Plan De Contingencia Seguros Procedimientos De Recuperacin De Desastres

A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos.

Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer.

Por lo tanto, la capacidad para recuperarse xitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin.

Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo.

Auditora en Informtica Equipo No. 7 Pgina 54 Control de mantenimiento

El contrato de mantenimiento total. El segundo tipo de mantenimiento es por llamada.

El tercer tipo de mantenimiento es el que se conoce como en banco. IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACINDE DESASTRES Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologasde la Informacin y las Comunicaciones en el dominio del soporte y el desempeo.Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar lacontinuidad del negocio y las operaciones de una compaa.El plan de contingencias sigue el conocido ciclo de vida iterativoPDCA(plan-do-check-act, es decir,planificar-hacer-comprobar-actuar).El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidasnecesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza:1. El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialiceuna amenaza. Su finalidad es evitar dicha materializacin.2. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacinde una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos dela amenaza.Elplan de recuperacin. Contempla las medidas necesarias despus de materializada y controladala amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de lamaterializacin de la amenaza. Amenaza: Incendio. (los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio)

Perdida de un 10% de clientes.

Imposibilidad de facturar durante un mes.

Imposibilidad de admitir pedidos durante un mes.

Reconstruccin manual de pedidos y facturas a partir de otras fuentes.

Sanciones por accidente laboral.

Inversiones en equipamiento y mobiliario.

Rehabilitacin del local.Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidadde materializacin ofrecen una estimacin del riesgo

Auditora en Informtica Equipo No. 7 Pgina 55 Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos derecuperacin de desastre, sin embargo, esto lo hacen para evitar prdidas ms grandes.Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de unaorganizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el desastre ya que riesgos es susceptible una empresa especfica, incluyendo:Catstrofes.

Fuego.

Fallas de energa.

Ataques terroristas.

Interrupciones organizadas o deliberadas.

Sistema y/o fallas de equipo.

Error humano.

Virus informticos.

Cuestiones legales.

Huelgasde empleados.Prevencin ante los desastres

Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no sepierda ms que los datos de una semana.

Incluir elsoftwareas como toda la informacin de datos, para facilitar la recuperacin.

Si es posible, usar una facilidad remota de reserva para reducir al mnimo la prdida dedatos.

reas de Almacenaje de Redes (SANs) en mltiples sitios son un reciente desarrollo (desde2003)que hace que los datos estn disponibles inmediatamente sin la necesidad derecuperarlos o sincronizarlos.

Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipoelectrnico.

El suministro de energa ininterrumpido(SAI).

La prevencin de incendios - msalarmas,extintoresaccesibles.

El software delantivirus. El seguro en elhardware. Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores quehay que tomar en cuenta. Los ms importantes son:

El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareasenfocadas hacia el plan de recuperacin.

Reservas de memoria: si lascintasde reserva son tomadas fuera de sitio es necesariograbarlas. Si se usan servicios remotos de reserva se requerir unaconexin de reda laposicin remota de reserva (oInternet).

Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico.

Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes.Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores.

Auditora en Informtica Equipo No. 7 Pgina 56

Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajarhoras ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un pocode tensin.

La informacin de negocio. Las reservas deben estar almacenadas completamenteseparadas de la empresa. Laseguridady la fiabilidad de los datos es clave en ocasionescomo estas. Proceso de recuperacin

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

Llamar el abastecedor de software e instalar de nuevo el software.

Recuperar los discos de almacenaje que estn fuera de sitio.

Reinstalar todos los datos de la fuente de respaldo.

Volver a meter los datos de las pasadas semanas.

Tener estrategias periodicas de respaldos de base de datos. SIMULACRO Ejercicio prctico de simulacin de situaciones y responsabilidades que se lleva a cabo en unescenario real o construido, con la finalidad de comprobar la confiabilidad del Plan de Respuesta aEmergencias

AUDITORIA DEL PLAN DE RESPUESTA A EMERGENCIASEl Comit Central de Atencin a Emergencias debe conformar un equipo auditor (interno oexterno) que tenga la formacin y experiencia en la administracin y operacin de Planes deRespuesta a EmergenciasLos objetivos de la auditoria deben ser:

Medir la efectividad del PRE,

Identificar fortalezas y oportunidades de mejora,

Generar recomendaciones para fortalecer aspectos que lo ameriten,

Presentar resultados obtenidos y hacer comparaciones correspondientes. AUDITORIA DEL PLAN DERESPUESTA A EMERGENCIAS. Criterios de Auditoria:

Documentacin (PRE, procedimientos y registros),

Formacin de las personas,

Nivel de conciencia y habilidades del personal en una emergencia,

Disponibilidad y estado de equipos y sistemas de emergencia,

Disponibilidad de las instalaciones,

Tiempos de respuesta,

Ejecucin de procedimientos,

Consecucin de objetivos.

Auditora en Informtica Equipo No. 7 Pgina 57

IV.IX TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDADFSICA Y PERSONAL. Seguridad Fsica Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemascomputacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, lasinstalaciones elctricas, las instalaciones de comunicacin y de datos.Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliarioy equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin.En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursosfsicos informticos de la empresa.Controles necesarios para la seguridad fsica del rea

Inventario del hardware, mobiliario y equipo.

Resguardo del equipo de cmputo.

Bitcoras de mantenimiento y correcciones.

Controles de acceso del personal al rea de sistemas.

Control del mantenimiento a instalaciones y construcciones.

Seguros y fianzas para el personal, equipos y sistemas.

Contratos de actualizacin, asesora y mantenimiento del hardware.

Seales de alerta1. Se considera a las posibles causales de riesgos en el rea donde se desempea el personal.

Se deber revisar el nmero de extintores que estn disponibles en el rea, sucapacidad, fcil acceso, peso y si el tipo de producto que utiliza es el adecuado.

Contar con detectores de humo que indiquen la posible presencia de fuego.

Capacitar al personal para el uso adecuado de los equipos contra incendio.

Verificar que las salidas de emergencia estn libres y puedan ser utilizadas.

Los ductos del aire acondicionado deben de estar limpios.

Se debe tener equipo de fuente no interrumpible.

Restringir el acceso a los centros de cmputo slo al personal autorizado.

Definicin y difusin de las horas de acceso al centro de cmputo.2. Se debe indicar si se cuenta con controles y procedimientos para:

Clasificacin y justificacin del personal con acceso a los centros de cmputo delnegocio y a las oficinas donde se encuentra papelera o accesorios relacionados coninformtica.3. Definir la aceptacin de la entrada a visitantes.4. Manejo de bitcoras especiales para los visitantes de los centros de cmputo. Seguridad en el Personal Se refiere a la seguridad y proteccin de los operadores, analistas, programadores ydems personal que est en contacto directo con los sistemas, as como a la seguridad delos beneficiarios de la informacin.El objetivo principal de la auditoria de la seguridad del personal es evitar, hastadonde humanamente sea posible, los accidentes acaecidos en el trabajoque constituyen los riesgos de trabajo.

Auditora en Informtica Equipo No. 7 Pgina 58 Tcnicas y herramientas de auditora relacionadas con la seguridad

Proteccin a los procedimientos de procesamiento y los equipos contra lasintervenciones exteriores:

slo se debe permitir al personal autorizado que maneje los equipos deprocesamiento.

Slo se permitir la entrada al personal autorizado y competente.

Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puedesuceder que se tenga la pliza adecuada pero vencida.

Tambin se debe asegurar la prdida de los programas (software).

Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico,psicolgico, aptitudes, etc.

Contratar personal que viva en zonas cercanas a la empresa.

Acondicionar los locales, de acuerdo con las normas de seguridad.

Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y lamanera de evitarlos.

Practicar con periodicidad exmenes mdicos al personal. IV.X TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD ENDATOS Y SOFTWARE DE APLICACIN. Seguridad de Datos Podemos entender como seguridad un estado de cualquier tipo de informacin (informtico o no)que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro odao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienendel mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpicoporque no existe un sistema 100% seguro.Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir,que el usuario no puede negar dicha accin.Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad fsica, seguridad ambiental y seguridad lgica.

Auditora en Informtica Equipo No. 7 Pgina 59 Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras yprocedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a laspersonas autorizadas para hacerlo.Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estarprohibido" y sta debe ser la meta perseguida. Los medios para conseguirlo son:1.- Restringir el acceso (de personas de la organizacin y de las que no lo son) a losprogramas y archivos.2.- Asegurar que los operadores puedan trabajar pero que no puedan modificar losprogramas ni los archivos

que no correspondan (sin una supervisin minuciosa).3.- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por elprocedimiento elegido.4.- Asegurar que la informacin transmitida sea la misma que reciba el destinatarioal cual se ha enviado y que no le llegue a otro.5.- Asegurar que existan sistemas y pasos de emergencia alternativos detransmisin entre diferentes puntos.6.- Organizar a cada uno de los empleados por jerarqua informtica, con clavesdistintas y permisos bien establecidos, en todos y cada uno de los sistemas oaplicaciones empleadas.7.Actualizar constantemente las contraseas de accesos a los sistemas decmputo.La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en loque les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en loreferente a elaborar una poltica de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organizacin.

Definir las acciones a emprender y elegir las personas a contactar en caso de detectar unaposible intrusin

Sensibilizar a los operadores con los problemas ligados con la seguridad delos sistemasinformticos.Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos yno por los administradores informticos, los cuales tienen que conseguir que los recursos yderechos de acceso sean coherentes con la poltica de seguridad definida.Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene quederivar a la directiva cualquier problema e informacin relevante sobre la seguridad, yeventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de lacomunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad.

Search w it