Produccion de contenido en Auditoria para Vesprinil

Vesprini & Vesprini
DRP – BCP
Profesor: Javier Scodelaro
Materia: Auditoria Informática
Carrera: Licenciatura en tecnología informática.
Diment, Julieta
Gandolfo, Federico
Laborde, Diego
Laschera, Hernán
Sayago, Luis
Scarcella, Gabriel
2015
1
Conceptos teóricos
Índice
Contenido
DRP- Introducción ............................................................................................................................... 6
Objetivos ............................................................................................................................................. 7
Desarrollo Informe .............................................................................................................................. 8
1. Determinación del escenario considerado ................................................................................... 10
2. Definición de los tipos de operación en una contingencia ........................................................... 11
3. Establecimiento de criticidades .................................................................................................... 13
4. Determinación de las prestaciones mínimas ................................................................................ 15
5. Análisis de riesgos ......................................................................................................................... 16
Tipos de riesgos ............................................................................................................................. 16
Informe de Riesgos ........................................................................................................................ 17
I.
Probabilidad de ocurrencia de desastres: ............................................................................. 19
II.
Determinación de los niveles de desastre ............................................................................ 19
6. Estrategia de Recuperación........................................................................................................... 20
I.
Presentación de las distintas estrategias posibles de recuperación ..................................... 20
II. Selección de la estrategia de recuperación............................................................................... 20
III. Desarrollo de la estrategia de recuperación ............................................................................ 20
IV. Mitigación de riesgos – Medidas preventivas.......................................................................... 20
V. Descripción de la estrategia ...................................................................................................... 21
7. Requerimientos para llevar a cabo el Plan .................................................................................... 22
I. Esquemas técnicos ..................................................................................................................... 22
II.
Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) ....................... 23
Equipo de Recuperación del Entorno ante Desastres ............................................................... 23
Equipo de dirección estratégica y coordinación ....................................................................... 23
2
Conceptos teóricos
Equipo de recuperación de hardware ....................................................................................... 24
Equipo de recuperación de software ........................................................................................ 24
Equipo de recuperación de comunicaciones ............................................................................ 24
Equipo de comunicaciones a usuarios ...................................................................................... 25
Asignación de roles ................................................................................................................... 25
III. Desarrollo de procedimientos .................................................................................................. 25
8. Pruebas del DRP ............................................................................................................................ 26
9. Revisión del DRP ............................................................................................................................ 26
10. Cierre del proyecto ...................................................................................................................... 26
BCP- Introducción.............................................................................................................................. 27
Objetivos ........................................................................................................................................... 28
Objetivo general ............................................................................................................................ 28
Objetivos específicos ..................................................................................................................... 28
Alcance .............................................................................................................................................. 29
Desarrollo Informe ............................................................................................................................ 30
Importancia de la continuidad .................................................................................................. 30
Causas de interrupción...................................................................................................................... 31
Necesidad de adopción de un Plan de Continuidad de Negocio ...................................................... 32
Otros beneficios: ........................................................................................................................... 33
Fases de la administración del Plan de Continuidad del Negocio ..................................................... 35
Fase de prevención ....................................................................................................................... 35
Fase de plan de administración de crisis....................................................................................... 36
Diseño del plan de acción.................................................................................................................. 38
Fase de prevención - Análisis de impacto en el negocio ............................................................... 38
Identificación de riesgos ............................................................................................................... 38
Estrategias de continuidad ............................................................................................................ 38
Pruebas.......................................................................................................................................... 40
3
Conceptos teóricos
Mantenimiento ............................................................................................................................. 40
Requerimientos legales. ................................................................................................................ 40
Plan de Contingencia ......................................................................................................................... 42
Introducción ...................................................................................................................................... 43
Objetivos ........................................................................................................................................... 44
Desarrollo informe- Identificación de procesos y servicios ............................................................. 45
Análisis de evaluación de riesgos y estrategias................................................................................. 47
Metodología aplicada:................................................................................................................... 47
Plan de Contingencia:.................................................................................................................... 47
Riesgo: ........................................................................................................................................... 47
Activos susceptibles de daño: ....................................................................................................... 48
Posibles Daños .............................................................................................................................. 48
Fuentes de daño ............................................................................................................................ 49
Clases de Riesgos........................................................................................................................... 49
Minimización del riesgo ................................................................................................................ 50
Robo común de equipos y archivos .............................................................................................. 51
Falla en los equipos ....................................................................................................................... 51
Equivocaciones en el manejo del sistema..................................................................................... 53
Acción de Virus Informático .......................................................................................................... 54
Fenómenos Naturales ................................................................................................................... 54
Accesos No Autorizados ................................................................................................................ 55
Ausencia del personal de sistemas ............................................................................................... 55
Eventos considerados para el plan de contingencia ......................................................................... 56
Recursos de Contingencia ......................................................................................................... 56
Falla del Servidor ....................................................................................................................... 57
Plan de recuperación y respaldo de la información .......................................................................... 63
4
Conceptos teóricos
Jefe de Sistemas: ........................................................................................................................... 63
Actividades previas al desastre ..................................................................................................... 64
Obtención y almacenamiento de los Respaldos de Información (BACKUPS): .............................. 65
Actividades durante el desastre ........................................................................................................ 66
Plan de Emergencias ..................................................................................................................... 66
Actividades después del desastre ..................................................................................................... 68
Conclusiones ..................................................................................................................................... 70
Recomendaciones ......................................................................................................................... 71
Glosario ............................................................................................................................................. 72
Bibliografía ........................................................................................................................................ 76
5
Conceptos teóricos
DRP- Introducción
La seguridad es “una característica de cualquier sistema (informático o no) que indica que
ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible”...
“para el caso de sistemas informáticos, es muy difícil de conseguir (según la mayoría de los
expertos, imposible) por lo que se pasa a hablar de confiabilidad”.
[IRAM/ISO/IEC17799] Sostiene que “la seguridad de la información protege a ésta de una
amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño
al negocio y maximizar el retorno sobre las inversiones y las oportunidades.”. En cualquier
entorno informatizado es necesario estar protegidos de las múltiples amenazas
garantizando, fundamentalmente, la preservación de los datos y la información.
El Plan de Recuperación ante Desastres es un elemento más que contribuye a la práctica
efectiva de medidas de seguridad para garantizar una adecuada recuperación de la
operatividad mínima luego de una contingencia, en la que se vean afectados los procesos y
recursos informáticos que sostienen el negocio.
Este documento describe la metodología de análisis y desarrollo del Plan de Recuperación
ante Desastres, basada en el estudio de estándares internacionales y mejores prácticas,
citadas en el trabajo completo.
6
Conceptos teóricos
Objetivos
Detectar los riesgos presentes en el entorno, analizar su probabilidad de ocurrencia, detectar
y establecer su criticidad según cómo afectan la continuidad del negocio, y finalmente
proponer un plan que logre mitigar en cierta medida estos riesgos, y que permita la
recuperación de la disponibilidad de los recursos lógicos, físicos y humanos ante
situaciones de contingencia.
7
Conceptos teóricos
Desarrollo Informe
El DRP contiene las siguientes 10 (diez) partes:
1. Establecimiento del escenario considerado;
2. Definición de los tipos de operación en una contingencia;
3. Establecimiento de criticidades:
-Criticidades por equipo.
-Criticidades por servicios.
-Criticidades por aplicaciones.
4. Determinación de las prestaciones mínimas;
5. Análisis de riesgos:
-Probabilidad de ocurrencia de desastres.
-Determinación de los niveles de desastre
6. Presentación de las distintas estrategias posibles de recuperación.
7. Selección de la estrategia de recuperación;
8. Elaboración de la estrategia de recuperación:
-Mitigación de riesgos.
-Medidas preventivas.
-Descripción de la estrategia.
-Requerimientos para llevar cabo el Plan.
-Esquemas técnicos con pasos a seguir.
8
Conceptos teóricos
9. Formación del Equipo de Recuperación del Entorno ante Desastres (ERED):
-Roles y responsabilidades.
-Asignación de roles.
10. Establecimiento de los procedimientos:
-Declaración de la emergencia; Declaración
-Recuperación de las prestaciones; Recuperación
-Restablecimiento de las condiciones normales.
9
Conceptos teóricos
1. Determinación del escenario considerado
En esta primera instancia del DRP, se pone como objetivo identificar y delimitar el
escenario que será objetivo de estudio para la realización del Plan.
 La idea de este acercamiento inicial es conocer:
 Las condiciones físicas del entorno.
 Los servicios y aplicaciones existentes.
 Los equipos presentes:
 Los servidores.
 Los elementos de backup.
 Los elementos de almacenamiento de datos.
 Los elementos de comunicaciones.
10
Conceptos teóricos
2. Definición de los tipos de operación en una contingencia
Los principales tipos de operaciones considerados ante una emergencia son:
 Operación Normal Inicial: Es la operatoria que se registraba antes de ocurrir el
desastre. Asimismo, define las condiciones que se deben alcanzar como objetivo
final mediante la ejecución del Plan de Recuperación ante Desastres;
 Operación Alternativa: Mientras se trabaja en la recuperación de las prestaciones
afectadas por la contingencia, los usuarios deberán utilizar una operatoria
alternativa, constituida fundamentalmente por procesos manuales, durante la cual se
genera información. A partir del momento en que los servicios y aplicaciones estén
disponibles, existe un tiempo de “catch up” o actualización de la información del
sistema, en el cual se ingresan las novedades ocurridas desde la ocurrencia de la
emergencia.
 Operación Normal en Desastre: Mediante la ejecución de los procedimientos que
reciben el nombre de “Recuperación de las prestaciones”, se llega a esta instancia en
la cual todos los servicios y aplicaciones han sido recuperados, pero no se
encuentran ejecutando en su lugar original o bajo las mismas condiciones en que se
encontraban trabajando originalmente. Al finalizar el proceso de actualización de la
información o “catch up”, se considera que se ha llegado a la operación normal en
desastre. El tiempo desde la declaración de la emergencia hasta que se alcanza la
operación normal en desastre no debe ser superior a los tiempos máximos tolerables
de suspensión definido para cada una de las prestaciones.
 Operación Normal Restablecida: Mediante la ejecución de los procedimientos que
reciben el nombre de “Restablecimiento de las condiciones normales” se alcanza
esta última instancia, en la cual todos los servicios y aplicaciones se encuentran
ejecutando correctamente y bajo las mismas condiciones que presentaba antes de las
condiciones contingencia. Para alcanzar este tipo de operación, es posible que haya
que considerar una suspensión programada de alcance total o parcial de las
11
Conceptos teóricos
prestaciones, para lo cual es necesario acotar el tiempo de interrupción al mínimo
indispensable, y que mínimo preferentemente sea imperceptible por los usuarios.
12
Conceptos teóricos
3. Establecimiento de criticidades
El siguiente paso en la construcción del Plan de Recuperación ante Desastres es la
determinación de la criticidad de los activos.
La idea es que en esta etapa se establezca la criticidad de las aplicaciones, de los equipos y
los servicios que sostienen al negocio. En función del impacto producido por la suspensión
de las prestaciones del entorno informatizado, se determina la criticidad y el tiempo
máximo de tolerancia de corte de las mismas.
A continuación se presenta el análisis realizado desde la perspectiva de los equipos y desde
el punto de vista de servicios y aplicaciones. Los documentos que registran las criticidades
los organizamos en tablas llamadas Tabla de Criticidades por Equipo, Tabla de Criticidades
por Servicios y Tabla de Criticidades por Aplicaciones.
Ejemplo de tabla de Criticidad:
Se puede visualizar que el equipo DB1 tiene una criticidad alta y menor tiempo de
tolerancia, por lo que deberá tener mayor foco al momento de definir la estrategia de
recuperación.
El siguiente ejemplo muestra la Tabla de Criticidades por Servicios para el repositorio de
archivos y el correo electrónico.
13
Conceptos teóricos
En este ejemplo se muestra que el servidor de correo electrónico es el más crítico dentro de
los servicios prestados por la compañía, y requiere de 1 a 2 días como máximo para su
recuperación. Esto deberá ser considerado al momento de establecer el tiempo mínimo de
recuperación de las prestaciones en la estrategia seleccionada.
14
Conceptos teóricos
4. Determinación de las prestaciones mínimas
En esta etapa, mediante distintas formas de relevamiento (que pueden ser entrevistas
personales, llamadas telefónicas, observación y verificación de las principales unidades de
negocio de la empresa objetivo) se pretende entender y determinar cuáles son las
aplicaciones, servicios o prestaciones mínimas que son críticos para el funcionar del
negocio, y que deberán ser recuperadas de forma prioritaria ante el suceso de una
emergencia, para preservar la continuidad del negocio. Asimismo se debe estimar el tiempo
máximo para recuperar estas prestaciones.
15
Conceptos teóricos
5. Análisis de riesgos
En esta etapa se analizan los riesgos presentes en el entorno, para determinar qué riesgos se
pueden mitigar, cuáles se pueden transferir y cuáles se deben asumir. No es posible
eliminar todos los riesgos sino que se pueden mitigar (empleando medidas para reducirlos),
transferir (ceder su responsabilidad a otra persona) o asumir (cuando se decide correr el
riesgo con sus posibles consecuencias). Sin embargo, siempre existen riesgos remanentes y
desconocidos.
Es más, constantemente surgen nuevos riesgos a medida que la tecnología avanza y los
sistemas cambian. Los entornos informatizados suelen acompañar estos cambios,
adaptándose a los requerimientos tecnológicos del momento.
Tipos de riesgos
Los riesgos pueden ser:
 Tecnológicos: si tienen origen o afectan aspectos técnicos del entorno (como
deterioro de equipamientos, falta de disponibilidad de recursos, etc).
 Funcionales: si tienen origen o afectan aspectos funcionales del entorno (como
posible descubrimiento de información por la existencia de usuarios con contraseña
por default.
Todos los entornos están expuestos a amenazas. Todos los entornos tienen
vulnerabilidades, algunas conocidas, otras no, pero están presentes, esperando ser usadas
por un atacante para penetrar las barreras de seguridad y apoderarse de información,
denegar servicios, o provocar toda clase de daño. En esta parte de la elaboración del DRP
se debe evaluar su riesgo asociado a cada uno de los activos (aplicaciones, servidores, etc.),
determinar su probabilidad de ocurrencia y medir su impacto en el entorno.
16
Conceptos teóricos
Para la evaluación de riesgos es posible utilizar métodos muy variados en composición y
complejidad, pero para todos ellos es necesario realizar un diagnóstico de la situación. Una
forma de identificar los riesgos, grado de ocurrencia e impacto es colocarlos en un
diagrama análisis de riesgos.
Este análisis de riesgos permite ofrecer un informe de los riesgos entorno, los
peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y su
prioridad. El mismo se realiza en cada área de la empresa, mediante el relevo de los
procesos importantes para cada sector con los responsables y usuarios del mismo.
Informe de Riesgos
A continuación se presenta un documento que ayuda a la formalización de estos conceptos
para su estudio: el Informe de Riesgos. Esta es una adaptación de la Tabla de Riesgos
utilizada en el análisis de sistemas en la que se ha agregado la criticidad que implica la
vulnerabilidad en estudio.
17
Conceptos teóricos
Se recomienda agrupar las vulnerabilidades con algún criterio, como por ejemplo por nivel
de criticidad, que puede clasificarse en:
 Baja
 Media
 Alta
U ordenarlas en forma decreciente según su impacto o probabilidad de ocurrencia.
Descripción de los campos:
 #: Es el número correlativo de vulnerabilidad:
 AMENAZA: Vulnerabilidad o situación que afecta a una aplicación, servicio o
servidor que se está evaluando.
 RIESGO: Breve descripción del riesgo detectado en el análisis. Es todo evento,
falla o bien que ponga en peligro la integridad, la confidencialidad o la
disponibilidad de la información o los recursos y activos.
 CRITICIDAD: Una medida de la criticidad del riesgo, según el siguiente criterio
-Baja: Representa una amenaza casi despreciable o no representa amenaza.
-Media: Amenaza leve.
-Alta: Gran amenaza al sistema.
 P (OCURRENCIA): Es la probabilidad de ocurrencia de dicho evento tomando en
cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente
implementados.
18
Conceptos teóricos
 IMPACTO: Es el efecto potencial de una falla de seguridad, teniendo en cuenta sus
consecuencias en el negocio.
I. Probabilidad de ocurrencia de desastres:
Los riesgos considerados para el plan de recuperación ante desastres, son aquellos que
presentan una probabilidad de ocurrencia no despreciable en función de las:
 Características del entorno.
 Características meteorológicas de la región.
 Características generales del edificio.
 Condiciones ambientales.
 Equipamiento alojado.
 Condiciones de acceso.
 Condiciones de las oficinas contiguas.
II. Determinación de los niveles de desastre
En función del impacto producido por una contingencia, se definen 3 grandes tipos definen
de desastres:
 Total o Mayor: En el caso en que el lugar físico no pueda disponerse por un período
máximo tolerado para la interrupción de las prestaciones mínimas o el tiempo que
demoran las tareas de restablecimiento de todas o algunas de las prestaciones sea
mayor al período máximo aceptable.
 Parcial: En el caso en que los equipos han sufrido daños menores que permiten su
funcionamiento parcial o sus prestaciones pueden ser realizadas por otros equipos, y
es necesaria la acción de alguien externo (proveedores, mantenimiento, etc.)
 Menor: En el caso en que los desperfectos se solucionan mediante la reinstalación
y/o reconfiguración de los equipos, y por lo tanto no es necesaria la acción de
alguien externo para superar la situación de emergencia.
19
Conceptos teóricos
6. Estrategia de Recuperación
I. Presentación de las distintas estrategias posibles de recuperación
En esta etapa el consultor analiza las distintas alternativas que aporten solución al
problema, teniendo en cuenta todo el análisis anterior. Las distintas estrategias de
recuperación van a estar inclinadas a:
 Recuperación total del centro de cómputos
 Recuperación parcial de los equipos
 Recuperación individual de equipos, aplicaciones o servicios.
Dentro de cada clase, deben presentarse distintas alternativas para darle distintas
oportunidades al cliente, para que pueda elegir la más conveniente.
II. Selección de la estrategia de recuperación
El consultor, experto en Seguridad de la Información, presenta las distintas alternativas al
cliente quién decide por cuál opta.
III. Desarrollo de la estrategia de recuperación
Una vez seleccionada la estrategia a seguir, se procede al desarrollo de la misma, que
deberá ofrecer medidas preventivas y de mitigación de los riesgos existentes, además de
la estrategia de recuperación de las prestaciones.
IV. Mitigación de riesgos – Medidas preventivas
La estrategia de recuperación supone la realización de acciones de mitigación de los
riesgos considerados en el análisis correspondiente, las cuales deben considerar las
actuales condiciones de redundancia y tolerancia a fallas existentes.
20
Conceptos teóricos
V. Descripción de la estrategia
En esta parte, el consultor (experto en Seguridad de la Información) describe
detalladamente la estrategia seleccionada por el cliente, y especifica las medidas especifica
tomar para la eficaz recuperación del entorno, luego de un desastre.
Cada estrategia dependerá pura y exclusivamente del entorno informatizado en estudio, y
del Alcance del Plan. Muchas empresas suelen implementar el DRP en varias etapas,
comenzando por ejemplo por los servidores de datos, continuando, por las aplicaciones,
luego las comunicaciones y el Centro de Cómputos (CC) o Centro de Procesamiento de
Datos (CPD), o Data Center (DC). Otras, en cambio, deciden hacer un solo plan completo
en una fase, que abarque todos sus bienes. Lógicamente esta es una decisión empresarial,
influenciada fuertemente por el presupuesto de la empresa y los límites de tiempo.
En general, en la descripción de la estrategia se definirán las medidas a tomar para la
recuperación del entorno, como por ejemplo:
 Creación de un Equipo de Recuperación del Entorno ante Desastres (ERED) con
responsabilidades y conocimientos específicos que actuará ante las situaciones de
contingencia.
 Recuperación de las prestaciones de los elementos afectados por una contingencia
utilizando la redundancia existente. Utilización de un CPD alternativo con un
servidor de contingencia para la recuperación de la aplicación más crítica en caso de
un desastre mayor.
 Exigencia del cumplimiento de los tiempos de respuesta especificados en los
contratos de soporte con proveedores de hardware.
21
Conceptos teóricos
7. Requerimientos para llevar a cabo el Plan
Los requerimientos conforman una guía de las principales características y condiciones que
deben cumplir los elementos sobre los cuales versa el documento, a fin de ser utilizados en
procedimientos de mantenimiento y auditoría.
I. Esquemas técnicos
Los esquemas definen pasos generales a seguir de manera operativa para la ejecución de
una determinada tarea. La ejecución de dichos pasos supone el conocimiento técnico de la
tarea que se está realizando y tiene por objetivo brindar un marco integral de rápida
referencia. Todas estas tareas deben estar predefinidas y documentadas al momento de
enfrentar una situación de emergencia.
Algunos de los esquemas a desarrollar son:
 Activación del CPD alternativo.
 Recuperación de equipos.
 Restablecimiento de servidores.
 Restablecimiento de bases de datos.
 Restablecimiento de Aplicativos.
 Ejemplos de notificación de la emergencia.
22
Conceptos teóricos
II. Formación del Equipo de Recuperación del Entorno ante Desastres
(ERED)
Equipo de Recuperación del Entorno ante Desastres
Roles y responsabilidades:
 Definir las medidas preventivas necesarias y factibles de aplicar, a fin de disminuir
la probabilidad de ocurrencia de desastres.
 Definir, probar, ajustar y mantener actualizado el Plan de Recuperación del Entorno
ante Desastres.
 Ante un desastre que afecte al Centro de Cómputos debe:
o Recuperar las prestaciones en el menor tiempo posible y dentro de los
plazos máximos establecidos.
o Restablecer las condiciones normales que se presentaban antes del desastre.
o Analizar las causas del desastre y la forma en que se ha procedido a fin de
emitir un informe y modificar las medidas preventivas y plan de
recuperación en función de las conclusiones.
Equipo de dirección estratégica y coordinación
Roles y responsabilidades:
 Dirigir y coordinar las actividades del resto de los equipos que conforman el equipo
de Recuperación del Entorno ante Desastre.
 Realizar las declaraciones de los distintos estados: emergencia, contingencia y
restablecimiento de las condiciones normales.
 Determinar el nivel de desastre producido por una contingencia: total o mayor,
parcial, menor;
 Elaborar los planes de recuperación de las prestaciones y restablecimiento de las
condiciones normales.
23
Conceptos teóricos
 Controlar la ejecución de los planes, detectar desvíos y realizar los ajustes de los
planes en función de los inconvenientes, problemas y errores hallados durante la
aplicación de los mismos;
 Interactuar con personal de mantenimiento para la resolución de contingencias
físicas del Centro de Cómputos.
Equipo de recuperación de hardware
 Roles y responsabilidades:
 Identificar los elementos de hardware que hayan sido dañados por una
contingencia.
 Coordinar con los proveedores de hardware el cumplimiento de los contratos de
mantenimiento, garantías y niveles de soporte.
 Participar en las instalaciones de sistemas operativos que realicen los proveedores.
 Verificar el correcto funcionamiento de los elementos de hardware que hayan sido
restaurados o reemplazados por los proveedores.
Equipo de recuperación de software
Roles y responsabilidades:
 Identificar los elementos de hardware que hayan sido dañados por una Identificar
los servicios, procesos, bases de datos y aplicaciones que hayan sido afectados por
una contingencia.
 Instalar, configurar y ajustar todo el software que haya sido afectado por una
contingencia.
Equipo de recuperación de comunicaciones
Roles y responsabilidades:
 Identificar los elementos de comunicaciones que hayan sido dañados por la
contingencia;
24
Conceptos teóricos
 Detectar los problemas de conectividad de los equipos del CPD y determinar las
causas;
 Coordinar con el responsable los cambios que haya que realizar en las
comunicaciones que no sean internas del Centro de Cómputos para que los usuarios
puedan seguir utilizando las prestaciones ;
 Verificar el correcto funcionamiento de los elementos de comunicaciones y la
conectividad general para que los usuarios puedan acceder a los recursos del CPD.
Equipo de comunicaciones a usuarios
Roles y responsabilidades:
 Participar en la generación de las comunicaciones oficiales a usuarios ante
contingencias, recuperación de prestaciones, demoras incurridas que invaliden o
modifiquen lo comunicado anteriormente y el restablecimiento de las condiciones
normales.
 Realizar las comunicaciones a los usuarios internos.
Asignación de roles
Luego de determinar las características de los equipos de recuperación, el cliente debe
designar recursos humanos para cubrir todos los roles, teniendo en cuenta que una persona
no puede formar parte de más de dos equipos.
III. Desarrollo de procedimientos
Más allá del alcance del DRP, se deben especificar procedimientos claros que ayuden a
alcanzar el restablecimiento de las condiciones normales del entorno informatizado. Los
principales procedimientos a definir son:
 Declaración de la emergencia.
 Recuperación de las prestaciones.
 Recuperación de las condiciones normales.
25
Conceptos teóricos
8. Pruebas del DRP
Una de las últimas etapas en la elaboración del DRP es la de pruebas. El plan debe ser
probado en su totalidad al menos una vez al año, según las mejores prácticas y regulaciones
internacionales, y probado parcialmente en distintas oportunidad mediante un esquema
continuo de mejoras y revisión, que contribuyan al mantenimiento vigente del plan a lo
largo del tiempo y garanticen la recuperación de las prestaciones en un futuro.
9. Revisión del DRP
El Plan debe ser revisado con regularidad para garantizar su adecuación a los cambios que
sufre el entorno, manteniendo vigente su aplicabilidad frente a desastres.
10. Cierre del proyecto
Para finalizar el proyecto, luego del consenso y controles internos, se presenta la
documentación final a los responsables.
26
Conceptos teóricos
BCP- Introducción
Luego de las encuestas realizadas al gerente general, y al responsable del área de Sistemas
de la empresa de transporte Vesprini & Vesprini, se identificó que existen amenazas
significativas a los procesos considerados por ésta como los más críticos: tráfico, logística,
facturación.
Ante la posibilidad que ocurra un incidente o desastre que afecte la operación de la
compañía, como así también, considerando los procedimientos que serán requeridos para
restablecer el normal funcionamiento en el menor tiempo posible, se ha desarrollado la
presente propuesta. En ésta, se describen los pasos necesarios para garantizar la continuidad
de los principales procesos de negocio de la organización.
Este Plan de Continuidad del Negocio propuesto pretende servir como herramienta para
mitigar el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo
de las operaciones, y como tal, se recomienda que forme parte de un Sistema de Gestión de
Riesgo Operativo, ofreciendo como elementos de control: la prevención y atención de
emergencias, la administración de situaciones de crisis, y planes de contingencia y
capacidad de retorno a la operación normal.
27
Conceptos teóricos
Objetivos
Objetivo general
 Asegurar que Vesprini & Vesprini esté preparada para responder a situaciones de
emergencia, recuperarse de ellas y mitigar los impactos ocasionados por éstas,
permitiendo la continuidad y correcta operación de los procesos críticos del
negocio.
Objetivos específicos
 Lograr un nivel de preparación frente a incidentes que permita asegurar que se
puede proteger la integridad de las personas y bienes de la organización en forma
adecuada, realizando una buena administración de la crisis.
 Minimizar la frecuencia de interrupciones en la operación de los procesos del
negocio.
 Asegurar una rápida restauración de las operaciones afectadas por evento disruptivo.
 Minimizar las decisiones a tomar en caso de contingencia, evitando así cometer
errores previsibles.
28
Conceptos teóricos
Alcance
La administración de la continuidad del negocio será una disciplina que preparará a la
organización para poder continuar operando durante un incidente o desastre, a través de la
implementación del presente Plan de Continuidad de Negocios, el cual contempla:
 Los lineamientos de administración de la continuidad que se establecen para la
organización.
 El desarrollo de las fases que componen dicho plan.
 El esbozo del plan de acción, derivado de las fases descritas.
29
Conceptos teóricos
Desarrollo Informe
Importancia de la continuidad
Como se menciona en la “Guía práctica para PYMES: cómo implantar un Plan de
Continuidad de Negocio” preparada por la empresa Deloitte, “la competitividad creciente
entre las organizaciones empresariales, las demandas cada vez más exigentes de clientes y
stakeholders, o los requerimientos regulatorios cada vez más restrictivos, son factores que
hoy en día fuerzan a las empresas a demostrar la resistencia de las actividades de negocio a
permanecer activas ante cualquier contingencia grave.
“Una caída de la luz, una inundación, un incendio o un robo han de considerarse amenazas
reales que deben ser tratadas de forma preventiva para evitar, en caso de que éstas sucedan,
que las pérdidas sean tan graves que afecten a la viabilidad del negocio. Son múltiples las
organizaciones que, independientemente de su tamaño, fracasan o incluso desaparecen por
la falta de procesos, mecanismos y técnicas que mitiguen los riesgos a los que están
expuestas y garanticen una alta disponibilidad en las operaciones de su negocio.
De este modo, es necesario que las organizaciones establezcan una serie de medidas
técnicas, organizativas y procedimentales que garanticen la continuidad de las actividades o
procesos de negocio en caso de tener que afrontar una contingencia grave” (Deloitte 2010).
30
Conceptos teóricos
Causas de interrupción
Los planes de contingencia se definen de acuerdo con las causas de las posibles
interrupciones, y a partir de ellas se referencian las acciones a seguir en caso que las
mismas se presenten. Estas se pueden unificar en los siguientes escenarios:
 Ausencia de personal: se presenta cuando el empleado o contratista que ejecuta el
proceso no puede asistir a trabajar para desarrollar las actividades propias de su
cargo.
 Imposibilidad de acceso al sitio normal de trabajo: se presenta cuando por algún
evento como desastre natural, enfermedad contagiosa, actividad terrorista,
problemas de transporte, o huelgas, el personal no puede acceder a su lugar de
trabajo para desarrollar las actividades propias de su cargo. En este caso, y con el
ánimo de no interrumpir la operación del proceso crítico, se debe contar con un sitio
alterno de trabajo, el cual puede ser:
o Suministrado por la organización (por ejemplo: otra sucursal)
o Suministrado por un proveedor, contratista o aliado estratégico
 Caída de los sistemas tecnológicos: se presenta cuando el hardware y/o software
presenta falla(s) o cuando hay una interrupción prolongada de las comunicaciones,
ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o
error humano.
 No contar con los proveedores externos: se presenta cuando una o varias actividades
del proceso crítico son realizadas por el proveedor y cualquier falla de éste,
generaría la no realización efectiva del proceso. En este caso se debe garantizar que
en el contrato con el proveedor: a) se especifique la existencia de un Plan de
Continuidad del Negocio documentado, b) sea probado en conjunto con los
colaboradores del proveedor, y c) sea aprobado por Vesprini & Vesprini.
31
Conceptos teóricos
Necesidad de adopción de un Plan de Continuidad de Negocio
Los recientes acontecimientos prueban que las organizaciones no pueden estar preparadas
para todos y cada uno de los eventos adversos que puedan sucederles y que puedan
impactar en sus actividades de negocio.
“Toda organización depende de sus recursos, del personal y de las tareas que día a día son
ejecutadas con el fin de mantener los beneficios y la estabilidad. La mayoría posee bienes
tangibles, empleados, sistemas y tecnologías de información, etc. Si alguno de estos
componentes es dañado o deja de estar accesible por la razón que sea, la organización
puede paralizarse. Cuanto mayor sea el tiempo de inactividad, mayor es la probabilidad de
que tenga que comenzar de nuevo desde cero. Incluso muchas organizaciones no son
capaces de recuperarse después de ser víctima de algún desastre.
“Adicionalmente, en ocasiones existe la percepción errónea de interpretar como una falta
de confianza o una señal de debilidad el hecho de que una organización anticipe que algún
componente de su actividad de negocio puede fallar. Nada más lejos de la realidad.
“Aparte de prevenir o minimizar las pérdidas para el negocio que un desastre puede causar,
el objetivo principal de cualquier programa orientado a gestionar la continuidad de negocio
de una organización es garantizar que ésta dispone de una respuesta planificada ante
cualquier trastorno importante que puede poner en peligro su supervivencia. Esta
afirmación de por sí constituye un argumento irrefutable que explica la necesidad de
instaurar en todas las compañías tales estrategias, independientemente de su tamaño y/o
sector de actividad” (Deloitte 2010).
32
Conceptos teóricos
Otros beneficios:
 Ventaja competitiva frente a otras organizaciones: el hecho de mostrar que se
toman medidas para garantizar la continuidad del negocio mejora la imagen pública
de la organización y revaloriza la confianza frente a inversores, clientes y
proveedores.
 Gestión preventiva de los riesgos: a través de la gestión de la continuidad, una
organización es capaz de abordar la gestión proactiva de amenazas y riesgos que
pueden impactar en sus operaciones.
 Previene o minimiza las pérdidas de la organización en caso de desastre: es
capaz de identificar de forma proactiva los posibles impactos e inconvenientes que
una interrupción de sus actividades de negocio puede provocar.
 Asegura la “resiliencia” de las actividades de negocio ante interrupciones:
permite aumentar la disponibilidad de los servicios dispuestos para el cliente.
 Menor riesgo de sufrir sanciones económicas al adaptarse a requerimientos
regulatorios: para algunas actividades específicas, la adopción de planes de
33
Conceptos teóricos
continuidad de negocio es un requerimiento regulatorio que debe ser satisfecho. El
cumplimiento de tal requerimiento evita el riesgo de sufrir sanciones económicas.
 Asignación más eficiente de las inversiones en materia de seguridad: tal y como
se detalla en la presente guía, todo plan de continuidad de negocio debe ser
diseñado conforme a un proceso previo de análisis de riesgos, el cual permite
priorizar los mismos y fijar los esfuerzos y los presupuestos en las áreas más
necesitadas.
34
Conceptos teóricos
Fases de la administración del Plan de Continuidad del Negocio
Para la administración del Plan de Continuidad de Negocio, se establecieron las siguientes
dos (2) fases, a saber:
Fase de prevención
En esta fase se conocen las necesidades reales de la organización y sobre esta base se
desarrollan los diferentes mecanismos de prevención ante incidentes o desastres que
mitigan su impacto. Está conformada por las siguientes etapas:
 Análisis de impacto en el negocio: es una etapa que permite identificar la urgencia
de recuperación de cada área, determinando el impacto en caso de interrupción. Esta
actividad implica identificar los procedimientos críticos de la organización, los
recursos que se utilizan para soportar los procesos y los sistemas críticos asociados.
También permite estimar el tiempo que la organización puede tolerar en caso de un
incidente o desastre.
35
Conceptos teóricos
 Identificación de riesgos: en esta etapa se identifican y analizan las posibles
amenazas y/o vulnerabilidades de personas, sistemas, infraestructura y procesos,
que podrían ocasionar riesgos de continuidad para la organización, con el fin de
medir el nivel del riesgo. La gestión de riesgos de continuidad tiene la función
especial de medir la probabilidad de una amenaza potencial o vulnerabilidad y
reducir el impacto que puede provocar un evento de desastre o una interrupción
significativa en los servicios.
 Estrategias de continuidad: en esta etapa se realizan las acciones que se deben
tomar con el objetivo de restablecer las operaciones del negocio, en el plazo
determinado, una vez que ocurra alguna interrupción o falla en los procesos o
funciones críticas.
 Pruebas: consiste en probar la efectividad de las estrategias diseñadas y permitir el
continuo mejoramiento del Plan de Continuidad de Negocio. El resultado de esta
etapa le da a la organización la oportunidad de identificar y prevenir problemas y
fallas con el plan, de manera que puedan ser atendidas, preparando el negocio para
emergencias reales.
 Mantenimiento: consiste en la revisión periódica de lineamientos, estrategias,
técnicas y planes, capacitación a personal para que el Plan de Continuidad de
Negocio permanezca actualizado, con el objetivo de ser capaz de lograr la
recuperación de actividades de misión crítica dentro de los objetivos de tiempo de
recuperación asegurando una continuidad de sus servicios y productos.
Fase de plan de administración de crisis
En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la
misma; un buen manejo de la crisis minimiza los impactos de una interrupción.
 Evaluación: la evaluación constituye la etapa de valoración preliminar de un evento
de interrupción que afecta de forma considerable la Entidad. La evaluación se hace
en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar:
causa de la interrupción, población de usuarios afectada, apreciación de la
36
Conceptos teóricos
magnitud, valoración del daño, escenario de soluciones, recursos involucrados y
tiempo estimado de la solución.
 Activación: se describen las actividades requeridas para declarar y comunicar el
desastre de forma tal que se active la contingencia y se comunique la interrupción a
los equipos responsables de recuperar el servicio.
 Vuelta a la normalidad: consiste en definir la forma y/o procedimientos a utilizar
para restaurar la operación a la normalidad, una vez superada la contingencia y
recuperados los servicios de la entidad.
37
Conceptos teóricos
Diseño del plan de acción
Se describe a continuación el plan de acción y la política de continuidad de negocio
propuesta, conforme las etapas desarrolladas en el apartado anterior. Para desarrollar el
mismo se consideraron buenas prácticas internacionales y el aporte obtenido de las
entrevistas realizadas al gerente general y al encargado de sistemas de Vesprini &
Vesprini.
Fase de prevención - Análisis de impacto en el negocio
Se identificaron los siguientes procesos críticos:
 Tráfico
 Logísitica
 Facturación
Tiempo máximo que la organización puede tolerar detener su operación en caso de un
incidente o desastre: 2 horas.
Identificación de riesgos
No se obtuvieron respuestas suficientes de parte del cliente para identificar las
vulnerabilidades y amenazas a las que se encuentra expuesta la organización.
Estrategias de continuidad
Recurso crítico
Objetivo
Estrategias de recuperación
Personas que
Mantener el conocimiento y las
Documentar actividades
participan en las
capacidades del personal con
críticas
actividades de
funciones y responsabilidades en
negocio
actividades críticas
Formación
Conocimiento compartido y
multidisciplinar
Separación de tareas clave
38
Conceptos teóricos
Instalaciones y
Reducir el impacto que genera la
puestos de trabajo
falta de disponibilidad de las
instalaciones de trabajo
Instalaciones alternativas
Acuerdos recíprocos
Teletrabajo
Tecnología
Entender el entorno tecnológico que
Redundancia de equipos y
soporta las actividades críticas y
comunicaciones
mantener la capacidad para
replicarlo en caso de desastre
Mantenimiento de la misma
tecnología en diferentes
ubicaciones
Múltiples copias del
software considerado crítico
Información y
Garantizar la protección y
documentación
recuperación de la información vital
para la organización
Proveedores
Copias de seguridad
Procedimientos de
recuperación
Identificar y mantener un inventario
Contacto con proveedores
de proveedores de servicios clave
alternativos
que soportan las actividades críticas
Acuerdos con terceros
Envío y almacenamiento de
recursos críticos en
ubicaciones alternativas
Accionistas y socios
Proteger los intereses de socios y
Acuerdos que garantizan el
accionistas afectados por un
bienestar de los colectivos
desastre
involucrados en el desastre
Servicios civiles de
Garantizar que la organización
Recomendaciones de rutas
emergencia (tráfico,
conoce los procedimientos de los
de evacuación y puntos de
39
Conceptos teóricos
bomberos)
servicios de emergencia
reunión
Participación en simulacros
Pruebas
Tipo de prueba
Prueba de
consistencia
Prueba de validez
Descripción
El Plan de Continuidad de Negocio es distribuido a los
departamentos y/o áreas funcionales implicadas para su
revisión/actualización.
Representantes de cada departamento y/o área funcional implicada
se reúnen para revisar y discutir el plan.
Prueba de
Escenario ficticio de recuperación para verificar que el Plan de
simulación
Continuidad de Negocio contiene la información necesaria y
(simulacro)
suficiente.
Prueba actividades
Recuperación real de una actividad crítica bajo un entorno
críticas
controlado y sin poner en peligro la operativa usual/original.
Prueba completo
Interrupción real de las operaciones y recuperación de las mismas a
través de los procedimientos del Plan de Continuidad de Negocio.
Mantenimiento
Se establece que a consecuencia de eventos no programados dentro o fuera de Vesprini &
Vesprini, se deberá verificar y validar la estrategia y los planes del Plan de Continuidad de
Negocio. A continuación, se listan los eventos que deberían generar una revisión del Plan:
Requerimientos legales.
 Nuevo hardware, plataformas, aplicaciones de negocio u otros cambios de
tecnología (Sistemas Operativos, Bases de Datos).
40
Conceptos teóricos
 Cambios en la tecnología de telecomunicaciones (voz o datos).
 Cambios en proveedores externos críticos.
 Quiebra y/o cambio de un proveedor crítico.
 Cambio de instalaciones.
 Cambios en el personal, o reubicación del mismo.
 Transferencia de funciones entre sitios existentes.
 Consolidación o tercerización de funciones.
 Resultados de las pruebas del Plan de Continuidad del Negocio.
41
Conceptos teóricos
Plan de Contingencia
La protección de la información vital de una organización ante la posible pérdida,
destrucción, robo y otras amenazas, es abarcar la preparación e implementación de un
completo Plan de Contingencia Informático.
Cualquier Sistema de Redes Informáticas (computadoras, periféricos y accesorios) está
expuesto a riesgos y puede ser fuente de problemas. El Hardware, el Software están
expuestos a diversos Factores de Riesgo Humano y Físicos. Estos problemas menores y
mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes
críticos (el disco rígido), bien por grandes desastres (incendios, terremotos, por intención
humana, etc.) o por fallas técnicas (errores humanos, virus informáticos, etc.) que producen
daño físico irreparable. Por lo anterior es importante contar con un Plan de contingencia
adecuado de forma que ayude a la Organización a recobrar rápidamente el control y
capacidades para procesar la información y restablecer la marcha normal del negocio.
42
Conceptos teóricos
Introducción
Para realizar el Plan de contingencia informático de Transportes Vesprini & Vesprini se
tiene en cuenta la información como uno de los activos más importantes de la
Organización, además que la infraestructura informática está conformada por el hardware,
software y elementos complementarios que soportan la información o datos críticos para la
función de la organización. Este Plan implica realizar un análisis de los posibles riesgos a
los cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de información,
de cara a que se puedan aplicar medidas de seguridad oportunas y así afrontar contingencias
y desastres de diversos tipos.
Los procedimientos relevantes a la infraestructura informática, son aquellas tareas que el
personal realiza frecuentemente al interactuar con la plataforma informática (entrada de
datos, generación de reportes, consultas, etc.).El Plan de Contingencia está orientado a
establecer un adecuado sistema de seguridad física y lógica en previsión de desastres, de tal
manera de establecer medidas destinadas a salvaguardar la información contra los daños
producidos por hechos naturales o por el hombre.
Es importante resaltar que para que este Ente de Control logre sus objetivos es
indispensable el manejo de información, por lo tanto necesita garantizar tiempos de
indisponibilidad mínimos para no originar distorsiones al funcionamiento normal de
nuestros servicios y mayores costos de operación, ya que de continuar esta situación por un
mayor tiempo nos exponemos al riesgo de paralizar las operaciones por falta de
información para el control y toma de decisiones de la organización. De acuerdo a lo
anterior es necesario prever cómo actuar y qué recursos necesitamos ante una situación de
contingencia con el objeto de que su impacto en las actividades sea lo mejor posible.
43
Conceptos teóricos
Objetivos
Los tres principales objetivos del Plan de contingencia son:
 Definir las actividades de planeamiento, preparación y ejecución de tareas
destinadas a proteger la Información contra los daños y perjuicios producidos por
corte de servicios, fenómenos naturales o humanos.
 Garantizar la continuidad de las operaciones de los principales elementos que
componen los Sistemas de Información.
 Establecer actividades que permitan evaluar los resultados y retroalimentación del
plan general.
44
Conceptos teóricos
Desarrollo informe- Identificación de procesos y servicios
Principales Procesos de Software Identificados (Supuestos):
 Software
o Presupuesto.
o Contabilidad.
o Tesorería.
o Responsabilidad fiscal
o Cobro
Principales servicios que deberán ser restablecidos Y/O recuperados
o Windows
o Correo Electrónico.
o Internet.
o Antivirus.
o Herramientas de Microsoft Office.
Softwa re Base
o Base de Datos.
o Backup de la Información.
o Ejecutables de las aplicaciones.
Respaldo de la Información
45
Conceptos teóricos
o Backup de la Base de Datos
o Backup de la Plataforma de Aplicaciones (Sistemas)
o Backup del WEBSITE
o Backup del Servidor.
46
Conceptos teóricos
Análisis de evaluación de riesgos y estrategias
Metodología aplicada:
Para la clasificación de los activos de las Tecnologías de Información de Transportes
Vesprini & Vesprini se han considerado tres criterios:
 Grado de negatividad: Un evento se define con grado de negatividad (Leve,
moderada, grave y muy severo).
 Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periódico y continuo)
 Impacto: El impacto de un evento puede ser (Leve, moderado, grave y muy
severo).
Plan de Contingencia:
Son procedimientos que definen cómo una organización continuará o recuperará sus
funciones críticas en caso de una interrupción no planeada. Los sistemas son vulnerables a
diversas interrupciones, que se pueden clasificar en:
 Leves (Caídas de energía de corta duración, fallas en disco duro, etc.)
 Severas (Destrucción de equipos, incendios, etc.)
Riesgo:
Es la vulnerabilidad de un Activo o bien, ante un posible o potencial perjuicio o daño.
Existen distintos tipos de riesgos:
 Riesgos Naturales: tales como mal tiempo, terremotos, etc.
 Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y
accidentes de transmisión y transporte.
 Riesgos Sociales: como actos terroristas y desordenes.
47
Conceptos teóricos
Para realizar un análisis de todos los elementos de riesgos a los cuales está expuesto el
conjunto de equipos informáticos y la información procesada de la organización
iniciaremos describiendo los activos que se pueden encontrar dentro de las tecnologías de
información de la empresa.
Activos susceptibles de daño:
 Personal
 Hardware
 Software y utilitarios
 Datos e información
 Documentación
 Suministro de energía eléctrica
 Suministro de telecomunicaciones
Posibles Daños
 Imposibilidad de acceso a los recursos debido a problemas físicos en las
instalaciones, naturales o humanas.
 Imposibilidad de acceso a los recursos informáticos, sean estos por cambios
involuntarios o intencionales, tales como cambios de claves de acceso, eliminación
o borrado físico/lógico de información clave, proceso de información no deseado.
 Divulgación de información a instancias fuera de la institución y que afecte su
patrimonio estratégico, sea mediante Robo o Infidencia.
48
Conceptos teóricos
Fuentes de daño
 Acceso no autorizado
 Ruptura de las claves de acceso a los sistemas computacionales.
 Desastres Naturales (Movimientos telúricos, Inundaciones, Fallas en los equipos de
soporte causadas por el ambiente, la red de energía eléctrica o el no
acondicionamiento atmosférico necesario.
 Fallas de Personal Clave (Enfermedad, Accidentes, Renuncias, Abandono de sus
puestos de trabajo y Otros).
 Fallas de Hardware (Falla en los Servidores o Falla en el hardware de Red Switches,
cableado de la Red, Router, FireWall).
Clases de Riesgos
 Incendio o Fuego
 Robo común de equipos y archivos
 Falla en los equipos
 Equivocaciones
 Acción virus informático
 Fenómenos naturales
 Accesos no autorizados
 Ausencia del personal de sistemas.
49
Conceptos teóricos
Minimización del riesgo
Teniendo en cuenta lo anterior, corresponde al presente Plan de Contingencia minimizar
estos índices con medidas preventivas y correctivas sobre cada caso de Riesgo. Es de tener
en cuenta que en lo que respecta a Fenómenos naturales, nuestra región no ha registrado en
estos últimos tiempos movimientos telúricos; sin embargo, las lluvias fuertes producen
graves problemas, originando filtraciones de agua en los edificios, produciendo cortes de
luz, cortos circuitos (que podrían desencadenar en incendios).
 Incendio o fuego
 Grado de Negatividad: Muy Severo
 Frecuencia de Evento: Aleatorio
 Grado de Impacto: Alto
Analizando el riesgo de incendio, permite resaltar el tema sobre el lugar donde almacenar
los backups. El incendio, a través de su acción calorífica, es más que suficiente para
destruir los dispositivos de almacenamiento, tal como CD’s, DV’s, cartuchos, Discos
rígidos. Para la mejor protección de los dispositivos de almacenamiento, se deberían
colocaran estratégicamente en lugares distantes, cerca de las salidas de la empresa.
Uno de los dispositivos más usados para contrarrestar la contingencia de incendio, son los
extinguidores. Su uso conlleva a colocarlos cerca de las posibles áreas de riesgo que se
debe proteger.
50
Conceptos teóricos
Robo común de equipos y archivos
 Grado de Negatividad: Grave
 Frecuencia de Evento: Aleatorio
 Grado de Impacto: Moderado
Según antecedentes de otras organizaciones, es de común conocimiento que en el robo de
accesorios y equipos informáticos, llegaron a participar personal propio de la empresa en
colusión con el personal de vigilancia, es relativamente fácil remover un disco rígido del
CPU, tarjeta SD, etc. y no darse cuenta del faltante hasta días después. Se recomienda
siempre estar alerta.
Falla en los equipos
 Grado de Negatividad: Grave
 Frecuencia de Evento: Aleatorio
 Grado de Impacto: Grave
Teniendo en cuenta la importancia del fluido eléctrico para el funcionamiento de la
organización, puesto que los dispositivos en los que se trabaja dependen de la corriente
eléctrica para su desempeño. Si el corte eléctrico dura poco tiempo las operaciones no se
ven afectadas gravemente, pero si el corte se prolongara por tiempo indefinido provocaría
un trastorno en las operaciones del día, sin afectar los datos. El equipo de aire
acondicionado y ambiente adecuado en el Área de Servidores, favorecería su correcto
funcionamiento.
Para el adecuado funcionamiento de las computadoras personales de escritorio, necesitan de
una fuente de alimentación eléctrica fiable, es decir, dentro de los parámetros
correspondientes. Si se interrumpe inesperadamente la alimentación eléctrica o varia en
forma significativa (fuera de los valores normales), las consecuencias pueden ser muy
serias, tal como daño del Hardware y la información podría perderse. La fuente de
alimentación es un componente vital de los equipos de cómputo, y soportan la mayor parte
de las anomalías del suministro eléctrico.
51
Conceptos teóricos
• Por lo anterior se debe tener en cuenta lo siguiente:
• Tomas a Tierra o Puestas a Tierra: Se denomina así a la comunicación entre el
circuito Eléctrico y el Suelo Natural para dar seguridad a las personas,
protegiéndolas de los peligros procedentes de una rotura del aislamiento
eléctrico. Estas conexiones a tierra se hacen frecuentemente por medio de
placas, varillas o tubos de cobre enterrados profundamente en tierra húmeda,
con o sin agregados de ciertos componentes de carbón vegetal, sal o elementos
químicos, según especificaciones técnicas indicadas para las instalaciones
eléctricas. En la práctica protege de contactos accidentales las partes de una
instalación no destinada a estar bajo tensión y para disipar sobretensiones de
origen atmosférico o industrial. La Toma a Tierra tiene las siguientes funciones
principales:
 Protege a las personas limitando la tensión que respecto a tierra
puedan alcanzar las masas metálicas.
 Protege a personas, equipos y materiales, asegurando la actuación de
los dispositivos de protección como: pararrayos, descargadores
eléctricos de líneas de energía o señal, así como interruptores
diferenciales.
 Facilita el paso a tierra de las corrientes de defecto y de las descargas
de origen atmosférico u otro.
• Fusibles: Si una parte de una computadora funde un fusible o hace saltar un
diferencial, primero se debe desconectar el equipo, a continuación debe
desconectarse el cable de alimentación que lleva al equipo y buscar la falla que ha
hecho saltar el fusible., una vez arreglado el problema se puede volver a conectar el
equipo. Al sustituir un fusible, se ha de tener cuidado que todos los equipos deben
estar apagados y desconectados antes de cambiar el mismo. No se debe olvidar que
algunos elementos del equipo, como es el caso de los monitores, pueden mantener
una carga de alto voltaje incluso, después de haberse apagado, asegurarse que el
52
Conceptos teóricos
fusible de recambio es de la misma capacidad que el fundido. No aprobar las
reparaciones de los fusibles, usando hilos de cobre o similares.
• Extensiones eléctricas y capacidades: Las computadoras ocupan rápidamente toda
la toma de corriente. Pocas oficinas se encuentran equipadas con las suficientes
placas de pared. Dado que es necesario conectar además algún equipo que no es
informático, es fácil ver que son muy necesarias las extensiones eléctricas múltiples.
El uso de estas extensiones eléctricas debe ser controlado con cuidado. No sólo para
que no queden a la vista, sino también porque suponen un peligro considerable para
aquellos que tengan que pasar por encima. A parte del daño físico que puede
provocar engancharse repentinamente con el cable, apaga de forma rápida un
sistema completo.
Equivocaciones en el manejo del sistema
• Grado de Negatividad: Moderado
• Frecuencia de Evento: Periódico
• Grado de Impacto: Moderado
La falta de capacitación a la hora del uso de sistemas informáticos puede provocar errores
en los procesos u obtención de información incorrecta (por datos inválidos). Se debe
capacitar al personal que lo requiera en el uso de los sistemas de la empresa y mantener
informados ante nuevas versiones de programas o nuevas funcionalidades (las cuales evitan
las tareas manuales y agilizan los procesos).
53
Conceptos teóricos
Acción de Virus Informático
• Grado de Negatividad: Muy Severo
• Frecuencia de Evento: Continuo
• Grado de Impacto: Grave
Los Virus informáticos han evolucionado de tal manera que hoy en día todos conocemos la
importancia de tener un programa Antivirus en la computadora y aún más importante es su
actualización. Si tenemos un antivirus instalado pero no lo hemos actualizado, seguramente
será capaz de encontrar los virus que intenten entrar en nuestros sistemas pero no será
capaz de hacer nada con ellos, dado que esta información está contenida en las definiciones
de virus. La actualización del Patrón de Definiciones de virus es vital y debe de hacerse
como mínimo una vez a la semana. Otra de las piezas esenciales del Antivirus, el motor,
también debe de actualizarse regularmente dado que los nuevos virus requieren en muchos
casos nuevos motores de escaneo para poder detectarlos, por lo que la actualización del
motor también es tarea obligada.
Fenómenos Naturales
• Grado de Negatividad: Grave
• Frecuencia de Evento: Aleatorio
• Grado de Impacto: Grave
La previsión de desastres naturales sólo se puede hacer bajo el punto de vista de minimizar
los riesgos necesarios en la sala de Computación, en la medida de no dejar objetos en
posición tal que ante un movimiento telúrico pueda generar mediante su caída y/o
destrucción la interrupción del proceso de operación normal. Además, bajo el punto de
vista de respaldo, se debe tener en claro los lugares de resguardo, vías de escape y de la
ubicación de los archivos, dispositivos de almacenamiento, discos con información vital,
todo ello como respaldo de aquellos que se encuentren aun en las instalaciones de la
institución.
54
Conceptos teóricos
Accesos No Autorizados
• Grado de Negatividad: Grave
• Frecuencia de Evento: Aleatorio
• Grado de Impacto: Grave
Todos los usuarios sin excepción deben tener un “login” o un nombre de cuenta de usuario
y una clave de acceso a la red con un mínimo de cuatro (4) dígitos. No se permiten claves
en blanco. Además deben estar registrados en un grupo de trabajo a través del cual se le
otorgue los permisos debidamente asignados por el responsable de área. Cada usuario es
responsable de salir de su acceso cuando finalice su trabajo o utilizar un bloqueador de
pantalla. Las claves deben caducar cada determinada cantidad de tiempo y no pueden
repetirse las últimas 3.
Ausencia del personal de sistemas
• Grado de Negatividad: Grave
• Frecuencia de Evento: Aleatorio
• Grado de Impacto: Grave
El no poseer personal de Sistemas en la empresa puede ocasionar demoras y graves
consecuencias en la operatoria normal de la compañía, lo cual puede afectar la
productividad o ser el factor de generación de nuevos problemas (por no solucionar
inconvenientes en tiempo y forma). Es recomendable también la posibilidad de acceso
remoto a los equipos en las diferentes sucursales ubicadas en el territorio del país, en donde
no sea de fácil acceso o no requiera incorporación de personal de sistemas por las pocas
personas trabajando en las mismas.
55
Conceptos teóricos
Eventos considerados para el plan de contingencia
Cuando se efectúa un riesgo, este puede producir un Evento, por tanto a continuación se
describen los eventos a considerar dentro del Plan de Contingencia.
No hay comunicación entre Cliente – Servidor en Transportes Vesprini & Vesprini.
• Requerimiento del usuario, que no cuenta con acceso a la red.
• El técnico de sistemas procederá a identificar el problema.
• Si se constata problema con el Pacht Panel, realizar cambio del mismo.
• Si no se resuelve el problema proceder a constatar si existe problema en la tarjeta de
red, en caso de afirmativo realizar cambio o arreglo de la misma.
• Si persiste el problema revisar los puntos de red, utilizando el diagrama lógico.
• Testear el cable UTP. Si existe daño, realizar el cambio del cable.
• Realizar mantenimiento del punto de red del usuario y del gabinete de
comunicaciones
• Recuperación del sistema de red para el usuario.
Recursos de Contingencia
• Componentes de Remplazo.
• Diagrama Lógico de la red.
56
Conceptos teóricos
Falla del Servidor
Puede producir pérdida de Hardware y Software, perdida del proceso automático de
Backup y restore e interrupción de las operaciones. SLA: 2 Hs.
A continuación se describen algunas causas del fallo en un Servidor:
Error Físico de Disco de un Servidor
• Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser
reparadas, se deben tomar las siguientes acciones:
• Ubicar el disco que falla.
• Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
Teléfono a jefes de área.
• Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
• Bajar el sistema y apagar el equipo.
• Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle
partición.
• Restaurar el último backup en el disco, seguidamente restaurar las modificaciones
efectuadas desde esa fecha a la actualidad.
• Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado.
• Habilitar las entradas al sistema para los usuarios.
Error de Memoria RAM
En este caso se dan los siguientes síntomas:
• El servidor no responde correctamente, por lentitud de proceso o por no rendir ante
el ingreso masivo de usuarios.
• Ante procesos mayores se congela el proceso.
57
Conceptos teóricos
• Lanza errores con mapas de direcciones hexadecimales.
• Es recomendable que el servidor cuente con ECC (error correct checking), por lo
tanto si hubiese un error de paridad, el servidor se autocorregirá.
Error de Tarjeta(s) Controladora(s) de Disco
Para los errores de cambio de Memoria RAM o Tarjeta Controladora de disco se deben
tomar las siguientes acciones:
• Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
• El servidor debe estar apagado, dando un correcto apagado del sistema.
• Ubicar la posición de la pieza a cambiar.
• Retirar la pieza con sospecha de deterioro y tener a la mano otra igual o similar.
• Retirar la conexión de red del servidor, ello evitará que al encender el sistema, los
usuarios ingresen.
• Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el
concentrador, habilitar entradas para estaciones en las cuales se realizarán las
pruebas.
• Al final de las pruebas, luego de los resultados de una buena lectura de información,
habilitar las entradas al sistema para los usuarios.
• Nota: Todo cambio interno a realizarse en el servidor será fuera de horario de
trabajo fijado por la organización, a menos que la dificultad apremie, cambiarlo
inmediatamente.
58
Conceptos teóricos
Error Lógico de Datos
La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una de
las siguientes causas:
• Caída del servidor de archivos por falla de software de red.
• Falla en el suministro de energía eléctrica por mal funcionamiento del UPS.
• Bajar incorrectamente el servidor de archivos.
• Fallas causadas usualmente por un error de chequeo de inconsistencia física.
En caso de producirse alguna falla en el servidor de los sistemas informáticos de
Transportes Vesprini & Vesprini.; se debe tener en cuenta:
• Verificar el suministro de energía eléctrica.
• Deshabilitar el ingreso de usuarios al sistema.
• Realizar backup de archivos contenidos en el servidor, a excepción de la carpeta
raíz.
• Cargar una computadora (notebook) que nos permita verificar en forma global el
contenido del(os) disco(s) duro(s) del servidor.
Al término de la operación de reparación se procederá a revisar que las bases de datos
índices estén correctas, para ello se debe empezar a correr los sistemas y así poder
determinar si el usuario puede hacer uso de ellos inmediatamente. Si se presenta el caso de
una o varias bases de datos no reconocidas como tal, se debe recuperar con utilitarios.
59
Conceptos teóricos
Recursos de Contingencia
• Componente de Remplazo (Memoria, Disco Duro, etc.).
• Backup diario de información del servidor
Ausencia parcial o permanente del personal de la unidad de tecnología de la
información
1. Directriz del Gerente General (escrita o Email) para que el Administrador alterno se
encargue del centro de cómputo especificando el periodo de asignación.
2. Obtener la relación de los Sistemas de Información con los que cuenta Transportes
Vesprini & Vesprini., detallando usuarios, en que equipos se encuentran
instalados y su utilidad.
3. Conocer la ubicación de los backups de información.
4. Contar con el diagrama lógico de red actualizado.
Recursos de Contingencia
• Manual de funciones actualizado del Técnico de Sistemas. Relación de los sistemas
de información.
• Diagrama lógico de la Red actualizado.
Interrupción del fluido eléctrico durante la ejecución de los procesos
1. Si fuera corto circuito, el UPS mantendrá activo los servidores, mientras se repare la
avería eléctrica.
2. Para el caso de corte de luz se mantendrá la autonomía de corriente que la UPS nos
brinda (corriente de emergencia), hasta que los usuarios completen sus operaciones,
para que no corten bruscamente el proceso que tienen en el momento del apagón.
60
Conceptos teóricos
3. Cuando el fluido eléctrico de la calle se ha restablecido se tomarán los mismos
cuidados para el paso de UPS a corriente normal (Corriente brindad por la empresa
eléctrica).
Recursos de contingencia
• Asegurar que el estado de las baterías del UPS, se encuentren siempre cargadas.
Perdida de servicio internet
1. Realizar pruebas para identificar posible problema dentro de la organización
2. Si se evidencia problema en el hardware, se procederá a cambiar el componente
3. Si se evidencia problema con el software, se debe reinstalar el sistema operativo del
servidor
4. Si no se evidencia falla en los equipos de la organización, se procederá a
comunicarse con la Empresa prestadora del servicio, para asistencia técnica.
5. Es necesario registrar la avería para llevar un historial que servirá de guía para
futuros daños.
6. Realizar pruebas de operatividad del servicio.
7. Servicio de internet activo.
Recursos de Contingencia
Hardware
• Router
• Software
• Herramientas de Internet.
61
Conceptos teóricos
Destrucción del Centro de Cómputo
1. Contar con el inventario total de sistemas actualizado.
2. Identificar recursos de hardware y software que se puedan rescatar.
3. Salvaguardar los backups de información realizados.
4. Identificar un nuevo espacio para restaurar el Centro de Cómputo.
5. Presupuestar la adquisición de software, hardware, materiales, personal y transporte.
6. Adquisición de recursos de software, hardware, materiales y contratación de
personal.
7. Iniciar con la instalación y configuración del nuevo centro de cómputo.
8. Restablecer los backups realizados a los sistemas.
62
Conceptos teóricos
Plan de recuperación y respaldo de la información
El costo de la Recuperación en caso de desastres severos, como los de un terremoto que
destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
informados oportunamente y actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de seguros. El Costo de Recuperación en caso
de desastres de proporciones menos severos, como los de un terremoto de grado inferior a 7
o un incendio de controlable, estará dado por el valor no asegurado de equipos informáticos
e información más el Costo de Oportunidad, que significa, el costo del menor tiempo de
recuperación estratégica, si se cuenta con parte de los equipos e información recuperados.
Este plan de restablecimiento estratégico del sistema de red, software y equipos
informáticos será abordado en la parte de Actividades Posteriores al desastre.
El paso inicial en el desarrollo del plan contra desastres, es la identificación de las personas
que serán las responsables de la ejecución del Plan de contingencia. Por tanto se definen los
siguientes responsables:
Técnico de Sistemas: Será responsable de llevar a cabo las acciones correctivas definidas
anteriormente a fin de minimizar los riesgos establecidos.
Jefe de Sistemas:
• Verificará la labor realizada por el Técnico de Sistemas
• Evaluará la ejecución de acciones correctivas a fin de minimizar los riesgos.
Un Plan de Recuperación de Desastres se clasifica en tres etapas:
1. Actividades Previas al Desastre.
2. Actividades Durante el Desastre.
3. Actividades Después del Desastre.
63
Conceptos teóricos
Actividades previas al desastre
Se consideran las actividades de resguardo de la información, en busca de un proceso de
recuperación con el menor costo posible para la Organización. Se establece los
procedimientos relativos a:
a) Sistemas e Información: La Organización deberá tener una relación de los
Sistemas de Información con los que cuenta, tanto los de desarrollo propio, como
los desarrollados por empresas externas.
b) Equipos de Cómputo: Se debe tener en cuenta el catastro de Hardware,
impresoras, scanner, modems, fax y otros, detallando su ubicación (software que
usa, ubicación y nivel de uso institucional).
Se debe emplear los siguientes criterios sobre identificación y protección de equipos:
 Pólizas de seguros comerciales, como parte de la protección de los activos
institucionales y considerando una restitución por equipos de mayor potencia,
teniendo en cuenta la depreciación tecnológica.
 Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de
su contenido y valor de sus componentes, para dar prioridad en caso de evacuación.
Por ejemplo etiquetar de color rojo los servidores, color amarillo a las PC con
información importante o estratégica, y color verde a las demás estaciones
(normales, sin disco rígido o sin uso).
 Mantenimiento actualizado del inventario de los equipos de cómputo requerido
como mínimo para el funcionamiento permanente de cada sistema en la institución.
64
Conceptos teóricos
Obtención y almacenamiento de los Respaldos de Información
(BACKUPS):
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos
los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en
la institución. Las copias de seguridad son las siguientes:
 Backup del Sistema Operativo: Todas las versiones de sistema operativo
instalados en la Red. (Periodicidad – Semestral).
 Backups de los datos (Base de datos, password y todo archivo necesario para la
correcta ejecución del software aplicativos de la institución). (Periodicidad –
Mensual).
65
Conceptos teóricos
Actividades durante el desastre
Presentada la contingencia o desastre se debe ejecutar las siguientes actividades
planificadas previamente:
Plan de Emergencias
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe
tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada. Este
plan debe incluir la participación y actividades a realizar por todas y cada una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro, descritas a
continuación:
A. Buscar Ayuda de Otros Entes
Es de tener en cuenta que solo se debe realizar acciones de resguardo de equipos en los
casos en que no se pone en riesgo la vida de personas. Normalmente durante la acción del
siniestro es difícil que las personas puedan afrontar esta situación, debido a que no están
preparadas o no cuentan con los elementos de seguridad, por lo que las actividades para
esta etapa del proyecto de prevención de desastres deben estar dedicados a buscar ayuda
inmediatamente para evitar que la acción del siniestro causen más daños o destrucciones.
Se debe tener en toda Oficina los números de teléfono y direcciones de organismos e
instituciones de ayuda.
Todo el personal debe conocer la localización de vías de Escape o Salida: Deben estar
señalizadas las vías de escape o salida.
Instruir al personal de la organización respecto a evacuación ante sismos, a través de
simulacros, esto se realiza acorde a los programas de seguridad organizadas por Defensa
Civil a nivel local u otros entes.
66
Conceptos teóricos
Ubicar y señalizar los elementos contra el siniestro: tales como extintores, zonas de
seguridad (ubicadas normalmente en las columnas), donde el símbolo se muestra en color
blanco con fondo verde.
Secuencia de llamadas en caso de siniestro: tener a la mano elementos de iluminación, lista
de teléfonos de instituciones como: Compañía de Bomberos, Hospitales, Centros de Salud,
Ambulancias, Seguridad.
B. Formación de Equipos
Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán
realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o
estar en un área cercana, etc.), se debe formar 2 equipos de personas que actúen
directamente durante el siniestro, un equipo para combatir el siniestro y el otro para
salvamento de los equipos informáticos, teniendo en cuenta la clasificación de prioridades.
C. Entrenamiento
Se debe establecer un programa de prácticas periódicas con la participación de todo el
personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se
hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos
se pueden realizar recarga de extintores, charlas de los proveedores, etc. Es importante
lograr que el personal tome conciencia de que los siniestros (incendios, inundaciones,
terremotos, cortes de luz, etc.) pueden realmente ocurrir; y tomen con seriedad y
responsabilidad estos entrenamientos; para estos efectos es conveniente que participen los
Directivos y Ejecutivos, dando el ejemplo de la importancia que la Alta Dirección otorga a
la Seguridad Institucional.
67
Conceptos teóricos
Actividades después del desastre
Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son las
siguientes:
 Evaluación de daños: El objetivo es evaluar la magnitud del daño producido, es
decir, que sistemas se están afectando, que equipos han quedado inoperativos,
cuales se pueden recuperar y en cuanto tiempo. Se debe atender los Sistemas de
Información primordiales para el funcionamiento de la Organización, por la
importancia estratégica. La recuperación y puesta en marcha de los servidores que
alojan dichos sistemas, es prioritario.
 Priorizar Actividades: La evaluación de los daños reales nos dará una lista de las
actividades que debemos realizar, preponderando las actividades estratégicas y
urgentes de nuestra organización. Las actividades comprenden la recuperación y
puesta en marcha de los equipos de cómputo ponderado y los Sistemas de
Información, compra de accesorios dañados, etc.
 Ejecución de actividades: La ejecución de actividades implica la colaboración de
todos los funcionarios, creando Equipos de Trabajo, asignando actividades. Cada
uno de estos equipos deberá contar con un líder que deberá reportar el avance de los
trabajos de recuperación y en caso de producirse un problema, reportarlo de
inmediato al Directivo, brindando posibles soluciones. Los trabajos de recuperación
se iniciarán con la restauración del servicio usando los recursos de la institución,
teniendo en cuenta que en la evaluación de daños se contempló y gestionó la
adquisición de accesorios dañados. La segunda etapa es volver a contar con los
recursos en las cantidades y lugares propios del Sistema de Información, debiendo
ser esta última etapa lo suficientemente rápida y eficiente para no perjudicar la
operatividad de la institución y el buen servicio de nuestro sistema e Imagen
Institucional.
68
Conceptos teóricos
 Evaluación de Resultados: Una vez concluidas las labores de Recuperación de los
sistemas que fueron afectados por el siniestro, debemos de evaluar objetivamente,
todas las actividades realizadas, con que eficacia se hicieron, que tiempo tomaron,
que circunstancias modificaron (aceleraron o entorpecieron) las actividades, como
se comportaron los equipos de trabajo, etc. De la evaluación de resultados y del
siniestro, deberían de obtenerse dos tipos de recomendaciones, una la
retroalimentación del Plan de Contingencias y Seguridad de Información, y otra,
una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron
el siniestro.
 Retroalimentación de Actividades: Con la evaluación de resultados, podemos
mejorar las actividades que tuvieron algún tipo de dificultad y reforzar los
elementos que funcionaron adecuadamente.
69
Conceptos teóricos
Conclusiones
El presente Plan de contingencias y Seguridad en Información de Transportes Vesprini &
Vesprini tiene como fundamental objetivo el salvaguardar la infraestructura de la Red y
Sistemas de Información. Este Plan está sujeto a la infraestructura física y las funciones que
realiza el Área de Sistemas.
El Plan de Contingencia, es un conjunto de procedimientos alternativos al orden normal de
una empresa, cuyo fin es permitir su funcionamiento continuo, aun cuando alguna de sus
funciones se viese dañada por un accidente interno o externo. Que una Organización
prepare su Plan de Contingencia, supone un avance a la hora de contrarrestar cualquier
eventualidad, que puedan acarrear importantes pérdidas y llegado el caso no solo materiales
sino personales y de información.
Las principales actividades requeridas para la implementación del Plan de Contingencia
son: Identificación de riesgos, Minimización de riesgos, Identificación de posibles eventos
para el Plan de Contingencia, Establecimiento del Plan de Recuperación y Respaldo, Plan
de Emergencias y Verificación e implementación del plan.
No existe un plan único para todas las organizaciones, esto depende de la infraestructura
física y las funciones que realiza en Centro de Procesamiento de Datos más conocido como
Centro de Cómputo.
Lo único que realmente permite a la institución reaccionar adecuadamente ante procesos
críticos, es mediante la elaboración, prueba y mantenimiento de un Plan de Contingencia.
70
Conceptos teóricos
Recomendaciones
Hacer de conocimiento general el contenido del presente Plan de Contingencias y
Seguridad de Información, con la finalidad de instruir adecuadamente al personal de
Transportes Vesprini & Vesprini. Adicionalmente al plan de contingencias se deben
desarrollar las acciones correctivas planteadas para minimizar los riesgos identificados.
Es importante tener actualizados los contratos de garantía y licencias tanto de hardware
como de software, así como pólizas de aseguramiento. Cuando el administrador de la red se
encuentre ausente se recomienda capacitar a una persona que pueda hacer lo mínimo
indispensable para levantar todos los servicios, a fin de que la operación básica de la
Organización no se vea interrumpida.
71
Conceptos teóricos
Glosario
Acceso: Es la recuperación o grabación de datos que han sido almacenados en un sistema
de computación. Cuando se consulta a una base de datos, los datos son primeramente
recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.
Administración del Plan de Continuidad de Negocios: Sistema administrativo integrado,
transversal a toda la organización, que permite mantener alineadas y vigentes todas las
iniciativas, estrategias, planes de respuesta y demás componentes y actores de la
continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una
interrupción de cualquier tipo. Abarca personas, procesos de negocios, tecnología e
infraestructura.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto
como un peligro, una catástrofe o una interrupción de servicios (ejemplos: inundación,
incendio, robo de datos).
Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperación de cada área, determinando el impacto en caso de interrupción.
Ataque: Término general usado para cualquier acción o evento que intente interferir con el
funcionamiento adecuado de un sistema informático, o intento de obtener de modo no
autorizado la información confiada a una computadora.
Base de Datos: Una base de datos es un conjunto de datos organizados, entre los cuales
existe una correlación y que además, están almacenados con criterios independientes de los
programas que los utilizan. También puede definirse, como un conjunto de archivos
interrelacionados que es creado y manejado por un Sistema de Gestión o de Administración
de Base de Datos (Data Base Management System - DBMS).
Control interno: Cualquier actividad o acción realizada manual y/o automáticamente para
prevenir o corregir irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos.
72
Conceptos teóricos
Datos: Los datos son hechos y cifras que al ser procesados constituyen una información,
sin embargo, muchas veces datos e información se utilizan como sinónimos. En su forma
más amplia los datos pueden ser cualquier forma de información: campos de datos,
registros, archivos y bases de datos, texto (colección de palabras), hojas de cálculo (datos
en forma matricial), imágenes (lista de vectores o cuadros de bits), vídeo (secuencia de
tramas), etc.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera
ahora y en el futuro, igual que los recursos necesarios para su uso.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado.
Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su
capacidad y la naturaleza de la vulnerabilidad.
Impacto: Efecto que causa la ocurrencia de un incidente o siniestro. La implicación del
riesgo se mide en aspectos económicos, reputación de la empresa, disminución de
capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias
legales y afectación física a personas. Mide el nivel de degradación de uno de los siguientes
elementos de continuidad: confiabilidad, disponibilidad y recuperabilidad.
Incidente: Evento que no es parte de la operación estándar de un servicio, y del cual puede
derivar la interrupción o reducción en la calidad del servicio y en la productividad.
Integridad: Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir que existan
valores errados en los datos provocados por el software de la base de datos, por fallas de
programas, del sistema, hardware o errores humanos.
Plan de contingencia: estrategia planificada que consta de: recursos de respaldo,
organización de emergencia, y procedimientos de actuación, para conseguir una
restauración progresiva y ágil de los servicios de negocio afectados por una paralización
total o parcial de la capacidad operativa de la empresa.
73
Conceptos teóricos
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen
los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la
operación, en caso de interrupción.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer
los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido
una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la
continuidad del negocio.
Privacidad: Se define como el derecho que tienen los individuos y organizaciones para
determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán
difundidos o transmitidos a otros.
Problema de Continuidad de Negocio: Evento interno o externo que interrumpe uno o
más de los procesos de negocio. El tiempo de la interrupción determina que una situación
sea un incidente o un desastre.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido,
sin controles u otros factores mitigantes.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
Riesgo: posibilidad que una amenaza pueda explotar una vulnerabilidad para causar daño o
pérdida de información en una organización. Se lo considera como la combinación de la
probabilidad de un evento y sus consecuencias.
Seguridad: Se refiere a las medidas tomadas con la finalidad de preservar los datos o
información que en forma no autorizada, sea accidental o intencionalmente, puedan ser
modificados, destruidos o simplemente divulgados. En el caso de los datos de una
organización, la privacidad y la seguridad guardan estrecha relación, aunque la diferencia
entre ambas radica en que la primera se refiere a la distribución autorizada de información,
mientras que la segunda, al acceso no autorizado de los datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser
causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los
74
Conceptos teóricos
intereses de la organización (ejemplos: deficiencia en los controles de accesos, poco control
de versiones de software).
75
Conceptos teóricos
Bibliografía
Del Peso Navarro, Emilio, y Mario Gerardo Piattini Velthuis. Auditoría Informática: un
enfoque práctico. 2a ed. Bogotá: Alfaomega Grupo Editor, 2001.
Deloitte. Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio.
Madrid, 27 de Octubre de 2010.
International Organization for Standardization / International Electrotechnical Commission.
ISO/IEC 27002. Segunda Edición. 1 de Octubre de 2013.
Swanson, Marianne, Pauline Bowen, Amy Wohl Phillips, Dean Gallup, y David Lynes.
Contingency Planning Guide for Federal Information Systems. Gaithersburg, Maryland, 11
de Noviembre de 2010.
76