Contenido
I. Introduccin ....................................................................................................................... 3
2.- Plan de Contingencias .................................................................................................. 5
3.- Propsito ......................................................................................................................... 7
4.- Alcance ............................................................................................................................ 7
5.- Objetivos.......................................................................................................................... 7
6.- Organizacin................................................................................................................... 8
7.- Fase de Contingencia ................................................................................................... 9
8.- Sistemas/aplicaciones/servicios de misin critica .................................................. 10
9.- Amenazas ..................................................................................................................... 10
10. Ejemplo de contenido del plan de contingencia para una IES. ........................... 19
11. Ejemplo de plan de contingencia para una ies en temporada de huracanes ... 25
12. Ejemplo de polticas de continuidad y contingencia de los servicios ................. 27
Pgina 2/30
Plan de Contingencia
I. Introduccin
En la actualidad los cambios tecnolgicos adquieren cada vez mayor
importancia al interior de las organizaciones, no menos importante es
tambin el cuidado de la integridad del recurso humano, por lo cual se
hace necesario o indispensable contar con un plan de contingencias, que
garantice el restablecimiento del correcto funcionamiento de los
servicios en el menor tiempo posible, ante cualquier eventualidad.
Ante tal situacin, la red de Seguridad en Cmputo del consejo regional
sur-sureste, as como los representantes de Seguridad de la Informacin
de las Instituciones de Educacin Superior (IES): Universidad Autnoma
de Yucatn (UADY), Universidad Autnoma del Estado de Hidalgo
(UAEH), Universidad Autnoma de Aguascalientes (UAA) y Universidad
Autnoma de Mxico (UNAM) -Ciencias Nucleares-, hemos coincidido en
que los activos de nuestras instituciones representan el elemento
fundamental para el prstamo de los servicios educativos y por lo tanto
necesitan del desarrollo de lineamientos que favorezcan o propicien su
uso racional, as como el desarrollo de procedimientos para garantizar la
continuidad del servicio ante cualquier incidente. Esto conlleva a
incrementar su efectividad, a mejorar la productividad, eficiencia del
personal y a proveer un servicio continuo y eficaz.
El Plan de Contingencias implica un anlisis de los posibles riesgos a los
cuales pueden estar expuestos los equipos de cmputo y la informacin
contenida en los diversos medios de almacenamiento, por tanto es
necesario que el Plan de Contingencias incluya un Plan de Recuperacin
de desastres, el cual tendr como objetivo, restaurar el Servicio de
Cmputo en forma rpida, suficiente y con el menor costo y prdidas
posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos,
tambin se hace necesario presuponer que el dao ha sido total, con la
finalidad de tener un Plan de Contingencias lo ms completo posible.
Pese a todas las medidas de seguridad implementadas puede ocurrir un
desastre.
Este documento contiene el las recomendaciones generales para la
elaboracin de un Plan de Contingencia para un IES. El cual podr servir
como un repositorio centralizado para la informacin, tareas y
procedimientos que puedan ser necesarios para facilitar la toma de
Pgina 3/30
Plan de Contingencia
Pgina 4/30
Plan de Contingencia
Pgina 5/30
Plan de Contingencia
Acciones a seguir.
Pgina 6/30
Plan de Contingencia
3.- Propsito
El propsito de este plan es mantener la continua ejecucin de los
procesos de misin crtica y sistemas de informacin tecnolgica de la
IES en el caso extraordinario que un evento pudiera ocasionar que los
sistemas fallen en el mnimo de su produccin. El Plan de Contingencia
de la IES contiene las necesidades y requerimientos de tal forma que la
institucin pueda estar preparada para responder a un evento y, en su
caso, hacer eficiente la restauracin de los sistemas que hayan estado
inoperables por el evento.
4.- Alcance
Proveer informacin sobre los sistemas, lugares, medidas, limitantes
tcnicos y limitantes fsicas del Plan de Contingencia de la IES.
5.- Objetivos
Proporcionar a la IES una herramienta que le permita garantizar el
funcionamiento de la tecnologa informtica y la recuperacin en el
menor tiempo posible de cualquier falla que interrumpa el servicio, as
como salvaguardar la integridad fsica del personal.
Las medidas son, dependiendo de la variedad de sistemas clasificados,
de funcin critica, como son la conectividad, acceso a internet, correo
electrnico u otras aplicaciones mayores, como desarrollos propios de
sistemas de bases de datos. Por lo tanto muchos de lo eventos y
vulnerabilidades pueden ser mitigados aunque algunos de los eventos
no puedan ser prevenidos. Es por esto que es importante que el IES
desarrolle planes de contingencia y planes de recuperacin de desastre
para asegurar la ininterrumpida existencia de sus funciones y la
continuidad del servicio a sus usuarios y/o clientes.
El principal objetivo de un plan de contingencia gira alrededor de la
proteccin de los dos principales activos de una organizacin: el
personal y la informacin. Todas las facetas de un plan de contingencia
deben orientarse a la proteccin y salvaguarda del personal, y proteger
y recuperar informacin. El principal objetivo de este plan es establecer
las polticas y procedimientos para ser usados para los sistemas de
informacin en el caso de una contingencia, para proteger y asegurar la
funcionalidad de estos activos.
Pgina 7/30
Plan de Contingencia
6.- Organizacin
En el caso de un desastre u otra circunstancia que conlleve la necesidad
de operaciones de contingencia, la organizacin normal de la IES deber
cambiar a una organizacin de contingencia. La IES deber centrarse en
cambiar, la estructura actual y funciones de un da normal de
trabajo, a la estructura y funciones requeridas por la contingencia
trabajando en conjunto para la restauracin en tiempo de las
operaciones de la misma.
Una estructura propuesta es la que se presenta en el siguiente
diagrama:
Pgina 8/30
Plan de Contingencia
Equipo de
evaluacin de Daos
Equipo de
Operacin
Equipo de
Comunicacin
Equipo de
Administracin de
Configuraciones
Equipo de Entrada
y Control de
Informacin
Equipo de
Asistencia a
Usuarios
Pgina 9/30
Plan de Contingencia
Nombre Sistema
Conexin de Red Interna
Conexin de Red Externa
Servicio de Resolucin de Nombres
Correo Electrnico Institucional
Base de Datos Institucional
9.- Amenazas
La siguiente tabla muestra las amenazas ms comunes que podran
impactar la continuidad y componentes de sistemas y su administracin.
Las amenazas que son presentadas con (XX) son consideradas las de
mayor probabilidad de ocurrir.
Probabilidad de Amenazas
Probabilidad de Ocurrencia:
Alta
Media
Baja
Accidente areo
Chantaje
Amenazas de bomba
Perdida de comunicacin
Destruccin de informacin
Terremotos
Fuego
XX
X
XX
X
Tormentas / Huracanes
Vandalismo
Pgina 10/30
Plan de Contingencia
By Pass
UPS
Pgina 11/30
Plan de Contingencia
Generales
Pgina 12/30
Plan de Contingencia
Pgina 13/30
Plan de Contingencia
Servidores
1.
2.
Pgina 14/30
Plan de Contingencia
HUMEDAD
Infraestructura
1. Dar
mantenimiento
preventivo
una
vez
por
ao
con
impermeabilizantes a los techos y paredes donde exista el riesgo de
humedad.
Servidores
1. Contar con bolsas de plstico para cubrir servidores y documentos
importantes que puedan mojarse.
ROBO O EXTRAVIO
Infraestructura
1. Colocar letreros o anuncios que impidan el acceso al personal no
autorizado.
2. Que el personal autorizado cuente con identificacin.
3. El lugar fsico donde se encuentran resguardados los expedientes sea
un lugar aislado y seguro.
Servidores
1. Evitar el acceso a personal no
servidores.(solamente el administrador)
autorizado
al
rea
Pgina 15/30
de
Plan de Contingencia
Documentacin
1. Contar con vales de salida de expedientes autorizado por el jefe del
rea.
2. Vigilancia del personal que labora en el rea de archivo.
Servidores
1. Asegurar que se tengan los respaldos externos
2. Apagar servidor.
HUMEDAD
Infraestructura
1. Abrir ventanas para mantener la ventilacin en el rea de archivo.
2. Colocar en lugares seguros el hardware, software y documentos
importantes.
3. Apagar equipos de cmputo prioritarios.
Servidores
1. Cubrir con bolsas de plstico servidores y documentos importantes
que puedan mojarse.
2. Colocar los no-breaks sobre mesas
Pgina 16/30
Plan de Contingencia
ROBO O EXTRAVIO
Personal
1. El personal que labora en el rea deber reportar el extravo o robo
al jefe inmediato y en su caso a la direccin general jurdica para su
investigacin.
2. Tratar de localizar a la persona que extrajo el expediente.
Documentacin
1. Buscar el vale de salida de expedientes autorizado por el jefe del
rea.
Pgina 17/30
Plan de Contingencia
Programar 2 simulacros al ao
Programar dos fumigaciones anuales, en periodos vacacionales
Contar con botas e impermeables para poder entrar y salir de la DBCI
Conocer el manejo de los extintores
Contar con batas, guantes y cubre bocas para el manejo del acervo
Contar con botiquines de primeros auxilios en reas estratgicas
Contar con capacitacin de primeros auxilios
Implementar alarmas de emergencia en lugares estratgicos dentro de
la DBCI
Establecer puntos de reunin dentro y fuera de la DBCI
Difundir las rutas de evacuacin, as como los sitios de localizacin de
alarmas, extintores
Establecer procedimientos de evacuacin
Capacitacin permanente y actualizada a los comits de Seguridad e
Higiene y al de Seguridad en Cmputo
Contar con un directorio del personal
Pgina 18/30
Plan de Contingencia
Contar con una copia del inventario del mobiliario y equipo existente en
el rea.
Contar con un listado de configuraciones del equipo de cmputo y
telecomunicaciones que reside en el rea.
Contar con documentacin al da de contratos de mantenimiento de
infraestructura.
Acciones preventivas.
En caso de Huracn o tormenta tropical, seguir las siguientes medidas de
prevencin:
a) Infraestructura
1. Mantener el tanque de gasolina del automvil lleno. Los vales pueden ser
solicitados al Coordinador Administrativo.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad).
2. Realizar mantenimiento general de la planta elctrica de emergencia.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad).
3. Mantener tanque de la planta de emergencia lleno de diesel.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad).
Tener un tambor de Diesel lleno.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Comprar pilas para lmpara de emergencia.
Pgina 19/30
Plan de Contingencia
Pgina 20/30
Plan de Contingencia
Pgina 21/30
Plan de Contingencia
e) Servicios de Informacin
Contar del mes de junio al mes de octubre con una liga permanente hacia
Centros de Informacin de Huracanes.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
En caso de amenaza de Huracn, dejar liga sobre el estado del fenmeno e
informacin de servicio a la comunidad: albergues, telfonos de
emergencia, etc.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Enviar comunicado a los Directivos y ATIs sobre plan de contigencia y
emergencia, indicando nmeros disponibles para reportes y soporte.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Coordinador Administrativo y Responsables de rea contar con
computadora portatil con carga en pila para estar pendientes de los
servicios de TI de la IES en caso de emergencia.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Tener disponibles los nmeros telefnicos del personal de la Coordinacin
Administrativa y de los responsables de redes de las dependencias
universitarias.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Contar una lnea telefnica analgica con dispositivo analgico.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Tener los telfonos celulares con carga completa.
Responsables: Todos
Imprimir hojas de reporte para llevar control de reportes por escrito.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Pgina 22/30
Plan de Contingencia
Durante la Contingencia
a) Infraestructura
b)
1. Si la planta se encuentra en funcionamiento no se debern conectar
equipos con motor como refrigerador y no se proporcionar el servicio de
carga de telfonos celulares.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
2. Contar con mangueras y embudo para poner diesel, llevando extinguidor
por si se requiere.
Responsable: Se irn turnando: (la IES debe especificar los nombres de
responsables de la actividad)
3. En caso de que la planta haya trabajado ms de 72 horas sin parar, se
recomienda hablar a proveedor para mantenimiento.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
b) Telecomunicaciones
Verificacin de enlaces hacia Internet Conmutadas y servidores,
paulatinamente verificacin de enlaces a DES, generando relacin de los
que ya estn en funcionamiento.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Verificacin de estado de los equipos y secado de los mismos en caso
necesario
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Levantamiento de reportes de DES con problemas y establecimiento de
prioridades para atencin.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
c) Servidores
Verificacin de servicios de TI prioritarios de la IES.
Responsable: (la IES debe especificar el nombre del responsable de la
actividad)
Verificacin de estado de los equipos y secado de los mismos en caso
necesario
Pgina 23/30
Plan de Contingencia
Pgina 24/30
Plan de Contingencia
Pgina 25/30
Plan de Contingencia
Pgina 26/30
Plan de Contingencia
Pgina 27/30
Plan de Contingencia
REQUISITOS
Redundancia
servicios
Proteccin
elctrica
Redundancia
comunicaciones
Enlaces
Personal
Pgina 28/30
Plan de Contingencia
REFERENCIAS BIBLIOGRFICAS.
Cano Jeimy J. (2004). Inseguridad informtica. Un concepto dual en seguridad informtica.
Consultado en Marzo 12, 2010. Consultado en: http://www.acis.org.co/index.php?id=83
Mark Wilson, Joan Hash,(2003) Building an Information Technology Security Awareness
and Training Program, NIST Special Publication 800-50, National Institute of Standards
and Technology. http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf
McCarthy Linda (2003). IT Security-Risking the Corporation. Prentice Hall
National Institute of standards an Technology. Consultado el 20 de septiembre de 2010 en
el URL:
http://www.google.com.mx/url?sa=t&rct=j&q=contingency%20plan%20template&source=
web&cd=1&sqi=2&ved=0CCEQFjAA&url=http%3A%2F%2Fcsrc.nist.gov%2Fgroups%2
FSMA%2Ffasp%2Fdocuments%2Fcontingency_planning%2Fcontingencyplantemplate.doc&ei=uaUUT_0JYGFsALW2tCEBA&usg=AFQjCNFVijqbe1NJ2ldgdUN_AVVJGhKc4Q&sig2=scEV
VZHHLIWaThThGr52Mg&cad=rja
Patriick D. Howard, 2003, "The Security Policy Life Cycle: Functions and
REsponsibilities", Tipton & Krause CRC Press LLC, 2003.
Swason M., Bartol N., Sbato J., Joan H.,& Graffo L., (2003) Security Metrics Guide for
Information Technology Systems. Consultado el febrero 5, 2010 del sitio de National
Institute
of
Standards
Administration
U.S.
Department
of
Commerce
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Whitman Michael, Mattord Herbert. (2004). Management of information security. Boston,
Massachusetts: Thomson Course Technology.
Pgina 29/30
Plan de Contingencia
Pgina 30/30