unidad 6 seguridad física y planes de contingencia

UNIDAD 6 SEGURIDAD FÍSICA Y PLANES DE CONTINGENCIA
OBJETIVOS PARTICULARES DE LA UNIDAD
Al término de la unidad, el alumno:
Explicará la importancia de tener esquemas de seguridad física adecuados en las
instituciones y su implantación para el centro de cómputo.
Identificará los aspectos que deben de ser sujetos de seguridad, en toda la
organización para la protección de sus activos informáticos.
Describirá los pasos implicados para el diseño de un plan de contingencia que
garantice la continuidad de un negocio.
6.1 SEGURIDAD FÍSICA, AMENAZAS, VULNERABILIDADES Y RIESGOS
Riesgo
Se ha definido como la "Posibilidad de que se produzca un impacto dado en la
organización". Su importancia como resultado de todo el Análisis organizado sobre
los elementos anteriores (activos, amenazas, vulnerabilidades e impactos) queda
velada por su apariencia como Indicador resultante de la combinación de la
Vulnerabilidad y el Impacto que procede de la Amenaza actuante sobre el Activo.
Este riesgo calculado permite tomar decisiones racionales para cumplir el objetivo
de seguridad de la organización. Para dar soporte a dichas decisiones, el riesgo
calculado se compara con el umbral de riesgo, un nivel determinado con ayuda de
la política de seguridad de la Organización. Un riesgo calculado superior al umbral
implica una decisión de reducción de riesgo. Un riesgo calculado inferior al umbral
queda como un riesgo residual que se considera asumible.
Procedimientos de seguridad física
.
El objetivo de los procedimientos de seguridad física es el prevenir riesgos de
accidentes del personal del laboratorio y/o del centro de computo y prevenir daños
al equipo e instalaciones. Esto se logra:

Capacitando a todo el personal del centro de computo y/o laboratorio a
observar las reglas y procedimientos establecidos.

Fomentando en el personal una actitud positiva hacia la seguridad física.

Motivando al personal a reportar todos los accidentes ocurridos, los incidentes
que se logren evitar, actos y condiciones que brindan poca seguridad.

Preparando a los empleados a responder apropiadamente a situaciones de
inseguridad y a seguir las reglas de seguridad continuamente.

Estableciendo responsabilidades mínimas de seguridad para varias categorías
de personal del centro.

Preparando al personal del centro para proveer procedimientos de emergencia
adecuados y servicios médicos para minimizar las consecuencias de
accidentes en el centro y laboratorios de computo.
Por otro lado hay tres conceptos que entran en discusión cuando hablamos de la
seguridad de un sistema informático: vulnerabilidad o inseguridad (vulnerability),
amenazas (threat) y contramedidas (countermesures).
Vulnerabilidad.
Punto o aspecto del sistema que es susceptible de ser atacado o de dañar la
seguridad del mismo. Representan las debilidades o aspectos falibles o atacables
en el sistema informático.
Amenaza.
Posible peligro del sistema. Puede ser una persona (cracker), un programa (virus,
caballo de Troya, ...), o un suceso natural o de otra índole (fuego, inundación,
etc.). Representan los posibles atacantes o factores que aprovechan las
debilidades del sistema.
Contramedida.
Técnicas de protección del sistema contra las amenazas.
La seguridad informática se encarga de la identificación de las vulnerabilidades del
sistema y del establecimiento de contramedidas que eviten que las distintas
amenazas posibles exploten dichas vulnerabilidades. Una máxima de la seguridad
informática es que: "No existe ningún sistema completamente seguro". Existen
sistemas más o menos seguros, y más o menos vulnerables, pero la seguridad
nunca es absoluta.
TIPOS DE VULNERABILIDAD
Realmente la seguridad es la facultad de estar a cubierto de algún riesgo o
amenaza. Desde este punto de vista la seguridad total es muy difícil de logra,
puesto que implicaría describir todos los riesgos y amenazas a que puede verse
sometido el sistema. Lo que se manifiesta en los sistemas no es la seguridad, sino
más bien la inseguridad o vulnerabilidad. No se puede hablar de un sistema
informático totalmente seguro, sino más bien de uno en el que no se conocen tipos
de ataques que puedan vulnerarlo, debido a que se han establecido medidas
contra ellos.
Algunos tipos de vulnerabilidad de un sistema son los siguientes:
Vulnerabilidad física.
Se encuentra en el nivel del edificio o entorno físico del sistema. Se relaciona con
la posibilidad de entrar o acceder físicamente al sistema para robar, modificar o
destruir el mismo.
Vulnerabilidad natural.
Se refiere al grado en que el sistema puede verse afectado por desastres
naturales o ambientales que pueden dañar el sistema, tales como el fuego,
inundaciones, rayos, terremotos, o quizás más comúnmente, fallos eléctricos o
picos de potencia. También el polvo, la humedad o la temperatura excesiva son
aspectos a tener en cuenta.
Vulnerabilidad del hardware y del software.
Desde el punto de vista del hardware, ciertos tipos de dispositivos pueden ser más
vulnerables que otros. Así, ciertos sistemas requieren la posesión de algún tipo de
herramienta o tarjeta para poder acceder a los mismos.
Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al
mismo y lo hacen menos fiable. En este apartado se incluyen todos los bugs en
los sistemas operativos, u otros tipos de aplicaciones que permiten atacarlos.
Vulnerabilidad de los medios o dispositivos.
Se refiere a la posibilidad de robar o dañar los discos, cintas, listados de
impresora, etc.
Vulnerabilidad por emanación.
Todos los dispositivos eléctricos y electrónicos emiten radiaciones
electromagnéticas. Existen dispositivos y medios de interceptar estas
emanaciones y descifrar o reconstruir la información almacenada o transmitida.
Vulnerabilidad de las comunicaciones.
La conexión de los ordenadores a redes supone sin duda un enorme incremento
de la vulnerabilidad del sistema. Aumenta enormemente la escala del riesgo a que
está sometido, al aumentar la cantidad de gente que puede tener acceso al mismo
o intentar tenerlo. También se añade el riesgo de intercepción de las
comunicaciones:
• Se puede penetrar al sistema a través de la red.
• Interceptar información que es transmitida desde o hacia el
sistema.
Vulnerabilidad humana.
La gente que administra y utiliza el sistema representa la mayor vulnerabilidad del
sistema. Toda la seguridad del sistema descansa sobre el administrador del
mismo que tiene acceso al máximo nivel y sin restricciones al mismo.
Los usuarios del sistema también suponen un gran riesgo al mismo. Ellos son los
que pueden acceder al mismo, tanto físicamente como mediante conexión. Existen
estudios que demuestran que más del 50% de los problemas de seguridad
detectados son debidos a los usuarios de los mismos.
Por todo ello hay una clara diferenciación en los niveles de los distintos tipos de
vulnerabilidad y en las medidas a adoptar para protegerse de ellos.
TIPOS DE AMENAZAS
Las amenazas al sistema informático pueden también clasificarse desde varios
puntos de vista.
En una primera clasificación según el efecto causado en el sistema, las amenazas
pueden englobarse en cuatro grandes tipos: intercepción, modificación,
interrupción y generación. Vamos a verlas con más detalle.
Intercepción.
Cuando una persona, programa o proceso logra el acceso a una parte del sistema
a la que no está autorizada. Ejemplos:
• Escucha de una línea de datos.
• Copias de programas o ficheros de datos no autorizados.
Son los más difíciles de detectar pues en la mayoría de los casos no alteran la
información o el sistema.
Modificación.
Se trata no sólo de acceder a una parte del sistema a la que no se tiene
autorización, sino, además, de cambiar en todo o en parte su contenido o modo de
funcionamiento. Ejemplos:
• Cambiar el contenido de una base de datos.
• Cambiar líneas de código en un programa.
• Cambiar datos en una transferencia bancaria.
Interrupción.
Interrumpir mediante algún método el funcionamiento del sistema. Ejemplos:
• Saturar la memoria o el máximo de procesos en el sistema
operativo.
• Destruir algún dispositivo hardware.
Puede ser intencionada o accidental.
Generación.
Se refiere a la posibilidad de añadir información o programas no autorizados en el
sistema. Ejemplos:
• Añadir campos y registros en una base de datos.
• Añadir código en un programa (virus).
• Introducir mensajes no autorizados en una línea de datos.
Como puede observarse, la vulnerabilidad de los sistemas informáticos es muy
grande, debido a la variedad de los medios de ataque o amenazas.
Fundamentalmente hay tres aspectos que se ven amenazados: el hardware (el
sistema), el software (programas de usuarios, aplicaciones, bases de datos,
sistemas operativos, etc. ), los datos.
Desde el punto de vista del origen de las amenazas, estas pueden clasificarse en:
naturales, involuntarias e intencionadas.
Amenazas naturales o físicas.
Son las que ponen en peligro los componentes físicos del sistema. En ellas
podemos distinguir por un lado los desastres naturales, como las inundaciones,
rayos o terremotos, y las condiciones medioambientales, tales como la
temperatura, humedad, presencia de polvo.
Entre este tipo de amenazas, una de las más comunes es la presencia de un
usuario sentado delante del ordenador con su lata de bebida refrescante y su
bocadillo cerca del teclado o la unidad central .
Amenazas involuntarias.
Son aquellas relacionadas con el uso descuidado del equipo por falta de
entrenamiento o de concienciación sobre la seguridad. Entre las más comunes
podemos citar:
• Borrar sin querer parte de la información,
• Dejar sin protección determinados ficheros básicos del sistema
• Dejar pegado a la pantalla un post-it con nuestro password u
olvidarnos de salir del sistema.
Amenazas intencionadas.
Son aquellas procedentes de personas que pretenden acceder al sistema para
borrar, modificar o robar la información; para bloquearlo o por simple diversión.
Los causantes del daño pueden ser de dos tipos: internos y externos.
Los externos pueden penetrar al sistema de múltiples formas:
• Entrando al edificio o accediendo físicamente al ordenador.
• Entrando al sistema a través de la red explotando las
vulnerabilidades software del mismo.
• Consiguiendo acceder a través de personas que lo tienen de modo
autorizado.
Los internos pueden ser de tres tipos: empleados despedidos o descontentos,
empleados coaccionados, y empleados que obtienen beneficios personales.
TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS
Los sistemas informáticos pueden diseñarse de acuerdo con criterios de
economía, de eficiencia y de eficacia, etc., porque son claramente medibles y se
asocian a parámetros que, maximizando unos y minimizando otros, se puede
tender hacia diseños óptimos.
Diseñar sistemas mediante criterios de seguridad es más complejo, pues las
amenazas son en muchos casos poco cuantificables y muy variadas. La aplicación
de medidas para proteger el sistema supone un análisis y cuantificación previa de
los riesgos o vulnerabilidades del sistema. La definición de una política de
seguridad y su implementación o través de una serie de medidas.
En muchos casos las medidas de seguridad llevan un costo aparejado que obliga
a subordinar algunas de las ventajas del sistema. Por ejemplo, la velocidad de las
transacciones. En relación a esto, también se hace obvio que a mayores y más
restrictivas medidas de seguridad, menos amigable es el sistema. Se hace menos
cómodo para los usuarios ya que limita su actuación y establece unas reglas más
estrictas que a veces dificultan el manejo del sistema. Por ejemplo, el uso de una
política adecuada de passwords, con cambios de las mismas.
Las medidas de seguridad que pueden establecerse en un sistema informático son
de cuatro tipos fundamentales: lógicas, físicas, administrativas y legales. Vamos a
verlas con más detalle.
Medidas físicas
Aplican mecanismos para impedir el acceso directo o físico no autorizado al
sistema. También protegen al sistema de desastres naturales o condiciones
medioambientales adversas. Se trata fundamentalmente de establecer un
perímetro de seguridad en nuestro sistema.
Existen tres factores fundamentales a considerar:
• El acceso físico al sistema por parte de personas no autorizadas
• Los daños físicos por parte de agentes nocivos o contingencias
• Las medidas de recuperación en caso de fallo
Concretando algo más los tipos de controles que se pueden
establecer, estos incluyen:
• Control de las condiciones medioambientales (temperatura,
humedad, polvo, etc....)
• Prevención de catástrofes (incendios, tormentas, cortes de fluido
eléctrico, sobrecargas, etc.)
• Vigilancia (cámaras, guardias jurados, etc.)
• Sistemas de contingencia (extintores, fuentes de alimentación
ininterrumpida, estabilizadores de corriente, fuentes de ventilación
alternativa, etc.)
• Sistemas de recuperación (copias de seguridad, redundancia,
sistemas alternativos geográficamente separados y protegidos, etc.)
• Control de la entrada y salida de material (elementos desechables,
consumibles, material anticuado, etc.)
Medidas lógicas
Incluye las medidas de acceso a los recursos y a la información y al uso correcto
de los mismos, así como a la distribución de las responsabilidades entre los
usuarios. Se refiere más a la protección de la información almacenada.
Entre los tipos de controles lógicos que es posible incluir en una política de
seguridad podemos destacar los siguientes:
• Establecimiento de una política de control de accesos. Incluyendo
un sistema de identificación y autentificación de usuarios autorizados
y un sistema de control de acceso a la información.
• Definición de una política de instalación y copia de software.
• Uso de la criptografía para proteger los datos y las comunicaciones.
• Uso de cortafuegos para proteger una red local de Internet.
• Definición de una política de copias de seguridad.
• Definición de una política de monitorización (logging) y auditoria
(auditing) del sistema.
Dentro de las medidas lógicas se incluyen también aquellas relativas a las
personas y que podríamos denominar medidas humanas. Se trata de definir las
funciones, relaciones y responsabilidades de distintos usuarios potenciales del
sistema. Se trataría entonces de responder a preguntas tales como:
• ¿ A quién se le permite el acceso y uso de los recursos?
• ¿ Qué recursos puede acceder cada usuario y qué uso puede
hacer de ellos?
• ¿ Cuáles son las funciones del administrador del sistema y del
administrador de la seguridad?
• ¿ Cuáles son los derechos y responsabilidades de cada usuario?
A la hora de responder a las preguntas anteriores hemos de diferenciar cuatro
tipos fundamentales de usuarios. A cada tipo se le aplicará una política de control
de accesos distinta y se le imputaran distinto grado de responsabilidades sobre el
sistema:
• El administrador del sistema y en su caso el administrador de la
seguridad.
• Los usuarios del sistema.
• Las personas relacionadas con el sistema pero sin necesidad de
usarlo
• Las personas ajenas al sistema
Medidas administrativas
Las medidas administrativas son aquellas que deben ser tomada por las personas
encargadas de definir la política de seguridad para ponerla en práctica, hacerla
viable y vigilar su correcto funcionamiento. Algunas de las medidas administrativas
fundamentales a tomar son las siguientes:
• Documentación y publicación de la política de seguridad y de las
medidas tomadas para ponerla en práctica.
• Debe quedar claro quien fija la política de seguridad y quien la pone
en práctica.
• Establecimiento de un plan de formación del personal.
Los usuarios deben tener los conocimientos técnicos necesarios
para usar la parte del sistema que les corresponda. Este tipo de
conocimiento son fundamentales para evitar toda una serie de fallos
involuntarios que pueden provocar graves problemas de seguridad.
Los usuarios deben ser conscientes de los problemas de seguridad
de la información a la que tienen acceso.
Los usuarios deben conocer la política de seguridad de la empresa y
las medidas de seguridad tomadas para ponerla en práctica. Además
deben colaborar, a ser posible voluntariamente, en la aplicación de
las medidas de seguridad.
Los usuarios deben conocer sus responsabilidades respecto al uso
del sistema informático, y deben ser conscientes de las
consecuencias de un mal uso del mismo.
Medidas legales
Se refiere más a la aplicación de medidas legales para disuadir al posible atacante
o para aplicarle algún tipo de castigo a posteriori.
Este tipo medidas trascienden el ámbito de la empresa y normalmente son fijadas
por instituciones gubernamentales e incluso instituciones internacionales. Un
ejemplo de este tipo de medidas es la LORTAD (Ley Orgánica de Regulación del
Tratamiento Automatizado de Datos de Carácter Personal). Esta ley vincula a
todas las entidades que trabajen con datos de carácter personal, define las medias
de seguridad para su protección y las penas a imponer en caso de su
incumplimiento.
[SIP]
6.2 SEGURIDAD EN INMUEBLES E INSTALACIONES
Existen dos tipos de activos en un Centro de Cómputo. Los equipos físicos y la
información contenida en dichos equipos. Estos activos son susceptibles de robo o
daño del equipo, revelación o destrucción no autorizada de la información
clasificada, o interrupción del soporte a los procesos del negocio, etc.
El valor de los activos a proteger, está determinado por el nivel de clasificación de
la información y por el impacto en el negocio, causado por pérdida o destrucción
del Equipo o información. Hay que distinguir los activos en nivel clasificado y no
clasificado. Para los de nivel no clasificado, no será necesario control. Cualquier
control debe basarse únicamente en el valor del equipo y servicios que ellos
prestan.
En cambio tratándose de nivel clasificado, deben observarse además todas la
medidas de seguridad de la información que estos equipos contengan.
EN RELACION AL CENTRO DE COMPUTO


Es recomendable que el Centro de Cómputo no esté ubicado en las áreas
de alto tráfico de personas o con un alto número de invitados.
Hasta hace algunos años la exposición de los Equipos de Cómputo a
través de grandes ventanales, constituían el orgullo de la organización,
considerándose necesario que estuviesen a la vista del público, siendo















constantemente visitados. Esto ha cambiado de modo radical,
principalmente por el riesgo de terrorismo y sabotaje.
Se deben evitar, en lo posible, los grandes ventanales, los cuales además
de que permiten la entrada del sol y calor (inconvenientes para el equipo de
cómputo), puede ser un riesgo para la seguridad del Centro de Cómputo.
Otra precaución que se debe tener en la construcción del Centro de
Cómputo, es que no existan materiales que sean altamente inflamables,
que despiden humos sumamente tóxicos o bien paredes que no quedan
perfectamente selladas y despidan polvo.
El acceso al Centro de Cómputo debe estar restringido al personal
autorizado. El personal de la Institución deberá tener su carné de
identificación siempre en un lugar visible.
Se debe establecer un medio de control de entrada y salida de visitas al
centro de cómputo. Si fuera posible, acondicionar un ambiente o área de
visitas.
Se recomienda que al momento de reclutar al personal se les debe hacer
además exámenes psicológicos y médico y tener muy en cuenta sus
antecedentes de trabajo, ya que un Centro de Cómputo depende en gran
medida, de la integridad, estabilidad y lealtad del personal.
El acceso a los sistemas compartidos por múltiples usuarios y a los
archivos de información contenidos en dichos sistemas, debe estar
controlado mediante la verificación de la identidad de los usuarios
autorizados.
Deben establecerse controles para una efectiva disuasión y detección, a
tiempo, de los intentos no autorizados de acceder a los sistemas y a los
archivos de información que contienen.
Se recomienda establecer políticas para la creación de los password y
establecer periodicidad de cambios de los mismos.
Establecer políticas de autorizaciones de acceso físico al ambiente y de
revisiones periódicas de dichas autorizaciones.
Establecer políticas de control de entrada y salida del personal , así como
de los paquetes u objetos que portan.
La seguridad de las terminales de un sistema en red podrán ser
controlados por medios de anulación del disk drive, cubriéndose de esa
manera la seguridad contra robos de la información y el acceso de virus
informáticos.
Los controles de acceso, el acceso en sí y los vigilantes deben estar
ubicados de tal manera que no sea fácil el ingreso de una persona extraña.
En caso que ingresara algún extraño al centro de Cómputo, que no pase
desapercibido y que no le sea fácil a dicha persona llevarse un archivo.
Las cámaras fotográficas no se permitirán en ninguna sala de cómputo,
sin permiso por escrito de la Dirección.
Asignar a una sola persona la responsabilidad de la protección de los
equipos en cada área.
El modelo de seguridad a implementar, estará basado en el entorno y en
la política y estrategias de la instalación.
6.3. AREAS RESTRINGIDAS Y AREAS DE TRABAJO
La seguridad del centro y de los laboratorios de computo, esta basada en el
control de todos los puntos de entrada y salida no solo del propio laboratorio o
centro de computo, sino de las instalaciones en donde se ubican, por lo que
deben estar siempre debidamente controlados para evitar el acceso de personas
no autorizadas o en caso de una eventualidad facilitar la evacuación del personal.
Él área donde se guarda el software, respaldos, papelería, etc., Se consideran
como áreas de acceso restringido y preferentemente se controlaran por un
sistema automático de control de acceso.
6.4 CONTROLES DE ACCESO
El personal del laboratorio y/o del centro de computo es responsable del control y
acceso de proveedores, contratistas, personal de servicio y visitantes, así como de
los recursos
( equipo de computo, suministros, documentos, medios de
computo, etc. ) que entren o salgan. Los empleados tienen la autoridad de ejercer
los procedimientos de seguridad y control de acceso al centro y/o laboratorio en
cualquier momento durante su turno.
control de acceso del personal
El personal del centro de computo y/o del laboratorio debe cumplir con el horario
de trabajo que se le ha indicado y no se le permitirá el acceso fuera de las horas
que labora, los empleados deberán llegar a tiempo al iniciar su turno. El empleado
chocara en su tarjeta de registro la hora de entrada, así como la de salida. Con
este procedimiento se llevara un mejor control de los empleados que se
encuentran en el centro y/o laboratorio.
control de recursos
El vocal de informática, el coordinador de cómputo administrativo, los jefes de
arrea y empleados tienen la responsabilidad compartida de asegurar que los
bienes del centro (equipo de computación y sus accesorios, equipo de
comunicación, paquetes de documentos, listas impresas, documentos bancarios,
documentación oficial y suministros) sean guardados, que estén disponibles para
las operaciones, y que no sean desperdiciados, mal usados o reemplazados. Para
lograr esto, seguirán los procedimientos de control de bienes y recursos para
hacer el seguimiento del movimiento del material, su circulación, uso y salida.
 Materiales de computación
Cartuchos y disquetes de computación (software) serán guardados y
controlados por el vocal y/o el coordinador de computo administrativo.
 Equipo
Equipo de computación y de comunicaciones, repuestos y herramientas
serán guardadas y controladas por el personal de operación.
 Suministros
Los suministros serán guardados y controlados por el coordinador de
computo y los responsables de los laboratorios de computo.
Mecanismos de control de accesos
Los mecanismos son la materialización o implementación práctica de los modelos.
Esta materialización puede producirse tanto por software como por hardware.
Los mecanismos deben monitorizar todos los accesos a los objetos, así como el
desarrollo de todos los comandos que otorgan, transfieren o revocan los derechos
sobre los mismos.
Por defecto un mecanismo tan sólo debe permitir (P) los accesos autorizados (A)
por el modelo (P=A). Y en todo caso puede tratarse de un sistema sobreprotegido
en el que (P≤ A), es decir, en el que no se permite alguno de los accesos
autorizados por el modelo.
Existen una serie de principios para el diseño de mecanismos de control de
accesos que pueden resumirse del siguiente modo:
1. Menor privilegio
2. Economía de mecanismos. Se trata de utilizar el mínimo número
de mecanismos y de que éstos sean lo más sencillos posible. Ésto
hace más fácil su diseño, utilización y mantenimiento. Además los
hace más fiables al existir menos posibilidad de defectos o
"agujeros" en los mismos.
3. Diseño abierto. Su diseño debe ser público y su seguridad debe
depender de unos pocos parámetros. No debe buscarse la seguridad
mediante la oscuridad o la dificultad.
4. Mediación completa. No puede soslayarse el mecanismo. Todo
acceso debe ser verificado y permitido por él.
5. Separación de privilegios. Los accesos deben satisfacer varias
condiciones para ser permitidos. Deben pasar varios filtros y
aplicarse el principio de defensa en profundidad. Por ejemplo, el
acceso a la información puede depender de un mecanismo de
identificación+autentificación, y adicionalmente dl conocimiento de
una clave criptográfica.
6. Menor número de mecanismos comunes. Debe reducirse el grado
de compartición de la información.
7. Sencillez de uso. Cuanto más fácil sea de usar un mecanismo
más cómodo se hará el trabajo de los usuarios y menos tentados
estarán estos a intentar esquivarlo.
En los siguientes apartados vamos a describir brevemente algunos de los
mecanismos de control de accesos más extendidos.
1. Directorio
Utilizando este mecanismo cada sujeto tiene un directorio que lista los ficheros a
los que tiene acceso con sus correspondientes derechos. El propietario tiene todos
los derechos de acceso sobre sus ficheros, así como la capacidad de otorgarlos y
revocarlos. Cualquier modificación en los directorios debe ser realizada a través
del sistema operativo.
El mecanismo de permisos (r,w,x) utilizado en UNIX es una variación del
mecanismo de directorio.
Este mecanismo es el más simple, pero plantea tres dificultades:
• Si cada usuario debe tener una lista de todos los ficheros a los que
tiene acceso, esta puede ser enorme.
• La revocación de los derechos de acceso a un fichero debe
hacerse en todos los directorios en los que se encuentra.
• Pueden existir problemas de sinónimos si varios ficheros se llaman
del mismo modo.
2. Matriz de accesos
Se trata de implementar por software el modelo de matriz de accesos que se
describe en el apartado 2.6.2. Una vez implementada la matriz, cuando un sujeto
desea acceder a un objeto debe consultar la entrada correspondiente de la matriz
para ver si posee el derecho a hacerlo.
La implementación directa de este modelo supone el uso de mucha memoria y
tiempo de búsqueda debido a la gran dispersión de la matriz. Para solucionar
estos problema se utilizan listas de control de accesos o listas de potestades.
3. Lista de control de accesos
En las listas de control de accesos cada objeto tiene asociada una lista
conteniendo los sujetos que tienen algún derecho de acceso sobre el mismo, así
como cuales son los derechos de acceso que posee.
Este mecanismo supone guardar las columnas de la matriz de accesos una vez
eliminadas las entradas nulas.
Su uso puede ser ineficiente si cada acceso (p.e. cada lectura y escritura) supone
explorar la lista. Algunos sistemas tan sólo estudian los derechos existentes
cuando el sujeto abre o cierra el objeto (p.e. un fichero).
En algunas versiones de UNIX (HP-UX) se implementa este mecanismo además
del de protección clásica mediante permisos (ver práctica 1).
4. Lista de potestades
En este mecanismo cada sujeto tiene asociada una lista de potestades. Cada
potestad es un par objeto-derechos de acceso, y puede equipararse a un ticket
que da a un sujeto unos determinados derechos sobre el objeto.
Este mecanismo supone guardar las filas de la matriz de accesos una vez
eliminadas las entradas nulas.
Cuando un sujeto quiere acceder a un objeto, consulta su lista de potestades y
comprueba si este objeto está incluido en la misma y si posee los derechos
necesarios para realizar las operaciones que pretende.
Algunos sistemas operativos como el MULTICS combinan ambos tipos de listas.
En principio tan solo existen las listas de control de accesos. Cuando un sujeto
accede al sistema su lista de potestades se encuentra vacía. Cada vez que el
sujeto accede a un objeto al que tiene derecho, se añade una potestad a su lista
que se mantiene en memoria y desaparece cuando el sujeto sale del sistema.
En principio las listas de potestades tienen cierta similitud con el mecanismo de
directorio. Sin embargo su modo de uso es totalmente distinto.
El directorio contiene siempre todos los objetos accesibles por el sujeto y se
almacena en memoria, lo que lo hace bastante inmanejable.
La lista de potestades es mucho más reducida:
• Para usuarios tan sólo contiene en cada momento las potestades
de objetos que se hayan intentado acceder desde que se entró en la
máquina.
• Para procesos contiene las potestades de los objetos que vaya a
acceder durante su ejecución.
Así, pueden añadirse potestades dinámicamente desde la matriz de accesos o la
lista de control de accesos. Éstas se guardan en memoria secundaria, mientras
que la lista de potestades puede guardarse en una zona protegida de memoria.
Esta forma de funcionar la hace mucho más eficiente que el mecanismo de
directorio.
5. Mecanismo llave-cerradura
En este mecanismo cada sujeto tiene asociada una lista de pares (objeto, llave).
Cada objeto tiene asociada un lista de pares (cerradura, derechos de acceso).
Cuando un sujeto quiere acceder a un objeto:
1. Presenta el par (objeto, llave) y el tipo de acceso deseado
2. Si la llave coincide con la cerradura del objeto, y el derecho pedido
se encuentra en el par, se permite el acceso.
Este mecanismo se utilizaba por ejemplo en la gestión de memoria del sistema
IBM/370.
[SPI]
6.5 PROTECCIÓN DE INFORMACIÓN EN MEDIOS MAGNÉTICOS E
IMPRESOS
Recomendaciones para el mantenimiento de Cintas Magnéticas y Cartuchos.
Las cintas magnéticas y cartuchos deben guardarse bajo ciertas condiciones, con
la finalidad de garantizar una adecuada conservación de la información
almacenada.
Cintas Magnéticas
a. La temperatura y humedad relativa del ambiente en que se encuentran
almacenados deben estar en el siguiente rango:
Temperatura : 4ºC a 32ºC
Humedad Relativa : 20 % a 80 %
b. El ambiente debe contar con aire acondicionado.
c. Las cintas deben colocarse en estantes o armarios adecuados.
d. Deberá mantenerse alejados de los campos magnéticos.
e. Se les debe dar un mantenimiento preventivo en forma periódica a fin de
desmagnetizar impurezas que se hayan registrado sobre ellas.
Cartuchos:
a. La temperatura y humedad relativa del ambiente en que se encuentran
almacenados deben estar en el siguiente rango:
Temperatura : 16ºC a más
Humedad Relativa : 20 % a 80 %
b. La temperatura interna del Drive puede oscilar entre: 5ºC a 45ºC.
c. Deben ser guardados dentro de su caja de plástico.
d. Deben mantenerse alejados de campos magnéticos.
Recomendaciones para el mantenimiento de Discos Magnéticos
Las recomendaciones para el buen mantenimiento de los discos magnéticos son:
a. En general los discos magnéticos son medios de almacenamiento
"delicados", pues si sufren un pequeño golpe puede ocasionar que la
información se dañe o producir un CRASH al sistema.
b. El cabezal de lectura-escritura debe estar lubricado para evitar daños al
entrar en contacto con la superficie del disco.
c. Se debe evitar que el equipo sea colocado en una zona donde se
acumule calor, ya que el calor interfiere en los discos cuando algunas
piezas se dilatan más que otras, o se secan los lubricantes. Con ello se
modifican la alineación entre el disco y los cabezales de lectura-escritura,
pudiéndose destruir la información.
d. Las ranuras de los ventiladores de refrigeración deben estar libres.
e. Se debe evitar, en lo posible, la introducción de partículas de polvo que
pueden originar serios problemas.
Recomendaciones para el mantenimiento de los Discos Duros.
Aunque el conjunto de cabezales y discos viene de fábrica sellado
herméticamente, debe evitarse que los circuitos electrónicos que se encuentran
alrededor se llenen de partículas de polvo y suciedad que pudieran ser causa de
errores.
El ordenador debe colocarse en un lugar donde no pueda ser golpeado, de
preferencia sobre un escritorio resistente y amplio.
Se debe evitar que la microcomputadora se coloque en zonas donde haya
acumulación de calor. Esta es una de las causas más frecuentes de las fallas de
los discos duros, sobre todo cuando algunas piezas se dilatan más que otras.
No se debe mover la CPU conteniendo al disco duro cuando esté encendido,
porque los cabezales de lectura-escritura pueden dañar al disco.
Una de las medidas más importantes en este aspecto, es hacer que la gente tome
conciencia de lo importante que es cuidar un microcomputador.
Recomendaciones para el mantenimiento de Disquetes
Las recomendaciones que a continuación se sugieren se aplican en general para
los diferentes tipos de disquetes: de 5 ¼" y 3 ½" de alta y baja densidad en ambos
casos.
a. Debe mantenerse a una temperatura normal, en un rango comprendido
entre los 10ºC y 52ºC, con la finalidad de evitar que se deteriore el material
del cual está hecho.
b. Para coger el disquete debe hacerse por la parte plástica y nunca por la
parte física interna, debido a que por su tecnología, el proceso de
almacenamiento es magnético y el cuerpo humano ejerce cierta fuerza
magnética y puede desmagnetizarse.
c. De manera similar, no debe acercarse a los disquetes ningún cuerpo con
propiedades magnéticas (como los imanes), ya que podrían provocar la
pérdida irrecuperable de los datos ya almacenados.
d. Cuando se esté grabando o borrando información no se debe levantar la
compuerta del disk drive (disquete de 5 ¼") o presionar el botón (disquete
de 3 ½"), porque puede ocurrir que no sólo se dañe la información restante,
sino también el formato lógico, tomándolos como bloques de sectores
dañados.
e. Los disquetes deben mantenerse en sus respectivas fundas y en su
manipuleo se debe evitar:
* Doblar los disquetes
* Colocar un peso sobre ellos, debiendo mantenerse en zonas libres.
* Tratarlos como una placa simple de plástico, es decir, no se debe usar
clips o grapas para unirlos con otros materiales (hojas u otros disquetes).
Respecto a la Administración de la Cintoteca:

Debe ser administrada bajo la lógica de un almacén. Esto implica ingreso
y salida de medios magnéticos (sean cintas, disquetes cassetes, cartuchos,
Discos remobibles, CD's, etc.), obviamente teniendo más cuidado con las
salidas.



La cintoteca, que es el almacén de los medios magnéticos (sean cintas,
disquetes cassetes, cartuchos, Discos remobibles, CD's, etc.) y de la
información que contienen, se debe controlar para que siempre haya
determinado grado de temperatura y de la humedad.
Todos los medios magnéticos deberán tener etiquetas que definan su
contenido y nivel de seguridad.
El control de los medios magnéticos debe ser llevado mediante
inventarios periódicos.
Respecto a la Administración de Impresoras:



Todo listado que especialmente contenga información confidencial, debe
ser destruido, así como el papel carbón de los formatos de impresión
especiales.
Establecer controles de impresión, respetando prioridades de acuerdo a la
cola de impresión.
Establecer controles respecto a los procesos remotos de impresión.
6.6 PROTECCIÓN A OTROS ACTIVOS INFORMÁTICOS
Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entre las
teclas, puede causar un cruce de función.
Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10cm. Para
asegurar así una ventilación mínima adecuada.
Mouse. Poner debajo del mouse una superficie plana y limpia, de tal manera que
no se ensucien los rodillos y mantener el buen funcionamiento de éste.
Protectores de pantalla. Estos sirven para evitar la radiación de las pantallas a
color que causan irritación a los ojos.
Impresora. El manejo de las impresoras, en su mayoría, es a través de los
botones, tanto para avanzar como para retroceder el papel.
Caso Epson FX-1170/LQ-1070 no usar rodillo cuando esté prendido.
Caso Epson DFX-5000/8000 tratar con cuidado los sujetadores de papel y no
apagar de súbito, asegurarse que el ON LINE esté apagado, así evitaremos
problemas de cabezal y sujetador.
Caso de mala impresión, luego de imprimir documentos o cuadros generados,
apagar por unos segundos la impresora para que se pierda el set dejado.
Mantener Las Areas Operativas Limpias Y Pulcras
Todas las razones para mantener las áreas operativas limpias y pulcras son
numerosas, para enunciarlas aquí. Sin embargo, algunos de los problemas que
usted puede evitar son: el peligro de fuego generado por la acumulación de
papeles bajo el falso piso, el daño potencial al equipo por derramar el café, leche o
chocolate en los componentes del sistema, el peligro de fuego que se presentan
por el excesivo almacenamiento de hojas continuas, el peligro por fumar y las
falsas alarmas creadas por detectores de humo. Estos son solamente algunos de
los problemas encontrados en las áreas operativas con reglas poco estrictas de
limpieza.
6.6.1 DISPOSITIVOS DE DETECCIÓN DE INTRUSIÓN
La multinacional Internet Security Systems ha liderado en el 2000 el mercado
mundial de soluciones de software de Detección de Intrusos y Análisis de
Vulnerabilidades con un 33% de dicho mercado, según ha señalado recientemente
la consultora IDC en su último informe.
El estudio llevado a cabo por IDC, bajo el título Minding the Store: Intrusion
Detection and Vulnerability Assesment Market Forecast and Analysis Update,
2000-2005, desprende que el total del mercado de IDnA (Análisis de
Vulnerabilidades y Detección de Intrusos) experimentará entre el 2000-2005 un
crecimiento anual medio del 23%.
IDC ha desglosado este mercado global en cinco segmentos: Detección de
Intrusos en redes, Detección de Intrusos en servidores, Análisis de
Vulnerabilidades de redes, Análisis de Vulnerabilidades de servidores y
Dispositivos Hardware para la detección de intrusos.
Según este estudio, Internet Security Systems es una de las pocas compañías
que posee cuota de mercado en las cuatro categorías de software de IDnA, con su
Plataforma de Protección RealSecure.
En el análisis de este año del global del mercado de IDnA, la compañía Internet
Security Systems ha aumentado un 73% con respecto al ejercicio anterior.
Teniendo en cuenta la segmentación que hace IDC en cinco categorías, ISS ha
crecido un 331% en el mercado de Detección de Intrusos en servidores y un 164%
en Análisis de Vulnerabilidades.
ISS también mantiene el liderazgo en el segmento de IDnA basado en redes,
consiguiendo un 51% del mercado de la Detección de Intrusos y el 48% del
mercado de Análisis de Vulnerabilidades.
Tom Noonan, Presidente y CEO de Internet Security Systems, explica que "ISS,
desde su creación en 1994, ha estado comprometida en desarrollar la mejor
tecnología que ayude a proteger las infraestructuras de información de nuestros
clientes. Por ello promovemos la innovación de las soluciones de IDnA para
ofrecer una única y escalable plataforma que reúna detección de intrusos, análisis
de vulnerabilidades, bloqueo activo de ataques y detección de códigos maliciosos
en un sistema centralizado de gestión para proteger redes, servidores y
terminales".
El estudio de IDC concluye que el mercado de Análisis de Vulnerabilidades y
Detección de Intrusos continuará creciendo, y se augura un aumento anual del
23% entre 2000 y 2005, teniendo en cuenta que las amenazas para la seguridad
de redes y servidores permanecerán a un nivel alto.
Otro ejemplo de dispositivos detección de intrusos son los siguientes:
 nCircle Network Security
nCircle Network Security (antes Hiverworld) provee una amplia cobertura de
seguridad en red, yendo más allá de la detección de intrusos para ofrecer un
sistema de prevención de intrusiones inteligente. Su solución IP360,
pendiente de patente, examina las vulnerabilidades de forma continua, sin
invasiones, se combina con la monitorización completa del tráfico y el análisis
de intrusiones. nCircle ha escogido el sistema operativo OpenBSD para su
Sensor de Escaneos, Sensor de Intrusiones y Máquina de Consola que
funcionan todos en una aplicación de red segura.
 Enterasys Networks
Enterasys Networks (han adquirido Network Security Wizards) produce la
familia de productos de Dragon IDS para OpenBSD. Dragon Sensor es un
sistema de detección de intrusos que puede operar con más de 1.200 firmas.
Las firmas identifican todas las fases de la red que estén siendo mal usadas,
incluidos sondeos, ataques y posibles peligros reales. Dragon Squire lleva a
cabo una IDS («detección de intrusos»t;) en la máquina anfitriona que incluye
la monitorización mediante MD5 de ficheros claves del sistema y el análisis de
los registros del sistema. Dragon Server incluye un amplio abanico de
herramientas de análisis a tiempo real y a posteriori, y también incluye
correlación de vulnerabilidades a tiempo real de sucesos de intrusión
detectados por Dragon y basados en informes de Nessus.
6.6.2 DISPOSITIVOS DE DETECCIÓN DE MOVIMIENTO, SENSORES Y
ALARMAS
Sistemas Automaticos Antifuego
a) Sprinklers. Es un sistema ''Tipo Ducha». La instalación de este sistema se
efectúa en la parte superior del ambiente, como el techo.
Cuando se activa el sprinklers se abren las válvulas y como si fuera una ducha,
cae el agua al lugar donde los detectores de humo y/o calor detectan la señal de
incendio.
Este sistema es bastante eficaz para combatir un posible incendio, pero no es
recomendable en los departamentos con equipos de cómputo, ya que este
sistema puede dañar los equipos, además de ser el agua un excelente conductor
de la electricidad.
b) Inundación del área con gas. Otro de los métodos muy eficaces para combatir
el fuego es la inundación del área con gas antifuego. En una emergencia por
fuego, el área se inunda con un determinado gas como:
 Dióxido de Carbono,
 Halón.
Este sistema no causa daño al equipo, pero el personal tiene que abandonar el
lugar con rapidez, porque este tipo de gas quita el oxígeno, por tanto las personas
no pueden respirar y consecuentemente, causar la muerte por ahogamiento.
Extinguidores Manuales
Cuando no se cuenta con sistemas automáticos antifuego y se vea o perciba
señales de fuego, entonces se debe actuar con rapidez para poder sofocar el
incendio. Para ello, se debe tener en cuenta el material que está siendo
consumido por el fuego. Para cada tipo de situación hay un agente antifuego ideal,
así tenemos:
GAS
CARBONICO
ESPUMA
(CO
2)
PAPEL, MADERA
este tipo de
apaga
material
que deja brasa solamente
en la sofoca
o ceniza requiere
supe
un
rficie
agente que moje
o enfríe.
AGUA
excelente
enfría y
empap
a
apaga
totalme
nte
excelente
EQUIPAMIENTO
ELECTRICO
no
deja
resid
uos,
no
daña
conduce la
el
electricidad y
conductora de
equi
además daña el electricidad.
pami
equipo.
ento
y no
es
cond
uctor
de
elect
ricid
ad
LIQUIDOS INFLAMABLES
Excelente;
(aceites,
Bueno; no deja produce una
gasolina, grasa,
residuos y es sábana de
etc.) , requieren
inofensivo
espuma que
acción rápida de
sofoca y enfría.
sofocar y enfriar.
MATERIAL
CO2
POLVO
QUIMICO
ESPUMA
AGUA - GAS
MODO DE OPERARLOS
1.- Retirar la traba de seguridad
2.- Asegure firmemente el mango difusor
3.- Apretar el gatillo
4.- Oriente el chorro hacia la base del fuego
haciendo un barrido.
Alcance: 1 a 2 metros.
Substancia: Bióxido de carbono
Momento del Recargo: Pérdida del 10% o mas del
peso.
1.- Abra la ampolla de gas.
2.- Asegure firmemente el mango difusor.
3.- Apretar el gatillo.
4.- Oriente el chorro de manera de crear una cortina
de polvo sobre el fuego.
Alcance: 2 a 4 metros
Substancia: Polvo Químico seco y CO2 producido
por el contacto del polvo con el fuego
Momento del Recargo: Pérdida de peso de la
ampolla superior al 10%
1.- Inversión del aparato para abajo
2.- Oriente el chorro para la base del fuego
Alcance: 9 a 18 metros
Substancia: Espuma formada por burbujas
consistentes llenas de CO2
Momento del Recargo: Anualmente
Simple maniobra de apertura de la ampolla de CO2 que sirve
de propagador.
Alcance: 9 a 20 metros.
Substancia: Agua
Momento del Recargo: Anualmente
Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su
uso. Ellos deben recibir algunas lecciones de instrucciones en el mecanismo de
lucha contra el fuego y luego, estar enseñados de cómo operar el extinguidor de
mano.
Si hay sistemas de detección de fuego que activaron el Sistema de Extinción, todo
el personal de esa área debe estar entrenado en la forma cómo usarlos. Es muy
importante que todo el personal reciba la instrucción de no interferir con este
proceso automático y evitar su actuación en el sistema de extinción, a menos que
estén seguros que no hay fuego.
Muchas veces la sensibilidad de comienzo de fuego en los aparatos de detección
es muy alta. Esto genera falsas alarmas y el personal de operación se acostumbra
a detener el sistema automático de extinción de fuego, sin observar realmente si
hay incendio.
Cuidado al seleccionar e implementar detector de fuegos y sistema de
extincion y su conexion si es efectuada con fuerza electrica.
El detector de fuego y el sistema de extinción deben ser seleccionados e
instalados, con la mejor información de la tasación del riesgo, el costo y los
posibles orígenes de fuego.
También, considerar cómo estos sistemas de detección y extinción pueden ser
integrados a su fuerza eléctrica. Esto ahorraría el costo de la instalación inicial y
con algunos sistemas de extinción, daños por agua en el caso de fuego.
Una consideración más contra el incendio estaría dada por el uso de paredes
protectoras de fuego alrededor de las áreas que se desea proteger del incendio,
que podría originarse en las áreas adyacentes.
Proteja su sistema contra daños de humo
El humo, en particular la clase que es principalmente espeso, negro y de
materiales especiales, puede ser muy dañino y requiere una lenta y costosa
operación de limpieza.
La mayoría de humos que llegan y dañan el Sistema de Procesamiento de Datos,
son originados por fuegos externos al Centro de Procesamiento de Datos. Es
frecuente introducirlos en el Centro, a través del sistema de aire acondicionado.
Se debe examinar el potencial del problema y tomar las medidas apropiadas para
operar reguladores e impedir la entrada de humo. Colocando adecuadas cubiertas
plásticas para todo el equipo, escritorios y cabinas, puede ayudar a reducir el daño
ocasionado por el humo y/o agua.
Se consigue sacar el humo del área de sistemas, tan rápido como sea posible, con
el uso de diferentes ventiladores. Estos son provechosos luego de que la
generación o ingreso del humo ha sido eliminado.
Mantener buenas relaciones con el departamento local de bomberos
Conseguir información con el Departamento local de Bomberos, antes de que ellos
sean llamados en una emergencia. Hacer que el Departamento esté consciente de
las particularidades y vulnerabilidades del sistema por excesivas cantidades de
agua que provienen de arriba y la conveniencia de una salida para el humo, tanto
que minimice la cantidad de penetración al área de Procesamiento de Datos.
No es razonable anticipar que el Departamento de Bomberos puede estar
completamente enterado de la situación peculiar presentada por su particular
instalación. Ellos no podrían proporcionar intereses apropiados para la protección
del sistema de Procesamiento de Datos, si no se les ha dado la oportunidad de
revisarlo. Además, ellos pueden, usualmente, ofrecer excelentes consejos como
precauciones, los cuales deben ser tomados para prevenir incendios.
abastecimientos de papel
La plataforma de recepción, a menudo provee un fácil acceso a todos los servicios
de oportunidades para hacer entrega de materiales incendiarios, que puedan
destruir los servicios. Debe proveerse mucho cuidado para limitar el uso de
plataformas de recepción como un medio de acceso al edificio. Por consiguiente,
el abastecimiento de papel en demasía, de aquel que se necesita para satisfacer
los requerimientos inmediatos del Centro de Procesamiento de Datos, debe ser
almacenado en un lugar apropiado para proveer detección de fuego y servicios de
extinción.
EL AGUA
Otro de los peligros relevantes es el agua. El agua puede entrar en una sala de
computadores por varios conductos.
Computadores en sótanos o a nivel de calle son vulnerables a inundaciones, los
centros de computo también pueden quedar inundados por cañerías reventadas
en el suelo, falso techo o paredes.
Aunque realmente el agua es una amenaza para los componentes del computador
y cables, no constituye un verdadero peligro para las cintas magnéticas. Se ha
demostrado en pruebas, que cintas sumergidas en agua durante varias horas han
podido ser leídas de nuevo (libres de errores), después de secarlas durante dos
días. Si el agua, por si sola, no constituye un serio peligro y el calor por debajo de
120 grados no es perjudicial, ambos elementos juntos pueden causar serios
problemas.
Las cintas magnéticas pueden ser destruidas por temperaturas de sólo 54 grados
cuando la humedad relativa es del 85 por 100. Estas condiciones pueden
producirse fácilmente dentro de un coche cerrado en un día caluroso.
Proteja su Sistema Contra Daños Causados por el Agua
Daños por agua pueden ocurrir como resultado de goteos de la tapa del techo de
la torre de enfriamiento, goteo del techo, goteos de tuberías de techo y de
operaciones de sistemas de regadío en pisos sobre el Centro de Procesamiento
de Datos. Proteger el equipo, así como los muebles y cabinas contra agua y trazar
un plan para la rápida eliminación de algo de agua que podría entrar en el área.
Poner particular atención en la instalación de desagües bajo el piso construido
donde están instalados los sistemas de cables. La conveniencia de cubiertas
plásticas son inapreciables en la protección del equipo contra el agua, procedente
de filtraciones a través del techo.
6.6.3 ENERGÍA, AIRE ACONDICIONADO Y PROTECCIÓN CIVIL
Fallas en Infraestructura ( Servicios)
Instalaciones Electricas
Para que funcionen adecuadamente, las computadoras personales necesitan de
una fuente de alimentación eléctrica fiable, es decir, una que se mantenga dentro
de parámetros específicos. Si se interrumpe inesperadamente la alimentación
eléctrica o varía en forma significativa, fuera de los valores normales, las
consecuencias pueden ser serias. Pueden perderse o dañarse los datos que hay
en memoria, se puede dañar el hardware, interrumpirse las operaciones activas y
la información podría quedar temporal o definitivamente inaccesible.
Por lo general las computadoras personales toman la electricidad de los circuitos
eléctricos domésticos normales, a los que se llama tomas de corriente Esta
corriente es bastante fuerte, siendo una corriente alterna (ac), ya que alterna el
positivo con el negativo. La mayor parte de las computadoras personales incluyen
un elemento denominado fuente de alimentación, la cual recibe corriente alterna
de las tomas de corriente y la convierte o transforma en la corriente continua de
baja potencia que utilizan los componentes de la computadora.
La fuente de alimentación es un componente vital de cualquier computadora
personal, y es la que ha de soportar la mayor parte de las anomalías del
suministro eléctrico. Actualmente existe el concepto de fuente de alimentación
redundante, la cual entrará en operación si de detecta una falla en la fuente de
alimentación principal.
En nuestro medio se han podido identificar siete problemas de energía más
frecuente:
1. Fallas de energía.
2 . Transistores y pulsos.
3 . Bajo voltaje.
4 . Ruido electromagnético.
5. Distorsión.
6 . Alto voltaje.
7 . Variación de frecuencia.
Existen dispositivos que protegen de estas consecuencias negativas, los cuales
tienen nombres como:



UNINTERRRUPTIBLE POWER SISTEM.
Como Prever las Fallas que Generan Altas Temperaturas
Para entender algunas de las cosas que pueden dar problemas en los circuitos
eléctricos, puede servir de ayuda imaginarse que la electricidad llega desde la
central eléctrica hasta los enchufes de la oficina, sale por el hilo activo y a
continuación vuelve a la central a través del neutro, tras haber realizado su
trabajo. Los materiales a través de los cuales la electricidad fluye libremente, como
es el cobre de los cables de la oficina, se denominan conductores. La electricidad
es esencialmente perezosa, intentando volver a la central eléctrica lo mas
rápidamente posible a través de cualquier conductor disponible.
Lo que impide que la electricidad vuelva demasiado pronto es el aislamiento, el
cual impide el paso de la electricidad. La goma, el plástico y una gran cantidad de
materiales no metálicos son buenos aislantes. Por ejemplo la carcaza de algunas
computadoras está hecha de metal conductor, pero si se toca ésta no da una
descarga eléctrica, porque los aislantes mantienen la corriente dentro de los
componentes internos del sistema.
Sin embargo bajo ciertas condiciones extremas, como puede ser un voltaje muy
alto, incluso los mejores aislantes dejan de actuar, permitiendo que la corriente
fluya por donde no debería.
Las fallas en los circuitos eléctricos se producen a menudo por un aislante o un
conductor que no trabaja adecuadamente, generando inconvenientes, por lo
general, altas temperaturas. Existen formas de prever estas fallas y tecnologías
para minimizar el impacto de éstas; como por ejemplo:
a) Tomas de Tierra.
Se denomina así a la comunicación entre un circuito eléctrico y el suelo natural
para dar seguridad a las personas protegiéndolas de los peligros procedentes de
una rotura del aislamiento eléctrico. También se le llama puesta a tierra. La
comunicación con tierra se logra mediante la conexión de un circuito dado (toma
corriente) a un conductor en contacto con el suelo. Estas conexiones a tierra se
hacen frecuentemente por medio de placas, varillas o tubos de cobre enterrados
profundamente en la tierra húmeda, con o sin agregados de ciertos componentes
como carbón vegetal, sal o elementos químicos ("laborgel", etc), según
especificaciones técnicas indicadas para las instalaciones eléctricas.
Objetivo. El objetivo de una toma a tierra puede ser de distintos tipos. En la
práctica sirve para proteger de contactos accidentales las partes de una
instalación no destinada a estar bajo tensión y, para disipar sobretensiones de
origen atmosférico o de origen industrial, ya sea por maniobra o por pérdida de
aislamiento.
La toma a tierra limita la tensión que, con respecto a tierra, puede aparecer en
cualquier elemento conductor de una instalación y asegura con ello la correcta
actuación de los dispositivos de protección de la instalación eléctrica.
Funciones. La toma a tierra cumplirá las siguientes funciones:

alcanzar las masas metálicas.

los dispositivos de protección como : pararrayos, descargadores eléctricos
de líneas de energía o señal , así como interruptores diferenciales.

origen atmosférico u otro.
Partes. Todo sistema de Toma a tierra constará de las siguientes partes:

Tierra o Puesta a Tierra.



Mantenimiento. Las inspecciones deben realizarse anualmente, con el fin de
comprobar la resistencia y las conexiones. Es recomendable que esta labor se
efectúe en los meses de verano o en tiempo de sequía, con el fin de evaluarlas en
el momento más crítico del año por falta de humedad.
Es recomendable un mantenimiento preventivo de 3 a 4 años dependiendo de las
propiedades electroquímicas estables.
b) Fusibles
Al cablear la computadora, la carcaza normalmente se conecta a la tercera patilla
del cable de alimentación. En algunos casos, puede que la tierra se conecte
también al neutro. Si la electricidad pasara a través del aislante y llegase a la
carcaza, entonces pasaría directa desde el conductor de tierra hasta ésta.
Simultáneamente, esta derivación de electricidad aumentaría la intensidad de
corriente que va por el circuito. Este incremento puede ser detectado por un
fusible o un diferencial. Estos dos dispositivos están diseñados para interrumpir un
circuito si se sobrecargan (Un fusible debe ser sustituido tras fundirse, mientras
que un diferencial se debe restaurar tras saltar)
Si una parte de una computadora funde un fusible o hace saltar un diferencial,
primero se debe desconectar el equipo. A continuación debe desconectarse el
cable de alimentación que lleva al equipo y buscar la falla que ha hecho saltar el
fusible. Arreglado el problema, se puede volver a conectar el equipo. Vuelva a
encender el equipo, pero esté preparado para tener que apagarlo de nuevo, y
rápidamente, si el problema no se hubiera arreglado adecuadamente.
Entre las causas menos problemáticas para que se fundan los fusibles o salten los
diferenciales se encuentra la sobrecarga de un circuito eléctrico. Para corregir ésto
se necesita reorganizar la distribución de enchufes sobre las placas, distribuyendo
la carga de forma más uniforme.
Entre las fallas más serias, se incluyen los cables dañados de forma que el
aislante entre los conductores se ha roto. En los aparatos, los aislantes pueden
decaer o fundirse, dando lugar a cortocircuitos. Al sustituir los fusibles de una
computadora, se ha de tener cuidado que todos los equipos deben estar apagados
y desconectados antes de cambiar el fusible. No se debe olvidar que algunos
elementos del equipo, como es el caso de los monitores, pueden mantener una
carga de alto voltaje incluso, después de haberse apagado .
Debe asegurarse que el fusible de recambio es de la misma capacidad que el
fundido. Por ejemplo, si el fusible fundido viene marcado como de 2 amperios, no
se debe sustituir por uno de 3 amperios. Un fusible de 3 amperios dejará pasar 1
amperio más de intensidad de lo que fijó el diseñador del equipo. Si se siguen
fundiendo fusibles en el equipo, entonces hay algo que funciona mal.
No se apruebe las reparaciones de los fusibles, usando hilos de cobre o similares.
c) Extensiones Eléctricas y capacidades
Las computadoras personales a veces ocupan rápidamente todas las tomas de
corriente. Pocas oficinas se encuentran equipadas con las suficientes placas de
pared. Dado que es necesario conectar además algún equipo que no es
informático, es fácil ver que son muy necesarias las extensiones eléctricas
múltiples. El uso de estas extensiones eléctricas debe ser controlado con cuidado
por los responsables de las oficinas. No sólo para que no queden a la vista, sino
también porque suponen un peligro considerable para aquellos que tengan que
pasar por encima. Aparte del daño físico que puede provocar engancharse
repentinamente con el cable, se trata de una forma rápida y poco agradable de
desconectar un sistema completo.
Por razones de seguridad física y de trabajo se recomienda tener en cuenta las
siguientes reglas:

siempre que sea posible.

van a cruzar una zona de paso.

esto puede hacer que
pase más corriente de la que los cables están diseñados para soportar.
Utilice los enchufes de pared siempre que sea posible.

diferenciales. Esto puede ayudar a limitar el daño ante fallas eléctricas .

La mayor parte de ellas llevan los amperios que admite cada extensión, no
debiendo superar esta cifra el amperaje total de todos los aparatos
conectados a ellas.

capaces de trabajar tanto con enchufes de patas planas, como cilíndricas.

tener toma a tierra.
Caídas y Subidas de Tensión
Las caídas y subidas de tensión y los picos tienen un impacto negativo en todo
tipo de aparato electrónico, entre los que se incluyen las computadoras
personales, los monitores, las impresoras y los demás periféricos.
Lo que causa problemas en las computadoras personales son las grandes
oscilaciones en el voltaje. Por ejemplo, una caída por debajo de los 200V y una
subida por encima de los 240V. Si una caída dura más de una fracción de
segundo, puede generar una falta de alimentación a la memoria de acceso
aleatorio, con lo que los datos que allí se encuentren, pueden perderse o, como
mínimo, resultar desordenados. Es más, el efecto de la vuelta de la corriente a su
valor normal puede tener también efectos perniciosos.
Los efectos de una subida son difíciles de predecir, dependiendo hasta cierto
punto de la fuente de alimentación de la computadora. Esta tiene un efecto
moderador sobre subidas de la corriente, pero puede que no sea suficiente para
evitar cortes temporales en los circuitos que lleven a que se desordenen los datos
o incluso se dañen los circuitos impresos. Un comportamiento errático es el primer
síntoma de una subida de tensión.
Si se es cuidadoso, es bastante aconsejable medir el voltaje. Un típico multímetro
digital, dará una medición del voltaje si introduce sus terminales en el enchufe.
Si la lectura del voltaje continúa fluctuando, anote la medida más alta y la más
baja. Si se encuentran dentro de un margen del 5 por 100, alrededor del voltaje
esperado, probablemente no causará ningún problema. Si las oscilaciones se
encuentran fuera de este margen, puede ser recomendable pedir que un
electricista revise el cableado e invertir en algún equipo de acondicionamiento de
corriente (Estabilizadores de Voltaje).
a) Supresores de Subidas de Tensión
Una protección relativamente barata ante las subidas de tensión es un supresor de
subidas. Este es un dispositivo eléctrico situado entre la computadora personal y
la fuente de corriente. Incluye una circuitería electrónica que recorta el voltaje
cuando éste comienza a subir por encima de un nivel aceptable. El supresor de
subidas evita que las subidas de la corriente de alimentación peligrosas lleguen al
equipo.
La circuitería del supresor de subidas es bastante compacta, por lo que estas
unidades pueden encontrarse con distintas formas y tamaños. Cualquier buen
supresor de subidas de tensión debe contar con las siguientes características:



. Cualquier supresor de sobretensiones debe incluir un
ruptor del circuito, un conmutador rearmable que corta la alimentación si se
sobrecargan los circuitos (normalmente un switch). Este es el mínimo nivel
de protección para cualquier dispositivo, debiendo incluso la extensión
eléctrica múltiple más sencilla, de incluir uno. También cabe señalar el
hecho de que una extensión eléctrica múltiple tenga un ruptor, no lo
convierte en un supresor de sobretensiones. Se ha de señalar que si un
ruptor ha saltado, no se debe rearmar (apretar el switch) hasta que no se
haya determinado primero la causa que lo hizo saltar.
Protección separada. Muchos supresores de subidas de tensión ofrecen
varios puntos de conexión para conectar el sistema. El diseño de la unidad
debe proteger cada punto de conexión de forma separada. Con este diseño
es fácil que pueda hacer frente a subidas más grandes que con otro en que
simplemente se protege la línea que va al múltiple. La protección separada
también puede contribuir a reducir la interferencia de ruido entre los
distintos elementos conectados al mismo circuito de alimentación.
Medidas. Se puede encontrar distintas medidas relativas a los supresores
de subidas de tensión en la documentación que traen. Una medida básica
es la capacidad, en términos de la corriente total que el dispositivo está
diseñado para proteger. Esta medida tiene aquí el mismo significado que
para una extensión eléctrica múltiple. Si éste o el supresor presentan un
valor de 10 amperios, en ese caso el total de intensidad de todos los
equipos conectados al elemento no debe superar esa cantidad. El voltaje
de cierre inicial es la tensión a la que se produce el efecto de cierre de la
circuitería del elemento.
b) Picos
Una variación en la corriente más peligrosa y difícil de medir son los picos. Estos
consisten en una súbita subida de tensión a niveles muy altos. Muchos de estos
picos son causados por la conexión y desconexión de grandes aparatos eléctricos.
Los picos son de dos tipos distintos:


Los sucesos de modo normal se pueden medir entre los hilos activo y neutro del
circuito eléctrico del edificio. Los de modo común se miden entre el neutro y la
tierra.
Un pico en modo normal de gran magnitud puede dañar la fuente de alimentación
de la microcomputadora. Sin embargo, un pico en modo común de sólo unas
pocas docenas de voltios puede dañar los circuitos lógicos o producir errores entre
las computadoras.
Protección frente a Picos. Los circuitos supresores de sobretensiones ofrecen
buena protección frente a picos en modo normal, pero podría causar algunos de
modo común. Por ello, muchos supresores de sobretensión también poseen una
circuitería para bloqueo de picos separada, y se comercializan como protectores
para sobretensiones y picos.
Los criterios de adquisición de un protector ante picos son en gran parte los
mismos que los de los protectores ante sobretensiones, siendo normal y desable
que una misma unidad ofrezca protección ante ambos, aunque se debe
comprobar sus especificaciones para asegurarse. La capacidad de impedir que los
picos alcancen el equipo a veces se miden en julios.
Un julio es una medida de energía, la energía consumida durante cierto período de
tiempo, así por ejemplo, un producto puede venir con la especificación de que
suprime picos de 140 julios. También puede venir con una especificación en
amperios, como sería "picos de 140 julios a 6.500 amperios". Por lo general,
cuando mayor sea el voltaje - julios - amperios que el protector puede tratar, se
considera mejor.
Ruido Eléctronico
Las subidas y caídas de tensión y los picos no son el único problema eléctrico al
que se han de enfrentar los usuarios de computadoras. También está el tema del
Ruido, no se trata del que se puede oír, sino del ruido eléctrico que interfiere en el
funcionamiento de los componentes electrónicos.
Para describir el ruido se utilizan dos términos:


Este ruido se puede ver literalmente cuando se utiliza un taladro eléctrico cerca de
un televisor. El motor eléctrico del taladro hará que aparezcan líneas, nieve u otras
alteraciones en la pantalla. Una interferencia similar puede ser causada por las
bujías de un automóvil. También puede generarse interferencia de radio con
teléfonos inalámbricos que utilizan ondas de radio para comunicar entre la unidad
móvil y la base. No sólo la recepción de la TV, sino también la integridad de los
datos dentro de una computadora están en peligro ante éstas u otras fuentes de
interferencia.
Las computadoras personales corren el riesgo de sufrir tanto interferencias
externas como emisiones electromagnéticas y de radio creadas por las propias
computadoras. Muchos de los circuitos de una computadora generan EMI y RFI.
El ruido eléctrico también afecta a las transmisiones telefónicas. Se pueden
conseguir filtros para las líneas telefónicas que realizan transmisión de datos y fax.
En algunos casos, éstos vienen combinados con supresores de subidas de
tensión y picos. La línea de teléfono de la pared se acopla a la unidad supresora, y
a continuación se conecta el teléfono - modem - fax a la unidad, quedando la línea
telefónica filtrada y protegida.
El otro aspecto de los problemas de ruido con el teléfono es la interferencia de los
teléfonos con las computadoras personales.
Esto ocurría a menudo con los primeros teléfonos inalámbricos, pudiendo ser
necesario tener la unidad de base del teléfono inalámbrico lejos de la
computadora.
Protección ante el Ruido. Para proteger las computadoras de las interferencias
electromagnéticas y de radio frecuencia es necesario considerar lo siguiente:

Algunos supresores de subidas de tensión y picos están diseñados con una
circuitería que filtra el ruido de la fuente de alimentación. La supresión del ruido se
mide en decibeles.

Como regla general se puede decir que las computadoras personales y los
aparatos eléctricos de gran consumo no congenian. Cuando se instalan puestos
de trabajo con computadoras se debe intentar tenerlos lejos de estos equipos. Es
difícil suprimir la interferencia generada por las potentes corrientes que circulan
por estas máquinas, como son las grúas, ascensores, prensas de imprenta y los
soldadores eléctricos. En la mayor parte de las oficinas esto no es un problema,
otros aparatos de oficina, como son las fotocopiadoras, están normalmente
apantalladas. Sin embargo, los ascensores pueden ser un problema en los
edificios de oficinas, y el uso industrial de las computadoras crece rápidamente.
Por ello, en algunos casos será necesario encerrar la computadora personal en
una caja metálica, para protegerla de las interferencias del ruido eléctrico.

Un buen supresor de subidas de tensión y ruido, filtrará la interferencia por ruido
en la red entre los distintos componentes conectados a él. Sin embargo la carcaza
exterior de algunos componentes puede que no esté adecuadamente apantallada,
dando lugar a interferencias entre los dispositivos. Es útil no olvidar que los
problemas de incompatibilidad por ruido electromagnético aparecen de cuando en
cuando, incluso con productos del mismo fabricante.
Conmutación
Cuando se abren o cierran los conmutadores, algo de electricidad se escapa en
forma de chispa, corto, sobretensión o pico. Si se conecta y desconecta un
secador de pelo en una habitación oscura probablemente verá este fenómeno. Si
desenchufa el secador mientras está funcionando probablemente verá una chispa
en el enchufe.
Estas chispas pueden tener dos aspectos negativos sobre los sensibles equipos
de las computadoras. En primer lugar el pico, la subida brusca de voltaje frente a
la que nos protegen los protectores de picos.
El segundo efecto negativo de la conmutación es el tema mucho más complejo de
los armónicos, frecuencias eléctricas sustancialmente más altas que la corriente
que las ha producido.
La acción rápida del conmutador tiene el mismo efecto que el golpe con el dedo
que produce armónicos en la cuerda de una guitarra. La generación de estas
frecuencias no deseadas por un elemento del equipo, puede interferir con el
funcionamiento de un elemento próximo.
Los buenos protectores ante sobretensiones y picos que suministran tensión a
más de un elemento, ofrecerán algún tipo de aislamiento para cada elemento con
el objetivo de evitar este problema, algunas veces descrito como ruido.
Reglas para evitar problemas de conmutación. Se puede ayudar a evitar estos
problemas siguiendo las siguientes reglas:

No enchufar ni desenchufar aparatos eléctricos que estén encendidos

No enchufar ni desenchufar especialmente las computadoras, impresoras
y monitores.
A menudo estos aparatos poseen alguna forma de protección en sus circuitos de
conexión que no pueden actuar, si estando encendido el aparato, lo
desenchufamos o lo enchufamos. Debido a que conectar por separado cada
elemento del equipo puede ser una rutina desagradable, puede ser recomendable
utilizar un centro de conexión, una unidad con protección ante sobretensiones y
picos con diseño en forma de consola que alimenta a todos los elementos del
sistema
Garantizar el Suministro Eléctronico
Las caídas, subidas de tensión y los picos tienen un impacto negativo en todo tipo
de aparato electrónico, entre los que se incluyen las computadoras, monitores, las
impresoras y los demás periféricos.
Un corte de la alimentación de la unidad principal puede:

recién introducidos o recién editados que no se hayan grabado, se pierden.

información de importancia que necesita el sistema operativo, como puede
ser la localización de un archivo, dando como resultado que pierdan o
desorganicen archivos.

-escritura de la mayor
parte de los discos fijos se separa automáticamente del disco cuando se
desconecta la unidad, pero puede ocurrir en algunos sistemas que la
cabeza "aterrice" sobre la superficie del disco y la dañe, dando lugar a que
se pierdan datos e incluso, resulte dañado físicamente el disco.

procesos de impresión. En algunos casos se ha de volver a comenzar el
proceso de impresión.

que se estaban transfiriendo entre las computadoras deben de ser
comprobados para tener exactitud, y los archivos que se estaban
transmitiendo puede que haya que volver a transmitirlos.


tensión. Normalmente se desconectan los equipos cuando se va la
corriente, pero esto no siempre es posible. Cuando la empresa de
electricidad restaura el servicio, a menudo viene con picos que pueden
dañar los aparatos que no se hubieran desconectado.
a) U.P.S o S.A.I. (SISTEMA DE ENERGIA ININTE-RRUMPIBLE)
Energía de seguridad para un sistema de computación, cuando la energía
eléctrica de la línea se interrumpe o baja a un nivel de tensión inaceptable. El UPS
suministra electricidad a una PC (estación o servidor) cuando falla el fluido
eléctrico. Esta unidad hace transparente a las interrupciones de fracciones de
segundo que inevitablemente detiene a los sistemas y le permite seguir trabajando
durante varios minutos. Los pequeños sistemas UPS proveen energía de baterías
por sólo unos pocos minutos. Los sistemas más sofisticados están conectados a
generadores eléctricos y pueden proveer energía durante días enteros. Los
sistemas UPS proveen generalmente protección contra sobrecarga y pueden
proveer asimismo regulación de tensión.
Selección de un UPS. Al seleccionar un UPS se debe tener en cuenta los
siguientes factores principales:







Tecnologías de UPS. Mencionaremos las siguientes:

OFF-LINE, STAND BY (FUERA DE LINEA)


-LINE (EN VERDADERA LINEA)
UPS OFF LINE /FUERA DE LINEA.
El flujo normal de energía que abastece la carga en un UPS-off-Line, es a través
de un by-pass. Esta configuración utiliza un cargador tipo standby para cargar las
baterías después de una descarga, debido a que el inversor tipo standby
suministra energía a la carga después de una condición de pérdida o bajo voltaje.
Este tipo de sistema abastece la carga con energía eléctrica muy poco filtrada.
Durante una caída de tensión en la línea, el inversor actúa en tiempos de 3 y 4 ms.
y la carga es ahora abastecida por el inversor. La proximidad a una onda
sinusoidal de la energía que proporciona el inversor, dependerá totalmente del
diseño y tipo de éste, lo que redundará directamente en el costo del UPS. La señal
de salida del inversor en el UPS-off-line es generalmente onda cuadrada.
Ventajas:
Bajo costo debido, entre otras cosas, a la utilización de un pequeño cargador,
inversor mucho menos sofisticado y a la eliminación de la circuitería para el bypass.
La eficiencia normal de operación es alta (95-98%).
La mayoría de sus componentes tendrán bajo número de horas de operación.
La poca utilización de los componentes de los sistemas off-line, da como resultado
que éstos puedan ser contenidos en configuraciones físicas pequeñas.
Los transientes eléctricos que producen este tipo de UPS son aceptados por la
mayoría de cargas eléctricas poco sofisticadas, tales como las que contienen
fuentes de switcheo.
Desventajas:
Durante la operación normal, no hay acondicionamiento de energía.
Durante la caída o pérdida total de energía en la línea, la carga crítica es
transferida al inversor en un tiempo típico de 4ms., pudiendo existir en este
intervalo transientes que puedan afectar a cargas electrónicas sensitivas.
Tiempos mayores de recarga de sus baterías.
Los problemas en el inversor no pueden ser detectados hasta que el inversor esté
operando para dar soporte a la carga.
LINEA INTERACTIVA.
La tecnología de línea interactiva es básicamente la misma que la tecnología OFFLINE, con la diferencia que cuenta adicionalmente con un regulador automático de
voltaje (AVR). Durante la condición de bajo voltaje, el AVR lo incrementa a un
voltaje aceptable para la carga, disminuyendo así el número de veces que el
inversor actúa sobre las baterías.
Ventajas:
Menor precio que los equipos On-Line, debido a la utilización de un pequeño
cargador de baterías, un inversor menos sofisticado debido a la eliminación de la
circuitería para el by-pass.
Eficiencia normal de operación alta (95-98%).
El bajo uso de sus baterías extiende la vida útil de las mismas.
La mayoría de los componentes, igual que en los sistemas Off-Line, tendrán bajo
número de horas de operación.
Los transientes eléctricos que producen este tipo de UPS, son aceptados por la
mayoría de cargas eléctricas poco sofisticadas, tales como las que contienen
fuentes de switcheo.
Mejor filtrado de la línea debido a la utilización del AVR.
Onda sinusoidal tanto al trabajar con el AVR o el inversor.
Desventajas:
Durante la caída o pérdida total de energía en la línea, la carga crítica es
transferida al inversor en un tiempo típico de 4ms., pudiendo existir en este
intervalo transientes que puedan afectar a cargas electrónicas sensitivas.
Tiempos mayores de recarga de sus baterías.
Los problemas en el inversor no pueden ser detectados hasta que el inversor esté
operando para dar soporte a la carga.
TRUE ON LINE/EN VERDADERA LINEA.
El flujo normal de energía en un UPS True On Line, es a través del
rectificador/cargador y del inversor, para así soportar la carga crítica. Esta utiliza
circuitería especial de by-pass para los casos en que el inversor sea
sobrecargado, ya sea dentro de la operación normal o debido al exceso de
corriente que utilizan algunas cargas durante su arranque, y también para los
casos en que se requiera dar mantenimiento al UPS sin que sea necesario apagar
la carga.
Este tipo de sistema abastece la carga crítica con energía continua regulada y
acondicionada sin ninguna variación de voltaje o de frecuencia.
Durante la pérdida de tensión en la línea o al estar fuera del rango de tolerancia, el
inversor utilizará las baterías para abastecer de energía a la carga sin tiempo de
transferencia, debido a que el rectificador-cargador y las baterías operan
continuamente en paralelo y también, a que no hay switcheo involucrado para
hacer cambio de modo de operación normal al modo de descarga de baterías o
emergencia.
Ventajas:
Provee energía continua regulada y acondicionada a la carga crítica, dándole a
ésta la tensión sin variaciones en voltaje ni en frecuencia.
En esta tecnología no existe el requerimiento de intercambiar corriente alterna a
corriente directa y viceversa, durante una pérdida de energía en la línea o durante
el ciclo de descarga de baterías, por lo que elimina así la posibilidad de transientes
de conmutación que pueden afectar la carga.
La alta capacidad del rectificador-cargador produce entre otras cosas una carga
mucho más rápida de las baterías.
Proveen una salida de energía de excelente calidad para una operación adecuada
de la carga crítica conectada.
Las funciones independientes del rectificador-cargador, el inversor y el switch
estático en esta tecnología, producen una operación sumamente confiable del
UPS.
Mantenimiento:
Antes de instalar la unidad, se recomienda hacer una inspección ocular del estado
del equipo recepcionado, si no está en perfectas condiciones, deberá notificarse al
proveedor respectivo.
Escoger una localización que esté limpia y seca, donde la temperatura ambiental
no exceda de 35ºC. No colocar el UPS en un espacio cerrado donde el flujo de
aire esté restringido. Como el flujo de aire es de interés primordial, asegurarse de
que el área en que el UPS debe ser localizado no esté sujeto a la contaminación
de polvo, gases corrosivos, exceso de humedad, vapor de aceite u otras
sustancias combustibles.
Al limpiar el equipo, no usar líquidos o agentes de limpieza a base de aerosol. Se
puede mantener el UPS limpio y fresco, aspirando periódicamente los depósitos
de polvo alrededor de las rejillas de ventilación y limpiando la unidad con un paño
seco.
b) GRUPO ELECTROGENO
Máquinas que generan energía eléctrica, aprovechando la energía máxima
producida por máquinas de combustión interna.
Una planta generadora ideal, deberá tener el rendimiento y capacidad adecuada
para alcanzar los requerimientos de carga que va a soportar. Esta hará que no
tenga capacidad excesiva o funciones innecesarias que incrementarían el costo
inicial y el costo de operación.
Para obtener el rendimiento y la confiabilidad adecuada, se recomienda que se
declare las especificaciones en términos de rendimiento deseado, en vez de
intentar especificar un determinado tamaño, tipo o marca de equipo.
Es necesario mencionar que el circuito de generación eléctrica produce extraños
voltajes y corrientes en el circuito de comunicación telefónica. Esto puede ser
peligroso para las personas o puede dañar los aparatos o interferir las
comunicaciones. Por eso, se debe evitar la proximidad de un grupo electrógeno
con los circuitos telefónicos y proteger éstos con dispositivos que eviten los
peligros y la interferencia.
Tablero de Control. El tablero de control debe ser diseñado de acuerdo al voltaje y
corriente que se propone soportar, y debe ser equipado con los dispositivos
necesarios de protección contra fallas para proteger al generador de daños,
cuando hay fallas o sobrecargas en el sistema.
Mantenimiento.
La limpieza con paño seco puede ser satisfactoria cuando los componentes son
pequeños. Generalmente se recomienda soplar la suciedad con aire comprimido,
especialmente en los lugares donde se ha juntado tierra y no se puede llegar con
el paño.
El polvo y la tierra pueden quitarse con una escobilla de cerdas y luego aspirar. No
usar escobilla de alambre.
Los componentes eléctricos, después de la limpieza, almacenamiento o embarque
deben secarse antes de hacerlos funcionar.
Comprobar la zona alrededor de las aberturas de admisión y escape del aire estén
limpias y sin obstrucciones.
Inspeccionar que no haya conexiones sueltas o contaminadas. Si durante la
inspección se muestra que los revestimientos de barniz de los devanados se han
deteriorado, se les debe volver a cubrir con barniz de aislamiento.
Como regla general, los cojinetes deben relubricarse anualmente. Condiciones de
operación muy severas, tales como ambientes muy calurosos y polvorientos,
requerirán una lubricación más frecuente.
En caso que los grupos electrógenos sean usados sólo en emergencias, se debe
establecer una política de puesta en funcionamiento los fines de semana durante 1
ó 2 horas, para mantener operativo los equipos.
6.7 TIPOS DE DESASTRES
Factores que afecta la integridad de los datos





Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc.
Fallas de Hadware: Discos, controladores, energía, memoria, dispositivos
etc.
Fallas Humanas: Accidentes, inexperiencias, estrés, problemas de
comunicación, venganza, interés personal
Fallas en la red: Controladores, tarjetas, componentes, radiación
.Problemas de SW o lógicos: Requerimientos mal definidos, corrupción de
archivos, errores de programas o aplicaciones, problemas de
almacenamiento, errores de SO
Factores que afectan a la seguridad de los datos





Autentificación : La forma en que se hace el proceso de acceso a los
sistemas, passwords, perfiles de usuario
Basados en cables: Todos los cables son "pinchables" es decir se acceder
fácilmente a los datos que circulan de un nodo a otro en una red , para esto
se utilizan las técnicas de encriptación
Físicas: averías en los componentes físicos, robo, espionaje industrial etc.
Programación: Aplicaciones mal construidas, los bugs en el software de la
industria que necesita de partches para reducir el riesgo de perder los datos
Puertas Falsas: En la mayoría de los software existen puertas falsas que
permiten alterar o manipular los datos con los cuales estos trabajan ( ej.:
manipulación de tablas en las base de datos)
6.8 ALGUNAS CIFRAS DE AFECTACIONES POR CONTINGENCIAS NO
PLANEADAS
6.9 CONCEPTOS BÁSICOS PARA UN BUSINESS CONTINUITY PLAN
Esquema General
El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales
pueden estar expuestos nuestros equipos de cómputo y la información contenida
en los diversos medios de almacenamiento, por lo que en este Manual haremos
un análisis de los riesgos, cómo reducir su posibilidad de ocurrencia y los
procedimientos a seguir en caso que se presentara el problema.
Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto
es necesario que el Plan de Contingencias incluya un Plan de Recuperación de
Desastres, el cual tendrá como objetivo, restaurar el Servicio de Cómputo en
forma rápida, eficiente y con el menor costo y pérdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daños, también se
hace necesario presuponer que el daño ha sido total, con la finalidad de tener un
Plan de Contingencias lo más completo posible.
Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro
local, el cual nos ha dejado sin equipos de cómputo y sin los archivos magnéticos
(programas y datos) contenidos en dichos equipos y en las oficinas del local.
Hay dos ámbitos que vamos a analizar. El primero abarca las actividades que se
deben realizar y los grupos de trabajo o responsables de operarlas. El segundo, el
control, esto es, las pruebas y verificaciones periódicas de que el Plan de
Contingencias está operativo y actualizado.
Haciendo un esquema, el Plan de Contingencias abarcará los siguientes aspectos
:
1.- Plan de Reducción de Riesgos (Plan de Seguridad).
2.- Plan de Recuperación de Desastres.
2.1.- Actividades Previas al Desastre.
2.1.1.- Establecimiento del Plan de Acción.
2.1.2.- Formación de Equipos Operativos.
2.1.3.- Formación de Equipos de Evaluación (auditoría de cumplimiento de
procedimientos de Seguridad).
2.2.- Actividades durante el Desastre.
2.2.1.- Plan de Emergencias.
2.2.2.- Formación de Equipos.
2.2.3.- Entrenamiento.
2.3.- Actividades después del Desastre.
2.3.1.- Evaluación de Daños.
2.3.2.- Priorización de Actividades del Plan de Acción señaladas en 2.1.1
2.3.3.- Ejecución de Actividades
2.3.4.- Evaluación de Resultados.
2.3.5.- Retroalimentación del Plan de Acción.
http://www.inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htm
Lo que sigue representa la metodología que se emplea en un BCP para una
organización.
Gerencia De Proyecto
Planee y maneje un destacamento de fuerzas multi-disciplinado
para el tiempo de funcionamiento, salida del dentro-
presupuesto de todas las fases de la metodología de BCP.
Revisión Operacional Del
Riesgo
Analice y evalúe los componentes lógicos y físicos de la
configuración de red de organization.s y de la infraestructura
que utiliza para determinar amenazas y vulnerabilidades de la
información security/operational. Esto incluye las soluciones
para los riesgos encontrados.
Análisis Del Impacto Del
Negocio
Analice e indique los impactos de una interrupción en los
procesos del negocio de la organización. Desarrolle las
prioridades para la recuperación y los objetivos del tiempo de la
recuperación basados sobre los impactos y los requisitos de la
recuperación en términos de la infraestructura, de la gente, de
los sistemas, del equipo, de la planta y de los edificios de la red.
Estrategias De Bcp
Desarrolle los alternativas para la continuidad de operaciones y
la recuperación de los procesos del negocio que reflejan
objetivos del tiempo de la recuperación. Conduzca el análisis
coste-cost-based para seleccionar soluciones apropiadas de la
continuidad y de la recuperación.
Desarrollo Del Plan De Bcp
Desarrolle las acciones de los procedimientos de la respuesta
de la emergencia y de la continuidad y de la recuperación del
documento para las actividades del servicio del proceso y de
cliente del negocio. Ésta es la estructura que se puede ejercitar
para probar y para validar que el plan de la continuidad y de
recuperación trabaja.
Mantenimiento Del Plan De
Bcp
Administre los procedimientos, la gente y las herramientas del
software lógica para mantener los planes de BCP actuales,
exactos y viables.
Conocimiento & Del
Entrenamiento
Cree las políticas de la seguridad de BCP y de
network/information, los estándares y las guías de consulta.
Desarrolle los programas del conocimiento y de entrenamiento
para ponerlos en ejecución.
Prueba & De los Ejercicios
Maneje y conduzca las pruebas para validar la capacidad de los
planes de la continuidad y de recuperación y para realizar
cambios según lo requerido.
Imangen
6.10 PROCESO DE RECUPERACIÓN DEL NEGOCIO
Es importante definir los procedimientos y planes de acción para el caso de una
posible falla, siniestro o desastre en el área Informática, considerando como tal
todas las áreas de los usuarios que procesan información por medio de la
computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo
que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo
posible el proceso perdido.
La elaboración de los procedimientos que se determinen como adecuados para un
caso de emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad
de los encargados de la realización de los mismos, debiendo haber procesos de
verificación de su cumplimiento. En estos procedimientos estará involucrado todo
el personal de la Institución.
Los procedimientos de planes de recuperación de desastres deben de emanar de
la máxima autoridad Institucional, para garantizar su difusión y estricto
cumplimiento.
Las actividades a realizar en un Plan de Recuperación de Desastres se pueden
clasificar en tres etapas :
1 Actividades Previas al Desastre.
2 Actividades Durante el Desastre.
3 Actividades Después del Desastre.
http://www.inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htm
6.11 ESTRATEGIA DE RECUPERACIÓN
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparación, entrenamiento y
ejecución de las actividades de resguardo de la información, que nos aseguren un
proceso de Recuperación con el menor costo posible a nuestra Institución.
Podemos detallar las siguientes Actividades Generales :
1 Establecimiento del Plan de Acción.
2 Formación de Equipos Operativos.
3 Formación de Equipos de Evaluación (auditoría de cumplimiento de los
procedimientos sobre Seguridad).
1 Establecimiento de Plan de Acción
En esta fase de Planeamiento se debe de establecer los procedimientos relativos
a:
a) Sistemas e Información.
b) Equipos de Cómputo.
c) Obtención y almacenamiento de los Respaldos de Información
(BACKUPS).
d) Políticas (Normas y Procedimientos de Backups).
a) Sistemas e Información. La Institución deberá tener una
Sistemas de Información con los que cuenta, tanto los realizados
cómputo como los hechos por las áreas usuarias. Debiendo
información sistematizada o no, que sea necesaria para la
Institucional.
relación de los
por el centro de
identificar toda
buena marcha

La relación de Sistemas de Información deberá detallar los siguientes datos
:
 Nombre del Sistema.
 Lenguaje o Paquete con el que fué creado el Sistema. Programas que lo
conforman (tanto programas fuentes como programas objetos, rutinas,
macros, etc.).
 La Dirección (Gerencia, Departamento, etc) que genera la información base
(el «dueño» del Sistema).
 Las unidades o departamentos (internos/externos) que usan la información
del Sistema.
 El volumen de los archivos que trabaja el Sistema.
 El volumen de transacciones diarias, semanales y mensuales que maneja
el sistema.
 El equipamiento necesario para un manejo óptimo del Sistema.
 La(s) fecha(s) en las que la información es necesitada con carácter de
urgencia.
 El nivel de importancia estratégica que tiene la información de este Sistema
para la Institución (medido en horas o días que la Institución puede
funcionar adecuadamente, sin disponer de la información del Sistema).
Equipamiento mínimo necesario para que el Sistema pueda seguir
funcionando (considerar su utilización en tres turnos de trabajo, para que el
equipamiento sea el mínimo posible).
 Actividades a realizar para volver a contar con el Sistema de Información
(actividades de Restore).
Con toda esta información se deberá de realizar una lista priorizada (un ranking)
de los Sistemas de Información necesarios para que la Institución pueda recuperar
su operatividad perdida en el desastre (contingencia).
b) Equipos de Cómputo. Aparte de las Normas de Seguridad que se verán en los
capítulos siguientes, hay que tener en cuenta :
Inventario actualizado de los equipos de manejo de información (computadoras,
lectoras de microfichas, impresoras, etc.), especificando su contenido (software
que usa, principales archivos que contiene), su ubicación y nivel de uso
Institucional.
 Pólizas de Seguros Comerciales. Como parte de la protección de los
Activos Institucionales, pero haciendo la salvedad en el contrato, que en
casos de siniestros, la restitución del Computador siniestrado se podrá
hacer por otro de mayor potencia (por actualización tecnológica), siempre y
cuando esté dentro de los montos asegurados.
 Señalización o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de evacuación.
Por ejemplo etiquetar (colocar un sticker) de color rojo a los Servidores,
color amarillo a las PC's con Información importante o estratégica y color
verde a las PC's de contenidos normales.
 Tener siempre actualizada una relación de PC's requeridas como mínimo
para cada Sistema permanente de la Institución (que por sus funciones
constituyen el eje central de los Servicios Informáticos de la Institución), las
funciones que realizaría y su posible uso en dos o tres turnos de trabajo,
para cubrir las funciones básicas y prioritarias de cada uno de estos
Sistemas.
c) Obtención y almacenamiento de los Respaldos de Información
(BACKUPS).
Se deberá establecer los procedimientos para la obtención de copias de
Seguridad de todos los elementos de software necesarios para asegurar la
correcta ejecución de los Sistemas o aplicativos de la Institución. Para lo cual se
debe contar con :
1) Backups del Sistema Operativo (en caso de tener varios Sistemas
Operativos o versiones, se contará con una copia de cada uno de ellos).
2) Backups del Software Base (Paquetes y/o Lenguajes de Programación
con los cuales han sido desarrollados o interactúan nuestros Aplicativos
Institucionales).
3) Backups del Software Aplicativo (Considerando tanto los programas
fuentes, como los programas objetos correspondientes, y cualquier otro
software o procedimiento que también trabaje con la data, para producir los
resultados con los cuales trabaja el usuario final). Se debe considerar
también las copias de los listados fuentes de los programas definitivos, para
casos de problemas.
4) Backups de los Datos (Bases de Datos, Indices, tablas de validación,
passwords, y todo archivo necesario para la correcta ejecución del Software
Aplicativo de nuestra Institución).
5) Backups del Hardware. Se puede implementar bajo dos modalidades :
Modalidad Externa. Mediante convenio con otra Institución que tenga equipos
similares o mayores y que brinden la seguridad de poder procesar nuestra
Información, y ser puestos a nuestra disposición, al ocurrir una contingencia y
mientras se busca una solución definitiva al siniestro producido. Este tipo de
convenios debe tener tanto las consideraciones de equipamiento como de
ambientes y facilidades de trabajo que cada institución se compromete a brindar, y
debe de ser actualizado cada vez que se efectuen cambios importantes de
sistemas que afecten a cualquiera de las instituciones.
Modalidad Interna. Si tenemos más de un local, en ambos debemos tener
señalados los equipos, que por sus características técnicas y capacidades, son
susceptibles de ser usados como equipos de emergencia del otro local,
debiéndose poner por escrito (igual que en el caso externo), todas las actividades
a realizar y los compromisos asumidos.
En ambos casos se deberá probar y asegurar que los procesos de restauración de
Información posibiliten el funcionamiento adecuado de los Sistemas. En algunos
casos puede ser necesario volver a recompilar nuestro software aplicativo bajo
plataformas diferentes a la original, por lo que es imprescindible contar con los
programas fuentes, al mismo grado de actualización que los programas objeto.
d) Políticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinación de
responsabilidades en la obtención de los Backups mencionados anteriormente en
el punto «c», debiéndose incluir:
 Periodicidad de cada Tipo de Backup.
 Respaldo de Información de movimiento entre los períodos que no se sacan
Backups (backups incrementales).
 Uso obligatorio de un formulario estándar para el registro y control de los
Backups (se incluye un formato tipo en el anexo «IV».)
Correspondencia entre la relación de Sistemas e Informaciones necesarias para la
buena marcha de la empresa (mencionado en el punto «a»), y los backups
efectuados.
 Almacenamiento de los Backups en condiciones ambientales óptimas,
dependiendo del medio magnético empleado.
 Reemplazo de los Backups, en forma periódica, antes que el medio
magnético de soporte se pueda deteriorar (reciclaje o refresco).
 Almacenamiento de los Backups en locales diferentes donde reside la
información primaria (evitando la pérdida si el desastre alcanzo todo el
edificio o local estudiado).
 Pruebas periódicas de los Backups (Restore), verificando su funcionalidad,
a través de los sistemas, comparando contra resultados anteriores
confiables.
2 Formación de Equipos Operativos
En cada unidad operativa de la Institución, que almacene información y sirva para
la operatividad Institucional, se deberá designar un responsable de la seguridad de
la Información de su unidad. Pudiendo ser el jefe de dicha Area Operativa.
Sus labores serán:

con ellos.

aplicaciones.

cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas
y subsistemas.


de los respaldos incrementales.

líneas, terminales, modem, otros aditamentos para
comunicaciones.




tema operativo y otros sistemas
almacenados en el local alternante.

almacenamiento en el local alternante.

recuperación.

3 Formación de Equipos de Evaluación (auditoría de cumplimiento de los
procedimientos sobre Seguridad)
Esta función debe ser realizada de preferencia por personal de Inspectoría, de no
ser posible, la realizará el personal del área de Informática, debiendo establecerse
claramente sus funciones, responsabilidades y objetivos :
 Revisar que las Normas y procedimientos con respecto a Backups y
seguridad de equipos y data se cumpla.
 Supervisar la realización periódica de los backups, por parte de los equipos
operativos, comprobando físicamente su realización, adecuado registro y
almacenamiento.
 Revisar la correlación entre la relación de Sistemas e Informaciones
necesarios para la buena marcha de la Institución (detallados en «a»), y los
backups realizados.
 Informar de los cumplimientos e incumplimientos de las Normas, para las
acciones de corrección respectivas.
http://www.inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htm
6.12 DESARROLLO Y PRUEBA DEL PLAN DE RECUPERACIÓN
Actividades Durante el Desastre
Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes
actividades, planificadas previamente:
1 Plan de Emergencias.
2 Formación de Equipos.
3 Entrenamiento.
1 Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando se presente un
Siniestro, así como la difusión de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del Siniestro :


Este plan deberá incluir la participación y actividades a realizar por todas y cada
una de las personas que se pueden encontrar presentes en el área donde ocurre
el siniestro, debiendo detallar :
 Vías de salida o escape.
 Plan de Evacuación del Personal.



Plan de puesta a buen recaudo de los activos (incluyendo los activos de
Información) de la Institución (si las circunstancias del siniestro lo
posibilitan)
Ubicación y señalización de los elementos contra el siniestro (extinguidores,
cobertores contra agua, etc.)
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de
iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia,
Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados
para estos casos.
2 Formación de Equipos
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.) con
funciones claramente definidas a ejecutar durante el siniestro.
Si bien la premisa básica es la protección de la Integridad del personal, en caso de
que el siniestro lo permita (por estar en un inicio o estar en una área cercana,
etc.), deberá de existir dos equipos de personas que actuen directamente durante
el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los
recursos Informáticos, de acuerdo a los lineamientos o clasificación de prioridades,
para salvar los equipos señalados en el acápite 1.2.1.1.
3 Entrenamiento
Establecer un programa de prácticas periódicas de todo el personal en la lucha
contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan
asignado en los planes de evacuación del personal o equipos, para minimizar
costos se puede aprovechar fechas de recarga de extinguidores, charlas de los
proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y
tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es
conveniente que participen los elementos directivos, dando el ejemplo de la
importancia que la alta dirección otorga a la Seguridad Institucional.
http://www.inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htm
6.13 PROCESO DE RESTAURACIÓN DEL NEGOCIO (VUELTA A LA
NORMALIDAD)
Actividad Despues del Desastre
Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades
que se detallan, las cuales deben estar especificadas en el Plan de Acción
elaborado anteriormente
1 Evaluación de Daños.
2 Priorización de Actividades del Plan de Acción.
3 Ejecución de Actividades.
4 Evaluación de Resultados.
5 Retroalimentación del Plan de Acción.
1 Evaluación de Daños.
Inmediatamente después que el siniestro ha concluido, se deberá evaluar la
magnitud del daño que se ha producido, que sistemas se estan afectando, que
equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto
tiempo, etc.
Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual tenemos
el convenio de respaldo, para ir avanzando en las labores de preparación de
entrega de los equipos por dicha Institución.
2 Priorización de actividades del Plan de Acción.
Toda vez que el Plan de acción es general y contempla una pérdida total, la
evaluación de daños reales y su comparación contra el Plan, nos dará la lista de
las actividades que debemos realizar, siempre priorizándola en vista a las
actividades estratégicas y urgentes de nuestra Institución.
Es importante evaluar la dedicación del personal a actividades que puedan no
haberse afectado, para ver su asignamiento temporal a las actividades afectadas,
en apoyo al personal de los sistenas afectados y soporte técnico.
3 Ejecución de Actividades.
La ejecución de actividades implica la creación de equipos de trabajo para realizar
las actividades previamente planificadas en el Plan de acción. Cada uno de estos
equipos deberá contar con un coordinador que deberá reportar diariamente el
avance de los trabajos de recuperación y, en caso de producirse algún problema,
reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperación tendrán dos etapas, la primera la restauración del
servicio usando los recursos de la Institución o local de respaldo, y la segunda
etapa es volver a contar con los recursos en las cantidades y lugares propios del
Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida
y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen
Institucional, como para no perjudicar la operatividad de la Institución o local de
respaldo.
4 Evaluación de Resultados.
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron
afectados por el siniestro, debemos de evaluar objetivamente, todas las
actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de
acción, como se comportaron los equipos de trabajo, etc.
De la Evaluación de resultados y del siniestro en si, deberían de salir dos tipos de
recomendaciones, una la retroalimentación del plan de Contingencias y otra una
lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el
siniestro.
5 Retroalimentación del Plan de Acción.
Con la evaluación de resultados, debemos de optimizar el plan de acción original,
mejorando las actividades que tuvieron algun tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra
Institución el plan de contingencias llevado a cabo.
http://www.inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htm