Descargar

Plan de Contingencia y Seguridad de la Información

Enviado por Besel

  1. Presentación
  2. Resumen
  3. Formulación del problema
  4. Marco teórico
  5. Plan de recuperación del desastre y respaldo de la información
  6. Bibliografía

Presentación

El Plan de Contingencia Informático (o Plan de Contingencia Institucional) implica un análisis de los posibles riesgos a cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de información. Corresponde aplicar al Centro de Informática y Telecomunicaciones, aplicar medidas de seguridad para proteger y estar preparados para afrontar contingencias y desastres de diversos tipos. El alcance de este plan guarda relación con la infraestructura informática, así como los procedimientos relevantes asociados con la plataforma tecnológica. La infraestructura informática está conformada por el hardware, software y elementos complementarios que soportan la información o datos críticos para la función del negocio. Los procedimientos relevantes a la infraestructura informática, son aquellas tareas que el personal realiza frecuentemente al interactuar con la plataforma informática (entrada de datos, generación de reportes, consultas, etc.).

El Plan de Contingencia está orientado a establecer un adecuado sistema de seguridad física y lógica en previsión de desastres, de tal manera de establecer medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. La información como uno de los activos más importantes de la Organización, es el fundamento más importante de este Plan de Contingencia. Al existir siempre la posibilidad de desastre, pese a todas nuestras medidas de seguridad, es necesario que El Plan de Contingencia Informático incluya el Plan de Recuperación de Desastres con el único objetivo de restaurar el Servicio Informático en forma rápida, eficiente, con el menor costo y perdidas posibles.

El Centro de Procesamiento de Datos o área de Informática, de la Universidad Nacional de Piura, es el Centro de Informática y Telecomunicaciones (CIT). El presente estudio brinda las pautas del Plan de Contingencias Informático y Seguridad de Información 2009 en la Universidad Nacional de Piura.

Resumen

La protección de la información vital ante la posible pérdida, destrucción, robo y otras amenazas de una empresa, es abarcar la preparación e implementación de un completo Plan de Contingencia Informático. El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el desastre. Un primer aspecto importante del plan es la organización de la contingencia, en el que se detallan los nombres de los responsables de la contingencia y sus responsabilidades. El segundo aspecto crítico de un Plan de Contingencia es la preparación de un Plan de Backup, elemento primordial y necesario para la recuperación. El tercer aspecto es la preparación de un Plan de Recuperación. La empresa debe establecer su capacidad real para recuperar información contable crítica en un periodo de tiempo aceptable.

Otro aspecto importante del plan de recuperación identificar el equipo de recuperación, los nombres, números de teléfono, asignaciones específicas, necesidades de formación y otra información esencial, para cada miembro del equipo que participa en el Plan de recuperación.

La base del Plan de Contingencia y su posterior recuperación, es establecer prioridades claras sobre qué tipo de procesos son los más esenciales. Es necesario por tanto la identificación previa de cuales de los procesos son críticos y cuáles son los recursos necesarios para garantizar el funcionamiento de las aplicaciones de gestión.

El Plan de Recuperación del Desastre (PRD) provee de mecanismos de recuperación para los registros vitales, sistemas alternativos de telecomunicaciones, evacuación de personal, fuente alternativa de provisión de servicios, etc. Además debe ser comprobado de forma periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si un PRD funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el Plan de Contingencia.

El plan de contingencia informático, debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.

¿Cuál es el grado de preparación de las empresas para estos desastres?. Los desastres han demostrado que la capacidad de recuperarse ante ellos es crucial para la supervivencia de una empresa. La Dirección General debe comprender los principales riesgos para la empresa y las posibles consecuencias de un desastre. Un Plan de contingencia adecuado identifica las necesidades de todos los departamentos e involucra a TODO el personal de todas las áreas de la compañía.

CAPITULO I:

Formulación del problema

  • PLANTEAMIENTO DEL PROBLEMA

¿Cómo evitar la pérdida de información en los sistemas informáticos de la Universidad Nacional de Piura?

  • DESCRIPCIÓN DEL PROBLEMA

Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software están expuestos a diversos Factores de Riesgo Humano y Físicos. Frente a cualquier evento, la celeridad en la determinación de la gravedad del problema depende de la capacidad y la estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué componente ha fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que día y hora se ha producido y cuan rápido se descubrió? Estos problemas menores y mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la información.

Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por fallas técnicas (errores humanos, virus informático, etc.) que producen daño físico irreparable. Frente al mayor de los desastres solo queda el tiempo de recuperación, lo que significa adicionalmente la fuerte inversión en recursos humanos y técnicos para reconstruir su Sistema de Red y su Sistema de Información.

Hoy en día la materia prima de toda organización es su información, básicamente su "data" y el gran problema de toda organización es su implementación de seguridad informática, ya sea a nivel de hardware o software, para que la información no sea robada ni manipulada con fines maliciosos.

La protección de la información vital ante la posible pérdida, destrucción, robo y otras amenazas de una empresa, es abarcar la preparación e implementación de un completo Plan de Contingencia Informático.

El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el desastre. Un primer aspecto importante del plan es la organización de la contingencia, en el que se detallan los nombres de los responsables de la contingencia y sus responsabilidades. El segundo aspecto crítico de un Plan de Contingencia es la preparación de un Plan de Backup, elemento primordial y necesario para la recuperación.

El tercer aspecto es la preparación de un Plan de Recuperación. La empresa debe establecer su capacidad real para recuperar información contable crítica en un periodo de tiempo aceptable. Otro aspecto importante del plan de recuperación identificar el equipo de recuperación, los nombres, números de teléfono, asignaciones específicas, necesidades de formación y otra información esencial, para cada miembro del equipo que participa en el Plan de recuperación.

  • JUSTIFICACIÓN DE LA INVESTIGACIÓN

¿POR QUÉ?

En nuestra sociedad vemos que cualquier empresa, busca destacarse de toda la competencia que lo rodea, para así obtener mayores clientes y ser su primera opción, y para ello la seguridad en sus sistemas debe ser lo más importante. Como bien se sabe que en la Seguridad Informática se debe distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.

IMPORTANCIA

Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la Seguridad Informática y normalmente también dan el motivo y la obligación para su protección. Garantiza la seguridad física, la integridad de los activos humanos, lógicos y

Materiales de un sistema de información de datos. Permite realizar un conjunto de acciones con el fin de evitar el fallo, o en su caso, disminuir las consecuencias que de él se puedan derivar. Permite realizar un Análisis de Riesgos, Respaldo de los datos y su posterior Recuperación de los datos. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa.

La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Permite definir contratos de seguros, que vienen a compensar, en mayor o menor medida las pérdidas, gastos o responsabilidades.

  • OBJETIVOS DE LA INVESTIGACIÓN

  • OBJETIVO GENERAL

  • Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los Sistemas de Información.

  • OBJETIVOS ESPECÍFICOS

  • Definir acciones a ejecutar en caso de fallas de los elementos que componen un Sistema de Información.

  • Definir y realizar operaciones para la seguridad de la información (base de datos).

CAPITULO II:

Marco teórico

  • SEGURIDAD DE LA INFORMACIÓN

Es importante considerar la seguridad informática tanto desde el punto de vista físico como desde el lógico. La seguridad física se refiere a la seguridad de los componentes mismo de un equipo informático (HARDWARE), a la seguridad lógica se refiere a la seguridad de la información y los programas de almacenamiento en un equipo o una red de datos.

La Seguridad de información y por consiguiente de los equipos informáticos, es un tema que llega a afectar la imagen institucional de las empresas, incluso la vida privada de personas. Es obvio el interés creciente que día a días se evidencia sobre este aspecto de la nueva sociedad informática. Ladrones, manipuladores, saboteadores, espías, etc. reconocen que el centro de cómputo de una institución es su nervio central, que normalmente tiene información confidencial y a menudo es vulnerable a cualquier ataque.

La Seguridad de información tiene tres directivas básicas que actúan sobre la Protección de Datos, las cuales ejercen control de:

La lectura

Consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual también se le puede llamar protección de la privacidad, si se trata de datos personales y mantenimiento de la seguridad en el caso de datos institucionales.

La escritura

Es garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad que se les ha confiado.

El empleo de esa información

Es Secreto de logra cuando no existe acceso a todos los datos sin autorización. La privacidad se logra cuando los datos que puedan obtenerse no permiten el enlace a individuos específicos o no se pueden utilizar para imputar hechos acerca de ellos.

Por otro lado, es importante definir los dispositivos de seguridad durante el diseño del sistema y no después. Los diseñadores de sistemas deben entender que las medidas de seguridad han llegado a se criterios de diseño tan importantes como otras posibilidades funcionales, así como el incremento de costos que significa agregar funciones, después de desarrollado un Sistema de Información.

La Red de la UNP cuenta con Tecnologías de la información (TI) en lo referente a: sistemas de comunicación, sistemas de información, conectividad y servicios Informáticos que se brinda de forma interna y externa a las diferentes Oficinas, Facultades, Dependencias. Se resume que la Administración de Red esta dividido en dos rubros:

1) Conectividad: se encargada de la conexión alámbrica e inalámbrica de los equipos de comunicación y

2) Manejo de servidores: se encarga de alojar todos los servicios y sistemas de comunicación e información. Los servicios de Red implementados en la Universidad Nacional de Piura son, implementados en sus servidores son los siguientes:

  • Servidor de Correo Electrónico

  • Servidor de seguridad

  • Servidor de seguridad – base de datos

  • Servidor de telefonía IP.

  • Servidor de Políticas de Grupo – Controlador de dominio

  • Sistema de Información en la UNP

El Sistema de Información, incluye la totalidad del Software de Aplicación, Software en Desarrollo, conjunto de Documentos Electrónicos, Bases de Datos e Información Histórica registrada en medios magnéticos e impresos en papeles, Documentación y Bibliografía.

CAPITULO III. PLAN DE REDUCCIÓN DE RIESGOS

El presente documento implica la realización de un análisis de todas las posibles causas a los cuales puede estar expuestos nuestros equipos de conectados a la RED de la UNP, así como la información contenida en cada medio de almacenamiento. Se realizara un análisis de riesgo y el Plan de Operaciones tanto para reducir la posibilidad de ocurrencia como para reconstruir el Sistema de Información y/o Sistema de Red de Computadoras en caso de desastres.

El presente Plan incluye la formación de equipos de trabajo durante las actividades de establecimiento del Plan de Acción, tanto para la etapa preventiva, correctiva y de recuperación. El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que se considera todos los riesgos conocidos, para lo cual se hará un Análisis de riesgos.

3.1. Análisis de Riesgos

El presente realiza un análisis de todos los elementos de riesgos a los cuales está expuesto el conjunto de equipos informáticos y la información procesada, y que deben ser protegidos.

Bienes susceptibles de un daño

Se puede identificar los siguientes bienes afectos a riesgos:

a) Personal

b) Hardware

c) Software y utilitarios

d) Datos e información

e) Documentación

f) Suministro de energía eléctrica

g) Suministro de telecomunicaciones

Daños

Los posibles daños pueden referirse a:

a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones, naturales o humanas.

b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves de acceso, eliminación o borrado físico/lógico de información clave, proceso de información no deseado.

c) Divulgación de información a instancias fuera de la institución y que afecte su patrimonio estratégico, sea mediante Robo o Infidencia.

Fuentes de daño

Las posibles fuentes de daño que pueden causar la no operación normal de la compañía son:

  • Acceso no autorizado

a) Movimientos telúricos

b) Inundaciones

c) Fallas en los equipos de soporte (causadas por el ambiente, la red de energía eléctrica, no acondicionamiento atmosférico necesario)

  • Fallas de Personal Clave: por los siguientes inconvenientes:

a) Enfermedad

b) Accidentes

c) Renuncias

d) Abandono de sus puestos de trabajo

e) Otros.

Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red (Switches, cableado de la Red, Router, FireWall)

3.2. Análisis en las fallas en la Seguridad

En este se abarca el estudio del hardware, software, la ubicación física de la estación su utilización, con el objeto de identificar los posibles resquicios en la seguridad que pudieran suponer un peligro.

Las fallas en la seguridad de la información y por consiguiente de los equipos informáticos, es una cuestión que llega a afectar, incluso, a la vida privada de la persona, de ahí que resulte obvio el interés creciente sobre este aspecto. La seguridad de la información tiene dos aspectos importantes como:

  • Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos.

  • Garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.

Por ejemplo, en el uso del Servicio Virtual Público de Red (VPN), implica una vía de acceso a la Red Central de UNP, la seguridad en este servicio es la validación de la clave de acceso.

3.3. Protecciones actuales

Se realizan las siguientes acciones:

  • Se hace copias de los archivos que son vitales para la institución.

  • Al robo común se cierran las puertas de entrada y ventanas

  • Al vandalismo, se cierra la puerta de entrada.

  • A la falla de los equipos, se realiza el mantenimiento de forma regular.

  • Al daño por virus, todo el software que llega se analiza en un sistema utilizando software antivirus.

  • A las equivocaciones, los empleados tienen buena formación. Cuando se requiere personal temporal se intenta conseguir a empleados debidamente preparados.

  • A terremotos, no es posible proteger la instalación frente a estos fenómenos. El presente Plan de contingencias da pautas al respecto.

  • Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de llave de bloqueo del teclado.

  • Al robo de datos, se cierra la puerta principal y gavetas de escritorios. Varias computadoras disponen de llave de bloqueo del teclado.

CAPITULO IV:

Plan de recuperación del desastre y respaldo de la información

El costo de la Recuperación en caso de desastres severos, como los de un terremoto que destruya completamente el interior de edificios e instalaciones, estará directamente relacionado con el valor de los equipos de cómputo e información que no fueron informados oportunamente y actualizados en la relación de equipos informáticos asegurados que obra en poder de la compañía de seguros.

El Costo de Recuperación en caso de desastres de proporciones menos severos, como los de un terremoto de grado inferior a 07 o un incendio de controlable, estará dado por el valor no asegurado de equipos informáticos e información mas el Costo de Oportunidad, que significa, el costo del menor tiempo de recuperación estratégica, si se cuenta con parte de los equipos e información recuperados. Este plan de restablecimiento estratégico del sistema de red, software y equipos informáticos será abordado en la parte de Actividades Posteriores al desastre.

El paso inicial en el desarrollo del plan contra desastres, es la identificación de las personas que serán las responsables de crear el plan y coordinar las funciones. Típicamente las personas pueden ser: personal del CIT, personal de Seguridad.

Las actividades a realizar en un Plan de Recuperación de Desastres se clasifican en tres etapas:

  • Actividades Previas al Desastre.

  • Actividades Durante el Desastre.

  • Actividades Después del Desastre.

4.1. Actividades previas al desastre

Se considera las actividades de planteamiento, preparación, entrenamiento y ejecución de actividades de resguardo de la información, que aseguraran un proceso de recuperación con el menor costo posible para la institución.

4.1.1. Establecimientos del Plan de Acción

En esta fase de planeamiento se establece los procedimientos relativos a:

a. Sistemas e Información.

b. Equipos de Cómputo.

c. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).

d. Políticas (Normas y Procedimientos de Backups).

a. Sistemas de Información

La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas. Los Sistemas y Servicios críticos para la UNP, son los siguientes:

Lista de Sistemas

Sistema Integrado de Administración Financiera (SIAF): Sistema de información asociado a la ejecución del presupuesto anual, de registro único de las operaciones de gastos e ingresos públicos. Lo opera la Oficina Central de Ejecución Presupuestaria.

Sistema Integrado de Gestión Académica: Sistema de información que permite el registro y control de los Procesos académicos, permite al alumno realizar consultas académicas consulta vía WEB. Lo operan las Oficinas Académicas, y los órganos académicos-control.

Sistema de Tramite Documentario: Sistema de información que permite el registro y seguimiento de los documentos. Lo operan todas las áreas funcionales.

Sistema de Gestión Administrativa – Ingresos: Sistema de información que permite el registro y control de los ingresos. Lo operan todas las áreas funcionales Administrativas.

Sistema de Abastecimientos: Sistema de información que permite el registro y control de las Órdenes de Trabajo, almacén. Lo opera la Oficina de Abastecimiento.

Sistema de Control de Asistencia del personal: Lo opera la Oficina Central de Recursos Humanos.

Sistema de Banco de Preguntas para la elaboración de Exámenes de admisión

Lista de Servicios

  • Sistema de comunicaciones

  • Servicio de correo corporativo

  • Servicios Web: Publicación de páginas Web, noticias de la UNP, Inscripción comedor universitario, Inscripción de cursos.

  • Internet, Intranet.

  • Servicios Proxy

  • VPN: servicios de acceso privado a la red de la Institución desde cualquier lugar.

  • Servicio de Monitoreo de la red: monitorea los equipos de comunicación distribuidos en la red la UNP.

  • Servicios de telefonía Principal: teléfonos IP

  • Servicios de enseñanza de manera virtual.

  • Servicio de Antivirus

b. Equipos de Cómputo

Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional). Se debe emplear los siguientes criterios sobre identificación y protección de equipos:

  • Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la depreciación tecnológica.

  • Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso).

  • Mantenimiento actualizado del inventario de los equipos de cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en la institución.

c. Obtención y almacenamiento de Copias de Seguridad (Backups)

Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la institución. Las copias de seguridad son las siguientes:

  • Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red.

  • Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales).

  • Backup del software aplicativo: backups de los programas fuente y los programas ejecutables.

  • Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).

  • Backups del Hardware, se puede implementar bajo dos modalidades:

Modalidad Externa:

mediante el convenio con otra institución que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra información y ser puestos a nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva al siniestro producido.

Modalidad Interna:

si se dispone de más de un local, en ambos se debe tener señalado los equipos, que por sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.

Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauración de información posibiliten el funcionamiento adecuado de los sistemas.

d. Políticas (Normas y Procedimientos)

Se debe establecer procedimientos, normas y determinación de responsabilidades en la obtención de los "Backups" o Copias de Seguridad. Se debe considerar:

  • Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se realizan de manera diferente:

  • Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de curso y registro de Actas se realiza backup diario, para los demás periodos se realiza el backup semanal.

  • Sistema de Ingresos: backup diario

  • Sistema Integrado de Administración Financiera (SIAF): backup semanal

  • Sistema de Tramite Documentario: backup diario.

  • Sistema de Abastecimientos: backup semanal

  • Sistema de Control de Asistencia del personal: backup semanal.

  • Sistema de Banco de Preguntas: backup periodo examen.

  • Respaldo de información de movimiento entre los periodos que no se sacan backups: días no laborales, feriados, etc. en estos días es posible programar un backup automático.

  • Uso obligatorio de un formulario de control de ejecución del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento.

  • Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del medio magnético empleando.

  • Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida útil del dispositivo donde se ha realizado el backup.

  • Almacenamiento de los backups en locales diferentes donde reside la información primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local). Esta norma se cumple con la información histórica, es decir se tiene distribuidos los backups de la siguiente manera: una copia reside en las instalaciones del CIT, y una segunda copia reside en la Oficina que genera lainformación (OCRCA, OCEP, OCARH).

  • Pruebas periódicas de los backups (Restore), verificando su funcionalidad, através de los sistemas comparando contra resultados anteriormente confiables.

4.1.2. Formación de equipos operativos

En cada unidad operativa, que almacene información y sirva para la operatividad institucional, se deberá designar un responsable de la seguridad de la información de su unidad. Pudiendo ser el Jefe Administrativo de dicha Área, sus funciones serán las siguientes:

Contactarse con los autores de las aplicaciones y personal de mantenimiento respectivo. El equipo encargado en el CIT- UNP, está formado por las siguientes unidades:

  • Unidad de Telecomunicaciones

  • Unidad de Soporte Tecnológico.

  • Unidad de Administración de Servidores.

  • Unidad de Desarrollo Tecnológico.

  • Unidad Académica.

Proporcionar las facilidades (procedimientos, técnicas) para realizar copias de respaldo.

Esta actividad está dirigida por el Equipo de Soporte y Mantenimiento.

Supervisar el procedimiento de respaldo y restauración

Establecer procedimientos de seguridad en los sitios de recuperación

Organizar la prueba de hardware y software: el encargado y el usuario final dan su conformidad.

Ejecutar trabajos de recuperación y comprobación de datos.

Participar en las pruebas y simulacros de desastres: en esta actividad deben participar el encargado de la ejecución de actividades operativas, y los servidores administrativos del área, en el cumplimiento de actividades preventivas al desastre del Plan de Contingencias.

4.1.3. Formación de Equipos de Evaluación (Auditoria de cumplimiento de los procesos de seguridad)

Esta función debe ser realizada preferentemente por el personal de auditoria o inspectora, de no ser posible, lo realizaría el personal del área de informática- CIT, debiendo establecerse claramente sus funciones, responsabilidades y objetivos:

  • Revisar que las normas y procedimientos con respecto a backups, seguridad de equipos y data se cumpla.

  • Supervisar la realización periódica de los backups, por parte de los equipos operativos, es decir, información generada en el área funcional, software general y hardware.

  • Revisar la correlación entre la relación de los Sistemas e información necesarios para la buena marcha de la institución y los backups realizados.

  • Informar de los cumplimientos e incumplimientos de las normas para las acciones de corrección necesarias.

4.2. Actividades durante el Desastre

Presentada la contingencia o desastre se debe ejecutar las siguientes actividades planificadas previamente:

a. Plan de Emergencias

b. Formación de Equipos

c. Entrenamiento

a. Plan de Emergencias

La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada. Este plan debe incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro. Solo se debe realizar acciones de resguardo de equipos en los casos en que no se pone en riesgo la vida de personas.

Normalmente durante la acción del siniestro es difícil que las personas puedan afrontar esta situación, debido a que no están preparadas o no cuentan con los elementos de seguridad, por lo que las actividades para esta etapa del proyecto de prevención de desastres deben estar dedicados a buscar ayuda inmediatamente para evitar que la acción del siniestro causen mas daños o destrucciones. Se debe tener en toda Oficina los números de teléfono y Direcciones de organismos e instituciones de ayuda. Todo el personal debe conocer lo siguiente:

  • Localización de vías de Escape o Salida: Las vías de escape o salida para solicitar apoyo o enviar mensajes de alerta, a cada oficina debe señalizar las vías de escape

  • Plan de Evaluación Personal: el personal ha recibido periódicamente instrucciones para evacuación ante sismos, a través de simulacros, esto se realiza acorde a los programas de seguridad organizadas por Defensa Civil a nivel local. Esa actividad se realizara utilizando las vías de escape mencionadas en el punto anterior.

  • Ubicación y señalización de los elementos contra el siniestro: tales como los extintores, las zonas de seguridad que se encuentran señalizadas (ubicadas normalmente en las columnas), donde el símbolo se muestra en color blanco con fondo verde. De existir un repintado de paredes deberá contemplarse la reposición de estas señales.

  • Secuencia de llamadas en caso de siniestro: tener a la mano elementos de iluminación, lista de teléfonos de instituciones como: Compañía de Bomberos, Hospitales, Centros de Salud, Ambulancias, Seguridad.

b. Formación de Equipos

Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o estar en un área cercana, etc.), se debe formar 02 equipos de personas que actúen directamente durante el siniestro, un equipo para combatir el siniestro y el otro para salvamento de los equipos informáticos, de acuerdo a los lineamientos o clasificación de prioridades.

c. Entrenamiento

Se debe establecer un programa de prácticas periódicas con la participación de todo el personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos se pueden realizar recarga de extintores, charlas de los proveedores, etc.

Es importante lograr que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir; y tomen con seriedad y responsabilidad estos entrenamientos; para estos efectos es conveniente que participen los Directivos y Ejecutivos, dando el ejemplo de la importancia que la Alta Dirección otorga a la Seguridad Institucional.

4.3. Actividades después del desastre

Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son las siguientes:

  • a. Evaluación de Daños.

  • b. Priorización de Actividades del Plan de Acción.

  • c. Ejecución de Actividades.

  • d. Evaluación de Resultados.

  • e. Retroalimentación del Plan de Acción.

  • f. Evaluación de daños

a. Evaluación de daños

El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en cuanto tiempo.

En el caso de la UNP se debe atender los procesos de contabilidad, tesorería, administrativo-académicos, documentarios; que son las actividades que no podrían dejar de funcionar, por la importancia estratégica. La recuperación y puesta en marcha de los servidores que alojan dichos sistemas, es prioritario.

b. Priorizar Actividades del Plan de Acción

La evaluación de los daños reales nos dará una lista de las actividades que debemos realizar, preponderando las actividades estratégicas y urgentes de nuestra institución. Las actividades comprenden la recuperación y puesta en marcha de los equipos de cómputo ponderado y los Sistemas de Información, compra de accesorios dañados, etc.

c. Ejecución de actividades

La ejecución de actividades implica la creación de equipos de trabajo para realizar actividades previamente planificadas en el Plan de Acción. Cada uno de estos equipos deberá contar con un coordinador que deberá reportar el avance de los trabajos de recuperación y, en caso de producirse un problema, reportarlo de inmediato a la Jefatura a cargo del Plan de Contingencias.

Los trabajos de recuperación tendrán dos etapas:

  • La primera la restauración del servicio usando los recursos de la institución o localde respaldo.

  • La segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y eficiente para no perjudicar la operatividad de la institución y el buen servicio de nuestro sistema e Imagen Institucional.

d. Evaluación de Resultados

Una vez concluidas las labores de Recuperación de los sistemas que fueron afectado por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del Plan de Acción, como se comportaron los equipos de trabajo, etc.

De la evaluación de resultados y del siniestro, deberían de obtenerse dos tipos de recomendaciones, una la retroalimentación del Plan de Contingencias y Seguridad de Información, y otra una lista de recomendaciones para minimizar los riesgos y perdida que ocasionaron el siniestro.

e. Retroalimentación del Plan de Acción

Con la evaluación de resultados, debemos de optimizar el Plan de Acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionan adecuadamente.

El otro elemento es evaluar cuál hubiera sido el costo de no contar con el Plan de Contingencias en la institución.

CAPITULO V:

Bibliografía

Manual de Operación y Funciones del Centro de Informática y telecomunicaciones.

Guía Sistemas de Información. INEI

Seguridad Informática: Básico ( Alvaro Gómez Vieites )

Seguridad de la Información (J.L.Artero) S.A 2008.

www.protejete.wordpress.com (Conceptos básicos).

 

 

Autor:

Morales García Besel Omar

Salazar Benavides Edwin Javier

DOCENTE:

LIZANA PUELLES YOLANDA

edu.red

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERÍA INDUSTRIAL

ESCUELA DE INGERNIERÍA INFORMÁTICA

2014