Monografias.com > Ingeniería
Descargar Imprimir Comentar Ver trabajos relacionados

Plan de Contingencia y Seguridad de la Información




Enviado por Besel

  1. Presentación
  2. Resumen
  3. Formulación del
    problema
  4. Marco
    teórico
  5. Plan
    de recuperación del desastre y respaldo de la
    información
  6. Bibliografía

Presentación

El Plan de Contingencia Informático (o Plan de
Contingencia Institucional) implica un análisis de los
posibles riesgos a cuales pueden estar expuestos nuestros equipos
de cómputo y sistemas de información. Corresponde
aplicar al Centro de Informática y Telecomunicaciones,
aplicar medidas de seguridad para proteger y estar preparados
para afrontar contingencias y desastres de diversos tipos. El
alcance de este plan guarda relación con la
infraestructura informática, así como los
procedimientos relevantes asociados con la plataforma
tecnológica. La infraestructura informática
está conformada por el hardware, software y elementos
complementarios que soportan la información o datos
críticos para la función del negocio. Los
procedimientos relevantes a la infraestructura
informática, son aquellas tareas que el personal realiza
frecuentemente al interactuar con la plataforma
informática (entrada de datos, generación de
reportes, consultas, etc.).

El Plan de Contingencia está orientado a
establecer un adecuado sistema de seguridad física y
lógica en previsión de desastres, de tal manera de
establecer medidas destinadas a salvaguardar la
información contra los daños producidos por hechos
naturales o por el hombre. La información como uno de los
activos más importantes de la Organización, es el
fundamento más importante de este Plan de Contingencia. Al
existir siempre la posibilidad de desastre, pese a todas nuestras
medidas de seguridad, es necesario que El Plan de Contingencia
Informático incluya el Plan de Recuperación de
Desastres con el único objetivo de restaurar el Servicio
Informático en forma rápida, eficiente, con el
menor costo y perdidas posibles.

El Centro de Procesamiento de Datos o área de
Informática, de la Universidad Nacional de Piura, es el
Centro de Informática y Telecomunicaciones (CIT). El
presente estudio brinda las pautas del Plan de Contingencias
Informático y Seguridad de Información 2009 en la
Universidad Nacional de Piura.

Resumen

La protección de la información vital ante
la posible pérdida, destrucción, robo y otras
amenazas de una empresa, es abarcar la preparación e
implementación de un completo Plan de Contingencia
Informático. El plan de Contingencia indica las acciones
que deben tomarse inmediatamente tras el desastre. Un primer
aspecto importante del plan es la organización de la
contingencia, en el que se detallan los nombres de los
responsables de la contingencia y sus responsabilidades. El
segundo aspecto crítico de un Plan de Contingencia es la
preparación de un Plan de Backup, elemento primordial y
necesario para la recuperación. El tercer aspecto es la
preparación de un Plan de Recuperación. La empresa
debe establecer su capacidad real para recuperar
información contable crítica en un periodo de
tiempo aceptable.

Otro aspecto importante del plan de recuperación
identificar el equipo de recuperación, los nombres,
números de teléfono, asignaciones
específicas, necesidades de formación y otra
información esencial, para cada miembro del equipo que
participa en el Plan de recuperación.

La base del Plan de Contingencia y su posterior
recuperación, es establecer prioridades claras sobre
qué tipo de procesos son los más esenciales. Es
necesario por tanto la identificación previa de cuales de
los procesos son críticos y cuáles son los recursos
necesarios para garantizar el funcionamiento de las aplicaciones
de gestión.

El Plan de Recuperación del Desastre (PRD) provee
de mecanismos de recuperación para los registros vitales,
sistemas alternativos de telecomunicaciones, evacuación de
personal, fuente alternativa de provisión de servicios,
etc. Además debe ser comprobado de forma periódica
para detectar y eliminar problemas. La manera más efectiva
de comprobar si un PRD funciona correctamente, es programar
simulaciones de desastres. Los resultados obtenidos deben ser
cuidadosamente revisados, y son la clave para identificar
posibles defectos en el Plan de Contingencia.

El plan de contingencia informático, debe
contemplar los planes de emergencia, backup, recuperación,
comprobación mediante simulaciones y mantenimiento del
mismo. Un plan de contingencia adecuado debe ayudar a las
empresas a recobrar rápidamente el control y capacidades
para procesar la información y restablecer la marcha
normal del negocio.

¿Cuál es el grado de preparación de
las empresas para estos desastres?. Los desastres han demostrado
que la capacidad de recuperarse ante ellos es crucial para la
supervivencia de una empresa. La Dirección General debe
comprender los principales riesgos para la empresa y las posibles
consecuencias de un desastre. Un Plan de contingencia adecuado
identifica las necesidades de todos los departamentos e involucra
a TODO el personal de todas las áreas de la
compañía.

CAPITULO I:

Formulación
del problema

  • PLANTEAMIENTO DEL PROBLEMA

¿Cómo evitar la pérdida de
información en los sistemas informáticos de la
Universidad Nacional de Piura?

  • DESCRIPCIÓN DEL
    PROBLEMA

Cualquier Sistema de Redes de Computadoras (ordenadores,
periféricos y accesorios) están expuestos a riesgo
y puede ser frente fuente de problemas. El Hardware, el Software
están expuestos a diversos Factores de Riesgo Humano y
Físicos. Frente a cualquier evento, la celeridad en la
determinación de la gravedad del problema depende de la
capacidad y la estrategia a seguir para señalar con
precisión, por ejemplo: ¿Qué componente ha
fallado?, ¿Cuál es el dato o archivo con
información se ha perdido, en que día y hora se ha
producido y cuan rápido se descubrió? Estos
problemas menores y mayores sirven para retroalimentar nuestros
procedimientos y planes de seguridad en la
información.

Pueden originarse pérdidas catastróficas a
partir de fallos de componentes críticos (el disco duro),
bien por grandes desastres (incendios, terremotos, sabotaje,
etc.) o por fallas técnicas (errores humanos, virus
informático, etc.) que producen daño físico
irreparable. Frente al mayor de los desastres solo queda el
tiempo de recuperación, lo que significa adicionalmente la
fuerte inversión en recursos humanos y técnicos
para reconstruir su Sistema de Red y su Sistema de
Información.

Hoy en día la materia prima de toda
organización es su información, básicamente
su "data" y el gran problema de toda organización es su
implementación de seguridad informática, ya sea a
nivel de hardware o software, para que la información no
sea robada ni manipulada con fines maliciosos.

La protección de la información vital ante
la posible pérdida, destrucción, robo y otras
amenazas de una empresa, es abarcar la preparación e
implementación de un completo Plan de Contingencia
Informático.

El plan de Contingencia indica las acciones que deben
tomarse inmediatamente tras el desastre. Un primer aspecto
importante del plan es la organización de la contingencia,
en el que se detallan los nombres de los responsables de la
contingencia y sus responsabilidades. El segundo aspecto
crítico de un Plan de Contingencia es la
preparación de un Plan de Backup, elemento primordial y
necesario para la recuperación.

El tercer aspecto es la preparación de un Plan de
Recuperación. La empresa debe establecer su capacidad real
para recuperar información contable crítica en un
periodo de tiempo aceptable. Otro aspecto importante del plan de
recuperación identificar el equipo de recuperación,
los nombres, números de teléfono, asignaciones
específicas, necesidades de formación y otra
información esencial, para cada miembro del equipo que
participa en el Plan de recuperación.

  • JUSTIFICACIÓN DE LA INVESTIGACIÓN

¿POR QUÉ?

En nuestra sociedad vemos que cualquier empresa, busca
destacarse de toda la competencia que lo rodea, para así
obtener mayores clientes y ser su primera opción, y para
ello la seguridad en sus sistemas debe ser lo más
importante. Como bien se sabe que en la Seguridad
Informática se debe distinguir dos propósitos de
protección, la Seguridad de la Información y la
Protección de Datos.

IMPORTANCIA

Se debe distinguir entre los dos, porque forman la base
y dan la razón, justificación en la
selección de los elementos de información que
requieren una atención especial dentro del marco de la
Seguridad Informática y normalmente también dan el
motivo y la obligación para su protección.
Garantiza la seguridad física, la integridad de los
activos humanos, lógicos y

Materiales de un sistema de información de datos.
Permite realizar un conjunto de acciones con el fin de evitar el
fallo, o en su caso, disminuir las consecuencias que de él
se puedan derivar. Permite realizar un Análisis de
Riesgos, Respaldo de los datos y su posterior Recuperación
de los datos. En general, cualquier desastre es cualquier evento
que, cuando ocurre, tiene la capacidad de interrumpir el normal
proceso de una empresa.

La probabilidad de que ocurra un desastre es muy baja,
aunque se diera, el impacto podría ser tan grande que
resultaría fatal para la organización. Permite
definir contratos de seguros, que vienen a compensar, en mayor o
menor medida las pérdidas, gastos o
responsabilidades.

  • OBJETIVOS DE LA INVESTIGACIÓN

  • OBJETIVO GENERAL

  • Garantizar la continuidad de las operaciones de los
    elementos considerados críticos que componen los
    Sistemas de Información.

  • OBJETIVOS ESPECÍFICOS

  • Definir acciones a ejecutar en caso de fallas de los
    elementos que componen un Sistema de
    Información.

  • Definir y realizar operaciones para la seguridad de
    la información (base de datos).

CAPITULO II:

Marco
teórico

  • SEGURIDAD DE LA INFORMACIÓN

Es importante considerar la seguridad informática
tanto desde el punto de vista físico como desde el
lógico. La seguridad física se refiere a la
seguridad de los componentes mismo de un equipo
informático (HARDWARE), a la seguridad lógica se
refiere a la seguridad de la información y los programas
de almacenamiento en un equipo o una red de datos.

La Seguridad de información y por consiguiente de
los equipos informáticos, es un tema que llega a afectar
la imagen institucional de las empresas, incluso la vida privada
de personas. Es obvio el interés creciente que día
a días se evidencia sobre este aspecto de la nueva
sociedad informática. Ladrones, manipuladores,
saboteadores, espías, etc. reconocen que el centro de
cómputo de una institución es su nervio central,
que normalmente tiene información confidencial y a menudo
es vulnerable a cualquier ataque.

La Seguridad de información tiene tres directivas
básicas que actúan sobre la Protección de
Datos, las cuales ejercen control de:

La lectura

Consiste en negar el acceso a los datos a aquellas
personas que no tengan derecho a ellos, al cual también se
le puede llamar protección de la privacidad, si se trata
de datos personales y mantenimiento de la seguridad en el caso de
datos institucionales.

La escritura

Es garantizar el acceso a todos los datos importantes a
las personas que ejercen adecuadamente su privilegio de acceso,
las cuales tienen la responsabilidad que se les ha
confiado.

El empleo de esa información

Es Secreto de logra cuando no existe acceso a todos los
datos sin autorización. La privacidad se logra cuando los
datos que puedan obtenerse no permiten el enlace a individuos
específicos o no se pueden utilizar para imputar hechos
acerca de ellos.

Por otro lado, es importante definir los dispositivos de
seguridad durante el diseño del sistema y no
después. Los diseñadores de sistemas deben entender
que las medidas de seguridad han llegado a se criterios de
diseño tan importantes como otras posibilidades
funcionales, así como el incremento de costos que
significa agregar funciones, después de desarrollado un
Sistema de Información.

La Red de la UNP cuenta con Tecnologías de la
información (TI) en lo referente a: sistemas de
comunicación, sistemas de información, conectividad
y servicios Informáticos que se brinda de forma interna y
externa a las diferentes Oficinas, Facultades, Dependencias. Se
resume que la Administración de Red esta dividido en dos
rubros:

1) Conectividad: se encargada de la conexión
alámbrica e inalámbrica de los equipos de
comunicación y

2) Manejo de servidores: se encarga de alojar todos los
servicios y sistemas de comunicación e información.
Los servicios de Red implementados en la Universidad Nacional de
Piura son, implementados en sus servidores son los
siguientes:

  • Servidor de Correo Electrónico

  • Servidor de seguridad

  • Servidor de seguridad – base de datos

  • Servidor de telefonía IP.

  • Servidor de Políticas de Grupo
    Controlador de dominio

  • Sistema de Información en la
    UNP

El Sistema de Información, incluye la totalidad
del Software de Aplicación, Software en Desarrollo,
conjunto de Documentos Electrónicos, Bases de Datos e
Información Histórica registrada en medios
magnéticos e impresos en papeles, Documentación y
Bibliografía.

CAPITULO III. PLAN DE REDUCCIÓN DE
RIESGOS

El presente documento implica la realización de
un análisis de todas las posibles causas a los cuales
puede estar expuestos nuestros equipos de conectados a la RED de
la UNP, así como la información contenida en cada
medio de almacenamiento. Se realizara un análisis de
riesgo y el Plan de Operaciones tanto para reducir la posibilidad
de ocurrencia como para reconstruir el Sistema de
Información y/o Sistema de Red de Computadoras en caso de
desastres.

El presente Plan incluye la formación de equipos
de trabajo durante las actividades de establecimiento del Plan de
Acción, tanto para la etapa preventiva, correctiva y de
recuperación. El Plan de Reducción de Riesgos es
equivalente a un Plan de Seguridad, en la que se considera todos
los riesgos conocidos, para lo cual se hará un
Análisis de riesgos.

3.1. Análisis de Riesgos

El presente realiza un análisis de todos los
elementos de riesgos a los cuales está expuesto el
conjunto de equipos informáticos y la información
procesada, y que deben ser protegidos.

Bienes susceptibles de un daño

Se puede identificar los siguientes bienes afectos a
riesgos:

a) Personal

b) Hardware

c) Software y utilitarios

d) Datos e información

e) Documentación

f) Suministro de energía
eléctrica

g) Suministro de telecomunicaciones

Daños

Los posibles daños pueden referirse a:

a) Imposibilidad de acceso a los recursos debido a
problemas físicos en las instalaciones, naturales o
humanas.

b) Imposibilidad de acceso a los recursos
informáticos, sean estos por cambios involuntarios o
intencionales, tales como cambios de claves de acceso,
eliminación o borrado físico/lógico de
información clave, proceso de información no
deseado.

c) Divulgación de información a instancias
fuera de la institución y que afecte su patrimonio
estratégico, sea mediante Robo o Infidencia.

Fuentes de daño

Las posibles fuentes de daño que pueden causar la
no operación normal de la compañía
son:

  • Acceso no autorizado

a) Movimientos telúricos

b) Inundaciones

c) Fallas en los equipos de soporte (causadas por el
ambiente, la red de energía eléctrica, no
acondicionamiento atmosférico necesario)

  • Fallas de Personal Clave: por los siguientes
    inconvenientes:

a) Enfermedad

b) Accidentes

c) Renuncias

d) Abandono de sus puestos de trabajo

e) Otros.

Fallas de Hardware: a) Falla en los Servidores (Hw) b)
Falla en el hardware de Red (Switches, cableado de la Red,
Router, FireWall)

3.2. Análisis en las fallas en la
Seguridad

En este se abarca el estudio del hardware, software, la
ubicación física de la estación su
utilización, con el objeto de identificar los posibles
resquicios en la seguridad que pudieran suponer un
peligro.

Las fallas en la seguridad de la información y
por consiguiente de los equipos informáticos, es una
cuestión que llega a afectar, incluso, a la vida privada
de la persona, de ahí que resulte obvio el interés
creciente sobre este aspecto. La seguridad de la
información tiene dos aspectos importantes
como:

  • Negar el acceso a los datos a aquellas personas que
    no tengan derecho a ellos.

  • Garantizar el acceso a todos los datos importantes a
    las personas que ejercen adecuadamente su privilegio de
    acceso, las cuales tienen la responsabilidad de proteger los
    datos que se les ha confiado.

Por ejemplo, en el uso del Servicio Virtual
Público de Red (VPN), implica una vía de acceso a
la Red Central de UNP, la seguridad en este servicio es la
validación de la clave de acceso.

3.3. Protecciones actuales

Se realizan las siguientes acciones:

  • Se hace copias de los archivos que son vitales para
    la institución.

  • Al robo común se cierran las puertas de
    entrada y ventanas

  • Al vandalismo, se cierra la puerta de
    entrada.

  • A la falla de los equipos, se realiza el
    mantenimiento de forma regular.

  • Al daño por virus, todo el software que llega
    se analiza en un sistema utilizando software
    antivirus.

  • A las equivocaciones, los empleados tienen buena
    formación. Cuando se requiere personal temporal se
    intenta conseguir a empleados debidamente
    preparados.

  • A terremotos, no es posible proteger la
    instalación frente a estos fenómenos. El
    presente Plan de contingencias da pautas al
    respecto.

  • Al acceso no autorizado, se cierra la puerta de
    entrada. Varias computadoras disponen de llave de bloqueo del
    teclado.

  • Al robo de datos, se cierra la puerta principal y
    gavetas de escritorios. Varias computadoras disponen de llave
    de bloqueo del teclado.

CAPITULO IV:

Plan de
recuperación del desastre y respaldo de la
información

El costo de la Recuperación en caso de desastres
severos, como los de un terremoto que destruya completamente el
interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e
información que no fueron informados oportunamente y
actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de
seguros.

El Costo de Recuperación en caso de desastres de
proporciones menos severos, como los de un terremoto de grado
inferior a 07 o un incendio de controlable, estará dado
por el valor no asegurado de equipos informáticos e
información mas el Costo de Oportunidad, que significa, el
costo del menor tiempo de recuperación estratégica,
si se cuenta con parte de los equipos e información
recuperados. Este plan de restablecimiento estratégico del
sistema de red, software y equipos informáticos
será abordado en la parte de Actividades Posteriores al
desastre.

El paso inicial en el desarrollo del plan contra
desastres, es la identificación de las personas que
serán las responsables de crear el plan y coordinar las
funciones. Típicamente las personas pueden ser: personal
del CIT, personal de Seguridad.

Las actividades a realizar en un Plan de
Recuperación de Desastres se clasifican en tres
etapas:

  • Actividades Previas al Desastre.

  • Actividades Durante el Desastre.

  • Actividades Después del Desastre.

4.1. Actividades previas al desastre

Se considera las actividades de planteamiento,
preparación, entrenamiento y ejecución de
actividades de resguardo de la información, que aseguraran
un proceso de recuperación con el menor costo posible para
la institución.

4.1.1. Establecimientos del Plan de
Acción

En esta fase de planeamiento se establece los
procedimientos relativos a:

a. Sistemas e Información.

b. Equipos de Cómputo.

c. Obtención y almacenamiento de los Respaldos de
Información (BACKUPS).

d. Políticas (Normas y Procedimientos de
Backups).

a. Sistemas de Información

La Institución deberá tener una
relación de los Sistemas de Información con los que
cuenta, tanto los de desarrollo propio, como los desarrollados
por empresas externas. Los Sistemas y Servicios críticos
para la UNP, son los siguientes:

Lista de Sistemas

Sistema Integrado de Administración Financiera
(SIAF): Sistema de información asociado a la
ejecución del presupuesto anual, de registro único
de las operaciones de gastos e ingresos públicos. Lo opera
la Oficina Central de Ejecución Presupuestaria.

Sistema Integrado de Gestión Académica:
Sistema de información que permite el registro y control
de los Procesos académicos, permite al alumno realizar
consultas académicas consulta vía WEB. Lo operan
las Oficinas Académicas, y los órganos
académicos-control.

Sistema de Tramite Documentario: Sistema de
información que permite el registro y seguimiento de los
documentos. Lo operan todas las áreas
funcionales.

Sistema de Gestión Administrativa –
Ingresos: Sistema de información que permite el registro y
control de los ingresos. Lo operan todas las áreas
funcionales Administrativas.

Sistema de Abastecimientos: Sistema de
información que permite el registro y control de las
Órdenes de Trabajo, almacén. Lo opera la Oficina de
Abastecimiento.

Sistema de Control de Asistencia del personal: Lo opera
la Oficina Central de Recursos Humanos.

Sistema de Banco de Preguntas para la elaboración
de Exámenes de admisión

Lista de Servicios

  • Sistema de comunicaciones

  • Servicio de correo corporativo

  • Servicios Web: Publicación de páginas
    Web, noticias de la UNP, Inscripción comedor
    universitario, Inscripción de cursos.

  • Internet, Intranet.

  • Servicios Proxy

  • VPN: servicios de acceso privado a la red de la
    Institución desde cualquier lugar.

  • Servicio de Monitoreo de la red: monitorea los
    equipos de comunicación distribuidos en la red la
    UNP.

  • Servicios de telefonía Principal:
    teléfonos IP

  • Servicios de enseñanza de manera
    virtual.

  • Servicio de Antivirus

b. Equipos de Cómputo

Se debe tener en cuenta el catastro de Hardware,
impresoras, lectoras, scanner, ploters, modems, fax y otros,
detallando su ubicación (software que usa,
ubicación y nivel de uso institucional). Se debe emplear
los siguientes criterios sobre identificación y
protección de equipos:

  • Pólizas de seguros comerciales, como parte de
    la protección de los activos institucionales y
    considerando una restitución por equipos de mayor
    potencia, teniendo en cuenta la depreciación
    tecnológica.

  • Señalización o etiquetamiento de las
    computadoras de acuerdo a la importancia de su contenido y
    valor de sus componentes, para dar prioridad en caso de
    evacuación. Por ejemplo etiquetar de color rojo los
    servidores, color amarillo a los PC con información
    importante o estratégica, y color verde a las
    demás estaciones (normales, sin disco duro o sin
    uso).

  • Mantenimiento actualizado del inventario de los
    equipos de cómputo requerido como mínimo para
    el funcionamiento permanente de cada sistema en la
    institución.

c. Obtención y almacenamiento de Copias de
Seguridad (Backups)

Se debe contar con procedimientos para la
obtención de las copias de seguridad de todos los
elementos de software necesarios para asegurar la correcta
ejecución de los sistemas en la institución. Las
copias de seguridad son las siguientes:

  • Backup del Sistema Operativo: o de todas las
    versiones de sistema operativo instalados en la
    Red.

  • Backup de Software Base: (Lenguajes de
    Programación utilizados en el desarrollo de los
    aplicativos institucionales).

  • Backup del software aplicativo: backups de los
    programas fuente y los programas ejecutables.

  • Backups de los datos (Base de datos, passsword y
    todo archivo necesario para la correcta ejecución del
    software aplicativos de la institución).

  • Backups del Hardware, se puede implementar bajo dos
    modalidades:

Modalidad Externa:

mediante el convenio con otra institución que
tenga equipos similares o mejores y que brinden la capacidad y
seguridad de procesar nuestra información y ser puestos a
nuestra disposición al ocurrir una continencia mientras se
busca una solución definitiva al siniestro
producido.

Modalidad Interna:

si se dispone de más de un local, en ambos se
debe tener señalado los equipos, que por sus capacidades
técnicas son susceptibles de ser usados como equipos de
emergencia.

Es importante mencionar que en ambos casos se debe
probar y asegurar que los procesos de restauración de
información posibiliten el funcionamiento adecuado de los
sistemas.

d. Políticas (Normas y
Procedimientos)

Se debe establecer procedimientos, normas y
determinación de responsabilidades en la obtención
de los "Backups" o Copias de Seguridad. Se debe
considerar:

  • Periodicidad de cada tipo de backup: los backups de
    los sistemas informáticos se realizan de manera
    diferente:

  • Sistema Integrado de Gestión
    Académico: en los procesos académicos de
    Inscripción de curso y registro de Actas se realiza
    backup diario, para los demás periodos se realiza el
    backup semanal.

  • Sistema de Ingresos: backup diario

  • Sistema Integrado de Administración
    Financiera (SIAF): backup semanal

  • Sistema de Tramite Documentario: backup
    diario.

  • Sistema de Abastecimientos: backup
    semanal

  • Sistema de Control de Asistencia del personal:
    backup semanal.

  • Sistema de Banco de Preguntas: backup periodo
    examen.

  • Respaldo de información de movimiento entre
    los periodos que no se sacan backups: días no
    laborales, feriados, etc. en estos días es posible
    programar un backup automático.

  • Uso obligatorio de un formulario de control de
    ejecución del programa de backups diarios, semanales y
    mensuales: es un control a implementar, de tal manera de
    llevar un registro diario de los resultados de las
    operaciones del backups realizados y su respectivo
    almacenamiento.

  • Almacenamiento de los backups en condiciones
    ambientales optimas, dependiendo del medio magnético
    empleando.

  • Reemplazo de los backups, en forma periódica,
    antes que el medio magnético de soporte se pueda
    deteriorar. No se realiza reemplazos pero se realiza copias
    de las mismas, considerando que no se puede determinar
    exactamente el periodo de vida útil del dispositivo
    donde se ha realizado el backup.

  • Almacenamiento de los backups en locales diferentes
    donde reside la información primaria (evitando la
    pérdida si el desastre alcanzo todo el edificio o
    local). Esta norma se cumple con la información
    histórica, es decir se tiene distribuidos los backups
    de la siguiente manera: una copia reside en las instalaciones
    del CIT, y una segunda copia reside en la Oficina que genera
    lainformación (OCRCA, OCEP, OCARH).

  • Pruebas periódicas de los backups (Restore),
    verificando su funcionalidad, através de los sistemas
    comparando contra resultados anteriormente
    confiables.

4.1.2. Formación de equipos
operativos

En cada unidad operativa, que almacene
información y sirva para la operatividad institucional, se
deberá designar un responsable de la seguridad de la
información de su unidad. Pudiendo ser el Jefe
Administrativo de dicha Área, sus funciones serán
las siguientes:

Contactarse con los autores de las aplicaciones y
personal de mantenimiento respectivo. El equipo encargado en el
CIT- UNP, está formado por las siguientes
unidades:

  • Unidad de Telecomunicaciones

  • Unidad de Soporte Tecnológico.

  • Unidad de Administración de
    Servidores.

  • Unidad de Desarrollo Tecnológico.

  • Unidad Académica.

Proporcionar las facilidades (procedimientos,
técnicas) para realizar copias de respaldo.

Esta actividad está dirigida por el Equipo de
Soporte y Mantenimiento.

Supervisar el procedimiento de respaldo y
restauración

Establecer procedimientos de seguridad en los sitios de
recuperación

Organizar la prueba de hardware y software: el encargado
y el usuario final dan su conformidad.

Ejecutar trabajos de recuperación y
comprobación de datos.

Participar en las pruebas y simulacros de desastres: en
esta actividad deben participar el encargado de la
ejecución de actividades operativas, y los servidores
administrativos del área, en el cumplimiento de
actividades preventivas al desastre del Plan de
Contingencias.

4.1.3. Formación de Equipos de
Evaluación (Auditoria de cumplimiento de los procesos de
seguridad)

Esta función debe ser realizada preferentemente
por el personal de auditoria o inspectora, de no ser posible, lo
realizaría el personal del área de
informática- CIT, debiendo establecerse claramente sus
funciones, responsabilidades y objetivos:

  • Revisar que las normas y procedimientos con respecto
    a backups, seguridad de equipos y data se cumpla.

  • Supervisar la realización periódica de
    los backups, por parte de los equipos operativos, es decir,
    información generada en el área funcional,
    software general y hardware.

  • Revisar la correlación entre la
    relación de los Sistemas e información
    necesarios para la buena marcha de la institución y
    los backups realizados.

  • Informar de los cumplimientos e incumplimientos de
    las normas para las acciones de corrección
    necesarias.

4.2. Actividades durante el Desastre

Presentada la contingencia o desastre se debe ejecutar
las siguientes actividades planificadas previamente:

a. Plan de Emergencias

b. Formación de Equipos

c. Entrenamiento

a. Plan de Emergencias

La presente etapa incluye las actividades a realizar
durante el desastre o siniestros, se debe tener en cuenta la
probabilidad de su ocurrencia durante: el día, noche o
madrugada. Este plan debe incluir la participación y
actividades a realizar por todas y cada una de las personas que
se pueden encontrar presentes en el área donde ocurre el
siniestro. Solo se debe realizar acciones de resguardo de equipos
en los casos en que no se pone en riesgo la vida de
personas.

Normalmente durante la acción del siniestro es
difícil que las personas puedan afrontar esta
situación, debido a que no están preparadas o no
cuentan con los elementos de seguridad, por lo que las
actividades para esta etapa del proyecto de prevención de
desastres deben estar dedicados a buscar ayuda inmediatamente
para evitar que la acción del siniestro causen mas
daños o destrucciones. Se debe tener en toda Oficina los
números de teléfono y Direcciones de organismos e
instituciones de ayuda. Todo el personal debe conocer lo
siguiente:

  • Localización de vías de Escape o
    Salida: Las vías de escape o salida para solicitar
    apoyo o enviar mensajes de alerta, a cada oficina debe
    señalizar las vías de escape

  • Plan de Evaluación Personal: el personal ha
    recibido periódicamente instrucciones para
    evacuación ante sismos, a través de simulacros,
    esto se realiza acorde a los programas de seguridad
    organizadas por Defensa Civil a nivel local. Esa actividad se
    realizara utilizando las vías de escape mencionadas en
    el punto anterior.

  • Ubicación y señalización de los
    elementos contra el siniestro: tales como los extintores, las
    zonas de seguridad que se encuentran señalizadas
    (ubicadas normalmente en las columnas), donde el
    símbolo se muestra en color blanco con fondo verde. De
    existir un repintado de paredes deberá contemplarse la
    reposición de estas señales.

  • Secuencia de llamadas en caso de siniestro: tener a
    la mano elementos de iluminación, lista de
    teléfonos de instituciones como:
    Compañía de Bomberos, Hospitales, Centros de
    Salud, Ambulancias, Seguridad.

b. Formación de Equipos

Se debe establecer los equipos de trabajo, con funciones
claramente definidas que deberán realizar en caso de
desastre. En caso de que el siniestro lo permita (al estar en un
inicio o estar en un área cercana, etc.), se debe formar
02 equipos de personas que actúen directamente durante el
siniestro, un equipo para combatir el siniestro y el otro para
salvamento de los equipos informáticos, de acuerdo a los
lineamientos o clasificación de prioridades.

c. Entrenamiento

Se debe establecer un programa de prácticas
periódicas con la participación de todo el personal
en la lucha contra los diferentes tipos de siniestro, de acuerdo
a los roles que se hayan asignado en los planes de
evacuación del personal o equipos, para minimizar costos
se pueden realizar recarga de extintores, charlas de los
proveedores, etc.

Es importante lograr que el personal tome conciencia de
que los siniestros (incendios, inundaciones, terremotos,
apagones, etc.) pueden realmente ocurrir; y tomen con seriedad y
responsabilidad estos entrenamientos; para estos efectos es
conveniente que participen los Directivos y Ejecutivos, dando el
ejemplo de la importancia que la Alta Dirección otorga a
la Seguridad Institucional.

4.3. Actividades después del
desastre

Estas actividades se deben realizar inmediatamente
después de ocurrido el siniestro, son las
siguientes:

  • a. Evaluación de
    Daños.

  • b. Priorización de Actividades del Plan
    de Acción.

  • c. Ejecución de Actividades.

  • d. Evaluación de Resultados.

  • e. Retroalimentación del Plan de
    Acción.

  • f. Evaluación de daños

a. Evaluación de daños

El objetivo es evaluar la magnitud del daño
producido, es decir, que sistemas se están afectando, que
equipos han quedado inoperativos, cuales se pueden recuperar y en
cuanto tiempo.

En el caso de la UNP se debe atender los procesos de
contabilidad, tesorería, administrativo-académicos,
documentarios; que son las actividades que no podrían
dejar de funcionar, por la importancia estratégica. La
recuperación y puesta en marcha de los servidores que
alojan dichos sistemas, es prioritario.

b. Priorizar Actividades del Plan de
Acción

La evaluación de los daños reales nos
dará una lista de las actividades que debemos realizar,
preponderando las actividades estratégicas y urgentes de
nuestra institución. Las actividades comprenden la
recuperación y puesta en marcha de los equipos de
cómputo ponderado y los Sistemas de Información,
compra de accesorios dañados, etc.

c. Ejecución de actividades

La ejecución de actividades implica la
creación de equipos de trabajo para realizar actividades
previamente planificadas en el Plan de Acción. Cada uno de
estos equipos deberá contar con un coordinador que
deberá reportar el avance de los trabajos de
recuperación y, en caso de producirse un problema,
reportarlo de inmediato a la Jefatura a cargo del Plan de
Contingencias.

Los trabajos de recuperación tendrán dos
etapas:

  • La primera la restauración del servicio
    usando los recursos de la institución o localde
    respaldo.

  • La segunda etapa es volver a contar con los recursos
    en las cantidades y lugares propios del Sistema de
    Información, debiendo ser esta última etapa lo
    suficientemente rápida y eficiente para no perjudicar
    la operatividad de la institución y el buen servicio
    de nuestro sistema e Imagen Institucional.

d. Evaluación de Resultados

Una vez concluidas las labores de Recuperación de
los sistemas que fueron afectado por el siniestro, debemos de
evaluar objetivamente, todas las actividades realizadas, con que
eficacia se hicieron, que tiempo tomaron, que circunstancias
modificaron (aceleraron o entorpecieron) las actividades del Plan
de Acción, como se comportaron los equipos de trabajo,
etc.

De la evaluación de resultados y del siniestro,
deberían de obtenerse dos tipos de recomendaciones, una la
retroalimentación del Plan de Contingencias y Seguridad de
Información, y otra una lista de recomendaciones para
minimizar los riesgos y perdida que ocasionaron el
siniestro.

e. Retroalimentación del Plan de
Acción

Con la evaluación de resultados, debemos de
optimizar el Plan de Acción original, mejorando las
actividades que tuvieron algún tipo de dificultad y
reforzando los elementos que funcionan adecuadamente.

El otro elemento es evaluar cuál hubiera sido el
costo de no contar con el Plan de Contingencias en la
institución.

CAPITULO V:

Bibliografía

Manual de Operación y Funciones del
Centro de Informática y telecomunicaciones.

Guía Sistemas de Información.
INEI

Seguridad Informática: Básico
( Alvaro Gómez Vieites )

Seguridad de la Información
(J.L.Artero) S.A 2008.

www.protejete.wordpress.com
(Conceptos básicos).

 

 

Autor:

Morales García Besel
Omar

Salazar Benavides Edwin
Javier

DOCENTE:

LIZANA PUELLES YOLANDA

Monografias.com

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERÍA
INDUSTRIAL

ESCUELA DE INGERNIERÍA
INFORMÁTICA

2014

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter