Gua para formulacin de un plan de contingencias informticas

http://www.cibersociedad.net/congres2006/gts/comunicacio.php?id=309 Y para lograr stos objetivos, se pone en prctica la teora impartida a los estudiantes en las aulas de clase, a travs de la ejecucin de un trabajo realizable durante el semestre acadmico en empresas por grupos de participantes del curso, quienes cuentan con la asesora y orientacin del docente titular de la citada asignatura; dichas prcticas consiste bien puede ser en la realizacin de: Auditora para Aplicaciones en Funcionamiento, Auditora para Aplicaciones en Desarrollo, Auditora al Centro de Computo, Formulacin de Polticas de Seguridad Informtica, o la Formulacin de Planes de Contingencias Informtico. El tema a desarrollar depende de las prioridades manifestadas en su momento por los diferentes empresarios. Como resultado de este esfuerzo se ha podido mantener una estrecha interaccin entre Universidad Empresa, arrojando resultados altamente positivos para ambas partes, de los cuales se pueden destacar no solo los beneficios recibidos por los estudiantes al poder abordar problemas en tiempo real, sino que tambin se han visto beneficiadas alrededor de sesenta empresas e instituciones pblicas y privadas de la regin con un poco ms de un centenar de productos de alta calidad.

INTRODUCCIN

Desde los inicios de los sistemas de informacin se comprendi que las contingencias forman parte inherente de los mismos. Las amenazas a la informacin pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen tcnico (fallas del hardware, del software, con el suministro de energa, etc.). Y es casi siempre una situacin no prevista la que regularmente provoca una crisis y las consecuencias de la misma, segn su impacto y extensin, pueden ser catastrficas para los intereses de cualquier organizacin. Los fallos tcnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rpida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de disear y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, los mecanismos de seguridad de la informacin buscan proteger a la informacin de las diversas amenazas a las que se ve expuesta y supone un importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos prolongado. Todo esto conlleva a que la funcin de definir los planes a seguir en cuestin de seguridad se conviertan en una

tarea realmente compleja y dispendiosa.

OBJETIVOS

Reanudar con la mayor brevedad posible las funciones empresariales ms crticas, en aras a minimizar el impacto de manera que la correcta recuperacin de los sistemas y procesos quede garantizada y se conserven los objetivos estratgicos de la empresa. Evaluar los riesgos as como los costos de los procedimientos de contingencia requeridos cuando se presenta una interrupcin de las operaciones, de forma que slo se inviertan los recursos necesarios. Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia.

DEFINICION

Consiste en la identificacin de aquellos sistemas de informacin y/o recursos informticos aplicados que son susceptibles de deterioro, violacin o prdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organizacin, con el propsito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la informacin y permitan su recuperacin garantizando la confidencialidad, integridad y disponibilidad de sta en el menor tiempo posible y a unos costos razonables. El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupcin, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que tambin debe incluirse el anlisis de los principales distribuidores, clientes, negocios y socios, as como la infraestructura en riesgo. Esto incluye cubrir los siguientes tpicos: hardware, software, documentacin, talento humano y soporte logstico; debe ser lo ms detallado posible y fcil de comprender.

GUA GENERAL PARA ELABORAR UN PLAN DE CONTINGENCIAS

Los conceptos bsicos son los siguientes:

Anlisis y valoracin de riesgos. Jerarquizacin de las aplicaciones.

Establecimientos de requerimientos de recuperacin. Ejecucin. Pruebas. Documentacin. Difusin y mantenimiento.

Anlisis y valoracin de Riesgos. El proyecto comienza con el anlisis del impacto en la organizacin. Durante esta etapa se identifican los procesos crticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripcin del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organizacin el experimentar un desastre que afecte a la actividad empresarial.

Se debe evaluar el nivel de riesgo de la informacin para hacer:

Un adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad. Clasificar la instalacin en trminos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo. Cuantificar el impacto en el caso de suspensin del servicio. Determinar la informacin que pueda representar cuantiosas prdidas para la organizacin o bien que pueda ocasionar un gran efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido mediante la evaluacin y anlisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Jerarquizacin de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organizacin. Para la determinacin de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones. El plan debe incluir una lista de los sistemas, aplicaciones y prioridades, igualmente debe identificar aquellos elementos o procedimientos informticos como el hardware, software bsico, de telecomunicaciones y el software de aplicacin, que puedan ser crticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organizacin. Tambin se deben incluir en esta categora los problemas asociados por la carencia de fuentes de energa, utilizacin indebida de medios magnticos de resguardo o back up o cualquier otro dao de origen fsico que pudiera provocar la prdida masiva de informacin. Establecimientos de requerimientos de recuperacin. En esta etapa se procede a

determinar lo que se debe hacer para lograr una ptima solucin, especificando las funciones con base en el estado actual de la organizacin. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definicin del problema, analizar reas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluacin, formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido, justificacin del costo de implantar las medidas de seguridad, anlisis y evaluacin del plan actual, determinar los recursos humanos, tcnicos y econmicos necesarios para desarrollar el plan, definir un tiempo prudente y viable para lograr que el sistema est nuevamente en operacin. Ejecucin . Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas de la empresa. En la elaboracin del plan de contingencias deben de intervenir los niveles ejecutivos de la organizacin, personal tcnico de los procesos y usuarios, para as garantizar su xito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo tcnico, econmico y organizacional. Pruebas . Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realizacin. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecucin, con lo cual la prueba volver a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversin; en este ltimo caso pasar nuevamente a la fase de conversin para la solucin de los problemas detectados. Una correcta documentacin ayudar a la hora de realizar las pruebas. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles carencias del plan. Documentacin. Esta fase puede implicar un esfuerzo significativo para algunas personas, pero ayudar a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalacin y recuperacin necesarias, procurando que sean entendibles y fciles de seguir. Es importante tener presente que la documentacin del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusin. Difusin y mantenimiento. Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusin y capacitacin entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisin del plan existente y se examina en su totalidad realizando los cambios en la informacin que pudo haber ocasionado una

variacin en el sistema y realizando los cambios que sean necesarios.

CONCLUSIONES.

Por todos es bien conocida la importancia que reviste en mantener activa y con fluidez la articulacin Universidad Empresa, de tal forma que el conocimiento impartido en las aulas de clase pueda ser contrastado con las realidades que se vive en las diferentes empresas, resultando beneficiadas ambas partes con planteamientos y soluciones acorde a las necesidades particulares que demanda la regin y el pas. Un Plan de Contingencia es la herramienta que cualquier empresa debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupcin parcial o total en sus funciones. Las polticas con respecto a la recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. Deben realizarse pruebas para determinar la eficacia del plan de contingencia y de los procedimientos de recuperacin ante desastres. Las deficiencias deben resolverse y comprobarse inmediatamente. En un plan de contingencia, el objetivo consiste en ejecutar varias tareas en el menor tiempo posible. Cualquier deficiencia en la documentacin, capacitacin o, incluso, en los aspectos administrativos, pone en peligro la continuidad del negocio. La puesta en marcha de los planes a seguir es responsabilidad del encargado de la seguridad, pero tambin debe existir un compromiso por parte de los usuarios del sistema de informacin, ejecutivos y todas las personas que de alguna u otra forma ayudan a que el sistema cumpla con los requerimientos para el que fue diseado, manteniendo sobre todo la integridad y confidencialidad de la informacin. El plan de contingencias tiene diferentes niveles de complejidad y flexibilidad segn las necesidades y caractersticas de los grupos, empresas u organizaciones. Nunca se contar con los recursos suficientes para estar totalmente preparados, de ah que el proceso deba ser paulatino e ir evolucionando segn el contexto. El cambio es inevitable en la construccin de sistemas basados en computadoras; por ello se deben desarrollar mecanismos de evaluacin, control e implementacin de modificaciones al sistema ocasionadas por nuevos requerimientos de los usuarios, por disposiciones internas de la organizacin y/o gubernamentales, para corregir errores, para aprovechar los nuevos avances tecnolgicos, para satisfacer nuevas necesidades o para mejorar los sistemas en funcionamiento. Se debe tener una adecuada seguridad orientada a proteger todos los recursos informticos desde el dato ms simple hasta lo ms valioso que es el talento humano, motor de desarrollo y vida de los sistemas de informacin; pero no se puede caer en excesos diseando tantos controles y medidas que desvirten el propio sentido de la seguridad, por consiguiente, se debe hacer un anlisis de costo/beneficio evaluando las consecuencias que pueda acarrear la prdida de informacin y dems recursos informticos, as como analizar los factores que afectan negativamente la productividad de la empresa.

BIBLIOGRAFA.

Avoiding Complete Disaster. May, 1995. Open Computing. Bidot, Pelez. Jos Un Laboratorio Latinoamericano para la Proteccin contra los Virus Informticos. Cobb Stephen. 1994. Manual de seguridad para Pc y redes locales. Editorial Mc. Graw Hill. Cook, J.W. Auditora. 1987. Editorial Interamericana. Echenique, Jos Antonio. Auditora en informtica. Editorial Mc. Graw Hill. 2001 Fine, Leonard H. 1990. Seguridad en centros de cmputo. Editorial Trillas. Fitzgerald, Jerry. 1991. Controles Internos para Sistemas de Computacin. Editorial Limusa. Galvis P. Alvaro. 1993. Planeacin estratgica informtica. Universidad de los Andes. Hernndez, Hernndez Enrique. 2000. Auditora en informtica. Editorial Cecsa. Normas y procedimientos de auditora. 1992. SAS (Statements on Auditing Standars) Ns. 41 AU 339.03, 22 AU 311, editado por el Instituto Mexicano de Contadores Pblicos. A. C. Piattini, Mario G. Auditora Informtica. 2001. Un enfoque prctico. Editorial Alfaomega. Plata Martnez, Jess Alberto. 1998. Curso de extensin universitaria sobre Auditora Operacional. Universidad Nacional. Seminario - taller Auditora en informtica. Enfoque, metodologas, tcnicas y herramientas. Audisis. Ltda. Thomas A. J., I. J. Douglas. 1987. Auditora Informtica. Editorial Paraninfo. S.A. Ribagorda, Garnacho. Arturo. 1995. Situacin Actual y Tendencias de la Seguridad de la Tecnologas de la Informacin. Ribagorda, Garnacho. Arturo; J. L. Morant Ramon; J. Sancho Rodrguez. 1994. Seguridad y Proteccin de la Informacin. Tamayo, Alzate Alonso. 2001. Sistemas de Informacin. Universidad Nacional de Colombia. Sede Manizales. Tamayo, Alzate Alonso. 2001. Auditora de Sistemas. Una visin prctica. Universidad Nacional de Colombia. Sede Manizales.

WEBS de inters.

http://www.davislogic.com/latcm/technet/ http://www.microsoft.com/latcm/technet/

http://www.lafactoriadeinternet.com http://www.guia.hispavista.com/informati ca/ http://www.hispasecurity.com http://www.inei.gob.pe http://www.unam.edu. http://www.udec.cl/~paquezad/plan_progra .doc http://pehuen.chillan.ubiobio.cl/~msoto/ Cursos/InformaticaGestion_DAE/InformPara Gestion.htm http://www.lssi.es/HTML/Resources/SSICE. pdf http://www.cert.org/octave/ http://www.crammusergroup.org.uk/cramm.h tm http://www.map.es/csi/criterios/frcriter ios_seguridad.htm http://www.agenciaprotecciondatos.org/da td8.html http://aeat.es/ http://www.isaca.org http://www.permis.org/ http://www.ideahamster.org http://www.um.es/giisw/oficial/cMagerit. htm#Inici%20Pgina http://www-mat.upc.es/~jforne/gestionrie sgos.pdf www.map.es/csi/silice/Segurd7.html