficas de Servidor Windows, Exchange y guas de recuperacin de Bases de Datos para Descripciones detalladas de las copias de seguridad de los materiales y las polticas. Varios Material Vital Material Papelera pre Impresa Propsito No se Utiliza Actualmente
Listas de Verificacin Lista de Notificacin En el caso de que se declarara una "catstrofe", muchas de las siguientes personas deben ser notificadas. Posicin Nombre Telfono Casa HN IT Manager SDP HN Bill Gates Finance Julio Sandoval de Telfono Celular 9946-5074 3390-5458 Terminado
61
Director SDP HN Infrastructure Joaqun Alcerro Manager Communications Manager Outsourcing Provider Service Mnica Naranjo 9982-0026
Lista de Verificacin de Evaluacin de Recuperacin La siguiente lista de consideraciones debe ser revisada de manera regular Durante la recuperacin. Consideraciones Ha sido todo el equipo de gestin disponible informado de la emergencia y la ubicacin del centro de control? Ha sido comunicada la evaluacin de los daos iniciales a todos los equipos de gestin? Hay algn asunto personal que necesite ser resuelto? Si es necesario, tener la liberacin de los registros vitales autorizados Recuerde que usted puede tener slo un lugar. Son necesarias medidas especiales de seguridad, debido por ejemplo a la sospecha de incendio provocado? Es el sitio Seguro? Ha sido designado el coordinador de desastres y los miembros del equipo estn en modo de espera? Tiene el equipo de Windows, redes y equipo de directores de operaciones designados con los miembros de su equipo en modo de espera? Tiene la evaluacin de daos detallada, basada en lista de comprobacin, indicar la necesidad de invocar el plan de recuperacin y declarar un desastre? Notas
62
Si la declaracin de desastre ha sido declarado a todos los jefes de equipo en el lugar y los miembros del equipo? Los usuarios han sido informados de la situacin y su papel? Estn los arreglos en el lugar para que el equipo de gestin le mantenga informados del progreso? Han sido informados los altos ejecutivos Tienen vas de comunicacin hacia los altos ejecutivos como se acord? La recuperacin inicial a la ltima copia de seguridad ha terminado? Cul es la situacin de las aplicaciones individuales? Ha sido restaurada el trabajo Normal en los departamentos de negocio? Cual es la situacin del reaseguro? Cul es el estado de re restablecimiento?
Lista de Evaluacin de Daos Los siguientes aspectos deben ser evaluados en el caso de una "catstrofe" que se declara. Aspectos Evaluar en Principales Servicios Comentarios Terminado
Edificio General
Acceso Servicios Emergencia Zonas Exclusin Estructura Sala Informtica Seguridad Electricidad Generador de de de
63
Edificio Interno Entorno y Equipos de IT Personal
UPS Telefona Agua Distribucin Elctrica Cableado Iluminacin Proteccin contra incendios Aire Acondicionado Primer Piso Segundo Piso Tercer Piso Techo Servidores Oracle Servidores Windows Router Switches Arreglos Disco Bibliotecas Cintas Seguridad Rack Gabinetes Lesiones de de
64
Disponibilidad Notificaciones Habilidades Tercerizacin
Informacin til Hotel Alojamiento.
Caractersticas de los Servidores. Tipo de Alias Serial 003E19946D56AE TEGHN CD1 8E0E00DCB3BD3 0C201 00B9BFC39564FD TEGHN CF02 TEGHN CDBB0 1 TEGHNI SA 3HS1HM23 FIXED ATA ST340016A 8B0E006FB6BD30 C201 00C6F23622AE8F 491000E03ECD90 EC01 FIXED RAID DELL PERC 6/I 1.11 278.87 GB 37.29 GB FIXED RAID DELL PERC 5/I 1.03 278.87 GB FIXED RAID DELL PERC 5/I 1.03 278.87 GB disco Tipo de bus Modelo Tama o
65
TARIFI CADOR TEGHN ASR01 TEGHN ARA TEGHN COST1 6 TEGHN COST1 8 TEGHN CIP01 TEGHN TIV01 800055F500 8000Error! No se encuentra origen TEGHN CIP01 TEGHN TIV01 TEGHN SEPM0 1 TEGHN CD9 TEGHN N/A N/A FIXED FIXED RAID SCSI IBM RAID 1 IBM SERVERAID 7.00 JFV84SEC FIXED N/A HP DF146BABUE HPD6 8A9F6AE201 FIXED RAID IBM SERVERAID 6.10 de el la FIXED RAID IBM SERVERAID 6.10 800019DB00 FIXED RAID IBM SERVERAID 6.10 6RW0PXE3 FIXED ATA ST380815AS 6RW0PX2Q FIXED ATA ST380815AS 6FB1RK7X FIXED ATA ST340810A 3HS2GY5R FIXED ATA ST340016A 3HS1KGNH FIXED ATA ST340016A
37.29 GB 37.29 GB 37.29 GB
74.53 GB
74.53 GB 67.79 GB 68.37 GB
referencia.A2AB0 1 FIXED RAID IBM SERVERAID 6.10
67.79 GB 410.19 GB
136.73 GB 67.79 GB 101.70
66
CJ1 TEGHN CJ1 TEGHN CJ1 TEGHN CJ2 TEGHN CJ3 TEGHN CJ5 TEGHN WEB01 TEGHN SOL02 TEGCLI ECOSTI NG TEGHN SOL02 TEGHN COSTIN VNVB30G2T2V72 G 26 V FIXED ATA IC35L060AVV207-0 VNC404A4DXUN UF VNVB30G2T2T04 V FIXED ATA IC35L060AVV207-0 FIXED ATA IC35L080AVVA07-0 N/A VN64RECDF6951 H FIXED ATA HDS722516VLAT20 FIXED RAID IBM RAID 1 N/A FIXED SCSI IBM SERVERAID 7.00 N/A FIXED RAID IBM RAID 1 N/A FIXED RAID IBM SERVERAID 4.84 N/A FIXED SCSI IBM SERVERAID 7.00 N/A FIXED SCSI IBM SERVERAID 7.00
GB 101.70 GB 101.70 GB 33.89 GB 16.95 GB 33.90 GB 42.37 GB 128.00 GB
74.50 GB 37.27 GB
37.27 GB
67
11. DESARROLLO DE UN PLAN DE GESTIN DE RESPUESTAS A INCIDENTES

Este plan se diseo para asistir con la evaluacin de incidentes o una situacin de emergencia para determinar y categorizar si existe un desastre, incidente, alerta o evaluacin. Su estructura se describe continuacin pero, idealmente, los usuarios
debern haberlo ledo antes y estar familiarizados con su contenido. 11.1 PROPSITO Y ALCANCE 11.1.1 Propsito El propsito de este plan de gestin de respuestas a incidentes y emergencias es proporcionar un conjunto de procedimientos para: Evaluar si una situacin potencialmente desastrosa ha surgido. Evaluar si la situacin es un desastre, incidente o alerta. Evaluar cambios relevantes en este manual. Determinar el nivel de severidad del desastre, incidente o alerta si existe. Ejecutar el Plan de Recuperacin de Desastres. Montar un Centro de Comando Temporal. Habilitar la restauracin del servicio completo normal en el menor tiempo posible, si solo es un incidente o alerta.
11.1.2 Alcance El plan de gestin de incidentes y emergencias est limitado a la evaluacin preliminar de un incidente o emergencia de la Secretaria de la Presidencia y su centro de datos y no cubre todos los aspectos del plan de contingencias o desastres del negocio. En el peor de los escenarios, este manual supone la destruccin parcial o total del centro de datos de la Secretaria de la Presidencia y el centro de datos con la consiguiente perdida de algunos o todos los materiales o equipos. Este manual se limita a: Aplicaciones SQL Server.
68
Servidor de correos Exchange. Equipo de respaldos. Gestin de la conectividad del enlace Internacional. Windows Server y Aplicaciones identificadas como crticas. La conectividad de la red como est prevista en Honduras.
11.1.3 Supuestos Este manual Supone: Que a pesar que el centro de datos se destruyo el resto del edificio, la Secretaria de la Presidencia se mantiene intacta y accesible. En caso de que la emergencia se limite a un incidente, alerta o simple evaluacin, el personal de IT deber realizar las gestiones pertinentes para reactivar los servicios daados. Los usuarios finales locales y remotos de Secretaria de la Presidencia, son capaces de continuar con su negocio sin las instalaciones centrales, por un periodo que podra ser superior a 24 horas. Que el contenido de este plan ser aplicado y probado 6 veces por ao. Que la Secretaria de la Presidencia y sus procedimientos de control y cambios incluye la enmienda a este plan cuando sea relevante. 11.1 PRIMEROS PASOS 11.2.1 Consideraciones de Seguridad y Medios de Comunicacin Con carcter prioritario, todas las acciones deben ser adoptadas para garantizar la vida y reducir al mnimo cualquier posible dao en caso de que la emergencia no est controlada. Considere la posibilidad de: Las personas que resultaron heridas en el movimiento a una zona segura, y la prestacin de primeros auxilios. Es seguro entrar o permanecer en el lugar afectado?
69
Es imperativo que los comentarios emitidos por la Secretaria de la Presidencia sean claros coherentes y correctos; por lo tanto, todas las comunicaciones externas deben ser dirigidas a travs de la oficina de comunicaciones del grupo.
11.2.2 Reconocimiento En el caso de una emergencia es esencial evaluar la situacin y reconocer que es probable que tenga o haya ocurrido un incidente. En esta etapa el objetivo no es llevar acabo una evaluacin formal, si no reconocer que ha surgido una situacin de emergencia de manera que la escalada puede seguir. Debe tener en cuenta: Que servicios han sido afectados? Qu recursos han sido afectados? Que acceso ha sido afectado?
11.2.3 Montar el Equipo de Evaluacin de Emergencias (Triage). Si hay alguna razn para creer que la situacin puede ser un incidente, alerta o evaluacin entonces tantos miembros como sea posible del equipo designado para evaluacin de emergencias, deben ser contactados. Equipo de Evaluacin de Emergencias (Triage) Nombre Telfono Casa Joaqun Alcerro (504) (504)99820026 Paul McCartney (504) (504)33905458 John Lennon (504) (504)99820026 Ringo Starr (504) (504)9946Encargado Evaluacin. Encargado Planificacin Operaciones, Designado Coordinador, CFO. Celular Habilidades/Funcin Trabajo Lder Triage de
70
5074 John Harrison (504) (504) Encargado Seguridad
Empresarial, Logstica.
Una vez montado el equipo si el designado coordinador de evaluacin de emergencias no est disponible, el equipo debe designar a uno de los presentes. Si esto no puede ser realizado rpidamente entonces la persona de ms alto nivel del equipo de evaluacin de emergencias actuara como coordinador de evaluacin de emergencias. En ausencia de un lugar adecuado para cumplir, se sugiere lo siguiente. La oficina principal de la Secretaria de la Presidencia se utilizar como un centro de comando.
11.2.4 Evaluacin El equipo de evaluacin de emergencias debe verificar la informacin que puede ser obtenida y decidir sobre el grado de severidad del desastre o incidente y sus implicaciones. El equipo debe evaluar la magnitud del desastre o incidente y el curso de accin necesario.
11.2.5 Escalada En este punto se considera que la evaluacin se concluye en un desastre o incidente la situacin existe y es necesario intensificar el proceso de restauracin de los equipos que sufrieron daos y se toma como desastre para invocar los planes de recuperacin segn el nivel de severidad encontrado. Notificacin Es esencial que las siguientes personas sean notificadas inmediatamente de la situacin de 'desastre' o 'incidente' y el plan de accin propuesto: Gerente de IT
71
HN IT Manager Gerente Financiero HN Local CFO Gerente General HN Local CEO Encargado de comunicaciones Proveedores de servicio de recuperacin de desastre si amerita.
11.3 ESTRATEGIA DE ACCIN Y EVALUACIN (TRIAGE) En el caso de la prdida total de la prestacin o que la oficina de Secretaria de la Presidencia este inoperable por un perodo de 24 horas. Para ayudar a la evaluacin: Un equipo de evaluacin (Triage) debera ser reunido y desplegado. Si el desastre es evidente se deber invocar el Plan de Recuperacin de Desastres. Los servicios de mltiples proveedores deben ser contratados si el desastre es evidente. Determinar que el sitio es seguro y se puede comenzar la evaluacin. Evaluar los equipos del centro de datos. Determinar el nivel de severidad del desastre o incidente. Los planes individuales se mantienen para cada plataforma. Superar el incidente si existe a travs del despliegue del Triage.
11.3.1 Paso de Evaluacin 1- Enfoque de Equipo Se sugiere que la evaluacin se realice con el despliegue del Triage:
Gestin de evaluacin y Coordinacin del Equipo
72
Encabezado por el Coordinador del (Triage) que gestiona la evaluacin efectiva del sitio, este equipo: Evala y concilia las prioridades basado en los reportes generados por el equipo, mientras que ejecuta lo que corresponde segn la evaluacin del centro de datos. Informa a ejecutivos de la Secretaria de la Presidencia y proporciona los medios de informacin, ya sea directamente o a travs de un portavoz. Sirve de enlace con la Secretaria de la Presidencia en funciones y sitios. En ausencia del Coordinador del Triage, designa un nuevo Coordinador.
Coordinador Triage. Administra, Gestiona, Evala, Controla la situacin basado en la informacin suministrada por el resto del equipo. Ejecuta segn reportes lo que corresponda a cada rea (Logstica, planificacin, Finanzas, Operaciones). Decide el cierre del incidente o el comienzo del Plan de Recuperacin de Desastres. Encargado de Logstica. Efecta la movilizacin externa de personal, entrada y salida. Efecta la movilizacin externa de equipos y repuestos, entrada y salida. Sirve de enlace entre el encargado de planificacin, finanzas y coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.
Encargado de Evaluacin y Operaciones. Efecta o designa personal para la evaluacin de los equipos e infraestructura daados. Genera el reporte de daos. Efecta la movilizacin interna de personal, entrada y salida. Efecta la movilizacin interna de equipos y repuestos, entrada y salida.
73
Sirve de enlace entre encargado de evaluacin, planificacin, logstica y Coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura.
Reporta directamente a Coordinador Triage y Encargado de Planificacin.
Encargado de Planificacin. Efecta la planificacin interna de personal, entrada y salida. Asigna tareas al personal. Genera reportes de cantidades de equipos, repuestos segn evaluacin. Gestiona la compra de equipos y repuestos para reparacin o substitucin. Gestiona la contratacin de proveedores de productos y servicios. Sirve de enlace entre encargado de evaluacin, finanzas y Coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.
Encargado de Finanzas. Administra recursos financieros para la movilizacin y contratacin de personal. Administra recursos financieros para la compra de equipos y repuestos. Administra recursos financieros para la contratacin de proveedores. Recibe reportes de planificacin, logstica de equipos, repuestos, personal. Trabaja en conjunto con el encargado de planificacin, logstica y coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.
El equipo debe ser revisado y modificado si fuera necesario a la luz de las prioridades acordadas y el curso de accin. Asegrese que las personas asignadas al equipo tengan las habilidades y los conocimientos necesarios para llevar a cabo las tareas. Si el Triage determina un desastre:
74
En este punto, el equipo de Evaluacin de Emergencias (Triage) se disolver invocara el Plan de Recuperacin de Desastres y pasa el control a la gestin de desastres y Equipo de coordinacin.
11.3.2 Paso de Evaluacin 2 Tipos de Desastre Desastres Naturales o Accin Humana Incendio total o parcial en el data center. Inundacin total o parcial en el data center. Dao fsico a la estructura del edificio y equipos del data center por terremoto o temblor. Corto circuito o tormenta elctrica que dae o afecte los equipos de data center.
Desastre Tecnolgico o Accin Humana Enlace fuera de servicio por un periodo mayor a 24 horas. Colapso de equipos o fallo interno por falta de mantenimiento o vida til.
11.3.3 Paso de Evaluacin 3 Nomenclatura Dependiendo de la magnitud de la emergencia es ahora necesario comenzar la evaluacin, rpida y concisa utilizando el cdigo de colores. Cdigo de Colores Accin Desastre, evaluacin. Color Negro: Daos importantes en los equipos que requieren, alta Medio: 6 - 8 Server Criticidad alta Menor: 5 - 3 Server Criticidad Categoras de desastres: Grave: 9 o + Server Criticidad Tpica para Declaracin alerta amarilla de o
Incidente,
sustitucin completa, (Irreparables, quemados, sumergidos en lquidos, no encienden).
75
alta
1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color negro) de alta y media criticidad se declara un desastre con nivel de severidad 1. Invoque el Plan de Recuperacin de
Desastres.
2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color negro) de alta y media criticidad se declara un desastre con nivel de severidad 2. Invoque el Plan de Recuperacin de
Desastres.
3. Si la grafica contiene el 30% de los equipos (5 a 3 equipos en color negro) de alta criticidad se declara un desastre con nivel de severidad 3. Invoque el Plan de Recuperacin de
Desastres. Color Rojo: Dao Considerable en los equipos se limita al impacto fsico pero reparable, el equipo enciende tiene video y muestra la Categoras de Incidentes: Grave: 4 Server Criticidad alta Medio: 3 Server Criticidad alta Menor: 2 Server Criticidad alta
76
informacin de su hardware (BIOS), requiere cambio de partes como Disco Duro, Memoria, Tarjetas de expansin, etc. Posiblemente se puede recuperar aplicar DATA, garanta se o
Leve : 1 Server Criticidad alta 1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color rojo) de alta y media criticidad se declara un desastre con nivel de severidad 1. Invoque el Plan de Recuperacin de
recomienda
seguro segn corresponda.
Desastres. 2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color rojo) de alta y media criticidad se declara un desastre con nivel de severidad 2. Invoque el Plan de Recuperacin de
Desastres. 3. Si la grafica contiene el 30% de los equipos (5 equipos en color rojo) de alta criticidad se declara un desastre con nivel de severidad 3. Invoque el Plan de Recuperacin de
Desastres. Color Amarillo: Dao medio o menor Categoras de alertas amarillas: severidad 1: 9 Server
en los equipos se limita al impacto Alerta amarilla lgico, el equipo enciende tiene Criticidad alta video y muestra su hardware
la informacin de Alerta amarilla severidad 2: 8 a 6 Server (BIOS), carga el Criticidad alta Alerta amarilla severidad 3: 5 Server
sistema operativo pero presenta mltiples errores lgicos, sistema operativo corrupto, aplicaciones
Criticidad alta
77
daadas no cargan o muestran errores de DLL, hardware malos o no reconocidos, con una
1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color amarillo) de alta y media criticidad se declara un incidente alerta amarilla severidad 1. 2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color amarillo) de alta y media
regeneracin se puede reactivar sin problemas.
criticidad no se declara un desastre, se declara un incidente alerta amarilla severidad 2. 3. Si la grafica contiene el 30% de los equipos (5 equipos en color amarillo) de alta y media criticidad se declara un incidente alerta amarilla
severidad 3. Color Verde: No presenta daos y Si la grafica presenta server en color verde se puede reactivar inmediatamente. significa que no tienen ningn problema y pueden operar en otro sitio.
11.3.4 Paso de Evaluacin 4 Evaluacin Rpida de Equipos Los equipos se debern evaluar en primera instancia por el Triage de forma rpida y concisa para tomar el mejor curso de accin en el menor tiempo posible. Si se determina la necesidad de regenerar los equipos daados tome en cuenta lo siguiente: Los registros vitales se almacenan fuera del sitio con el apoyo de medios electrnicos e incluyen guas tcnicas de recuperacin especficas para cada plataforma. Utilice el cdigo de colores para determinar rpidamente si es un desastre, incidente, alerta o simplemente una auditoria de control o evaluacin del manual.
78
Matriz M.1
M. 1 EVALUACION DE SERVICIOS
Nivel de Criticidad Servicios Active directory 10 SAN DELL MD3000i 11 Plataforma de Virtualizacion 12 Firewall ISA Server Aplicaciones de Negocio y Base de Datos 13 Enlace de Internet 15 Colaboracion y Mensajeria Instantania 08 File Server 07 Portales pblicos institucionales 04 Antivirus Coorporativo 06 Servicio Actualizaciones Automticas Filtrado de Correo Electrnico Servicios de DNS Pblico Menos Critico Mas Critico
ALTA
entre 17 % y 30% Severidad 3 3 a 5 server
entre 31% y 49% Severidad 2 6 a 8 server
> del 50% Severidad 1 9 server o +
MEDIA
Mas Critico
Menos Critico
BAJA
Verde
Amarillo Nivel de Dao
Rojo
Negro
Desastre:
Incidentes:
Alerta Amarilla:
Severidad 1: mas 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 3 a 5 server alta, media
Grave: 2 server alta, media y 8 baja Medio: 1 server alta, media y 8 baja Menor: 8 server criticidad baja Leve: < de 8 server criticidad baja
Severidad 1: mas de 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 5 server alta, media
Verde: Pruebas o Auditoria
EVALUACION DE HARDWARE
Nivel de Criticidad Equipo Comunicacin Switch y Router Principal Equipo comunicacin de acceso de usuarios ALTA Menos Critico Mas Critico
entre 17 % y 30% Severidad 3 3 a 5 server
entre 31% y 49% Severidad 2 6 a 8 server
> del 50% Severidad 1 9 server o +
Aires Acondicionados de Presicin MEDIA Mas Critico UPS Menos Critico BAJA
Verde
Amarillo Nivel de Dao
Rojo
Negro
Desastre:
Incidentes:
Alerta Amarilla:
Severidad 1: mas 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 3 a 5 server alta, media
Grave: 2 server alta, media y 8 baja Medio: 1 server alta, media y 8 baja Menor: 8 server criticidad baja Leve: < de 8 server criticidad baja
Severidad 1: mas de 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 5 server alta, media
Verde: Pruebas o Auditoria
Codigo de Colores:
Negro: dao irreparable (quemado, no enciende)
Rojo: dao considerable pero arranca hasta el BIOS posiblemente se pueda recuperar datos. Amarillo: dao medio y menor pero reutilizable, errores de sistema operativo corrupto o aplicaciones daadas, error de memoria, etc. Verde: no presenta daos y se puede reactivar inmediatamente.
Nota: si el enlace con Columbus
se cae por mas de 24 horas y no se activa el de contingencias se convierte en un incidente grave
siempre y cuando, no implique equipos daados o compra de equipo
79
Utilice el Diagrama D.1 de contenido y ubicacin para determinar rpidamente la posicin de cada equipo y considerar, si es un desastre, incidente, alerta o simplemente una auditoria de control o evaluacin del manual.
Organizacin de Server en Gabinetes y Rack's, Equipo de Comunicaciones de Unidad de Tecnologia SDP
Gabinete de servidores Izquierdo

42 ISA 41 40 CMS 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 FILE SERVER 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 15 14 13 12 11 10 9 8 7 BANDEJA Coredisa KVM BANDEJA MONITOR LCD SQL 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 41 40 42
Gabinete Servidores Central

42 SWITCH DELL Power Connect 6248 41 40 39 38 37 36 ARES Base de Datos -Instancia 2 35 34 33 32 METIS Administracion de cluster de virtualizacion y SAN 31 30 ATENEA Archivos e Impresion 29 28 ZEUS Controlador de Dominio 27 26 25 24 ARTEMIS Servidor 1 de Cluster de NLB del Firewall 23 22 21 20 19 18 17
Gabinete de UPS para Servidores

42 41 40 39 38 37 36 35 34 33 Monitor 32 31 30 29 28 KVM BANDEJA Teclado, mouse 27 26 25 24 UPS 1 23 22 21 20 Banco baterias de UPS1 19 18 17 Banco baterias 16 15 14 UPS 2 13 12 11 10 Banco baterias de UPS2 9 8 7 9 8 7 UPS 3 6 5 4 3 Banco baterias de UPS 3 2 1
RACK Comunicaciones
Regleta de corriente TRIPP LITE de 6 conectores
Organizador de Cables
Router Rv 042 6 puertos swtich Dell power connect 5324/ 24 puertos BANDEJA
QUIRON Antivirus Corporativo
Router Cisco 2800 series Patch panel 24 puertos de Back Bone Organizador de Cables 24 puertos Switch linksys SRW 248G4 / 48 Prt. De Respaldo organizador de Cables 24 puertos Switch catalyst 4948 Red Interna Pach Panel 24 Prt. para red UT Pach Panel 24 Prt. para red telefonica UT organizador de Cables de telefonia 24 puertos
HERA Controlador de Dominio Replica
APOLO servidor 2 del Cluster de NLB del Firewall
SBS
SAN
16 15 14
GEA Servidor 2 del Cluster de Base de Datos
13 12 11
URANO Servidor 1 del Cluster de Base de Datos
10
Sistema Financiero UAP
TEMIS Servidor 1 de Virtualizacion
6 5 4 3
UNTANGLE
5 4 3 2 1 TETIS Servidor 2 de Virtualizacion
2 1
Criticidad Alta
Vista Superior Data Center Panel corriente

Criticidad Media
Criticidad Baja
Gabinete Derecho UPS
Importante
R a c k
Gabinete Central Servidores
C o m u n i c a c i
Aire de Precision 5 toneladas
Gabinete Izquierdo Servidores Aire de Precision 5 toneladas
Puerta Data Center
80
11.3.6 Recuperacin Lnea de Servicios Servicio de asistencia debe ser restablecidas en el menor tiempo posible.
11.3.7 Recuperacin Prximos Pasos En esta etapa si se determina un desastre el Plan de Recuperacin de Desastres deber ser invocado, los equipos de recuperacin desplegados y los registros vitales transportados desde el almacenamiento fuera del sitio del centro de recuperacin. Lista de Verificacin de la Evaluacin La siguiente lista de consideraciones debe ser revisada de manera regular durante la evaluacin: Consideraciones Se ha informado de la emergencia y la ubicacin de la misma a la brigada de seguridad? Es necesaria la presencia de entidades especializadas para evaluar daos? Son necesarias medidas especiales de seguridad para estabilizar el rea afectada segn reporte de las entidades especializadas? (ej. bomberos) Son necesarias medidas especiales de seguridad, debido por ejemplo a la sospecha de incendio provocado? Es posible acceder al sitio afectado? Se realizo ya la evaluacin de las aseguradoras, (si aplica) y permiten acceder a reas y equipos afectados? Ha sido convocado el equipo de evaluacin (Triage) disponible, e informado de la emergencia y la ubicacin de esta? Ver. Apndice A. Pg. 17 del manual de evaluacin de desastres. Cuenta con el diagrama de organizacin y ubicacin de los equipos en el Notas
81
Data Center? Ver diagrama D.1 plastificado con las ubicaciones Cuenta con la lista de comprobacin para la evaluacin de los equipos en el Data Center? Ver matriz M.1 plastificado con las aplicaciones. Cuenta con personal calificado para la evaluacin de los equipos en el Data Center? Se ha iniciado la evaluacin de los daos a todos los equipos del Data Center? La magnitud de los daos evaluados determina? Es un Desastre Es un Incidente (escriba el tipo de incidente segn el nivel de dao) Es una alerta Amarilla Es una evaluacin de rutina La Severidad de los daos evaluados determina? Severidad 1 Severidad 2 Severidad 3 Tiene la evaluacin de daos detallada, basada en lista de comprobacin para evaluacin de desastres, reporte de daos de entidades
especializadas? (ej. Bomberos, polica, etc.) Que Indican la necesidad de invocar el plan de recuperacin y declarar un desastre, incidente o alerta y su nivel? Si se declara un desastre complete los siguientes enunciados, de lo contrario envi informe de evaluacin al gerente de Informtica y gerente de infraestructura solamente. Ha sido comunicada la evaluacin de los daos iniciales a todos los
82
equipos de gestin? Ver apndice A.3 Disaster Recovery Plan, y apndice A.2 de manual de evaluacin de desastres Hay algn asunto personal que necesite ser resuelto? (ej. Personal necesario, fatalidades, etc.) Si es necesario, tener la liberacin de los registros vitales autorizados Recuerde que usted puede tener slo una copia. Extraerlos de caja fuerte en oficina IT, o Sitio alterno segn corresponda (TGU, SAP, casa de un ministro, etc.) Es el sitio Seguro? Ha sido designado el coordinador de desastres y los miembros del equipo estn en modo de alerta? Ver apndice A.2 y B.1 del manual de evaluacin de desastres. La declaracin de desastre ha sido informada a todos los jefes de equipo apropiado y los miembros del equipo? Ver apndice A del Disaster Recovery Plan. Los usuarios han sido informados de la situacin y su papel pro-activo en la recuperacin? Se ha designado el sitio y estn los arreglos pertinentes en el lugar destinado para centro de comando temporal, para que el equipo de gestin mantenga informados del progreso a quien corresponda (CODIR)? Han sido informados los altos ejecutivos (CODIR) ver apndice B.1 Disaster Recovery Plan Se definieron y se tienen vas de comunicacin hacia los CODIR? La recuperacin inicial ha comenzado?
83
12. CONCLUSIONES Y RECOMENDACIONES

12.1 CONCLUSIONES No existe un gobierno de seguridad implementado, sin embargo, se han tomado en cuenta algunos aspectos de seguridad bsicos. La Alta Gerencia ha aceptado que la informacin es un activo importante del Estado, que requiere de una adecuada gestin de seguridad. Existe una mala coordinacin interna entre los mandos intermedios que dificultar la implementacin del Gobierno de Seguridad, por lo que el compromiso de la Alta Gerencia es de vital importancia. 12.2 RECOMENDACIONES Implementar un gobierno de seguridad de la informacin, comenzando por aprobar las polticas de seguridad de la informacin. Involucrar a la Alta Gerencia y mandos intermedios en la definicin, planificacin e implementacin de un gobierno de seguridad, a fin de obtener un compromiso de todos los involucrados. Implementar el DRP en la Secretara del Despacho Presidencial.
84
ANEXOS
ANEXO A. FORMATO DE REPORTE MENSUAL DE SEGURIDAD DE
INFORMACIN Reporte Mensual de Seguridad de Informacin Secretaria del Despacho Presidencial

Resumen Ejecutivo Describir brevemente las actividades llevadas a cabo para evaluacin de la seguridad. Recalcar la importancia de seguridad de la informacin para la SDP. Describir brevemente esfuerzos realizados por la organizacin en el tema de seguridad de la informacin. Describir los avances realizados y las acciones tomadas. Resaltar 3 problemas importantes descubiertos que tienen un impacto significativo en la Secretara. Lista de TOP 10 Priorizar los diez temas ms urgentes a atender concernientes a seguridad de la informacin. El TOP 10 incluye debilidades y vulnerabilidades encontradas en la evaluacin de la seguridad de la informacin. Problema de Seguridad #1: (Ejemplo) Polticas de Seguridad de la Informacin Descripcin La definicin de polticas de seguridad de la informacin es indispensable para guiar las medidas a tomar en la Secretara. No existen polticas formalmente definidas para la SDP. Recomendacin: Desarrollar formalmente un set de polticas de seguridad de la informacin, orientadas a cumplir con las necesidades de la Secretara y su misin. Se debe utilizar la poltica como base para elaborar un programa de seguridad eficaz. Problema de Seguridad #2: Descripcin Recomendacin:
Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12 Problema de Seguridad #3: Descripcin Recomendacin: Problema de Seguridad #4: Descripcin Recomendacin: Problema de Seguridad #5: Descripcin Recomendacin: Problema de Seguridad #6: Descripcin Recomendacin: Problema de Seguridad #7: Descripcin Recomendacin: Problema de Seguridad #8: Descripcin Recomendacin: Problema de Seguridad #9: Descripcin Recomendacin: Problema de Seguridad #10: Descripcin Recomendacin: Acciones a Tomar: Describir las acciones que se tomarn para mitigar los 10 problemas anteriormente descritos.
ii
BIBLIOGRAFA
Alcerro, J. D. (22-23-27 de Agosto de 2012). Ingeniero. (I. R. Velasquez, Entrevistador) Office, U. G. (s.f.). Obtenido de www.gao.gov Portal ISO 27000. (s.f.). Obtenido de www.iso27000.es Simplicable. (s.f.). Obtenido de www.simplicable.com Universidad de Nacional de Tucuman. (s.f.). Obtenido de http://www.herrera.unt.edu.ar/curso_seguridad/pdf/ModuloXx2.pdf

Informe Final Seguridad de La Información

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Informe Final Seguridad de La Información

Enviado por

Direitos autorais:

Formatos disponíveis

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

3. DESCRIPCIN GENERAL DE LA EMPRESA

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

4. DEFINICIN DEL PROBLEMA

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

COMPROMISO DE LA ALTA GERENCIA EN RELACIN A LA

GESTIN DE SEGURIDAD INFORMTICA

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

7. PLAN DE IMPLEMENTACIN DE UN GOBIERNO DE SEGURIDAD INFORMTICA

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

los el proceso requiere

la as a la segurida Gestin d entrega el

acin de la necesarios ajustes estrategia para la

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

y uso de procesos para una

e evaluacin los recursos

la propone al Consejo Direcci n el

determina do Comit Ejecutivo

con el CISO a con el que la

CISO la propuest elaborac

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

valor la realidad garantiza de la su disponibili dad

riesgo y realment a plan de e

Define las Elabora un Ejecuta plan de administra

como mtricas de medicin

gestin de y gestiona recursos las

nal y define riesgo y a la estrategia propone

en base a polticas la para la

or Unidad seguridad de Tecnolog a de

mitigaci n la n generar valor a la organiza cin

informaci n a lo largo de toda la

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

gestin del riesgo

cumplim ento los avances segn los

segn las uso de los to de los recursos procesos de asegurami ento

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

seguridad de la informacin y riesgo Direccin Ejecutiva Conceptos bsicos de Gestin de

seguridad de la informacin, riesgo y

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

planeacin estratgica Comit Directivo Conceptos seguridad, bsicos riesgos, de gestin de de

practicas, ( COBIT, ITIL, Ethical Hacking, ISACA, CCNA)

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

8. DESARROLLO DE UN PLAN DE IDENTIFICACIN Y EVALUACIN DE RIESGO

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Escala de Probabilidades y Magnitud 1 Insignificante Ninguna) 2 3 4

Baja Media Alta Riesgo = Probabilidad de Amenaza

Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo)

Ingeniera Social Accesos Lgicos 2 3 6

No Autorizados Accesos Fsicos 3 4 12

No Autorizados Daos por Fallas 3 de Elctrica Energa 4 12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12