Escolar Documentos
Profissional Documentos
Cultura Documentos
A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos.
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.
Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.
En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer.
Por lo tanto, la capacidad para recuperarse xitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin.
Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo.
El tercer tipo de mantenimiento es el que se conoce como en banco. IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACINDE DESASTRES Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologasde la Informacin y las Comunicaciones en el dominio del soporte y el desempeo.Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar lacontinuidad del negocio y las operaciones de una compaa.El plan de contingencias sigue el conocido ciclo de vida iterativoPDCA(plan-do-check-act, es decir,planificar-hacer-comprobar-actuar).El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidasnecesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza:1. El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialiceuna amenaza. Su finalidad es evitar dicha materializacin.2. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacinde una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos dela amenaza.Elplan de recuperacin. Contempla las medidas necesarias despus de materializada y controladala amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de lamaterializacin de la amenaza. Amenaza: Incendio. (los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio)
Rehabilitacin del local.Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidadde materializacin ofrecen una estimacin del riesgo
Auditora en Informtica Equipo No. 7 Pgina 55 Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos derecuperacin de desastre, sin embargo, esto lo hacen para evitar prdidas ms grandes.Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de unaorganizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el desastre ya que riesgos es susceptible una empresa especfica, incluyendo:Catstrofes.
Fuego.
Fallas de energa.
Ataques terroristas.
Error humano.
Virus informticos.
Cuestiones legales.
Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no sepierda ms que los datos de una semana.
Si es posible, usar una facilidad remota de reserva para reducir al mnimo la prdida dedatos.
reas de Almacenaje de Redes (SANs) en mltiples sitios son un reciente desarrollo (desde2003)que hace que los datos estn disponibles inmediatamente sin la necesidad derecuperarlos o sincronizarlos.
Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipoelectrnico.
El software delantivirus. El seguro en elhardware. Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores quehay que tomar en cuenta. Los ms importantes son:
El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareasenfocadas hacia el plan de recuperacin.
Reservas de memoria: si lascintasde reserva son tomadas fuera de sitio es necesariograbarlas. Si se usan servicios remotos de reserva se requerir unaconexin de reda laposicin remota de reserva (oInternet).
Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes.Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores.
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajarhoras ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un pocode tensin.
La informacin de negocio. Las reservas deben estar almacenadas completamenteseparadas de la empresa. Laseguridady la fiabilidad de los datos es clave en ocasionescomo estas. Proceso de recuperacin
Tener estrategias periodicas de respaldos de base de datos. SIMULACRO Ejercicio prctico de simulacin de situaciones y responsabilidades que se lleva a cabo en unescenario real o construido, con la finalidad de comprobar la confiabilidad del Plan de Respuesta aEmergencias
AUDITORIA DEL PLAN DE RESPUESTA A EMERGENCIASEl Comit Central de Atencin a Emergencias debe conformar un equipo auditor (interno oexterno) que tenga la formacin y experiencia en la administracin y operacin de Planes deRespuesta a EmergenciasLos objetivos de la auditoria deben ser:
Presentar resultados obtenidos y hacer comparaciones correspondientes. AUDITORIA DEL PLAN DERESPUESTA A EMERGENCIAS. Criterios de Auditoria:
Tiempos de respuesta,
Ejecucin de procedimientos,
Consecucin de objetivos.
IV.IX TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDADFSICA Y PERSONAL. Seguridad Fsica Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemascomputacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, lasinstalaciones elctricas, las instalaciones de comunicacin y de datos.Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliarioy equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin.En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursosfsicos informticos de la empresa.Controles necesarios para la seguridad fsica del rea
Seales de alerta1. Se considera a las posibles causales de riesgos en el rea donde se desempea el personal.
Se deber revisar el nmero de extintores que estn disponibles en el rea, sucapacidad, fcil acceso, peso y si el tipo de producto que utiliza es el adecuado.
Verificar que las salidas de emergencia estn libres y puedan ser utilizadas.
Definicin y difusin de las horas de acceso al centro de cmputo.2. Se debe indicar si se cuenta con controles y procedimientos para:
Clasificacin y justificacin del personal con acceso a los centros de cmputo delnegocio y a las oficinas donde se encuentra papelera o accesorios relacionados coninformtica.3. Definir la aceptacin de la entrada a visitantes.4. Manejo de bitcoras especiales para los visitantes de los centros de cmputo. Seguridad en el Personal Se refiere a la seguridad y proteccin de los operadores, analistas, programadores ydems personal que est en contacto directo con los sistemas, as como a la seguridad delos beneficiarios de la informacin.El objetivo principal de la auditoria de la seguridad del personal es evitar, hastadonde humanamente sea posible, los accidentes acaecidos en el trabajoque constituyen los riesgos de trabajo.
Auditora en Informtica Equipo No. 7 Pgina 58 Tcnicas y herramientas de auditora relacionadas con la seguridad
slo se debe permitir al personal autorizado que maneje los equipos deprocesamiento.
Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puedesuceder que se tenga la pliza adecuada pero vencida.
Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y lamanera de evitarlos.
Practicar con periodicidad exmenes mdicos al personal. IV.X TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD ENDATOS Y SOFTWARE DE APLICACIN. Seguridad de Datos Podemos entender como seguridad un estado de cualquier tipo de informacin (informtico o no)que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro odao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienendel mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpicoporque no existe un sistema 100% seguro.Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir,que el usuario no puede negar dicha accin.Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad fsica, seguridad ambiental y seguridad lgica.
Auditora en Informtica Equipo No. 7 Pgina 59 Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras yprocedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a laspersonas autorizadas para hacerlo.Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estarprohibido" y sta debe ser la meta perseguida. Los medios para conseguirlo son:1.- Restringir el acceso (de personas de la organizacin y de las que no lo son) a losprogramas y archivos.2.- Asegurar que los operadores puedan trabajar pero que no puedan modificar losprogramas ni los archivos
que no correspondan (sin una supervisin minuciosa).3.- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por elprocedimiento elegido.4.- Asegurar que la informacin transmitida sea la misma que reciba el destinatarioal cual se ha enviado y que no le llegue a otro.5.- Asegurar que existan sistemas y pasos de emergencia alternativos detransmisin entre diferentes puntos.6.- Organizar a cada uno de los empleados por jerarqua informtica, con clavesdistintas y permisos bien establecidos, en todos y cada uno de los sistemas oaplicaciones empleadas.7.Actualizar constantemente las contraseas de accesos a los sistemas decmputo.La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en loque les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en loreferente a elaborar una poltica de seguridad, conviene:
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar unaposible intrusin
Sensibilizar a los operadores con los problemas ligados con la seguridad delos sistemasinformticos.Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos yno por los administradores informticos, los cuales tienen que conseguir que los recursos yderechos de acceso sean coherentes con la poltica de seguridad definida.Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene quederivar a la directiva cualquier problema e informacin relevante sobre la seguridad, yeventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de lacomunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad.
Search w it