PLAN DE CONTINGENCIA DE INFORMTICA

Plan Nacer San Lus

Introduccin Este manual es una gua, segn los estndares de planes de contingencia informtico, para que cada Jefe de rea Plan Nacer defina y documente un Informe de Trabajo derivados de la definicin del Plan de Contingencia de Informtico. El alcance de este plan guarda relacin con la infraestructura informtica, as como los procedimientos relevantes de su Departamento asociados con la plataforma tecnolgica. Entenderemos como infraestructura informtica al hardware, software y elementos complementarios que soportan la informacin o datos crticos para la funcin del negocio bajo su responsabilidad. Entendemos tambin como procedimientos relevantes a la infraestructura informtica a todas aquellas tareas que su personal realiza frecuentemente cuando interacta con la plataforma informtica (entrada de datos, generacin de reportes, consultas, etc.). Un Plan de Contingencia considera una "Planificacin de la Contingencia" as como un conjunto de "Actividades" las que buscan definir y cumplir metas que permitan a cada rea controlar el riesgo asociado a una contingencia. Como Administrador Usted deber leer acabadamente este instructivo, as como generar un "Plan de Trabajo para el Plan de Contingencia de IT" que involucre a los actores relevantes. Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas orientadas a reducir dichos riesgos. Naturalmente, en la generacin del Plan de Trabajo de su Area recomendable trabajar con sus reportes clave a fin de que sus recomendaciones cuenten con una base operativa slida.

1. Planificacin de Contingencia El Plan est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres. Se define la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. Se ha considerado que para el Plan Nacer, la seguridad es un elemento bsico para garantizar su continuidad y entregar el mejor Servicio, y por lo tanto, considera a la Informacin como uno de los activos ms importantes, lo cual hace que la proteccin de esta sea el fundamento ms importante de este Plan de Contingencia. En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua para la definicin de los procedimientos de seguridad de la Informacin que cada rea debe definir. 1.1 Actividades Asociadas Las actividades consideradas en este documento son: - Anlisis de Riesgos - Medidas Preventivas - Previsin de Desastres Naturales - Plan de Respaldo - Plan de Recuperacin 2. Anlisis de Riesgos Para realizar un anlisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la compaa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o mejora. 2.1. Bienes susceptibles de un dao Se puede identificar los siguientes bienes afectos a riesgos: a) Personal b) Hardware c) Software y utilitarios d) Datos e informacin e) Documentacin f) Suministro de energa elctrica g) Suministro de telecomunicaciones 2.2. Daos Los posibles daos pueden referirse a:

a) Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. b) Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. c) Divulgacin de informacin a instancias fuera del Plan Nacer y que afecte su patrimonio estratgico y/o Institucional, sea mediante Robo o Infidencia. 2.3. Prioridades La estimacin de los daos en los bienes y su impacto, fija una prioridad en relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de los Servicios que se pierden en el acontecimiento. Por lo tanto, los bienes de ms alta prioridad sern los primeros a considerarse en el procedimiento de recuperacin ante un evento de desastre. 2.4. Fuentes de dao Las posibles fuentes de dao que pueden causar la no operacin normal del Plan Nacer asociadas al Centro de operaciones Computacionales son: Acceso no autorizado Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Ruptura de las claves de acceso a los sistemas computacionales. a) Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas computacionales en uso (Virus, sabotaje). b) Intromisin no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intensiones. Desastres Naturales a) Movimientos telricos que afecten directa o indirectamente a las instalaciones fsicas de soporte (edificios) y/o de operacin (equipos computacionales). b) Inundaciones causados por falla en los suministros de agua. c) Fallas en los equipos de soporte: - Por fallas causadas por la agresividad del ambiente - Por fallas de la red de energa elctrica pblica por diferentes razones ajenas. - Por fallas de los equipos de acondicionamiento atmosfricos necesarios para una adecuada operacin de los equipos computacionales ms sensibles. - Por fallas de la comunicacin. - Por fallas en el tendido fsico de la red local. - Fallas en las telecomunicaciones con instalaciones externas. - Por fallas de Central Telefnica.

- Por fallas de lneas de fax. - Fallas de Personal Clave - Se considera personal clave aquel que cumple una funcin vital en el flujo de procesamiento de datos u operacin de los Sistemas de Informacin: a) Personal de Informtica. b) Gerencia, supervisores de Red. Pudiendo existir los siguientes inconvenientes: a) Enfermedad. b) Accidentes. c) Renuncias. d) Abandono de sus puestos de trabajo. e) Otros imponderables. Fallas de Hardware a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. b) Falla en el hardware de Red: - Falla en los Switches. - Falla en el cableado de la Red. c) Falla en el Router. d) Falla en el FireWall. e) Incendios. 2.5. Expectativa Anual de Daos Para las prdidas de informacin, se deben tomar las medidas precautorias necesarias para que el tiempo de recuperacin y puesta en marcha sea menor o igual al necesario para la reposicin del equipamiento que lo soporta. 3. Medidas Preventivas 3.1. Control de Accesos Se debe definir medidas efectivas para controlar los diferentes accesos a los activos computacionales: a) Acceso fsico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor. c) Acceso restringuido a las libreras, programas, y datos. 4. Previsin de desastres Naturales La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin Central, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal. Adems, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, CD, discos con informacin vital de respaldo de aquellos que se encuentren aun en las instalaciones. Adecuado Soporte de Utilitarios

Las fallas de los equipos de procesamiento de informacin pueden minimizarse mediante el uso de otros equipos, a los cuales tambin se les debe controlar peridicamente su buen funcionamiento, nos referimos a: a) UPS de respaldo de actual servidor de Red o de estaciones crticas b) UPS de respaldo switches y/o HUB's Seguridad Fsica del Personal Se deber tomar las medidas para recomendar, incentivar y lograr que el personal comparta sus conocimientos con sus colegas dentro de cada rea, en lo referente a la utilizacin de los software y elementos de soporte relevantes. Estas acciones permitirn mejorar los niveles de seguridad, permitiendo los reemplazos en caso de desastres, emergencias o perodos de ausencia ya sea por vacaciones o enfermedades. Seguridad de la Informacin La informacin y programas de los Sistemas de Informacin que se encuentran en el Servidor, o de otras estaciones de trabajo crticas deben protegerse mediante claves de acceso y a travs de un plan de respaldo adecuado. 5. Plan de Respaldo El Plan de Respaldo trata de cmo se llevan a cabo las acciones crticas entre la prdida de un servicio o recurso, y su recuperacin o reestablecimiento. Todos los nuevos diseos de Sistemas, Proyectos o ambientes, tendrn sus propios Planes de Respaldo. Respaldo de datos Vitales Identificar las reas para realizar respaldos: a) Sistemas en Red. b) Sistemas no conectados a Red. c) Sitio WEB. 6. Plan de Recuperacin Objetivos del Plan de Recuperacin Los objetivos del plan de Recuperacin son: 1) Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. 2) Planificar la reactivacin dentro de las 12 horas de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas. 3) Permanente mantenimiento y supervisin de los sistemas y aplicaciones. 4) Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre. Alcance del Plan de Recuperacin El objetivo es restablecer en el menor tiempo posible el nivel de operacin normal del centro de procesamiento de la informacin,

basndose en los planes de emergencia y de respaldo a los niveles del Centro de Cmputos y de los dems niveles. La responsabilidad sobre el Plan de Recuperacin es de la Administracin, la cual debe considerar la combinacin de todo su personal, equipos, datos, sistemas, comunicaciones y suministros. 1. Todos los miembros de las reas de recuperacin deben estar informados y entrenados, as como poseer una copia del Plan de Contingencia. 2. Una copia del plan debera mantenerse almacenado offsite, junto con los respaldos. 3. Iniciacin del Plan - Gerencia de Administracin y Finazas contactar los equipos de recuperacin - Cuartel General de Recuperacin in-site a definir - Cuartel General de Recuperacin Off-site a definir