bibliografía - Universidad Francisco Gavidia

Anuncio
BIBLIOGRAFÍA
LIBROS:
¾ GUIA PRÁCTICA PARA EL DESARROLLO DE PLANES DE CONTINGENCIA DE
SISTEMAS DE INFORMACIÓN.
LIMA, FEBRERO 2001.
¾ SEGURIDAD EN WINDOWS, KIT DE RECURSOS
MC GRAW HILL / INTERAMERICANA DE ESPAA
COPYRIGHT DE LA EDICIÓN ORIGINAL EN LENGUAJE INGLESA 2003 POR BEN
SMITH Y BRIAN KOMAR
PRIMERA EDICION
¾ ANALISIS Y DISENO DE SISTEMAS
KENDALL & KENDALL
TERCERA EDICION 1997
¾ MANUAL PARA LA FORMULACION Y EVALUACION DE PROYECTOS
BALBINO CAÑAS
TERCERA EDICIÓN
EDITORIAL E IMPRENTA DE LA UNIVERSIDAD DE EL SALVADOR
TESIS:
¾ LABORATORIO VIRTUAL DE QUIMICA, Q-LAB
BEATRIZ GARCÍA / ÁLVARO MOYA / EDWIN QUINTEROS
UNIVERSIDAD FRACISCO GAVIDIA
- 110 -
REFERENCIAS DE INTERNET:
¾ http://alerta-antivirus.red.es
¾ http://es.wikipedia.org
¾ http://www.definicion.org
¾ http://www.lawebdelprogramador.com/
- 111 -
ANEXO - A
UNIVERSIDAD FRANCISCO GAVIDIA
FACULTAD DE INGENIERIA Y ARQUITECTURA
FECHA:
ENCUESTA
PAGINAS: 3
Dirigida a: Gerentes de informática y
DE:
administradores de red.
Barahona Martínez, Juan Carlos
Para: La mediana y grande empresa de EL
Jerez Menjivar, Eric Ricardo
SALVADOR.
Manzano Aparicio, Marcia Maribel
TEMA: “CD INTERACTIVO PARA APLICACION DE PLANES DE CONTINGENCIA Y SEGURIDAD
INFORMATICA ORIENTADO A LA MEDIANA Y GRAN EMPRESA EN EL SALVADOR”
Indicaciones: Subraye el literal que corresponda a la información de la empresa en la cual
se esta realizando el estudio.
1- Tipo de empresa
a) Mediana b) Grande
2- ¿Tiene plan de contingencia en el área de Informática?
a) Si
b) No
3- ¿Tiene unidades de respaldo de energía eléctrica?
a) Si
b) No
4- ¿Realiza respaldo de la información de los servidores principales?
a) Si
b) No
5- ¿Utiliza estándares para la aplicación de seguridad informática?
a) Si
b) No
6- ¿Utiliza firewall en su red?
a) Si
b) No
7- ¿Utiliza Antivirus?
a) Si
b) No
8- ¿Utiliza Software de detección de intrusos?
a) Si
b) No
9- ¿Utiliza Software anti spam?
a) Si
b) No
10- ¿Utiliza Software anti spy ware?
a) Si
b) No
11- ¿Utiliza Software de autenticación para le ingreso de los usuarios a Internet?
a) Si
b) No
12- ¿Utiliza herramientas de acceso remoto para la administración de los sistemas de
sus equipos?
a) Si
b) No
13- ¿Utiliza una aplicación para la detección de vulnerabilidades?
a) Si
b) No
14- ¿Realiza auditorias informática?
a) Si
b) No
15- ¿Utiliza VPN?
a) Si
b) No
16- ¿En que medio realiza su respaldo?
a) CD b) Zip drive
c) Tape
d) Disco duro Externo e) DVD
17- ¿Utiliza sistemas de almacenamiento externo (a disco duro IDE o SCSI)?
a) NAS
b) SAM
18- ¿Están los servidores protegidos en una sala especial o gabinete?
a) Si
b) No
19- ¿Cuentan con la instalación eléctrica adecuada donde se mantienen los
servidores?
a) Si
b) No
20- Hacen verificación de los backups realizado?
a) Si
b) No
Datos de la Empresa Encuestada
Nombre de la empresa:____________________________________________________
Nombre del encuestado: __________________________________________________
Giro de la empresa: ______________________________________________________
Datos del Encuestador:
Nombre del Encuestador:___________________________________F._____________
ANEXO - B
REPORTE DE EMPRESAS DE SAN SALVADOR
Categoría de Contribuyente: MEDIANOS
No. Nit
Nombre
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
01010310750017
01010606800015
01011609650015
01012309921013
01013110860018
01110905790010
02021208870043
02022010951012
02023005891016
02030306800012
02031010911010
02072203951017
02100108700014
02100209911010
02100403470012
02100605881019
02100709870017
02100710660011
02100807941013
02101308530012
02101406881014
02101506830012
02101512881015
02101803911019
02102005690010
02102205911019
02102211790014
02102307921019
02102403760012
02102902880011
02102906790016
02103112590010
03062607800013
CENTRO CLINICO HOSPITALARIO, S. A. DE C. V.
ASOC.COOP.DE PRODUCC.AGROPECUARIA EL ZACAMIL DE R.L.
ARIZ SILVA Y COMPAÑIA
TALLERES MUÑOZ, S. A. DE C. V.
COSANJE, SOC. COOP. DE R.L.
ASOC.COOP.DE APROVISIONAM.Y PRODUC.AGROPEC.EL JICARO DE RL
CARTAGUA, S. A.
SEARCH, S.A. DE C.V.
TIMPIX, S. A.
ASOC. COOP. DE PROD. AGROP. SAN RAFAEL EL PROVENIR DE R.L.
POTRERILLOS, S. A. DE C. V.
LEMUS Y LEMUS, SOCIEDAD ANONIMA DE CAPITAL VARIABLE
CLINICA DE EMERGENCIA OCCIDENTAL, S. A.
COMEDOR LAS PALMERAS, S. A. DE C. V.
CENTRO DE EMPLEADOS DE COMERCIO DE SANTA ANA
MACROA, S. A. DE C. V.
COMERCIAL BELLOSO S. A. DE C. V.
INDUST CALCETINERA SALVADOREÑA S.A. DE C.V.
SERVICABLE, S. A. DE C. V.
CLUB DEPORTIVO SANTANECO
CUESTAS HERMANOS, S.A. DE C.V.
PILAR, S.A. DE C.V.
PANORAMA, S.A. DE C.V.
NACE, S. A. DE C. V.
SOC. COLECTIVA CASTANEDA JACO Y COMPAÑIA
ABASTECEDORA DE RODAMIENTOS, S. A. DE C. V.
LOPEZ ALVAREZ Y CIA.
INDUSTRIAS HOTEL SAHARA, S. A. DE C. V.
COLEGIO LA ESPERANZA, S.A. DE C.V.
CENTRAL MOTRIZ, S. A. DE C. V.
GUERRERO'S, S.A. DE C.V.
TIPOGRAFIA COMERCIAL, S. A. DE C. V.
ASOC COOP AH CREDITO CONSUMO CTRAL IZALCO RL
34
35
36
37
03070804430026
03150108620010
03151205600019
03151903860011
CAJA DE CREDITO DE JUAYUA SOC. COOPERATIVA DE R.L. DE C.V.
MANUEL LARIN, Y CIA.
ESTACION TERMINAL AUTOBUSES SONSONATE, S. A.
PROBIERA, S.A. DE C.V.
38
39
40
03152110800016
03152408911015
03152611450014
ASOC. COOP. DE PROD. AGROP. SAN LUIS TAWILL DE R.L.
PROINVERSON, S. A. DE C. V.
DE MATHEU Y COMPAÑIA,S.A. DE C.V.
41
42
03152712881017
03153008650012
ALQUILERES Y SERVICIOS DIVERSOS, S. A DE C. V.
JEREZ SALAVERRIA HIJOS Y CIA.
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
04071005610018
04162511800017
05011408911010
05011706840018
05110204680013
05110512911011
05110601951019
05110605770013
05110901931010
05110905881025
05111004850013
05111008480010
05111401580014
05111709850012
05111801911018
05112004911017
05112206921014
05112507891013
05112610830014
05112706911015
05112706921010
05112912870010
05113005750012
05120206800010
05120506801021
05121608420012
CJA DE CRED. RURAL DE CHALATE. SOCIEDAD COOP. DE R.L. DE C.V.
ASOC.COOP. DE PRODUC. AGROP. STA ROSA NUMERO DOS DE R.L.
DELCA, S. A. DE C. V.
INVERSIONES ASTORIAS, S. A. DE C. V.
LOTIFICACIONES CUYAGUALO, S. A. DE C. V.
PRODUCTOS ALIMENTICIOS PARMA, S. A. DE C. V.
METROVISION, S. A. DE C. V.
CO INDUSTRIAS GIGANTE, S.A. DE C.V.
TOPCOM, S.A. DE C.V.
ESAL S. A. DE C. V.
SAIN, S.A. DE C.V.
SOC. HERMANAS BETHANIA
GUIROLA VALVERDE Y CIA
PRO SEGUROS, S.A. DE C.V.
CAFEVAN, S. A. DE C. V.
SANTA EMILIA, S. A. DE C. V.
COMERCIAL CASA BLANCA, S.A. DE C.V.
URIMAR, S. A. DE C. V.
LOTIVERSA, S.A. DE C.V.
COMBUSTIBLES Y LUBRICANTES, S. A. DE C. V.
A F COMERCIAL, S. A. DE C. V.
ARYES, S. A. DE C. V.
INDUSTRIAS METALICAS MARENCO, S. A. DE C. V.
ASOC. COOP. DE PRODUC. AGROP. LAS MERCEDES DE R.L.
ASOC.COOPERATIVA DE PRODU. AGROPECUARIA TACACHICO DE RL
CAJA DE CREDITO DE QUEZALTEPEQUE SOC. COOP. DE R.L. DE C.V.
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
05133005800015
05151807870017
05160406800017
05221711881012
06010406800018
06050606800014
06071805830017
06072103830016
06080607840019
06082306730016
06132202530012
06140101911037
06140102881018
06140102881026
06140102891021
06140102901019
06140102911014
06140103750012
06140103750024
06140103780041
06140103790010
ASOC. COOPE. DE PRODU. AGROPECUARIA SAN FERNANDO DE R.L.
A.C.A.P.I.L.L. DE R. L.
ASOC. COOP. DE PRODUCCION AGROPECUARIA SN LORENZO DE R. L.
CARFLO S. A. DE C. V.
ASOC. COOP. DE PRODUCCION AGROPECUARIA "LOS MANGOS" DE R.L.
ASOC. COOP. DE PRODUC. AGROP. EL SOCORRO DE R.L.
FERSA, S.A. DE C.V.
AVIASA, S. A. DE C. V.
PRODUCTOS EL ENCANTO S. A. DE C. V.
RADIO EL MUNDO, S. A., DE C. V.
CAJA DE CREDITO DE SAN MARTIN SOC. COOP. DE R.L. DE C. V.
SEGOVIA GUANDIQUE QUINTANILLA, S. A. DE C. V.
INAMER, S. A. DE C. V.
COMARA, S. A. DE C. V.
LA HORMIGA, S. A. DE C. V.
CAL. BROS, S. A. DE C. V.
INSUMOS, PRODUCTOS Y SERVICIOS, S. A. DE C. V.
CANAHUATI Y COMPAÑIA
ACCIONES CONSOLIDADAS, S. A. DE C. V.
PLAZA DEL SOL, S. A. DE C. V.
BATERSUPERCA, S.A. DE C.V.
90
06140103850031
LI ROMA, S.A. DE C.V.
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
06140103901012
06140103911018
06140103941014
06140104921076
06140105730028
06140106830020
06140106921022
06140107640055
06140107690022
06140107800010
06140107800022
06140107860020
06140107921026
06140107941051
06140108770013
06140108830022
06140108840015
06140108901010
06140109630016
06140109720029
06140109750034
06140109770033
06140109800013
06140109921031
06140109921058
06140110110010
06140110820012
06140111830025
06140111901021
06140112830010
06140201901012
06140202740010
06140202931012
06140202931020
06140202931055
06140202951013
06140203760039
06140203830030
06140204870035
06140204870047
06140205941035
06140206760014
06140208710014
06140208881017
06140208911021
06140209770031
06140209941021
06140210870025
DISTRIBUIDORA PETROMATERIALES CARDONA, S. A. DE C. V.
SUMINISTRO INDUSTRIAL DE EQUIPO Y FERRETERIA, SA DE CV
FRUZCO EL SALVADOR, S. A. DE C. V.
INSACOR, S. A. DE C. V.
PINTURAS CACERES, S. A. DE C. V.
BILLCA, S. A. DE C. V.
BOREAL, S. A. DE C. V.
REPRESENTACIONES ARCA, S. A.
CASA RIVAS, S.A. DE C.V.
SAN GABRIEL, S. A. DE C. V.
EUFEMIA, S. A. DE C. V.
COMERCIAL DON CHEPITO, S.A. DE C.V.
SERRANO VALLECILLOS INVERSIONES, S. A. DE C. V.
IMPRESOMATIC, S. A. DE C. V.
SAN BUENAVENTURA, S. A. DE C. V.
JURISAL, S.A. DE C.V.
DUZELPA, S.A. DE C.V.
OFFIMET, S. A. DE C. V.
AGUIRREURRETA HERMANOS, S.A DE C.V.
VEGA HUEZO Y COMPAÑIA
LABORATORIO CLINICO ESPECIALIZADO, S. A.
PAN LOURDES, S.A. DE C.V.
AICA, S. A. DE C. V.
F. RODRIGUEZ PORTH, S. A. DE C. V.
PRODUCTOS EMBUTIDOS QUECO'S , S. A. DE C. V.
DIRECCION DE SERVICIOS GRAFICOS
AUTO RADIADORES, S.A. DE C.V.
PROMERCAN, S. A. DE C. V.
ARMIDA, S. A. DE C. V.
DOSE, S. A. DE C. V.
CORPORACION PUNTA ARENAS, S. A. DE C. V.
PROMOCIONES DIVERSAS, S. A.
ASA, S. A. DE C. V.
PITTA VAIRO, S. A. DE C. V.
RAFAEL VEGA GOMEZ, S. A. DE C. V.
COMUNICACIONES INTEGRADAS, S.A. DE C.V.
AGROINDUSTRAL SOCIEDAD COOPERATIVA DE R. L.
LABORATORIO CLINICO SN JUAN, SOC. ANONIMA DE CAP. VARIABLE
INVERSIONES TAURO, S. A. DE C. V.
CONSTRUCTORA FUNES, S. A. DE C. V.
SERVICIOS Y DISTRIBUIDORES INDUSTRIALES, S. A. DE C. V.
DISTRIBUIDORA DE PRODUCTOS QUIMICOS, S. A. DE C. V.
EL AVE FENIX, S. A. DE C. V.
CONSULTORES VENTURA, S.A. DE C.V.
COPROINSA, S. A. DE C. V.
TINOCO BELKNAP Y COMPAÑIA
ASOC. DE TRAB.DE AVICOLA SALV., S.A. DE C.V. Y FILIALES
AGROS Y PECUARIOS, S. A. DE C. V.
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
06140212630017
06140212850054
06140212870016
06140212931045
06140212951011
06140301830012
06140301850011
06140302780028
06140302870017
06140302891018
06140303520014
06140303881024
06140304730016
06140304740010
06140304820017
06140304870021
06140304891015
06140304891031
06140304901037
06140304921038
06140305720018
06140305850054
06140306850049
06140306941036
06140307780020
06140307911017
06140307911025
06140307961022
06140309860042
06140309921044
06140309921060
06140311881017
06140311941010
06140312810030
06140312850015
06140401710041
06140401850021
06140401880037
06140402770021
06140402911024
06140402921054
06140402921062
06140403870072
06140404840014
06140405921012
06140406941017
06140407881034
06140407881042
06140407891030
06140409840030
CONDE, S. A. DE C. V.
MULTIFRENOS, S.A. DE C.V.
ORG TEC. DE INSTALACIONES Y SERVICIOS, S.A.
SALVADOREÑA DE VALORES, S.A DE C.V. CORREDORES DE BOLSA
SEGURIDAD PRIVADA SALVADOREÑA, S.A DE C.V.
GALAXIA DEPORTES S.A. DE C.V.
ZETA L INVERSIONES, S. A. DE C. V.
CREDI CENTRO, S.A. DE C.V.
ACEROSAL, S.A. DE C.V.
CIEN MIL LLAVES S. A. DE C. V.
COMPAÑIA MERCANTIL INTERCONTINENTAL, SA DE CV
MOLDEADOS SALVADOREÑOS, S.A. DE C.V.
RICARDO HERNANDEZ, S. A. DE C. V.
LABORATORIOS REAL, S. A. DE C. V.
CREACIONES VICHE SOLIS, S.A. DE C.V.
SIPREIN, S.A. DE C.V.
COMPAÑIAS MARITIMAS DE EL SALVADOR, S. A. DE C. V.
PROCESOS DIVERSOS, S. A. DE C. V.
ENRIMAR, S. A. DE C.V.
EMPRESAS MATA, S.A. DE C.V.
PISOS Y RESINAS, S A DE C V
PROCESAL, S.A. DE C.V.
ALTAMONTE, S. A. DE C. V.
PENTACOM, S. A. DE C. V.
SERVYCONSA, S. A. DE C. V.
CONSTRUCTORA PLICO, S. A. DE C. V.
FACTURAS Y DESCUENTOS, S. A. DE C. V.
DISTRIBUIDORA DEPORTIVA, S. A. DE C. V.
MONTAGRI, S. A. DE C. V.
M.S. IMPRESORES, S. A. DE C. V.
CORPORACION DENISSE, S.A. DE C.V.
GOMEZ FARFAN, S. A. DE C. V.
MULTISERVICIOS E INVERSIONES, S.A. DE C.V.
LA LUCERNA, S.A. DE C.V.
ESCORPION, S.A. DE C.V.
RADIO CADENA CENTRAL, S.A.
REX, S.A. DE C.V.
MYSEL, S.A. DE C.V.
PROMOTORA DE ORIENTE, S.A.
UNIVERSAL DE SERVICIOS Y EQUIPOS S.A. DE C.V.
ORFRAMA, S. A. DE C. V.
SANDY'S CARDS AND GIFTS, S.A. DE C.V.
MII, S.A. DE C.V.
INTERMUNDIAL, S. A. DE C. V.
SERVICIO INDUSTRIAL M Y M, S. A. DE C. V.
NESKAZARRA, S. A. DE C. V.
PARCEL & LAND, S. A. DE C. V.
EL EXCLUSIVO, S. A. DE C. V.
INVERSIONES DUMA, S. A. DE C. V.
TRANSPORTES CARBONELL, S. A. DE C. V.
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
06140409850034
06140409901075
06140409921017
06140411780015
06140412840020
06140501670016
06140502770018
06140502870025
06140502921086
06140503921055
06140504670015
06140505790016
06140506720010
06140506911050
06140506951044
06140507690013
06140507830042
06140507881015
06140509860013
06140509881012
06140509911019
06140509941023
06140509941074
06140510840038
06140510881034
06140510891021
06140510901019
06140511911026
06140512840030
06140512860028
06140602860029
06140602921016
06140602931020
06140603650018
06140604740015
06140604891041
06140604891050
06140604931019
06140605941042
06140606830032
06140606911031
06140606951050
06140607891018
06140607901030
06140607901048
06140609911016
06140609931033
06140609941039
06140610830020
06140611580022
06140611921037
MADECORT, S.A. DE C.V.
TRIPLE UNO, S. A. DE C. V.
MADERAS, S. A. DE C. V.
G A L O, S. A. DE C. V.
AGROPECUARIA LA CONCORDIA, S. A. DE C. V.
RETECSA, S.A. DE C.V.
NOVO APART HOTEL, S.A. DE C.V.
MULTIRESTAURANTES, S.A. DE C.V.
DISTRIBUIDORA METALURGICA, S. A. DE C. V.
INGENIERIA EN SISTEMAS DE COMPUTACION, S. A. DE C. V.
FILAMENTOS Y PERFILES, S. A.
VASQUEZ, S.A. DE C.V.
YSU TV CANAL CUATRO, S. A.
ASESORIAS Y SERVICIOS PROFESIONALES, S.A. DE C.V.
RINSA, S. A. DE C. V.
CRUZ Y CO. DE C.V.
DIPIMO, S.A. DE C.V.
EL UNICO, S. A. DE C. V.
ARIAN, S.A. DE C.V.
COCA GALDAMEZ, S. A. DE C. V.
INVERSIONES Y PROYECTOS DEL PACIFICO, S. A. DE C. V.
MAXIMA TECNOLOGIA, S. A. DE C. V.
ZUMAR, S. A. DE C. V.
PRODUCTOS REGAL, S. A. DE C. V.
EL MUNDO FELIZ, S. A. DE C. V.
ARQUITECTURA TRANZO, S. A. DE C. V.
SABORES INSTANTANEOS SALVADOREÑOS, S.A. DE C.V.
KALPATARU, S. A. DE C. V.
NR CONSULTORES ASOCIADOS, S.A. DE C.V.
AMGASAL, S.A. DE C.V.
ALFAGAL SOCIEDAD ANONIMA DE CAPITAL VARIABLE
PRODLAC PALMERA, S. A. DE C. V.
METROCREDITO, S. A. DE C. V.
HUGUET E HIJO Y CIA.
TINTAS EL SALVADOR, S.A. DE C.V.
CENTRO ELECTRICO TECLEÑO, S. A. DE C. V.
POLLOS REAL, S. A. DE C. V.
RAJAC, S. A. DE C. V.
INVERSIONES EL TUCAN, S. A. DE C. V.
BRONCES, S.A. DE C.V.
GILGAL, S. A. DE C. V.
FONDO DE ACTIVIDADES ESP.DE LA RADIO CADENA CUSCATLAN
AGRO INDUSTRIAS ESCO BARR, S. A. DE C. V.
MOBILIARIO Y DECORACION CONTRATISTAS, S.A. DE C.V.
PARCELACIONES UNIVERSALES, S. A. DE C. V.
BOLIVAR TRADING (EL SALVADOR), S. A. DE C. V.
HIELO PALMERA, S. A. DE C. V.
VIDRIOS CENTROAMERICANOS, S. A. DE C. V.
AUTO REPUESTOS RACING, S.A. DE C.V.
ASOCIACION SALVADOREÑA DE INDUSTRIALES
POLICLINICA VETERINARIA, S.A. DE C.V.
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
06140612760019
06140612820028
06140612840039
06140612891018
06140612911027
06140612911108
06140701560012
06140701590016
06140701770020
06140701780024
06140701840010
06140701850026
06140701941037
06140701941070
06140702670019
06140702891033
06140702921030
06140702941014
06140703780027
06140703810020
06140703901032
06140704870024
06140704921029
06140705911027
06140706891011
06140706901033
06140706931056
06140707921011
06140707921046
06140707931076
06140708800016
06140709790018
06140710850015
06140710881012
06140710911035
06140712790010
06140712881010
06140712881095
06140712891015
06140801921017
06140802650018
06140802730038
06140802860049
06140802880048
06140802891022
06140802891030
06140803790018
06140803820011
06140803901013
06140803911035
LABORATORIO MEDICO CENTRAL, S. A. DE C. V.
DIVISA, S. A. DE C. V.
IMESAL, S. A. DE C. V.
EL AMATE, S. A. DE C. V.
DEYCAR, S. A. DE C. V.
SERVIPERSONAL, S. A. DE C. V.
REGISTROS DE ADUANA S. A. DE C. V.
BAHAIA Y CIA.
INVERSIONES CULTURALES, S. A. DE C. V.
EL PROGRESO, S.A. DE C.V.
I DUSA, S. A. DE C. V.
SALAZAR MENDEZ Y COMPAÑIA
COMPAÑIA IMPRESORA SALVADOREÑA, S. A. DE C. V.
COMPRUEBA, S. A. DE C. V.
LA MASCOTA, S.A. DE C.V.
KOSMETIKA INTERNACIONAL, S. A. DE C. V.
LONAS DECORATIVAS, S. A. DE C. V.
CERAMIX, S. A. DE C. V.
ERNESTINA CASTRO S.A. DE C.V.
LINDA TRAVEL AGENCY, S. A. DE C. V.
F-C, S. A. DE C. V.
MOVAT, S.A. DE C.V.
EL JABALI, S. A. DE C. V.
AGRICOLA CIMARRON, S. A. DE C. V.
PROYECTOS DE METAL MECANICA S. A. DE C. V.
PROCESOS DEL PAN, S. A. DE C. V.
VILLEDA HERMANOS, S. A. DE C.V.
CONDIMENTOS Y ESPECIAS, S. A. DE C. V.
ALFARO PALACIOS, S. A. DE C. V.
INSATELSA LTDA. SUCESORES
RIDI, S. A. DE C. V.
HISPALIA, S.A. DE C.V.
STEREO MI PREFERIDA, S.A. DE C.V.
PRODUCTOS MELOW, S. A. DE C. V.
DIEGO ESCALANTE, S. A. DE C. V.
AGENCIA COMERCIAL ADUANERA, S.A. DE C.V.
NOVA CORP, S. A. DE C. V.
ABRAHAM CONSTANTINO CHAHIN, S. A. DE C. V.
CORPORACION MC, S. A. DE C. V.
IMPRENTA A-Z, S. A. DE C. V.
INVERSIONES FARMACEUTICAS CENTRAL, S. A. DE C. V.
INVERSIONES SAN LUIS, S. A. DE C. V.
PEREZ SALEH, S.A. DE C.V.
VINSAR, S. A. DE C. V.
J. A. ZETINO, INGENIEROS CONTRATISTAS, S. A. DE C. V.
PLUS CHEMICAL, S. A. DE C. V.
ANLE, S. A. DE C. V.
LAS ROSAS, S. A. DE C. V.
LABORATORIO ALVAREZ ALEMAN, S. A. DE C. V.
SENSACIONES, S. A. DE C. V.
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
06140803931079
06140803941023
06140804921018
06140805870017
06140805901045
06140805901053
06140806891019
06140806901014
06140807770026
06140807770038
06140807770040
06140807881041
06140807881068
06140807891012
06140808770034
06140808881010
06140808911017
06140808941021
06140809921024
06140809931046
06140809941017
06140810750018
06140811850033
06140811911028
06140812710012
06140812720017
06140812870015
06140812901018
06140812921027
06140812931049
06140812931111
06140901951045
06140901951070
HASBUN ZAMORA, S. A. DE C. V.
KAMAKURA, S. A. DE C. V.
IMPORTADORA VENTURA ESCOBAR, S. A. DE C. V.
PASARI, S.A. DE C.V.
SERVICIOS AUTORIZADOS DE REPARACION, S. A. DE C. V.
BATRE BENDI, S. A. DE C. V.
SEÑOR TENEDOR, S. A. DE C. V.
INVERSIONES CRUYA, S. A. DE C. V.
MAPRIMA, S.A. DE C.V.
SERVICIOS EDUCATIVOS MAPLE, S.A. DE C.V.
INDUSTRIAS AMERICANAS, S. A. DE C. V.
ZAMI, S.A. DE C.V.
PROFESIONALES DE SALUD, S. A. DE C. V.
ENERGIA ELECTRICA, S. A. DE C. V.
COMERCIAL SABAS, S. A. DE C. V.
ELECTROMEDICA, S.A. DE C.V.
OMNI EQUIPOS, S. A. DE C. V.
CORPORACION INTERMODA, S. A. DE C. V.
NUTRI ALIMENTOS, S.A. DE C.V.
GERSON, S. A. DE C. V.
OGACI, SOCIEDAD ANONIMA DE CAPITAL VARIABLE
INMOBILIARIA SOFIA S.A. DE C.V.
INVERSIONES MAGICO, S. A. DE C. V.
IMPORTACIONES SANTA LUCIA, S. A. DE C. V.
MANUEL ATILIO GUANDIQUE Y CIA.
PROYECTISTAS ELEC. MECANICOS E INDUSTS. S A
EDIFICACIONES CANADA, S. A. DE C. V.
TELCOM, S. A. DE C. V.
PARCELACIONES CALIFORNIA, S. A. DE C. V.
INVERSIONES FINANCIERAS BANCOSAL, S.A.
CORPORACION LAS GEMELAS, S. A. DE C. V.
CUELLAR INGENIEROS, S.A. DE C.V.
ACOSERVI, S. A. DE C. V.
Categoría de Contribuyente: GRANDE
No. Nit
1
2
3
4
5
6
7
8
9
10
01010406800019
01012112700019
01113103800013
02033110660019
02040306800024
02040603800018
02100106710016
02100409220017
02101203640012
02101207920015
Nombre
ASOC. COOP DE PRODU. AGROPECUARIA LA LABOR DE R.L.
ING. JOSE ANTONIO SALAVERRIA Y CO. DE C.V.
ASOC. COOP. DE PROD. AGROINDUS. "EL PROGRESO" DE R.L.
SOC. COOP.CHALCHU DE PRODUCT. DE CAFE,CUZCACHAPA
ASOC. COOP. DE PROD AGROPECUARIA " LOS PINOS" DE R.L.
ASOC. COOP. DE PRODUC. AGROP. DE LA PRESA DE R.L.
ALMACENES BOU, S.A. DE C.V.
RIO ZARCO, S.A. DE C.V.
IMPLEMENTOS AGRICOLAS CENTROAMERICANOS, S.A. DE C.V.
AES CLESA Y COMPAÑIA, S. EN C. DE C. V.
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
02101911710016
02102603710016
02102702891013
02102806830016
03062805800029
03070606800019
03070705670011
03072912720017
03120306800015
03150108530019
03151906550010
05030603800013
05031006800012
05040506800014
05100506800015
05110101891010
05110108740018
05110307630018
05110402951018
05110601650013
05110610820011
05111112690013
05111912911017
05112602901018
05112807580014
05113004570014
05113110810013
06072205730011
06081712710012
06140101480029
06140101650014
06140101680018
06140101680020
06140101770019
06140101810017
06140101820011
06140102630023
06140102931058
06140103250015
06140103620013
06140103660011
06140104620021
06140104630014
06140104670012
06140104670024
06140104680029
06140104740014
06140105350013
06140105500011
06140105560020
06140106710013
ALMACENES VIDRI, S.A. DE C.V.
RAF, S.A. DE C.V.
ESMAR, S. A. DE C. V.
BASAMAR, S. A. DE C. V.
ASOC COOP DE PROD. AGROPECUARIA ATAISI DE R.L.
ASOC. COOP. DE PROD. AGROP. LAS LICTORIAS DE RL
COOP DE CAFETALEROS DE SAN JOSE LA MAJADA DE R.L.
SOC COOP DE CAFICULTORES DE JUAYUA, DE R. L.
ASOC. COOP. DE PRODU AGROP. LOS LAGARTOS DE R. L.
LARIN E HIJOS Y CO.
COOPERATIVA GANADERA DE SONSONATE DE R. L.
ASOC.COOP. DE PROD AGROPECUARIA AGUA FRIA, DE R.L.
ASOC COOP DE PROD AGROPECUARIA PASATIEMPO DE R.L.
ASOC COOP DE PROD AGROPECUARIA STA ADELAIDA DE R.L.
ASOC.COOP. DE PROD. AGROP. CAFETAL FLORENCIA, DE R.L.
J. HUMBERTO ROSA, S.A. DE C.V.
INSTITUTO TECNOLOGICO CENTROAMERICANO
KIMBERLY-CLARK DE CENTRO AMERICA, S.A.
BANCO PROMERICA, S.A.
TACOPLAST,S.A. DE C.V.
AGROSERVICIO EL SURCO, S. A. DE C. V.
DISTRIBUIDORA ZABLAH,S.A. DE C.V.
NEGOCIOS DE CAFE ZARCO, S.A. DE C.V.
FOMENTO RURAL INMOBILIARIO, S.A. DE C.V.
SUMMA INDUSTRIAL, S. A. DE C. V.
ASOCIACION INSTITUCION SALESIANA
AUTO INVERSIONES, S.A. DE C.V.
INDUSTRIA DE HILOS, S. A. DE C. V.
HERNANDEZ HERMANOS, S.A. DE C.V.
EL CENTRO TEXTIL, S.A. DE C.V.
LOS ABETOS, S.A. DE C.V.
J. A. APARICIO, S. A. DE C. V.
EL GRANJERO, S.A.
TUBOS Y PERFILES PLASTICOS, S.A. DE C.V.
BON APPETIT, S.A. DE C.V.
CORPORACION SALVADOREÑA DE INVERSIONES (CORSAIN)
J WALTER THOMPSON, S. A. DE C. V.
ETERRNA, S.A. DE C.V.
ALMACENES SCHWARTZ, S.A. DE C.V.
AGAVE, S. A. DE C. V.
LUBRICANTES TEXACO S.A.
TALLER DIDEA, S.A. DE C.V.
MC CANN-ERICKSON CENTROAMERICANA (EL SALVADOR), S.A.
SIEMENS, S.A.
ALCATEL DE EL SALVADOR,S.A. DE C.V.
SERVICIO AGRICOLA SALVADOREÑO, S.A. DE C.V.
TRADER, S.A. DE C.V.
LA CONSTANCIA, S.A.
DELICIA,S.A. DE C.V.
AMANCO EL SALVADOR, S. A.
ELECTRONICA Y COMUNICACIONES, S. A. DE C. V.
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
06140106710049
06140106911035
06140107740025
06140107740050
06140107911039
06140107941019
06140108580017
06140108740010
06140109590020
06140109780014
06140109860010
06140109921040
06140110880010
06140111800010
06140112450017
06140202620015
06140204740024
06140204810014
06140206710011
06140206921046
06140207740011
06140208550011
06140209630014
06140209710022
06140209931034
06140210891046
06140212680010
06140302891026
06140305670015
06140306640018
06140306830038
06140308600012
06140309760011
06140310350015
06140311941060
06140312921063
06140312931018
06140402710012
06140403530017
06140403810014
06140403891027
06140403981026
06140403981034
06140403981050
06140404600015
06140404790047
06140405881037
06140405891016
06140405901020
06140406680014
06140406790014
COMPAÑIA PANAMEÑA DE AVIACION, S.A.
ELSY'S CAKES, S. A. DE C. V.
BANCO DE FOMENTO AGROPECUARIO
CAMARA DE COMERCIO E INDUSTRIA DE EL SALVADOR
COMPAÑIA SALVADOREÑA DE SEGURIDAD S.A DE C.V.
CARTONERA CENTROAMERICANA, S. A. DE C. V.
FREUND DE EL SALVADOR, S.A. DE C.V.
INDUSTRIAS CRISTAL DE CENTRO AMERICA, S.A.
PUBLICIDAD COMERCIAL, S.A. DE C.V.
LICORES DE CENTROAMERICA, S.A.
TELESISTEMAS, S.A. DE C.V.
EMPRETUR, S.A. DE C.V.
LIEBES, S. A. DE C. V.
BENEFICIO SAN CRISTOBAL, S. A. DE C. V.
MARTINEZ Y SAPRISSA,S.A. DE C.V.
MOORE DE CENTRO AMERICA, S.A. DE C.V.
LA NUEVA AVICOLA, S.A. DE C.V.
MUNDO DE LOS FRENOS Y REPUESTOS, S.A. DE C.V.
COMERCIAL PRECO,S.A. DE C.V.
CONVENIENCE STORE, S.A. DE C.V.
BIDECA,S.A. DE C.V.
COMPAÑIA GENERAL DE SEGUROS, S.A.
ALUMINIO DE CENTROAMERICA, S.A. DE C.V.
MARINA INDUSTRIAL,S.A. DE C.V.
GENERAL AUTOMOTRIZ, S.A. DE C.V.
ALKEMY EL SALVADOR, S.A. DE C.V.
MCCORMICK DE CENTRO AMERICA, S.A. DE C.V.
FORMULARIOS STANDARD, S.A. DE C.V.
PAVOS, SOCIEDAD ANONIMA
DISTRIBUIDORES RENA WARE, S.A. DE C.V.
COMUNICACIONES DE BANDA ANCHA, S. A. DE C.V.
EMPRESAS LACTEAS FOREMOST, S.A. DE C.V.
PRODUCTOS TECNOLOGICOS,S.A. DE C.V.
DUTRIZ HERMANOS, S.A. DE C.V.
PREFABRICADOS INTERNACIONALES, S. A. DE C. V.
FRUTERIA VIDAURRI, S. A. DE C. V.
BANCO DE AMERICA CENTRAL, S.A.
TERMOENCOGIBLES, S.A. DE C.V.
TENERIA SALVADOREÑA,S.A. DE C.V.
HENKEL DE EL SALVADOR, S.A. DE C.V.
DISTRIBUIDORA MENENDEZ, S.A. DE C.V.
AFP CRECER, S.A.
ADMINISTRADORA DE FONDOS DE PENS. PROFUTURO, S.A.
ADMINISTRADORA DE FONDOS DE PENSIONES CONFIA, S.A.
DISTRIBUIDORA SHELL DE EL SALVADOR, S.A.
LANCASCO SALVADOREÑA, S.A. DE C.V.
EDITORIAL METAPANECA, S.A. DE C.V.
COSMETICOS Y MODAS, S.A. DE C.V.
AVIMAC, S.A DE C.V.
GOLDTREE, S.A. DE C.V.
UNIPHARM DE EL SALVADOR, S.A. DE C.V.
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
06140408850014
06140409630010
06140409670019
06140410650010
06140501350010
06140501680010
06140504670027
06140504740017
06140504840048
06140504881022
06140506891025
06140507560026
06140509941015
06140510560017
06140510820027
06140510881026
EL BORBOLLON, S.A. DE C.V.
COMPAÑIA BRISTOL-MYERS SQUIBB DE CENTRO AMERICA
STEINER,S.A. DE C.V.
CARTOTECNICA CENTROAMERICANA,S.A.
OVIDIO J.VIDES, S.A. DE C.V.
AVICOLA MONTSERRAT,S.A. DE C.V.
GRUPO 20/20, S.A. DE C.V.
LA CASA CASTRO, S.A. DE C.V.
ASOCIACION AGAPE DE EL SALVADOR
DISEÑOS Y CONSTRUCCIONES CIVILES, S.A. DE C.V.
TECNO AVANCE, S.A. DE C.V.
DESTILERIA SALVADOREÑA, S.A DE C.V
BANCO UNO, S.A.
PROYECTOS INDUSTRIALES,S.A. DE C.V.
AVANCE INGENIEROS, S.A. DE C.V.
GUILLEN Y ASOC SOCIEDAD ANONIMA DE CAPITAL VARIABLE
ANEXO – C
Área bajo la curva normal.
http://www.universidadabierta.edu.mx/SerEst/Apuntes/VelascoRoberto_EstadistInferenci
al.htm
ANEXO – D
GLOSARIO TECNICO
Listado de palabras técnicas utilizadas:
Acceso: Es la recuperación o grabación de datos que han sido almacenados en un
sistema de computación. Cuando se consulta a una base de datos, los datos son
primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del
terminal.
ADWARE: Son aquellos programas que tienen la particularidad de incluir publicidad a
cambio de su total gratuidad en su utilización
Amenaza: Cualquier cosa que pueda interferir con el funcionamiento adecuado de una
computadora personal, o causar la difusión no autorizada de información confiada a una
computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios
descuidados.
Ataque: Término general usado para cualquier acción o evento que intente interferir
con el funcionamiento adecuado de un sistema informático, o intento de obtener de
modo no autorizado la información confiada a una computadora.
Ataque Activo: Acción iniciada por una persona que amenaza con interferir el
funcionamiento adecuado de una computadora, o hace que se difunda de modo no
autorizado información confiada a una computadora personal.
Ataque Pasivo: Intento de obtener información o recursos de una computadora
personal sin interferir con su funcionamiento, como espionaje electrónico, telefónico o
la intercepción de una red. Todo esto puede dar información importante sobre el
sistema, así como permitir la aproximación de los datos que contiene.
Base de Datos: Una base de datos es un conjunto de datos organizados, entre los cuales
existe una correlación y que además, están almacenados con criterios independientes de
los programas que los utilizan.
Caballo de Troya: El intruso coloca un código dentro del sistema que le permita
accesos posteriores no autorizados. El caballo de Troya puede dejarse permanentemente
en el sistema o puede borrar todo rastro de sí mismo, después de la penetración.
CD-ROM: Abreviación de Compact Disk Read-Only Memory, un CD-ROM sirve para
almacenar datos digitales y puede contener 700 Mb
Clave privada: en un sistema criptográfico asimétrico, clave criptográfica de un usuario
sólo conocida por el mismo.
Clave pública: en un sistema criptográfico asimétrico, clave criptográfica de un usuario
que se hace de público conocimiento.
Clave secreta: en un sistema criptográfico simétrico, clave criptográfica compartida por
dos entidades.
Cluster (informática)
El término cluster se aplica a los conjuntos o conglomerados de computadoras
construidos mediante la utilización de componentes de hardware comunes y que se
comportan como si fuesen una única computadora. Juegan hoy en día un papel
importante en la solución de problemas de las ciencias, las ingenierías y del comercio
moderno.
Código clandestino: Se hace un parche en el sistema operativo bajo la pretensión de
una depuración. El código contiene trampas que permiten realizar a continuación
reentradas no autorizadas al sistema.
Contraseña: información confidencial, frecuentemente constituida por una cadena de
caracteres, que puede ser usada en la autenticación de un usuario.
Cookie: fichero de texto codificado que la mayoría de los servidores web de Internet
envían y registran en un archivo del disco duro de cada usuario que visita el web, se
utiliza para registrar el paso del usuario y controlar sus preferencias y establecer un
perfil personalizado del los usuarios.
Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que
posibilite su recuperación.
Copia de seguridad: Hacer una copia de seguridad, copia de respaldo o simplemente
respaldo (backup en inglés) consiste en guardar en un medio extraíble (para poder
guardarlo en lugar seguro) la información sensible referida a un sistema.
Cortafuegos: Sistema de seguridad, encargado de proteger una red de área local de
accesos no autorizados desde una red de área amplia a la que esté conectada, en inglés
Firewall.
Datos: Los datos son hechos y cifras que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se utilizan como
sinónimos. En su forma más amplia los datos pueden ser cualquier forma de
información: campos de datos, registros, archivos y bases de datos, texto (colección de
palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o
cuadros de bits), vídeo (secuencia de tramas), etc.
Detección de intruso: Los sistemas deben contener mecanismos de entrampamiento
para atraer al intruso inexperto. Es una buena primera línea de detección, pero muchos
sistemas tienen trampas inadecuadas.
Discos duros generalmente utilizan un sistema de grabación magnética analógica. En
este tipo de disco encontramos dentro de la carcasa una serie de platos metálicos
apilados girando a gran velocidad. Sobre estos platos se sitúan los cabezales encargados
de leer o escribir los impulsos magnéticos.
DHCP: Son las siglas en inglés de Protocolo de configuración dinámica de servidores
(Dynamic Host Configuration Protocol). Es un protocolo de red en el que un servidor
provee los parámetros de configuración a las computadoras conectadas a la red
informática que los requieran (máscara, puerta de enlace y otros) y también incluye un
mecanismo de asignación de direcciones de IP.
DNS: El Domain Name System (DNS) es una base de datos distribuida y jerárquica que
almacena información asociada a nombres de dominio en redes como Internet. Aunque
como base de datos el DNS es capaz de asociar distintos tipos de información a cada
nombre, los usos más comunes son la asignación de nombres de dominio a direcciones
IP y la localización de los servidores de correo electrónico de cada dominio.
DVD: Más conocido como "Digital Versatile Disc" o "Disco Versátil Digital", aunque
también se le puede denominar como "Digital Video Disc" o "Disco de Video Digital")
es un formato multimedia de almacenamiento óptico que puede ser usado para guardar
datos, incluyendo películas con alta calidad de vídeo y audio. Se asemeja a los discos
compactos en cuanto a sus dimensiones físicas (diámetro de 12 u 8 cm), pero están
codificados en un formato distinto y a una densidad mucho mayor.
Encriptar: Forma de codificar la información transmitida a través de la red para no ser
leída por un tercero en caso de ser interceptada.
Extintor es un artefacto que sirve para apagar fuegos. Suelen consistir en un recipiente
metálico (bombona o cilindro de acero) que contiene un agente extintor a presión, de
modo que al abrir una válvula el agente sale por una tobera que se debe dirigir a la base
del fuego.
Firma electrónica: es el conjunto de datos, en forma electrónica, anexos a otros datos
electrónicos o asociados funcionalmente con ellos, utilizados como medio para
identificar formalmente al autor o a los autores del documento que la recoge.
Freeware:
Programas
que
se
pueden
emplear
gratuitamente.
Creados
por
programadores que no buscan lucrase con ellos.
FTP : File Transfer Protocol es uno de los diversos protocolos de la red Internet,
concretamente significa File Transfer Protocol (Protocolo de Transferencia de
Archivos) y es el ideal para transferir grandes bloques de datos por la red.
Gateway: dispositivo que permite el acceso desde una red de ordenadores a otra de
características diferentes.
Generador eléctrico es todo dispositivo capaz de mantener una diferencia de potencial
eléctrico entre dos de sus puntos, llamados polos, terminales o bornes.
Los generadores eléctricos se clasifican en dos tipos fundamentales: primarios y
secundarios. Son generadores primarios los que convierten en energía eléctrica la
energía de otra naturaleza que reciben o de la que disponen inicialmente, mientras que
los secundarios entregan (una parte de) la energía eléctrica que han recibido
previamente. Se agruparán los dispositivos concretos conforme al proceso físico que les
sirve de fundamento.
Golpe (Breach): Es una violación con éxito de las medidas de seguridad, como el robo
de información, el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.
Hacker: (pirata): Persona con altos conocimientos sobre el funcionamiento interno de
un sistema, de un ordenador o de una red de ordenadores. Este término se suele utilizar
indebidamente como peyorativo, confundiéndolo con el término cracker. Este es un
usuario de ordenadores especializado en penetrar en las bases de datos de sistemas
informáticos estatales con el fin de obtener información secreta. En la actualidad, el
término se identifica con el de delincuente informático, e incluye a los cibernautas que
realizan operaciones delictivas a través de las redes de ordenadores existentes.
Hardware: Todos los componentes físicos de la computadora y sus periféricos.
Hipertexto: Ruptura de la estructura lineal de un texto mediante “enlaces”, también
llamados “Vínculos” o “Hipervínculos”, que permiten saltar a otros temas relacionados,
donde encontrar información ampliada. Las páginas Web de Internet son un ejemplo
claro de Hipertexto.
Host: El término host en informática o computación hace referencia a cualquier
máquina conectada a una red de ordenadores, un nodo con nombre de dominio.
Hosting: servicio de alojamiento ofrecido por algunos proveedores, que brindan a sus
clientes un espacio en su servidor para alojar un sitio web.
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
IDE: La interfaz IDE (Integrated device Electronics) o ATA (Advanced Technology
Attachment) controla los dispositivos de almacenamiento masivo de datos, como los
discos duros y ATAPI (Advanced Technology Attachment Packet Interface) añade
además dispositivos como, las unidades CD-ROM.
Incidente: Cuando se produce un ataque o se materializa una amenaza, tenemos un
incidente, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de
un archivo protegido
Integridad: Se refiere a que los valores de los datos se mantengan tal como fueron
puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir
que existan valores errados en los datos provocados por el software de la base de datos,
por fallas de programas, del sistema, hardware o errores humanos. El concepto de
integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se
debe tener con ellos.
Internet: red de ordenadores a nivel mundial. Ofrece distintos servicios, como el envío
y recepción de correo electrónico (e-mail), la posibilidad de ver información en las
páginas Web, de participar en foros de discusión (News), de enviar y recibir ficheros
mediante FTP, de charlar en tiempo real mediante IRC.
Java: lenguaje de programación orientado a objetos creado por Sun Microsystems, Inc.
que permite ejecutar programas en plataformas múltiples.
Local Area Network: (en inglés «Red de Área Local»), más comúnmente referida por
su acrónimo LAN, se refiere a las redes locales de ordenadores
Log: fichero de texto en el que queda recogida toda la actividad que tiene lugar en un
determinado ordenador, permitiendo que su propietario o administrador detecte
actividades ilícitas e identifique, por medio de su dirección IP, al usuario
correspondiente
Mac address: En redes de computadoras Media Access Control address cuyo acrónimo
es MAC es un identificador físico -un número, único en el mundo, de 48 bitsalmacenado en fábrica dentro de una tarjeta de red o una interface usada para asignar
globalmente direcciones únicas en algunos modelos OSI (capa 2) y en la capa física del
conjunto de protocolos de Internet
Malware: La palabra malware proviene de una agrupación de las palabras malicious
software. Este programa o archivo, que es dañino para el ordenador, está diseñado para
insertar virus, gusanos, troyanos, spyware o incluso los bots, intentando conseguir algún
objetivo, como podría ser el de recoger información sobre el usuario o sobre el
ordenador en sí.
MAN: Red de área metropolitanas (MAN) Una red MAN es una red que se expande por
pueblos o ciudades y se interconecta mediante diversas instalaciones públicas o
privadas, como el sistema telefónico o los suplidores de sistemas de comunicación por
microondas o medios ópticos.
Memoria RAM: RAM es el acrónimo inglés de Random Access Memory (memoria de
acceso aleatorio). Se trata de una memoria de semiconductor en la que se puede tanto
leer como escribir información. Es una memoria volátil, es decir, pierde su contenido al
desconectar la energía eléctrica. Se utiliza normalmente como memoria temporal para
almacenar resultados intermedios y datos similares no permanentes.
Microprocesador: es un conjunto de circuitos electrónicos altamente integrado para
cálculo y control computacional. El microprocesador es utilizado como Unidad Central
de Proceso en un sistema microordenador y en otros dispositivos electrónicos complejos
como cámaras fotográficas e impresoras, y como añadido en pequeños aparatos
extraíbles de otros aparatos más complejos como por ejemplo equipos musicales de
automóviles o televisores
Multimedia: información digitalizada de varios tipos como texto, gráficos, imagen fija,
imagen en movimiento y sonido.
NAS: Network-Attached Storage (Almacenamiento ligado a la red). Un dispositivo
NAS es un servidor que está dedicado a compartir archivos únicamente. NAS no provee
cualquier servicio que un servidor ofrece en un sistema típico, como el correo
electrónico, autenticación o administración de archivos. Con un dispositivo NAS, el
almacenamiento NO es una parte integral del servidor. Contrario al sistema tradicional,
el servidor administra todo lo relativo al procesamiento de datos, pero un dispositivo
NAS envía únicamente datos al usuario.
Plan de contingencia: definición de acciones a realizar, recursos a utilizar y personal a
emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice
o degrade los recursos informáticos o de transmisión de datos de una organización.
Privacidad: Se define como el derecho que tienen los individuos y organizaciones para
determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán
difundidos o transmitidos a otros. Restricción de acceso al abonado o a la información
confiada a otra parte de acuerdo con la legislación. Derecho de los individuos a
controlar e influir en la recogida y almacenamiento de datos relativos a ellos mismos,
así como por quien y a quien pueden ser dados a conocer estos datos.
Política de seguridad: Conjunto de reglas para el establecimiento de servicios de
seguridad. Conjunto de reglas establecidas por la Autoridad de seguridad que gobiernan
el uso y suministro de servicios de seguridad y las instalaciones seguras.
Procedimiento: forma especificada para llevar a cabo una actividad o un conjunto de
actividades mutuamente relacionadas, que utilizan recursos para transformar entradas en
salidas.
Protocolo: normas a seguir en una cierta comunicacin: formato de los datos que debe
enviar el emisor, cómo debe ser cada una de las respuestas del receptor, etc.
Proxy: software que permite a varios ordenadores acceder a Internet a través de una
única conexión física y puede permitir acceder a páginas Web, FTP, correo electrónico,
etc., y también, servidor de comunicaciones, responsable de canalizar el tráfico entre
una red privada e Internet, que contiene un cortafuegos.
Puerta trasera(o bien Backdoor) es un software que permite el acceso al sistema de la
computadora ignorando los procedimientos normales de autenticación. De acuerdo en
como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. El primer
grupo se asemeja a los caballos de troya, es decir, son manualmente insertados dentro de
algún otro software, ejecutados por el software contaminado e infecta al sistema para
poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a
un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del
sistema y normalmente infecta por medio de gusanos que lo llevan como carga.
RAID: viene en cinco niveles diferentes, los niveles del cero al cinco, cada uno
diseñado para un uso específico. Estos números son simples designaciones de los
diferentes métodos de proteger los datos en los discos duros y no describen los niveles
de velocidad o calidad: RAID 0 no es mejor ni peor que RAID 5. El tipo de RAID
apropiado para su servidor depende de cómo usa su red y el tipo de protección que
desea proporcionarle.
Recurso: cualquier parte componente de un sistema de información.
Red local: Decimos que existe una red local cuando hay varios equipos conectados
entre sí. Estos equipos se conectan por medio de cables y otros dispositivos, y son
capaces de compartir recursos, como archivos o periféricos.
Responsable de seguridad: persona o personas a las que el responsable del fichero ha
asignado formalmente la función de coordinar y controlar las medidas de seguridad
aplicables.
Riesgo aceptable: exposición a un riesgo asumido por una institución, normalmente por
razones presupuestarias. Dado que la seguridad absoluta no existe, tras implantar los
controles de seguridad pertinentes, queda un riesgo, o una exposición a un riesgo, que se
denomina residual sin compensar.
Riesgo calculado: soporte de toma de decisiones para cumplir el objetivo de seguridad
de la organización.
ROUTER: Un router es una pieza de hardware o software que conecta dos o más redes.
Es una pasarela entre dos redes. Asegura el encaminamiento de una comunicación a
través de una red.
SAN: Se distingue de otros modos de almacenamiento en red, por el modo de acceso a
bajo nivel. El tipo de tráfico en una SAN es muy similar al de los discos duros como
ATA y SCSI. Una SAN se puede considerar una extensión de DAS. Donde en DAS hay
un enlace punto a punto entre el servidor y su almacenamiento, una SAN permite a
varios servidores acceder a varios dispositivos de almacenamiento en una red
compartida
SCSI: del acrónimo inglés Small Computer System Interface es una interfaz estándar
para la transferencia de datos entre periféricos en el bus del ordenador (computadora).
SCSI se utiliza muy habitualmente en los discos duros y los dispositivos de
almacenamiento sobre cintas, pero también interconecta una amplia gama de
dispositivos, incluyendo scanners, unidades CD-ROM, grabadoras de CD, y unidades
DVD. De hecho, el estándar SCSI entero promueve la independencia de dispositivos, lo
que significa que teóricamente cualquier cosa puede ser hecha SCSI (incluso existen
impresoras que utilizan SCSI).
Seguridad: Se refiere a las medidas tomadas con la finalidad de preservar los datos o
información que en forma no autorizada, sea accidental o intencionalmente, puedan ser
modificados, destruidos o simplemente divulgados. En el caso de los datos de una
organización, la privacidad y la seguridad guardan estrecha relación, aunque la
diferencia entre ambas radica en que la primera se refiere a la distribución autorizada de
información, mientras que la segunda, al acceso no autorizado de los datos. El acceso a
los datos queda restringido mediante el uso de palabras claves, de forma que los
usuarios no autorizados no puedan ver o actualizar la información de una base de datos
o a subconjuntos de ellos.
Seguridad de la información: Combinación de confidencialidad. Integridad y
disponibilidad. Disciplina cuyo objetivo es el estudio de los métodos y medios de
protección frente a revelaciones, modificaciones o destrucciones de la información, o
ante fallos de proceso, almacenamiento o transmisión de dicha información.
Seguridad física: Conjunto de medidas usadas para proporcionar protección física a los
recursos de información contra amenazas intencionadas o accidentales. Conjunto de
controles externos a los medios, instalaciones, equipos o sistemas de tratamiento de la
información que tratan de protegerlos a ellos y a su entorno de las amenazas de
naturaleza física como es el caso de incendios, inundaciones y atentados.
Seguridad legal: disposiciones legales que protegen la información, equipos y sistemas
de tratamiento de ésta no como unos bienes más, sino a tendiendo a su singularidad, tal
es el caso de la Ley 15/1999 de Protección de Datos de Carácter Personal.
Serial ATA: es un sistema controlador de discos que sustituirá al P-ATA (estándar que
también se conoce como IDE o ATA). El S-ATA proporcionará mayores velocidades,
mejor aprovechamiento cuando hay varios discos, mayor longitud del cable de
transmisión de datos y capacidad para conectar discos en caliente (con la computadora
encendida).
Servicio de seguridad: servicio suministrado por uno o más niveles de un sistema
abierto de comunicación, que garantiza la seguridad del sistema y de las transferencias
de datos, tales como confidencialidad, autenticación, integridad, no repudio, control de
acceso y disponibilidad.
Servidor: En informática o computación es: Una computadora que realiza algunas
tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales
son los servicios de archivos, que permiten a los usuarios almacenar y acceder a los
archivos de un ordenador y los servicios de aplicaciones, que realizan tareas en
beneficio directo del usuario final.
Servidor de aplicaciones: Un servidor de aplicaciones es un ordenador servidor en red
dedicado a ejecutar ciertas aplicaciones software. El término también se refiere al
software instalado en tal ordenador para facilitar la ejecución de otras aplicaciones.
Servidor de archivos: La función principal es permitir el acceso remoto a archivos
almacenados en él o directamente accesibles por este. En principio, cualquier ordenador
conectado a una red con un software apropiado, puede funcionar como servidor de
archivos.
Servidor FTP: Es un servidor que sirve cualquier tipo de archivo, a través del
Protocolo de Transferencia de Ficheros a clientes FTP o a navegadores web que lo
soporten.
Servidor web: es un programa que implementa el protocolo HTTP (hypertext transfer
protocol). Este protocolo está diseñado para transferir lo que llamamos hipertextos,
páginas web o páginas HTML (hypertext markup language): textos complejos con
enlaces, figuras, formularios, botones y objetos incrustados como animaciones o
reproductores de sonidos.
Sistema de detección de intrusos: Un sistema de detección de intrusos (IDS) es un
programa usado para detectar accesos desautorizados a un computador o a una red.
Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan
herramientas automáticas.
Sistemas de información: conjunto de ficheros automatizados, programas, soportes y
equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
Sistema de Prevención de Intrusos: Un Sistema de Prevención de Intrusos (IPS) es un
dispositivo que ejerce el control de acceso en una red informática para proteger a los
sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos
es considerada por algunos como una extensión de los Sistemas de Detección de
Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las
tecnologías cortafuegos.
Sistemas pasivos contra Sistemas Reactivos: En un sistema pasivo, el sensor detecta
una posible intrusión, almacena la información y manda una señal de alerta. En un
sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el firewall
para que bloquee trafico que proviene de la red del atacante.
Sistema operativo: programa que controla un ordenador y que hace posible ejecutar
otros programas o aplicaciones. También administra las funciones internas del
ordenador y que reconozca las instrucciones que el usuario introduce a través del
teclado o del ratón.
Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el
cual se pueden grabar o recuperar datos.
Spam: Correo multidifundido no deseado. El spam es el hecho de enviar mensajes
electrónicos (habitualmente de tipo comercial) no solicitados y en cantidades masivas.
Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es
la basada en el correo electrónico. Otras tecnologías de internet que han sido objeto del
spam incluyen mensajes, grupos de noticias, motores de búsqueda y blogs.
Spyware: Los programas espía o spyware son aplicaciones que recopilan información
sobre una persona u organización sin su conocimiento. La función más común que
tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a
empresas publicitarias u otras organizaciones interesadas, pero también se han
empleado en círculos legales para recopilar información contra sospechosos de delitos.
Software instalado en un ordenador que recoge información sobre el usuario que lo
utiliza sin su conocimiento, para enviarlo vía Internet a quien luego vende la
información.
Storage Area Network : corresponde al concepto Storage Area Network (Red de Área
de Almacenamiento), y es una red independiente de almacenamiento de altas
prestaciones basada en tecnología de fibra optica. Su función consiste en centralizar el
almacenamiento de los archivos en una red de alta velocidad y máxima seguridad, se
trata de una solución global donde se comparte toda el área de almacenamiento
corporativo.
Usuario: sujeto o proceso automatizado para acceder a datos o recursos.
Validación: proceso de verificación de la integridad de un mensaje o partes
seleccionadas del mismo.
Virus: programa que “infecta” un ordenador, capaz de propagarse de un fichero a otro
del ordenador, y que causa efectos indeseables y daños irreparables.
VPN - Virtual private Network: El concepto de Red Privada Virtual (RPV o en ingles
VPN) aparece frecuentemente asociado a los de conectividad, Internet y seguridad. Este
artículo explica los fundamentos de esta moderna tecnología de conexión.
RPV de acceso remoto: Éste es quizás el modelo más usado actualmente y consiste en
usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de
acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la
red local de la empresa. Muchas empresas han reemplazado con esta tecnología su
infraestructura dial-up (módems y líneas telefónicas), aunque por razones de
contingencia todavía conservan sus viejos modems.
RPV interna: Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de
la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace
muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas
(WiFi).
RPV punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede
central de organización. El servidor RPV, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel RPV.
Los servidores de las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vínculos punto a punto tradicional, sobre todo en las
comunicaciones internacionales.
UPS: Un SAI ("Sistema de Alimentación Ininterrumpida") es un dispositivo que,
gracias a su batería de gran tamaño y capacidad, puede proporcionar energía eléctrica
tras un apagón a todos los dispositivos eléctricos conectados a él. Otra función que
cumple es la de regular el flujo de electricidad, controlando las subidas y bajadas de
tensión y corriente existentes en la red eléctrica. También son conocidos con su
acrónimo inglés, UPS ("Uninterrupted Power Supply").
Vulnerabilidad: ocurrencia real de materialización de una amenaza sobre un activo.
WLAN: Del inglés < Wireless Local Area Network > es un sistema de comunicación
de datos inalámbrico flexible muy utilizado como alternativa a la LAN cableada o como
una extensión de ésta. Utiliza tecnología de radiofrecuencia que permite mayor
movilidad a los usuarios al minimizarse las conexiones cableadas. Las WLAN van
adquiriendo importancia en muchos campos, como almacenes o para manufacturación,
en los que se transmite la información en tiempo real a una terminal central. También
son muy populares en los hogares para compartir un acceso a Internet entre varias
computadoras.
○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○
○ ○ ○ ○ ○ ○ ○ ○
Guía Práctica para el
Desarrollo de Planes de
Contingencia de Sistemas de
Información
Lima, Febrero 2001
Elaboración
Impresión
Diagramación
Edición
Domicilio
Orden Nº
Depósito Legal
:
:
:
:
:
:
:
Sub-Jefatura de Informática
En el Taller Gráfico del Instituto Nacional de Estadística e Informática
Centro de Edición del INEI
250 Ejemplares
Av. Gral. Garzón Nº 658 Jesús María, Lima 11
924 - OTDETI - INEI
1501132001-0897
Plan de Contingencia de los
Sistemas de Información
Presentación
El Instituto Nacional de Estadística e Informática (INEI), en el marco de Promoción y
Difusión de las Nuevas Tecnologías de Información, pone a disposición de las
entidades públicas, privadas, estudiantes y público en general, la publicación titulada:
Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de
Información.
La presente publicación forma parte de la colección Seguridad Informática. Hace una
breve introducción a los Sistemas de Información que incluye: La metodología práctica
para el desarrollo de planes de contingencia de los sistemas de información que
comprende: la identificación de riesgos, Calificación de la probabilidad de que ocurra
un riesgo, Evaluación del impacto en los procesos críticos y la creación de estrategias
de contingencias.
Los Planes de Contingencias le permitirán mantener la continuidad de sus sistemas de
información frente a eventos críticos, de su entidad y minimizar el impacto negativo
sobre la misma, sus empleados y usuarios. Deben ser parte integral de su organización
y servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia
una solución.
El INEI realiza con esta publicación un aporte muy especial para todos los sectores de
nuestro país, para garantizar en todo momento la continuidad de los Sistemas de
Información, por ello pone a disposición la presente publicación, esperando una vez
más contribuir en el desarrollo de la Sociedad de la Información.
Gilberto Moncada Vigo
Jefe
Instituto Nacional de Estadística
e Informática
Instituto Nacional de Estadística e Informática
3
Plan de Contingencia de los
Sistemas de Información
Contenido
Capítulo I : Definiciones y Alcances...............................................................................
7
1.
2.
3.
4.
5.
Introducción ..................................................................................................... 7
¿Qué es un Sistema de Información?............................................................. 7
¿Qué es un Plan de Contingencias? ............................................................... 8
Objetivos del Plan de Contingencia................................................................ 8
Aspectos Generales de la Seguridad de la Información ............................... 8
5.1 La Seguridad Física................................................................................. 8
5.2 Conceptos Generales............................................................................. 11
6. Seguridad Integral de la Información ............................................................ 13
Capítulo II: Fases de la Metodología Para el Desarrollo de un Plan de
Contingencia de los Sistemas de Información .......................................
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 5:
Fase 6:
Fase 7:
Fase 8:
14
Planificación ..........................................................................................
Identificación de Riesgos .....................................................................
Identificación de Soluciones................................................................
Estrategias.............................................................................................
Documentación del Proceso................................................................
Realización de Pruebas y Validación...................................................
Implementación ....................................................................................
Monitoreo..............................................................................................
14
17
22
35
42
43
51
56
Capítulo III: Visión Práctica para realizar un Plan de Contingencia de los
Sistemas de Información ..........................................................................
57
Etapa 1:
Etapa 2:
Etapa 3:
Etapa 4:
Etapa 5:
Etapa 6:
Etapa 7:
Etapa 8:
Etapa 9:
Análisis y Selección de las Operaciones Críticas ...............................
Identificación de Procesos en cada Operación ..................................
Listar los Recursos Utilizados para las Operaciones..........................
Especificación de Escenarios en los cuales puede Ocurrir los
Problemas .............................................................................................
Determinar y Detallar las Medidas Preventivas..................................
Formación y Funciones de los Grupos de Trabajo ............................
Desarrollo de los Planes de Acción.....................................................
Preparación de la Lista de Personas y Organizaciones para
Comunicarse en Caso de Emergencia ................................................
Pruebas y Monitoreo............................................................................
Instituto Nacional de Estadística e Informática
58
63
64
65
68
69
69
70
72
5
Plan de Contingencia de los
Sistemas de Información
Capítulo IV. Prueba del Plan de Contingencia .............................................................
4.1
4.2
4.3
Introducción ...........................................................................................
Objetivos.................................................................................................
Procedimientos Recomendados para las Pruebas del
Plan de Contingencias ...........................................................................
Métodos para Realizar Pruebas de Planes de Contingencia...............
Preparación Pre Prueba .........................................................................
Comprobación de Plan de Contingencias ............................................
Mantenimiento de Plan de Contingencias y Revisiones .....................
Entorno de las Pruebas del Plan de Contingencias .............................
73
73
74
75
75
77
ANEXOS..................................................................................................................
81
BIBLIOGRAFIA........................................................................................................
82
4.4
4.5
4.6
4.7
4.8
6
73
73
73
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Capítulo I : Definiciones y Alcances
1.
Introducción
Durante varias décadas, los japoneses han desarrollado diversos programas para
enfrentar los terremotos que permanentemente tienen lugar en su país. Su trabajo
de preparación y contingencias no sólo ha consistido en construir infraestructura
capaz de resistir los movimientos telúricos, sino que también ha contemplado un
amplio proceso de educación a la población. Este es un ejemplo destacable de
cómo un programa para enfrentar emergencias puede ayudar a salvar muchas
vidas y a reducir los daños causados por un desastre natural.
2.
¿Qué son los Sistemas de Información ?
Un Sistema Informático utiliza ordenadores para almacenar los datos de una
organización y ponerlos a disposición de su personal. Pueden ser tan simples como
en el que una persona tiene una computadora y le introduce datos, los datos
pueden ser registros simples como ventas diarias, se produce una entrada por cada
venta.
Sin embargo la mayor parte de los sistemas son mas complejos que el enunciando
anteriormente. Normalmente una organización tiene más de un sistema de
computadoras para soportar las diferentes funciones de la organización, ya sean
de ventas, recursos humanos, contabilidad, producción, inventario, etc.
Los sistemas de información tienen muchas cosas en común. La mayoría de ellos
están formados por personas, equipos y procedimientos. Al conjugar una serie de
elementos como hombres y computadoras se hace imprescindible tomar medidas
que nos permitan una continuidad en la operatividad de los sistemas para no ver
afectados los objetivos de las mismas y no perder la inversión de costos y tiempo.
Normas
Ratios
Entradas
CONTROL
Salidas
PROCESO
Personal Aplicaciones Tecnologías Instalaciones Datos
Instituto Nacional de Estadística e Informática
7
Plan de Contingencia de los
Sistemas de Información
La figura anterior nos muestra en un sentido amplio que se puede considerar un
Sistema de Información (SI) como un conjunto de componentes que interactúan
para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Los
componentes o recursos de un SI son los siguientes :
•
•
•
•
•
3.
Datos: En general se consideran datos tanto los estructurados como los no
estructurados, las imágenes, los sonidos, etc.
Aplicaciones: Se incluyen los manuales y las aplicaciones informáticas.
Tecnología: El software y el hardware; los sistemas operativos; los sistemas
de gestión de bases de datos; los sistemas de red, etc.
Instalaciones: En ellas se ubican y se mantienen los sistemas de información.
Personal: Los conocimientos específicos que ha de tener el personal de los
sistemas de información para planificarlos, organizarlos, administrarlos y
gestionarlos.
¿Qué es un Plan de Contingencia?
Podríamos definir a un plan de contingencias como una estrategia planificada con
una serie de procedimientos que nos faciliten o nos orienten a tener una solución
alternativa que nos permita restituir rápidamente los servicios de la organización
ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o
total.
El plan de contingencia es una herramienta que le ayudará a que los procesos
críticos de su empresa u organización continúen funcionando a pesar de una
posible falla en los sistemas computarizados. Es decir, un plan que le permite a su
negocio u organización, seguir operando aunque sea al mínimo.
4.
Objetivos del Plan de Contingencia
•
•
5.
Garantizar la continuidad de las operaciones de los elementos considerados
críticos que componen los Sistemas de Información.
Definir acciones y procedimientos a ejecutar en caso de fallas de los
elementos que componen un Sistema de Información.
Aspectos Generales de la Seguridad de la Información.
5.1 La Seguridad Física
La seguridad física garantiza la
integridad
de
los
activos
humanos, lógicos y materiales de
un sistema de información de
datos. Si se entiende la
contingencia o proximidad de un
daño como la definición de
Riesgo de Fallo, local o general,
tres serían las medidas a
preparar para ser utilizadas en
relación a la cronología del fallo.
8
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
5.1.1
Antes
El nivel adecuado de seguridad física, o grado de seguridad, es un
conjunto de acciones utilizadas para evitar el fallo o, en su caso,
aminorar las consecuencias que de el se puedan derivar.
Es un concepto aplicable a cualquier actividad, no sólo a la informática,
en la que las personas hagan uso particular o profesional de entornos
físicos.
•
•
•
•
•
•
•
•
•
•
•
5.1.2
Ubicación del edificio.
Ubicación del Centro de Procesamiento de Datos dentro del
edificio.
Compartimentación.
Elementos de la construcción.
Potencia eléctrica.
Sistemas contra Incendios.
Control de accesos.
Selección de personal.
Seguridad de los medios.
Medidas de protección.
Duplicación de medios.
Durante
Se debe de ejecutar un plan de contingencia adecuado. En general,
cualquier desastre es cualquier evento que, cuando ocurre, tiene la
capacidad de interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se
diera, el impacto podría ser tan grande que resultaría fatal para la
organización. Por otra parte, no es corriente que un negocio responda
por sí mismo ante un acontecimiento como el que se comenta, se
deduce la necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de Recuperación
de Desastres que junto con el Centro Alternativo de Proceso de Datos,
constituye el plan de contingencia que coordina las necesidades del
negocio y las operaciones de recuperación del mismo.
Son puntos imprescindibles del plan de contingencia:
•
•
•
•
Realizar un análisis de riesgos de sistemas críticos que determine la
tolerancia de los sistemas
Establecer un periodo critico de recuperación, en la cual los
procesos debe de ser reanudados antes de sufrir perdidas
significativas o irrecuperables.
Realizar un Análisis de Aplicaciones Críticas por que se establecerán
las prioridades del proceso.
Determinar las prioridades del proceso, por días del año, que
indiquen cuales son las aplicaciones y sistemas críticos en el
momento de ocurrir el desastre y el orden de proceso correcto.
Instituto Nacional de Estadística e Informática
9
Plan de Contingencia de los
Sistemas de Información
•
•
•
•
5.1.3
Establecer objetivos de recuperación que determinen el período de
tiempo (horas, días, semanas) entre la declaración de desastre y el
momento en el que el centro alternativo puede procesar las
aplicaciones críticas.
Designar entre los distintos tipos existentes, un Centro Alternativo
de Proceso de Datos.
Asegurar la capacidad de las comunicaciones.
Asegurar la capacidad de los servidores back-up.
Después
Los contratos de seguros vienen a compensar, en mayor o menor
medida las pérdidas, gastos o responsabilidades que se puedan derivar
para el centro de proceso de datos una vez detectado y corregido el
fallo. De la gama de seguros existentes, se pueden indicar los
siguientes:
10
•
Centros de proceso y equipamiento: se contrata la cobertura sobre
el daño físico en el CPD (Centro de Procesamiento de Datos) y el
equipo contenido en el.
•
Reconstrucción de medios de software: cubre el daño producido
sobre medios software tanto los que son de propiedad del tomador
de seguro como aquellos que constituyen su responsabilidad.
•
Gastos extra: cubre los gastos extra que derivan de la continuidad
de las operaciones tras un desastre o daño en el centro de proceso
de datos. Es suficiente para compensar los costos de ejecución del
plan de contingencia.
•
Interrupción del negocio: cubre las pérdidas de beneficios netos
causadas por las caídas de los medios informáticos o por la
suspensión de las operaciones.
•
Documentos y registros valiosos: Se contrata para obtener una
compensación en el valor metálico real por la perdida o daño físico
sobre documentos y registros valiosos no amparados por el seguro
de reconstrucción de medios software.
•
Errores y omisiones: proporciona protección legal ante la
responsabilidad en que pudiera incurrir un profesional que
cometiera un acto, error u omisión que ocasione una perdida
financiera a un cliente.
•
Cobertura de fidelidad: cubre las pérdidas derivadas de actos
deshonestos o fraudulentos cometidos por empleados.
•
Transporte de medios: proporciona cobertura ante pérdidas o
daños a los medios transportados.
•
Contratos con proveedores y de mantenimiento: proveedores o
fabricantes que aseguren la existencia de repuestos y consumibles,
así como garantías de fabricación.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
5.2
Conceptos Generales
5.2.1 Privacidad
Se define como el derecho que tienen los individuos y organizaciones
para determinar, ellos mismos, a quién, cuándo y qué información
referente a ellos serán difundidas o transmitidas a otros.
5.2.2 Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar los
datos o información que en forma no autorizada, sea accidental o
intencionalmente, puedan ser modificados, destruidos o simplemente
divulgados.
En el caso de los datos de una organización, la privacidad y la
seguridad guardan estrecha relación, aunque la diferencia entre ambas
radica en que la primera se refiere a la distribución autorizada de
información, mientras que la segunda, al acceso no autorizado de los
datos.
El acceso a los datos queda restringido mediante el uso de palabras
claves, de forma que los usuarios no autorizados no puedan ver o
actualizar la información de una base de datos o a subconjuntos de
ellos.
5.2.3
Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron
puestos intencionalmente en un sistema. Las técnicas de integridad
sirven para prevenir que existan valores errados en los datos
provocados por el software de la base de datos, por fallas de
programas, del sistema, hardware o errores humanos.
El concepto de integridad abarca la precisión y la fiabilidad de los
datos, así como la discreción que se debe tener con ellos.
5.2.4
Datos
Los datos son hechos y cifras que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se
utilizan como sinónimos.
En su forma más amplia los datos pueden ser cualquier forma de
información: campos de datos, registros, archivos y bases de datos,
texto (colección de palabras), hojas de cálculo (datos en forma
matricial), imágenes (lista de vectores o cuadros de bits), vídeo
(secuencia de tramas), etc.
Instituto Nacional de Estadística e Informática
11
Plan de Contingencia de los
Sistemas de Información
5.2.5
Base de Datos
Una base de datos es un conjunto de datos organizados, entre los
cuales existe una correlación y que además, están almacenados con
criterios independientes de los programas que los utilizan.
También puede definirse, como un conjunto de archivos
interrelacionados que es creado y manejado por un Sistema de Gestión
o de Administración de Base de Datos (Data Base Management System
- DBMS).
Las características que presenta un DBMS son las siguientes:
5.2.6
•
Brinda seguridad e integridad a los datos.
•
Provee lenguajes de consulta (interactivo).
•
Provee una manera de introducir y editar datos en forma
interactiva.
•
Existe independencia de los datos, es decir, que los detalles de la
organización de los datos no necesitan incorporarse a cada
programa de aplicación.
Acceso
Es la recuperación o grabación de datos que han sido almacenados en
un sistema de computación. Cuando se consulta a una base de datos,
los datos son primeramente recuperados hacia la computadora y luego
transmitidos a la pantalla del terminal.
5.2.7
Ataque
Término general usado para cualquier acción o evento que intente
interferir con el funcionamiento adecuado de un sistema informático, o
intento de obtener de modo no autorizado la información confiada a
una computadora.
5.2.8
Ataque Activo
Acción iniciada por una persona que amenaza con interferir el
funcionamiento adecuado de una computadora, o hace que se difunda
de modo no autorizado información confiada a una computadora
personal. Ejemplo: El borrado intencional de archivos, la copia no
autorizada de datos o la introducción de un virus diseñado para
interferir el funcionamiento de la computadora.
5.2.9
Ataque Pasivo
Intento de obtener información o recursos de una computadora
personal sin interferir con su funcionamiento, como espionaje
12
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
electrónico, telefónico o la intercepción de una red. Todo ésto puede
dar información importante sobre el sistema, así como permitir la
aproximación de los datos que contiene.
5.2.10 Amenaza
Cualquier cosa que pueda interferir con el funcionamiento adecuado de
una computadora personal, o causar la difusión no autorizada de
información confiada a una computadora. Ejemplo: Fallas de
suministro eléctrico, virus, saboteadores o usuarios descuidados.
5.2.11 Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos
un incidente, como por ejemplo las fallas de suministro eléctrico o un
intento de borrado de un archivo protegido
5.2.12 Golpe (Breach)
Es una violación con éxito de las medidas de seguridad, como el robo
de información, el borrado de archivos de datos valiosos, el robo de
equipos, PC, etc.
6.
Seguridad Integral de la Información
La función del procesamiento de datos es un servicio de toda la institución, que
apoya no sólo a los sistemas de información administrativa sino también a las
operaciones funcionales. La Seguridad un aspecto de mucha importancia en la
correcta Administración Informática, lo es también de toda la Institución.
Las medidas de seguridad están basadas en la definición de controles físicos,
funciones, procedimientos y programas que conlleven no sólo a la protección de la
integridad de los datos, sino también a la seguridad física de los equipos y de los
ambientes en que éstos se encuentren.
En relación a la seguridad misma de la información, estas medidas han de tenerse
en cuenta para evitar la pérdida o modificación de los datos, información o software
inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una
serie de medidas, entre las cuales figurarán el asignar números de identificación y
contraseñas a los usuarios.
Instituto Nacional de Estadística e Informática
13
Plan de Contingencia de los
Sistemas de Información
Capítulo II : Fases de la Metodología para el
Desarrollo de un Plan de Contingencia de
los Sistemas de Información
Debemos de tener presente que mucho dependerá de la infraestructura de la empresa y
de los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, no
existe un modelo único para todos, lo que se intenta es dar los puntos más importantes a
tener en cuenta.
La metodología empleada para el desarrollo y aplicación del plan de contingencias de los
sistemas de información, ha sido desarrollada por el INEI, en base a la experiencia
lograda en el desarrollo de planes de contingencia para el problema del año 2000.
La presente metodología se podría resumir en ocho fases de la siguiente manera:
•
Planificación: preparación y aprobación de esfuerzos y costos.
•
Identificación de riesgos: funciones y flujos del proceso de la empresa.
•
•
Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
•
Documentación del proceso: Creación de un manual del proceso.
•
Realización de pruebas: selección de casos soluciones que probablemente
funcionen.
•
•
Implementación: creación de las soluciones requeridas, documentación de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.
FASE 1 : PLANIFICACION
1.1
Diagnóstico
Cada vez que nos encontremos en una actividad que requiere el diseño de una
propuesta de solución para un determinado problema, es necesario siempre la
revisión exhaustiva de cada uno de los componentes que conforman nuestro
sistema, es por esta razón siempre debemos de realizar una etapa de diagnostico
para poder asegurar que las acciones de solución propuestas tengan un
fundamento realista y no tener que volver a rehacer toda propuesta.
14
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
1.1.1
Organización Estructural y Funcional.
En este aspecto se deben describir y analizar las Direcciones, Gerencias o
dependencias en las que se divide la empresa o institución haciendo
referencia de las funciones más importantes que desempeñan cada una de
ellas, priorizando tales funciones en relación al sistema productivo de bienes
o servicios que desarrollan.
Estas Entidades tienen Organigramas que se rigen por Manuales de
Organización y Funciones.
1.1.2
Servicios y/o Bienes Producidos.
En este punto se hará referencia sobre los bienes y/o servicios que produce
la empresa o institución según el orden de importancia por la generación de
beneficios. Si la empresa produce más de un bien la prioridad será
determinada según el criterio de los Directivos.
Además se debe elaborar un directorio de clientes priorizando de acuerdo a
la magnitud de los bienes o servicios que consumen.
También se harán un breve análisis del mercado de consumo de los bienes y
servicios producidos, identificando las zonas o sectores de mayor consumo.
1.1.3 Servicios y Materiales Utilizados.
Con relación a los servicios utilizados se debe elaborar un directorio de
empresas o instituciones que abastecen de energía, comunicación,
transporte, agua, salud y otros servicios resaltando la importancia de ellos
en el sistema de producción de la entidad y verificando la seguridad de los
servicios sin problemas de afectación por algún tipo de problema.
Instituto Nacional de Estadística e Informática
15
Plan de Contingencia de los
Sistemas de Información
También debe hacerse un directorio de todas la entidades abastecedoras de
materias primas o insumos para la producción de información.
1.1.4
Inventario de Recursos Informáticos.
El inventario de recursos informáticos se realizará por dependencias y en
forma clasificada:
• Computadoras: 386, 486 y las Pentium, impresoras, scanners, etc.
• Programas: De sistemas operativos, procesadores de textos, hojas de
cálculo, lenguajes de programación, software de base.
• Aplicativos Informáticos: Del sistema de Contabilidad, de Trámite
Documentario, Planillas, Almacén, Ventas, Presupuesto, Personal.
• Equipos Empotrados: De Industrias: Hornos y envasadoras. De Banca y
Seguros, Cajeros automáticos y bóvedas. De Oficinas, Centrales
telefónicas.
Estos inventarios deberán hacerse a través de formularios sistemáticamente
elaborados.
El procesamiento de este inventario puede ser de dos tipos:
Proceso Automatizado.- Utilizando herramientas informáticas de diferente
nivel, grado de detalle y costo, que pueden acelerar el tiempo de la toma del
inventario, procesamiento de datos y emisión de resultados.
Proceso Manual.- Utilizando formatos de recopilación de información.
El conocimiento del Inventario de estos recursos nos permitirá hacer una
evaluación de los riesgos de la operatividad de los sistemas de información.
Cada formato consta de dos partes:
a.b.-
Datos componentes: Donde se registran los datos básicos de
ubicación, identificación y características primarias, así como también
su importancia, compatibilidad y adaptabilidad.
Análisis del proceso de adaptación del componente:
Incluye datos de costos, fecha de culminación, medios utilizados y
medidas de contingencia.
1. 2 Planificación
La fase de planificación es la etapa donde se define y prepara el esfuerzo de
planificación de contingencia/continuidad. Las actividades durante esta fase
incluyen:
•
16
Definición explícita del alcance, indicando qué es lo que se queda y lo que se
elimina, y efectuando un seguimiento de las ambigüedades. Una declaración
típica podría ser, “La continuidad de los negocios no cubre los planes de
recuperación de desastres que ya fueron emitidos.”
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
•
Definición de las fases del plan de eventos (por ejemplo, los períodos preevento, evento, y post-evento) y los aspectos sobresalientes de cada fase.
Definición de una estrategia de planificación de la continuidad del negocio de
alto nivel.
•
Identificación y asignación de los grupos de trabajo iniciales; definición de los
roles y responsabilidades.
•
Definición de las partes más importantes de un cronograma maestro y su patrón
principal.
Identificación de las fuentes de financiamiento y beneficios del negocio; revisión
del impacto sobre los negocios.
•
•
Duración del enfoque y comunicación de las metas y objetivos, incluyendo los
objetivos de la empresa.
•
Definición de estrategias para la integración, consolidación, rendición de
informes y arranque.
Definición de los términos clave (contingencia, continuidad de los negocios,
etc.)
•
•
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
•
Obtención de la aprobación y respaldo de la empresa y del personal gerencial
de mayor jerarquía. Provisión de las primeras estimaciones del esfuerzo.
•
El plan debe ser ejecutado independientemente de las operaciones y
procedimientos operativos normales .
•
Las pruebas para el plan serán parte de (o mantenidas en conjunción con) los
ejercicios normalmente programados para la recuperación de desastres, las
pruebas específicas del plan de contingencia de los sistemas de información y la
realización de pruebas a nivel de todos los clientes.
•
No habrá un plan de respaldo, y tampoco se dará una reversión ni se podrá
frenar el avance del plan de contingencia.
Si ocurre un desastre, una interrupción, o un desfase de gran magnitud en los
negocios de la empresa durante el período del calendario de eventos, se
pondrán en práctica los planes de continuidad de los negocios o de
contingencia.
•
•
FASE 2 :
Si la organización ha puesto en moratoria los cambios al sistema, se deben
permitir las excepciones a dicha moratoria solamente para los cambios de tipo
regulador o para los problemas más importantes que afecten la producción o las
operaciones de la empresa, y solamente después de haber obtenido la
aprobación del nivel ejecutivo.
IDENTIFICACION DE RIESGOS
La Fase de Identificación de Riesgos, busca minimizar las fallas generadas por cualquier
caso en contra del normal desempeño de los sistemas de información a partir del análisis
de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.
El objetivo principal de la Fase de Reducción de Riesgo, es el de realizar un análisis de
impacto económico y legal, determinar el efecto de fallas de los principales sistemas de
información y producción de la institución o empresa.
Instituto Nacional de Estadística e Informática
17
Plan de Contingencia de los
Sistemas de Información
2.1
Análisis y Evaluación de Riesgos
Es necesario reconocer y reducir de riesgos potenciales que afecten a los productos
y servicios; es por ello que se considera dentro de un Plan de Contingencia, como
primer paso la Reducción de Riesgos, para favorecer el cumplimiento de los
objetivos institucionales.
El análisis y evaluación de riesgos se desarrolla en 2 situaciones
1.
Para entidades que desarrollan Planes de Contingencias su plan de adaptación
y no tienen soluciones adecuadas.
Para aquellas entidades que están realizando Planes de Contingencia, el análisis
y evaluación de riesgos consta de:
1.
2.
3.
4.
5.
2.
Evaluar el impacto de los procesos críticos.
Valorar la certificación de los proveedores
Privilegiar proyectos, eliminando aquellos que resultan extemporáneos.
Detectar deficiencias ante cambios en los sistemas afectados.
Guardar copias de información empresarial mediante convenios de
soporte.
Entidades que a la fecha no han tomado previsión.
Para aquellas entidades que no están realizando Planes de Contingencia, el
análisis y evaluación de riesgos consta de:
1.
2.
3.
4.
2.2
Realización un diagnóstico integral del Sistema de Información.
Elaborar una lista de Servicios afectados evaluando su importancia,
magnitud del impacto, cuantificar con niveles A, B, C u otro.
Identificar todos los procesos de los servicios afectados.
Analizar sólo los procesos críticos de los servicios.
Identificar los Procesos Críticos
Al igual que las situaciones de falla, las alternativas pueden ser infinitas. Por ende,
se deben identificar muchas para ser capaces de seleccionar las mejores opciones
de contingencia. Comience por los riesgos ya identificados como prioridades
máximas porque causarían el mayor impacto negativo en los servicios y en las
funciones críticas de su organización.
2.3
Análisis de las Operaciones Actuales
El análisis de operación del método actual de trabajo (es decir, cómo y en qué
orden su organización obtiene funciones comerciales) puede revelar las
oportunidades para reducir, eliminar o simplificar ciertas operaciones o procesos.
Algunas funciones probablemente pueden ser realizadas por terceros sin pérdida
de control. Probablemente pueden reducirse algunas operaciones en términos de
18
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
pasos e interfaces que ellos requieren. Un almacén parcialmente automatizado
puede requerir 24 acciones manuales separadas para llenar una orden grande. Si la
organización puede cortar esto en 33 por ciento, a 16 acciones manuales, la
eficiencia incrementada puede liberar algunos recursos que pueden usarse en otra
parte. Por supuesto, tales acciones van de la mano con la capacitación. Desde el
punto de vista de los sistemas de información, tales consideraciones pueden ser
cruciales porque puede haber una necesidad de revertir a las operaciones manuales
y en ciertos casos sostener las operaciones existentes.
Si consideramos que "No existe producto y/o servicio sin un proceso. De la misma
manera, que no existe proceso sin un producto o servicio". Aunque no todos los
procesos generan un producto o servicio útil (creando valor agregado) para la
institución. Por lo que es necesario realizar un análisis de las operaciones y los
procesos que involucran.
•
Organización. Cualquier grupo, empresa, corporación, planta, oficina de ventas,
etc.
•
Función. Un grupo dentro de la organización funcional. Funciones
características serían ventas y mercadeo, contabilidad, ingeniería de desarrollo,
compras y garantía de calidad.
•
Proceso. Cualquier actividad o grupo de actividades que emplee un insumo, le
agregue valor a éste y suministre un producto a un cliente externo o interno.
Los procesos utilizan los recursos de una organización para suministrar
resultados definitivos.
•
Proceso de producción. Cualquier proceso que entre en contacto físico con el
hardware o software que se entrega a un cliente externo, hasta aquel punto en
el cual el producto se empaca (por ejemplo, fabricación de computadoras,
preparación de alimentos para el consumo masivo de los clientes, refinación de
petróleo, transformación de hierro en acero). Esto no incluye los procesos de
embarque y distribución.
•
Proceso de la empresa. Todos los procesos de servicios y los que respaldan a
los de producción (por ejemplo, de pedidos, proceso de cambio en ingeniería,
de planilla, diseño del proceso de manufactura). Un proceso de la empresa
consiste en un grupo de tareas lógicamente relacionadas que emplean los
recursos de la organización para dar resultados definidos en apoyo de los
objetivos de la organización.
Al emplear estas definiciones, se puede observar que casi todo lo que hacemos es
un proceso y que los procesos de la empresa desempeñan un papel importante en
la supervivencia económica de nuestras organizaciones.
En todas las organizaciones existen, literalmente, centenares de procesos que se
realizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos una
y otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras e
intermedias) pueden y deben controlarse, en gran parte, tal como se vigilan los de
manufactura. Se manejan muchos procesos de las instituciones y empresas que
son tan complejos como el proceso de manufactura.
Instituto Nacional de Estadística e Informática
19
Plan de Contingencia de los
Sistemas de Información
2.4
Uso de la Técnica de Análisis de Procesos
Consideremos para el uso de la técnica de análisis de procesos:
•
El ciclo de vida empieza con la descripción de un proceso basado en las metas
del proyecto, mientras se utilizan los recursos descritos del proceso.
•
El proceso se fija al asignar los recursos.
•
El proceso puede instalarse en una máquina o pueden ser procedimientos a
seguir por un grupo de personas.
•
El proceso es supervisado y medido durante su uso.
•
Los datos obtenidos de esta medida se evalúan durante todo el tiempo que se
desenvuelva el proceso. Una descripción del proceso existente puede empezar
con un informe actual, obtenido de la supervisión y documentación del
proceso.
El Proceso de Dirección del Ciclo de Vida en la Figura muestra la descripción de los
componentes del proceso y la producción de los principales insumos de trabajo. La
descripción del proceso funcionalmente se descompone en el:
1.
2.
3.
Análisis del Proceso
Plan del Proceso
Aplicación del Proceso.
El Análisis del proceso involucra identificación, mientras se analiza el proceso, y los
requisitos del proceso. El Plan del proceso involucra el modelamiento de la
arquitectura y la descomposición funcional del proceso. La Aplicación del proceso
involucra llevar a cabo el plan del proceso para crear tareas a realizarse y
proporcionar la capacitación necesaria para las personas que realicen dichas tareas.
También la aplicación del proceso involucra la preparación del proceso para su
actuación en la empresa o institución, el proceso consiste en los detalles
específicos del proyecto y fijar los recursos necesarios.
20
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Diagrama del Proceso Descompuesto
A continuación presentamos una lista de procesos típicos de las empresas
definidos por IBM. Esto ayudará a definir los procesos de la empresa.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Manejo de índices.
Diseño de sistemas de control.
Desarrollo de comunicaciones avanzadas
Diseño de componentes de cable
Prueba de diseño
Revisión de diseño y materiales
Revisión de documentos
Especificación de diseño a alto nivel
Coordinación entre divisiones
Diseño lógico y verificación
Calificación de componentes
Diseño del sistema de energía
Divulgación del producto
Confiabilidad y utilidad del sistema
Requerimiento del sistema
Diseño interactivo de sistemas para el usuario
Análisis de la competencia
Apoyo de los sistemas de diseño
Desarrollo de la información
Instrumentos de diseño físico
Diseño de sistemas
Gerencia de cambio en ingeniería
Es el procedimiento por el cual se estudian los procesos dentro de una secuencia
(Línea de producción) de producción o provisión de servicios, que a continuación
son presentados, teniendo en consideración:
•
•
•
Las Funciones Institucionales.
Los procesos derivados.
Los subprocesos.
FASE 3 : IDENTIFICACIÓN DE SOLUCIONES
Un proyecto de plan de contingencia no sirve si se queda en plan o papel.
Un plan de contingencias debe contemplar todos los procesos institucionales sean estos
manuales y/o automatizados, evaluando el volumen de información o materiales
afectados, a fin de definir la complejidad de los sistemas.
La magnitud, de un plan de contingencia será proporcional a la complejidad, importancia,
costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma.
Instituto Nacional de Estadística e Informática
21
Plan de Contingencia de los
Sistemas de Información
El esquema general del plan de contingencias de los sistemas de información, esta
constituido por 3 grandes fases:
1.
2.
3.
Fase de Reducción de Riesgos
Fase de Recuperación de Contingencia
Fase de Organización de un Sistema de Alerta contra Fallas
Se debe tener en cuenta al determinar los objetivos, en qué parámetros generales se va a
basar, para poner en operación el plan de contingencias.
En cualquier caso, sus planes deben identificar dependencias e impactos y, al mismo
tiempo, los recursos necesarios para implementar cada alternativa de contingencia. Se
deben buscar alternativas "creativas", que logren el efecto de mitigar el impacto en caso
de una falla. En la siguiente tabla se muestra la matriz del plan de contingencia y algunos
ejemplos.
Matriz de planificación de contingencia y ejemplos
OPCIONES
OPERACIÓN MANUAL
REEMPLAZO
EXTERNALIZACION DEL
SERVICIO
Recurra al proceso manual sólo en
Tenga disponible software
Reparación rápida caso de clientes prioritarios. Asegure
Use personal temporalmente
de repuesto que cumpla con
y de defecto
que contará con personal el 1 y 2 de
para llenar brecha
los requisitos
enero.
Reparación parcial
Use hojas de cálculo o base de datos
para
ofrecer
alguna
de
la
funcionalidad original del sistema
(fecha de captura).
Use base de datos o
Haga que el contratista
paquetes
COTS
para
procese los pagos en sus
reemplazar la funcionalidad
propias instalaciones
del sistema
Reparación total
Ofrezca
operaciones
totalmente
funcionales a través del proceso
manual, utilizando personal adicional
si es necesario
Elimine
esfuerzos
de
Entregue el manejo de la
reparación e implemente un
plantilla de pago a una firma
sistema comercial funcional,
comercial especialista
rápidamente
3.1
Identificación de Alternativas
Como indicamos anteriormente, un buen método para identificar alternativas
consiste en revisar los planes de administración de emergencia o recuperación de
fallas. Estos son algunos ejemplos de alternativas que pudieran ayudarle al inicio
del proceso de preparación.
22
•
Planifique la necesidad de personal adicional para atender los problemas que
ocurran.
•
Recurra al procesamiento manual (de facturas, órdenes, cheques, etc.) si fallan
los sistemas automatizados.
•
Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se
consideran en riesgo.
•
Instale generadores si no tiene acceso a la red de energía pública.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
3.2
•
Disponga del suministro adicional de combustible para los generadores, en caso
de fallas eléctricas prolongadas.
•
Disponga de bombas manuales de combustible y úselas si fallan las
electrónicas.
•
Elaborar un programa de vacaciones que garantice la presencia permanente del
personal.
•
No haga nada y vea qué pasa – esta estrategia es algunas veces llamada arreglar
sobre falla.
Identificación de Eventos Activadores
Cuando el equipo de planificación seleccione la mejor alternativa de contingencia,
debe definir los activadores que provocarán la implementación del plan. Los
activadores son aquellos eventos que permitirán decir “OK”, es el momento de
pasar al plan B”. Incluyen las fallas de los sistemas, u otros eventos que hacen
evidente la necesidad de implementar el plan de contingencia. Sin embargo,
muchos eventos activadores serán predefinidos como puntos de decisión “pasar/no
pasar”, el evento que active la decisión de poner en funcionamiento el proceso
alternativo puede ser una alerta establecida a una falla anticipada.
La información necesaria para definir los activadores para cada sistema o proceso,
provendrá tanto del programa de implementación para los sistemas de información,
como de los requerimientos de tiempo desplegados para cada plan de
contingencia.
A continuación se muestran algunos ejemplos de los tipos de eventos que pueden
servir como activadores en sus planes de contingencia:
•
Información de un vendedor respecto a la tardía entrega o no disponibilidad de
un componente de software.
•
Tardío descubrimiento de serios problemas con una interfaz.
•
Tempranas (no anticipadas) fallas del sistema – corrección/reemplazo no está
lista para sustituir.
•
Fallas del Sistema (datos corruptos en informes o pantallas, transacciones
pérdidas, entre otros).
•
Fallas de interfaces –intercambios de datos no cumplen los requisitos.
•
Fallo de la infraestructura regional (energía, telecomunicaciones, sistemas
financieros)
•
Problemas de implementación (por ejemplo, falta de tiempo o de fondos).
Instituto Nacional de Estadística e Informática
23
Plan de Contingencia de los
Sistemas de Información
•
Aseveraciones falsas o erróneas sobre el cumplimiento,
demasiado tarde para iniciar las acciones de cumplimiento.
descubiertas
Cabe mencionar que, para desarrollar este proyecto es necesario conocer los
lineamientos generales del sistema afectado, es decir el tipo de producción al cual
pertenece pudiendo pertenecer al sector de bienes o al sector servicios. Una vez
establecido a que rubro de la producción pertenece, identificamos el departamento
u área ligada y las funciones que en ella realiza, las áreas principales pueden ser:
•
•
•
•
•
•
Contabilidad
Administración
Finanzas
Comercialización
Producción
Seguridad
Se deberán identificar las fallas potenciales que puedan ocurrir para cada sistema,
considerando la provisión de datos incorrectos, y fiabilidad del sistema para la
institución, y así desarrollar una lista de alternativas priorizadas de fallas.
3.3
Identificación de Soluciones
El objetivo es reducir el costo de encontrar una solución en la medida de lo posible,
a tiempo de documentar todos los riesgos identificados.
Actividades importantes a realizar:
•
La asignación de equipos de solución para cada función, área funcional o área
de riesgo de la organización.
•
La asociación de soluciones con cada riesgo identificado- se recomienda tener
un abanico de alternativas de soluciones, por que las soluciones se analizaran y
se compararan posteriormente.
•
Comparar los riesgos y determinarles pesos respecto a su importancia crítica en
término del impacto de los mismos.
•
Clasificar los riesgos.
•
La elaboración de soluciones de acuerdo con el calendario de eventos.
•
La revisión de la factibilidad de las soluciones y las reglas de implementación.
•
La identificación de los modos de implementación y restricciones que afectan a
las soluciones.
•
La definición e identificación de equipos de acción rápida o equipos de
intensificación por área funcional o de negocios de mayor importancia.
•
Sopesar las soluciones y los riesgos y su importancia crítica en lo que respecta
a su eficacia y su costo, siendo la meta la solución más inteligente.
La revisión de soluciones comparándolas con el nivel mínimo aceptable de
resultados o servicios.
24
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
3.4
Fallas Genéricas Funcionales de los Sistemas a tener en Consideración.
Se han encontrado varias fallas comunes a muchos sistemas de computación.
Estos incluyen:
•
Autentificación. En muchos sistemas, los usuarios no pueden determinar si el
hardware y el software con que funcionan son los que se supone que deben ser.
Esto hace fácil al intruso reemplazar un programa sin conocimiento del usuario.
Un usuario puede inadvertidamente teclear una contraseña en un programa de
entrada falso.
•
Cifrado. La lista maestra de contraseñas debe ser almacenada, cifrada, lo que a
menudo no se hace.
•
Implementación. Un diseño bien pensado de un mecanismo de seguridad
puede ser implementado de forma improcedente.
•
Confianza implícita. Un problema corriente, una rutina supone que otra está
funcionando bien cuando, de hecho, debería estar examinando detenidamente
los parámetros suministrados por la otra.
•
Compartimiento implícito. El sistema puede depositar inadvertidamente
información importante del sistema, en un espacio de direcciones del usuario.
•
Comunicación entre procesos. El intruso puede usar un mecanismo de
SEND/RECEIVE para probar varias posibilidades. Por ejemplo el intruso puede
pedir un recurso del sistema y suministrar una contraseña. La información
devuelta puede indicar "contraseña correcta", confirmando la contraseña
adivinada por el intruso.
•
Verificación de la legalidad. El sistema puede no estar realizando una validación
suficiente de los parámetros del usuario.
•
Desconexión de línea. En tiempos compartidos y en redes, cuando la línea se
pierde (por cualquier razón), el sistema operativo debe inmediatamente dar de
baja del sistema al usuario o colocar al usuario en un estado tal, que sea
necesaria la reautorización para que el usuario obtenga de nuevo el control.
Algunos sistemas permiten que un proceso "flote" después de una desconexión
de línea. Un intruso puede llegar a obtener el control del proceso y usar
cualesquier recurso a los que tenga acceso el proceso.
•
Descuido del operador. Un intruso puede engañar a un operador y hacer que
cargue un paquete de disco con un sistema operativo falso.
•
Paso de parámetros por referencia en función de su valor. Es más seguro pasar
los parámetros directamente en registros, que tener los registros apuntando a
las localidades que contienen los parámetros. El paso por referencia puede
llevar a una situación en la cual los parámetros, pueden aún encontrarse en el
espacio de direcciones del usuario después de una verificación de la legalidad.
Instituto Nacional de Estadística e Informática
25
Plan de Contingencia de los
Sistemas de Información
El usuario podría así suministrar parámetros legítimos, verificarlos, y
modificarlos justo, antes de ser utilizados por el sistema.
3.5
•
Contraseñas. Las contraseñas son, a menudo, fáciles de adivinar u obtener
mediante ensayos repetidos. Debiendo implementarse con número máximo (3)
de intentos infructuosos.
•
Entrampamiento al intruso. Los sistemas deben contener mecanismos de
entrampamiento para atraer al intruso inexperto. Es una buena primera línea de
detección, pero muchos sistemas tienen trampas inadecuadas.
•
Privilegio. En algunos sistemas hay demasiados programas con muchos
privilegios. Esto es contrario al principio del menor privilegio.
•
Confinamiento del programa. Un programa prestado de otro usuario puede
actuar como caballo de Troya: puede robar o alterar los archivos del usuario
que los prestó.
•
Residuos. A menudo el intruso puede encontrar una lista de contraseñas con
sólo buscar en una papelera. Los residuos se dejan a veces en el
almacenamiento después de las operaciones rutinarias del sistema. La
información delicada debe ser siempre destruida antes de liberar o descargar el
medio que ocupa (almacenamiento, papel, etc.). Las trituradoras de papel son
algo corriente en ese aspecto.
•
Blindaje. Una corriente en un cable genera un campo magnético alrededor de
él; los intrusos pueden de hecho conectarse a una línea de transmisión o a un
sistema de computación sin hacer contacto físico. Puede usarse el blindaje
eléctrico para prevenir tales "intrusiones invisibles".
•
Valores de umbral. Están diseñados para desanimar los intentos de entrada, por
ejemplo. Después de cierto número de intentos inválidos de entrar al sistema,
ese usuario (o el terminal desde donde se intentan las entradas) debe ser
bloqueado y el administrador del sistema, advertido. Muchos sistemas carecen
de esta característica.
Ataques Genéricos a Sistemas Operativos
Ciertos métodos de penetración se han utilizado efectivamente en muchos
sistemas.
26
•
Asincronismo. Con procesos múltiples que progresan de forma asincrónica, es
posible que un proceso modifique los parámetros cuya validez ha sido probada
por otro, pero que aún no ha utilizado. Con ésto, un proceso puede pasar
valores malos a otro, aún cuando el segundo realice una verificación extensa.
•
Rastreo. Un usuario revisa el sistema de computación, intentando localizar
información privilegiada.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
Entre líneas. Se usa un terminal especial para conectarse a la línea de
comunicación mantenida por un usuario dado de alta en el sistema, que está
inactivo en ese momento.
•
Código clandestino. Se hace un parche en el sistema operativo bajo la
pretensión de una depuración. El código contiene trampas que permiten realizar
a continuación reentradas no autorizadas al sistema.
•
Prohibición de acceso. Un usuario escribe un programa para hacer caer al
sistema, poner al sistema en un ciclo infinito, o monopolizar recursos del
sistema. Lo que se intenta aquí es el negar el acceso o servicio a los usuarios
legítimos.
•
Procesos sincronizados interactivos. Los procesos usan las primitivas de
sincronización del sistema para compartir y pasarse información entre sí.
•
Desconexión de línea. El intruso intenta obtener acceso al trabajo de un usuario
después de una desconexión de línea, pero antes de que el sistema reconozca
la desconexión.
•
Disfraz. El intruso asume la identidad de un usuario legítimo, después de haber
obtenido la identificación apropiada por medios clandestinos.
•
Engaño al operador. Un intruso inteligente puede, a menudo, engañar al
operador del computador y hacer que realice una acción que comprometa la
seguridad del sistema.
•
Parásito. El intruso utiliza un terminal especial para conectarse a una línea de
comunicación. El intruso intercepta los mensajes entre el usuario y el
procesador, modifica el mensaje o lo reemplaza por completo.
•
Caballo de Troya. El intruso coloca un código dentro del sistema que le permita
accesos posteriores no autorizados. El caballo de Troya puede dejarse
permanentemente en el sistema o puede borrar todo rastro de sí mismo,
después de la penetración.
•
Parámetros inesperados. El intruso suministra valores inesperados a una
llamada al supervisor, para aprovechar una debilidad de los mecanismos de
verificación de la legalidad del sistema.
A medida que la computación se hace más asequible, los problemas de seguridad
aumentan. Las comunicaciones de datos y las redes suponen un gran aumento de
la vulnerabilidad de los sistemas basados en computadores. El hecho de ser
favorables al usuario, implica también un incremento de la vulnerabilidad.
Los requisitos de seguridad de un sistema dado, definen lo que para ese sistema
significa la seguridad. La seguridad externa se ocupa de la protección del sistema
de computación contra intrusos y desastres. La seguridad de la interfase del usuario
se encarga de establecer la identidad del usuario antes de permitir el acceso al
sistema. La seguridad interna se encarga de asegurar una operación confiable y sin
Instituto Nacional de Estadística e Informática
27
Plan de Contingencia de los
Sistemas de Información
problemas del sistema de computación, y de garantizar la integridad de los
programas y datos.
La autorización determina qué acceso se permite a qué entidades. La división de
responsabilidades da a la gente distintos conjuntos de responsabilidades. Ningún
empleado trata con una gran parte de la operación del sistema, de modo que para
comprometer la seguridad tienen que estar implicados varios empleados.
La vigilancia trata de la supervisión y auditoría del sistema, y de la autentificación de
los usuarios. En la verificación de las amenazas, el sistema operativo controla las
operaciones delicadas, en vez de darle el control directo a los usuarios. Los
programas de vigilancia realizan operaciones sensibles.
Cuando los programas de vigilancia han de tener un acceso mayor que los
programas del usuario, para servir las peticiones del usuario, ésto se denomina
amplificación.
3.6
Seguridad en Redes
3.6.1 Las Funciones de Seguridad de Red
En el intento de proteger una red de computadoras, existen varias funciones
comunes a las cuales deben dirigirse. La siguiente es una lista de cuatro
problemas básicos:
o
El anfitrión promiscuo, la red debuggers.
o
La autenticación de cliente y servidor.
o
La autorización de cliente y servidor
o
Contabilidad de cliente y servidor.
a.
El anfitrión promiscuo
El anfitrión promiscuo es uno de los principales problemas de seguridad
y uno de los problemas más urgentes de cualquier red. Si un intruso es
paciente, él puede simplemente mirar (con una red debugger o anfitrión
promiscuo) que los paquetes fluyen de aquí para allá a través de la red.
No toma mucha programación el análisis de la información que fluye
sobre la red.
Un ejemplo simple es un procedimiento de login remoto. En el
procedimiento login, el sistema pedirá y recibirá el nombre y contraseña
del usuario a través de la red.
Durante la transmisión, esta información no es codificada o encriptada
de cualquier forma. Una persona paciente simplemente puede esperar,
y así recolectar toda la información que necesita para romper cualquier
cuenta.
28
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
b.
Autenticación
El procedimiento de login remoto ilustra el problema de autenticación.
¿Cómo presenta usted credenciales al anfitrión remoto para probar que
usted es usted?.
¿Cómo hace usted ésto, de forma que no se repita por el mecanismo
simple de una jornada registrada?.
c.
Autorización
Aún cuando usted puede probar que usted es quien dice que es,
simplemente, ¿Qué información debería permitir el sistema local
accesar desde a través de una red?. Este problema de autorización
parecería ser simple en concepto, pero considerar los problemas de
control de acceso, cuando todo el sistema tiene su identidad remota de
usuario, el problema de autorización sería un problema de seguridad
bastante serio, en donde intervienen los conceptos de funciones
autorizadas, niveles de autorización, etc.
d.
Contabilidad
Finalmente, considerar el problema de contabilidad. Hay que recordar
que nosotros debemos asumir que hay otros con un conocimiento
mayor de sistemas. ¿Cuánta contabilidad tiene que hacer el sistema
para crear una pista de revisión y luego examinar?
3.6.2
Componentes de Seguridad
Para un intruso que busque acceder a los datos de la red, la línea de ataque
más prometedora será una estación de trabajo de la red. Estas se deben
proteger con cuidado. Debe habilitarse un sistema que impida que usuarios
no autorizados puedan conectarse a la red y copiar información fuera de ella,
e incluso imprimirla.
Por supuesto, una red deja de ser eficiente si se convierte en una fortaleza
inaccesible. El administrador de la red tal vez tenga que clasificar a los
usuarios de la red con el objeto de adjudicarles el nivel de seguridad
adecuado. A continuación se sugiere un sistema en tres niveles:
•
Nivel de administración. Aquellos que diseñan, mantienen o ponen en
marcha la red. Este debe estar constituido sólo por el administrador o
por un pequeño grupo de personal de soporte y administración.
•
Usuarios fiables. Aquellos usuarios que cumplen las normas y cuyo
trabajo se pueda beneficiar de una mayor libertad de acceso a la red.
•
Usuarios vulnerables. Aquellos que muestran falta de competencia, son
excesivamente curiosos o beligerantes, o los que por alguna razón no se
puede confiar.
Instituto Nacional de Estadística e Informática
29
Plan de Contingencia de los
Sistemas de Información
Estos niveles pueden tener un reflejo en el número de barreras que se
establecen para el acceso al sistema y el tipo de derechos de acceso que se
conceden, para cuando se ha obtenido la conexión, así como el nivel de
supervisión y la frecuencia de las comprobaciones.
3.6.3
Control de Acceso a la Red
•
Restringir el acceso a las áreas en que están las estaciones de trabajo
mediante llaves, tarjetas de identificación, tarjetas inteligentes y sistemas
biométricos.
•
Restringir las posibilidad de conectar estaciones mediante llaves, tarjetas
de identificación, tarjetas inteligentes y sistemas biométricos.
•
Identificación para la red con clave de acceso.
•
Protección con clave de todas la áreas sensitivas de datos y restricción
de acceso a los programas, según su uso.
•
Registro de toda la actividad de la estación de trabajo.
•
Protección con clave de acceso o bloqueo de todas las operaciones de
copia a disquete en las estaciones de trabajo.
•
Monitorización de todas las operaciones de copia en disquete en las
estaciones de trabajo.
3.6.4 Protección del Servidor
La parte más importante de la red es el servidor. La concentración de los
datos en el servidor, en términos de cantidad e importancia, hace que sea
necesario protegerlo de todas las eventualidades.
La dependencia en que esté el servidor no debe ser accesible para nadie,
excepto para el administrador de la red. No se debe permitir que personas
que no han de utilizar el servidor estén cerca de él. Las impresoras y otros
periféricos deben mantenerse alejados de ojos fisgones.
Dada la importancia del servidor y la cantidad de datos que pasan por él, es
necesario efectuar copias de seguridad, del servidor. Cabe recordar que las
copias de seguridad del servidor de archivos son un elemento
especialmente valioso, debiéndose quedar guardados en un lugar cerrado,
seguro y con las condiciones ambientales necesarias. Un conjunto de copias
de seguridad se debe trasladar regularmente a otro lugar seguro (de
preferencia otro local).
30
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Redes y tolerancia a fallas
La tolerancia a fallas es la capacidad de la red de continuar funcionando, en
el caso que se produzca un problema importante o una caída catastrófica,
sin daño para los datos y sin que el funcionamiento cambie
perceptiblemente.
La tolerancia a fallas, se refiere no sólo a la redundancia, sino a la detección
de errores. Por lo general, la tolerancia a fallas conduce a un elemento
hardware redundante, que entra en funcionamiento de forma automática en
el caso que el componente primario falle. Sin embargo la tolerancia a fallas
puede ser algo como duplicar la FAT (tabla de localización de archivos) y las
entradas de directorio en áreas distintas de un mismo disco, o una simple
verificación de lectura tras escritura, con lo que se asegura que los datos
nunca se escriben en un sector dañado del disco.
No todas las redes requieren el mismo grado de tolerancia a fallas.
3.6.5 Protegiendo la Red
Estaciones de trabajo sin floppy disk. Una posible solución para poder
impedir la copia de programas y datos fuera de la red en disquetes, y que a
través de los disquetes ingresen virus y otros programas dañinos a la red, es
dotar a los usuarios vulnerables con estaciones de trabajo sin floppy disk.
3.6.6
Tecnología RAID, (Ofrece tolerancia a fallas y corrige errores)
RAID (Arreglo Redundante de Discos Asequibles) reemplaza los sistemas de
almacenamiento, grandes y costosos, con múltiples unidades de disco duro,
pequeñas e idénticas. Potencialmente la tecnología RAID puede reducir el
costo del almacenamiento, aumentar la velocidad y mejorar la confiabilidad
del sistema.
El arreglo RAID sólo responde como un disco duro grande, en lugar de
varios discos identificados por letras (en el caso de múltiples discos duros
conectados a una computadora estándar). Más importante aún, el contenido
de un archivo no está concentrado en un sólo disco duro, sino que está
esparcido a lo largo del arreglo, aumentando la seguridad de la información.
Sin embargo, esta seguridad tiene su precio. El precio por megabyte
disminuye a medida que aumenta la capacidad del disco, por lo tanto un
arreglo de discos menores inherentemente cuesta más que una unidad
mayor de la misma capacidad total.
RAID también requiere un controlador de disco duro especial como el
UltraStor Ultra 124F basado en EISA. Un sistema RAID ofrece menos
capacidad total que la suma de los discos que lo componen.
Instituto Nacional de Estadística e Informática
31
Plan de Contingencia de los
Sistemas de Información
La redundancia en el diseño de RAID significa que una parte de los datos
almacenados se duplica para ayudar a detectar errores y corregirlos. Este
método de almacenamiento pone fin a los errores de lectura y escritura y
ofrece una verdadera tolerancia a fallas.
Además, los sistemas RAID pueden ofrecer a los usuarios de las redes,
acceso a todos los datos, aunque un disco duro en el arreglo, falle
catastróficamente.
Esta tecnología va más allá de los asuntos de confiabilidad para mejorar el
rendimiento. Los múltiples discos en el arreglo pueden leer y escribir los
datos en paralelo, dividiendo la información entre los discos a nivel de bit,
byte o bloque, usando un proceso llamado la división de datos (data
striping), y potencialmente pueden multiplicar la transferencia de
información máxima por el número de discos en el arreglo.
Los controladores de discos avanzados pueden manejar múltiples peticiones
simultáneamente, un método de búsqueda que reduce el tiempo de acceso
a casi cero. Con este proceso, uno de los discos realiza la búsqueda mientras
el sistema lee de otros discos.
NIVELES DE RAID
RAID viene en cinco niveles diferentes, los niveles del uno al cinco, cada uno
diseñado para un uso específico. Estos números son simples designaciones
de los diferentes métodos de proteger los datos en los discos duros y no
describen los niveles de velocidad o calidad: RAID 1 no es mejor ni peor que
RAID 5. El tipo de RAID apropiado para su servidor depende de cómo usa su
red y el tipo de protección que desea proporcionarle.
32
•
RAID 1. Significa una redundancia total, dos discos de igual capacidad
que duplican el contenido (o reflejan), uno del otro. Uno resguarda al
otro automática y continuamente. El arreglo regresa a una operación de
un solo disco si cualquiera de las unidades falla.
•
El Sistema RAID 1 está diseñado para los tipos de informaciones
esenciales, cuyo reemplazo sería difícil y costoso. Aunque esta
duplicación reduce la capacidad potencial de almacenamiento a la
mitad, típicamente no tiene ningún efecto en el rendimiento. Sin
embargo, los controladores RAID 1 sofisticados potencialmente, pueden
duplicar el rendimiento leyendo sectores alternos de ambos discos.
•
RAID 2. Divide cada bit de los bytes o bloques de información entre
discos separados y luego añade varios discos más para la corrección de
errores. Por ejemplo, un sistema RAID 2 almacena una información
digital de 16 bits en 16 discos, con 5 o 6 discos adicionales para la
corrección de errores, o información de paridad. El número exacto de
discos de corrección de errores que usa su sistema depende del
algoritmo de división que se emplee. La penalidad en el tamaño del
disco puede ser de hasta 37,5 por ciento, tres bits de corrección por
cada ocho bits de información. Además, el diseño RAID 2 aumenta el
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
tamaño de la unidad de almacenamiento mínima (el tamaño de los
sectores se multiplica por el número de discos, un arreglo de 16 discos
tiene sectores de 8.192 bits), haciéndolo ineficiente para almacenar
archivos pequeños en tantos discos. Por otra parte RAID 2 logra razones
de transferencia más elevadas porque los discos manejan los bits en
paralelo.
Los errores se corrigen sobre la marcha, sin efectuar el rendimiento,
porque el controlador puede reconstituir la mayoría de los errores de la
información redundante, sin tener que repetir la lectura de los discos
duros.
•
RAID 3. Elimina parte de la minuciosidad que ofrece RAID 2, ya que
utiliza la detección de errores en lugar de la corrección de errores. La
detección de errores mediante el proceso de verificación de paridad
requiere menos discos en el arreglo, típicamente uno por arreglo.
Cuando el controlador detecta un error, hace que el arreglo vuelva a leer
la información para resolver el problema. Esto requiere una revolución
adicional en todos los discos del arreglo, lo que añade una pequeña
demora en la operación del disco.
•
RAID 4. Los sistemas RAID 4, trabajan a nivel de sector en lugar de a
nivel de bits. Los archivos se dividen entre los discos a nivel de sector,
los sectores se leen serialmente, el primero de un disco, el segundo del
próximo disco, y así sucesivamente. Para detectar errores, RAID 4
añade un disco dedicado a la paridad, mientras que el controlador de
RAID 4 puede aumentar la velocidad con la división de datos. Se pueden
leer simultáneamente dos o más sectores de discos diferentes,
almacenarlos en RAM, que es mucho más rápida, normalmente varias
órdenes de magnitud, y leerlos secuencialmente a la velocidad de la
memoria.
Los mejores controladores de RAID 4 también procesan múltiples
peticiones de datos simultáneamente, reorganizándolas, y luego
leyendo los discos de la manera más eficiente, una tecnología conocida
como búsqueda elevadora (elevator seeking). Sin embargo, la escritura
es más lenta que la lectura porque RAID 4 usa una tecnología de leer después de escribir. Después de escribir la información en el disco, se
lee para determinar la paridad y escribir esa información en el disco de
paridad.
•
RAID 5. Elimina el disco de paridad dedicado de un sistema RAID 4. La
información de paridad se añade como otro sector que rota por los
discos del arreglo, exactamente igual a los datos ordinarios. Para un
rendimiento mejor, los controladores de RAID 5 pueden añadir la
división de datos y la búsqueda elevadora. Además, el sistema puede
tener suficiente redundancia para ser tolerante a las fallas.
Instituto Nacional de Estadística e Informática
33
Plan de Contingencia de los
Sistemas de Información
VENTAJAS Y DESVENTAJAS DE LA TECNOLOGIA RAID
FASE 4 :
•
Dos tipos de RAID dominan los arreglos usados por las computadoras.
RAID 1 es popular en los servidores de archivos NetWare, aunque
Novell usualmente se refiere a esta tecnología como reflexión
(mirroring). Sin embargo, la mayoría de los dispositivos de
computadoras llamados arreglos de discos, se adaptan al diseño RAID
5, ya que RAID 4 no ofrece ventajas reales, y RAID 2 y RAID 3 requieren
demasiados discos y tienen demasiadas desventajas para ser útiles en la
mayoría de las aplicaciones del entorno de la PC.
•
Además de las capacidades extremas que se pueden obtener de los
múltiples discos, la única ventaja que RAID ofrece a las computadoras
de un solo usuario es potencialmente una mayor velocidad de
transferencia. DOS usa entradas y salidas seriales (una petición de
almacenamiento se debe satisfacer antes de emitir la otra), lo que no se
beneficia de las búsquedas elevadoras.
•
La confiabilidad adicional de un sistema RAID es una virtud dudosa
cuando los discos duros ordinarios tienen clasificaciones MTBF (mean
time between failures o tiempo promedio entre roturas) de 150.000 a
350.000 horas.
•
Los servidores de archivos basados en PCs y la tecnología RAID, tienen
sentido cuando se comparan a los sistemas de almacenamiento en los
mainframes y minicomputadoras tradicionales: con discos duros del
tamaño de refrigeradores de alta capacidad.
•
La protección de la información que ofrecen los arreglos RAID, sustituye
la solidez mecánica de las unidades de discos grandes, mientras logran
una confiabilidad idéntica y en algunos casos superior.
ESTRATEGIAS
Las estrategias de contingencia / continuidad de los negocios están diseñadas para
identificar prioridades y determinar en forma razonable las soluciones a ser
seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hay
que decidir si se adoptarán las soluciones a gran escala, como las opciones de
recuperación de desastres para un centro de datos.
4.1
34
Actividades Importantes
•
La revisión de procesos, flujos, funciones y opciones de importancia crítica.
•
La definición de las opciones de contingencia seleccionadas para cada riesgo
identificado (nivel de componente, nivel de proceso de la empresa).
•
La revisión / depuración del cronograma maestro, incluyendo prioridades,
fechas importantes en el calendario de eventos y dependencias cruzadas en
diversos proyectos o áreas.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
4.2
•
La consolidación de soluciones de acuerdo a las funciones o áreas de negocios
más importantes e identificar las estrategias globales.
•
La identificación de los impactos de las soluciones y estrategias para ahorrar
costos, como puede ser la selección de una solución para cubrir varios riesgos,
Se deben de considerar varios elementos de costo: como el costo de crear la
solución, el costo de implementar la solución, y el costo de mantener vigente
dicha solución. Debido a que la continuidad de las operaciones de la
organización constituye el enfoque primordial, la estrategia de la empresa rige
el análisis de costos.
•
La obtención de aprobaciones finales para el financiamiento, antes de que se
apruebe la solución.
•
La identificación de los beneficios es un elemento clave para asegurar que el
costo del proyecto este equilibrado con los retornos reales de la organización.
Preparativos para la Identificación de Soluciones Preventivas
Los puntos que deben ser cubiertos por todos las áreas informáticas y usuarios en
general son:
•
Respaldar toda la información importante en medio magnético, ya sea en
disquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente cada
área. Acordamos que lo que debe respaldarse es INFORMACION y no las
aplicaciones.
•
Generar discos de arranque para las máquinas dependiendo de su sistema
operativo, ya sea DOS, Win95/98 o WinNT, libres de virus y protegidos contra
escritura.
•
Mantener una copia de antivirus más reciente en disco para emergencias
(dependiendo del fabricante, variarán las instrucciones para generarlo).
•
Guardar una copia impresa de la documentación de los sistemas e interfaces, al
igual de los planes de contingencia definidos por el resto de las áreas.
•
Instalar todos los Service Packs que el equipo necesite y llevar un registro de
los mismos, en caso de formatear el equipo o desinstalar aplicaciones.
Instituto Nacional de Estadística e Informática
35
Plan de Contingencia de los
Sistemas de Información
4.3
Medida de Precaución y Recomendación
4.3.1 En Relación al Centro de Cómputo
36
•
Es recomendable que el Centro de Cómputo no esté ubicado en las
áreas de alto tráfico de personas o con un alto número de invitados.
•
Hasta hace algunos años la exposición de los Equipos de Cómputo a
través de grandes ventanales, constituían el orgullo de la organización,
considerándose necesario que estuviesen a la vista del público, siendo
constantemente visitados. Esto ha cambiado de modo radical,
principalmente por el riesgo de terrorismo y sabotaje.
•
Se deben evitar, en lo posible, los grandes ventanales, los cuales
además de que permiten la entrada del sol y calor (inconvenientes para
el equipo de cómputo), puede ser un riesgo para la seguridad del Centro
de Cómputo.
•
Otra precaución que se debe tener en la construcción del Centro de
Cómputo, es que no existan materiales que sean altamente inflamables,
que despiden humos sumamente tóxicos o bien paredes que no quedan
perfectamente selladas y despidan polvo.
•
El acceso al Centro de Cómputo debe estar restringido al personal
autorizado. El personal de la Institución deberá tener su carné de
identificación siempre en un lugar visible.
•
Se debe establecer un medio de control de entrada y salida de visitas al
centro de cómputo. Si fuera posible, acondicionar un ambiente o área
de visitas.
•
Se recomienda que al momento de reclutar al personal se les debe
hacer además exámenes psicológicos y médico y tener muy en cuenta
sus antecedentes de trabajo, ya que un Centro de Cómputo depende en
gran medida, de la integridad, estabilidad y lealtad del personal.
•
El acceso a los sistemas compartidos por múltiples usuarios y a los
archivos de información contenidos en dichos sistemas, debe estar
controlado mediante la verificación de la identidad de los usuarios
autorizados.
•
Deben establecerse controles para una efectiva disuasión y detección, a
tiempo, de los intentos no autorizados de acceder a los sistemas y a los
archivos de información que contienen.
•
Se recomienda establecer políticas para la creación de los password y
establecer periodicidad de cambios de los mismos.
•
Establecer políticas de autorizaciones de acceso físico al ambiente y de
revisiones periódicas de dichas autorizaciones.
•
Establecer políticas de control de entrada y salida del personal, así como
de los paquetes u objetos que portan.
•
La seguridad de las terminales de un sistema en red podrán ser
controlados por medios de anulación del disk drive, cubriéndose de esa
manera la seguridad contra robos de la información y el acceso de virus
informáticos.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
Los controles de acceso, el acceso en sí y los vigilantes deben estar
ubicados de tal manera que no sea fácil el ingreso de una persona
extraña. En caso que ingresara algún extraño al centro de Cómputo, que
no pase desapercibido y que no le sea fácil a dicha persona llevarse un
archivo.
•
Las cámaras fotográficas no se permitirán en ninguna sala de cómputo,
sin permiso por escrito de la Dirección.
•
Asignar a una sola persona la responsabilidad de la protección de los
equipos en cada área.
•
El modelo de seguridad a implementar, estará basado en el entorno y en
la política y estrategias de la instalación.
4.3.1.1
Respecto a la Administración de la Cintoteca:
• Debe ser administrada bajo la lógica de un almacén. Esto implica
ingreso y salida de medios magnéticos (sean cintas, disquetes
cassettes, cartuchos, Discos remobibles, CD's, etc.), obviamente
teniendo más cuidado con las salidas.
• La cintoteca, que es el almacén de los medios magnéticos (sean
cintas, disquetes cassettes, cartuchos, Discos remobibles, CD's,
etc.) y de la información que contienen, se debe controlar para
que siempre haya determinado grado de temperatura y de la
humedad.
• Todos los medios magnéticos deberán tener etiquetas que
definan su contenido y nivel de seguridad.
• El control de los medios magnéticos debe ser llevado mediante
inventarios periódicos.
4.3.1.2
Respecto a la Administración de Impresoras:
• Todo listado que especialmente contenga información
confidencial, debe ser destruido, así como el papel carbón de los
formatos de impresión especiales.
• Establecer controles de impresión, respetando prioridades de
acuerdo a la cola de impresión.
• Establecer controles respecto a los procesos remotos de
impresión.
Niveles de Control:
Existen dos tipos de activos en un Centro de Cómputo. Los equipos
físicos y la información contenida en dichos equipos. Estos activos
son susceptibles de robo o daño del equipo, revelación o
destrucción no autorizada de la información clasificada, o
interrupción del soporte a los procesos del negocio, etc.
Instituto Nacional de Estadística e Informática
37
Plan de Contingencia de los
Sistemas de Información
El valor de los activos a proteger, está determinado por el nivel de
clasificación de la información y por el impacto en el negocio,
causado por pérdida o destrucción del Equipo o información. Hay
que distinguir los activos en nivel clasificado y no clasificado. Para
los de nivel no clasificado, no será necesario control. Cualquier
control debe basarse únicamente en el valor del equipo y servicios
que ellos prestan.
En cambio tratándose de nivel clasificado, deben observarse
además todas la medidas de seguridad de la información que estos
equipos contengan.
4.3.2 Medios de Almacenamientos
4.3.2.1
Recomendaciones para el Mantenimiento de Cintas Magnéticas y
Cartuchos.
Las cintas magnéticas y cartuchos deben guardarse bajo ciertas
condiciones, con la finalidad de garantizar una adecuada
conservación de la información almacenada.
a. Cintas Magnéticas:
! La temperatura y humedad relativa del ambiente en que se
encuentran almacenados deben estar en el siguiente rango:
Temperatura : 4ºC a 32ºC
Humedad Relativa : 20 % a 80 %
! El ambiente debe contar con aire acondicionado.
! Las cintas deben colocarse en estantes o armarios
adecuados.
! Deberá mantenerse alejados de los campos magnéticos.
! Se les debe dar un mantenimiento preventivo en forma
periódica a fin de desmagnetizar impurezas que se hayan
registrado sobre ellas.
b. Cartuchos:
! La temperatura y humedad relativa del ambiente en que se
encuentran almacenados deben estar en el siguiente rango:
Temperatura : 16ºC a más
Humedad Relativa : 20 % a 80 %
! La temperatura interna del Drive puede oscilar entre: 5ºC a
45ºC.
38
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
! Deben ser guardados dentro de su caja de plástico.
! Deben mantenerse alejados de campos magnéticos.
4.3.2.2 Recomendaciones para el Mantenimiento de Discos Magnéticos
Las recomendaciones para el buen mantenimiento de los discos
magnéticos son:
a. En general los discos magnéticos son medios de
almacenamiento "delicados", pues si sufren un pequeño golpe
puede ocasionar que la información se dañe o producir un
CRASH al sistema.
b. El cabezal de lectura-escritura debe estar lubricado para evitar
daños al entrar en contacto con la superficie del disco.
c. Se debe evitar que el equipo sea colocado en una zona donde
se acumule calor, ya que el calor interfiere en los discos cuando
algunas piezas se dilatan más que otras, o se secan los
lubricantes. Con ello se modifican la alineación entre el disco y
los cabezales de lectura-escritura, pudiéndose destruir la
información.
d. Las ranuras de los ventiladores de refrigeración deben estar
libres.
e. Se debe evitar, en lo posible, la introducción de partículas de
polvo que pueden originar serios problemas.
4.3.2.3
Recomendaciones para el Mantenimiento de los Discos Duros
Aunque el conjunto de cabezales y discos viene de fábrica sellado
herméticamente, debe evitarse que los circuitos electrónicos que se
encuentran alrededor se llenen de partículas de polvo y suciedad
que pudieran ser causa de errores.
El ordenador debe colocarse en un lugar donde no pueda ser
golpeado, de preferencia sobre un escritorio resistente y amplio.
Se debe evitar que la microcomputadora se coloque en zonas
donde haya acumulación de calor. Esta es una de las causas más
frecuentes de las fallas de los discos duros, sobre todo cuando
algunas piezas se dilatan más que otras.
No se debe mover la CPU conteniendo al disco duro cuando esté
encendido, porque los cabezales de lectura-escritura pueden dañar
al disco.
Una de las medidas más importantes en este aspecto, es hacer que
la gente tome conciencia de lo importante que es cuidar un
Microcomputador.
Instituto Nacional de Estadística e Informática
39
Plan de Contingencia de los
Sistemas de Información
4.3.2.4
Recomendaciones para el Mantenimiento de Disquetes
Las recomendaciones que a continuación se sugieren se aplican en
general para los diferentes tipos de disquetes: de 5 ¼" y 3 ½" de alta
y baja densidad en ambos casos.
a. Debe mantenerse a una temperatura normal, en un rango
comprendido entre los 10ºC y 52ºC, con la finalidad de evitar
que se deteriore el material del cual está hecho.
b. Para coger el disquete debe hacerse por la parte plástica y
nunca por la parte física interna, debido a que por su tecnología,
el proceso de almacenamiento es magnético y el cuerpo
humano
ejerce
cierta
fuerza
magnética
y
puede
desmagnetizarse.
c. De manera similar, no debe acercarse a los disquetes ningún
cuerpo con propiedades magnéticas (como los imanes), ya que
podrían provocar la pérdida irrecuperable de los datos ya
almacenados.
d. Cuando se esté grabando o borrando información no se debe
levantar la compuerta del disk drive (disquete de 5 ¼") o
presionar el botón (disquete de 3 ½"), porque puede ocurrir que
no sólo se dañe la información restante, sino también el formato
lógico, tomándolos como bloques de sectores dañados.
e. Los disquetes deben mantenerse en sus respectivas fundas y en
su manipuleo se debe evitar:
•
Doblar los disquetes
•
Colocar un peso sobre ellos, debiendo mantenerse en zonas
libres.
•
Tratarlos como una placa simple de plástico, es decir, no se
debe usar clips o grapas para unirlos con otros materiales
(hojas u otros disquetes).
4.3.3 Respecto a los Monitores
La forma más fácil y común de reducir la fatiga en la visión que resulta de
mirar a una pantalla todo el día, es el uso de medidas contra la refección.
Generalmente éstos vienen en forma de una pantalla con un terminado
áspero o algún tipo de capa contra brillo con una base de sílice, sobre la
superficie de la pantalla del monitor.
Se recomienda sentarse por lo menos a 60 cm. (2 pies) de la pantalla. No
sólo ésto reducirá su exposición a las emisiones (que se disipan a una razón
40
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
proporcional al cuadrado de la distancia), sino que puede ayudar a reducir el
esfuerzo visual.
También manténgase por lo menos a 1 m. o 1.20 m. (3 o 4 pies) del monitor
de su vecino, ya que la mayoría de los monitores producen más emisiones
por detrás, que por delante.
Finalmente apague su monitor cuando no lo esté usando
4.3.4 Recomendación para el Cuidado del Equipo de Cómputo
Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entre
las teclas, puede causar un cruce de función.
Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10 cm.
Para asegurar así una ventilación mínima adecuada.
Mouse. Poner debajo del mouse una superficie plana y limpia, de tal manera
que no se ensucien los rodillos y mantener el buen funcionamiento de éste.
Protectores de pantalla. Estos sirven para evitar la radiación de las pantallas
a color que causan irritación a los ojos.
Impresora. El manejo de las impresoras, en su mayoría, es a través de los
botones, tanto para avanzar como para retroceder el papel.
Por Ejemplo:
Caso Epson FX-1170/LQ-1070 no usar rodillo cuando esté prendido.
Caso Epson DFX-5000/8000 tratar con cuidado los sujetadores de papel y
no apagar de súbito, asegurarse que el ON LINE esté apagado, así
evitaremos problemas de cabezal y sujetador.
Caso de mala impresión, luego de imprimir documentos o cuadros
generados, apagar por unos segundos la impresora para que se pierda el set
dejado.
4.3.4.1
Mantener las Areas Operativas Limpias y Pulcras
Todas las razones para mantener las áreas operativas limpias y
pulcras son numerosas, para enunciarlas aquí. Sin embargo,
algunos de los problemas que usted puede evitar son: el peligro de
fuego generado por la acumulación de papeles bajo el falso piso, el
daño potencial al equipo por derramar el café, leche o chocolate en
los componentes del sistema, el peligro de fuego que se presentan
por el excesivo almacenamiento de hojas continuas, el peligro por
fumar y las falsas alarmas creadas por detectores de humo. Estos
son solamente algunos de los problemas encontrados en las áreas
operativas con reglas poco estrictas de limpieza.
Instituto Nacional de Estadística e Informática
41
Plan de Contingencia de los
Sistemas de Información
FASE 5 : DOCUMENTACION DEL PROCESO
Todo el proceso de lograr identificar soluciones ante determinados problemas no tendrá
su efecto verdadero si es que no se realiza una difusión adecuada de todos los puntos
importantes que este implica, y un plan de Contingencia con mucho mayor razón
necesita de la elaboración de una documentación que sea eficientemente orientada.
Como puntos importantes que debe de incluir esta documentación podremos citar las
siguientes:
•
Cuadro de descripción de los equipos y las tareas para ubicar las soluciones a las
contingencias.
•
La documentación de los riesgos, opciones y soluciones por escrito y en detalle.
•
La identificación y documentación de listas de contacto de emergencia, la
identificación de responsables de las funciones con el fin de garantizar que siempre
haya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.
FASE 6 : REALIZACION DE PRUEBAS Y VALIDACION
6.1
Plan de Recuperación de Desastres
Es importante definir los procedimientos y planes de acción para el caso de una
posible falla, siniestro o desastre en el área Informática, considerando como tal
todas las áreas de los usuarios que procesan información por medio de la
computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo
que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo
posible el proceso perdido.
La elaboración de los procedimientos que se determinen como adecuados para un
caso de emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad
de los encargados de la realización de los mismos, debiendo haber procesos de
verificación de su cumplimiento. En estos procedimientos estará involucrado todo
el personal de la Institución.
Los procedimientos de planes de recuperación de desastres deben de emanar de la
máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.
Las actividades a realizar en un Plan de Recuperación de Desastres se pueden
clasificar en tres etapas:
6.1.1 Actividades Previas al Desastre.
42
6.1.2
Actividades Durante el Desastre.
6.1.3
Actividades Después del Desastre.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
6.1.1
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparación, entrenamiento y
ejecución de las actividades de resguardo de la información, que nos
aseguren un proceso de Recuperación con el menor costo posible a nuestra
Institución.
Podemos detallar las siguientes Actividades Generales :
- Establecimiento del Plan de Acción.
- Formación de Equipos Operativos.
- Formación de Equipos de Evaluación (auditoría de cumplimiento de los
procedimientos sobre Seguridad).
! Establecimiento de Plan de Acción
En esta fase de Planeamiento se debe de establecer los procedimientos
relativos a:
a) Sistemas e Información.
b) Equipos de Cómputo.
c) Obtención y almacenamiento de los Respaldos de Información
(BACKUPS).
d) Políticas (Normas y Procedimientos de Backups).
a) Sistemas e Información. La Institución deberá tener una relación de
los Sistemas de Información con los que cuenta, tanto los realizados
por el centro de cómputo como los hechos por las áreas usuarias.
Debiendo identificar toda información sistematizada o no, que sea
necesaria para la buena marcha Institucional.
La relación de Sistemas de Información deberá detallar los siguientes
datos:
•
Nombre del Sistema.
•
Lenguaje o Paquete con el que fue creado el Sistema. Programas
que lo conforman (tanto programas fuentes como programas
objetos, rutinas, macros, etc.).
•
La Dirección (Gerencia, Departamento, etc.) que genera la
información base (el «dueño» del Sistema).
•
Las unidades o departamentos (internos/externos) que usan la
información del Sistema.
•
El volumen de los archivos que trabaja el Sistema.
•
El volumen de transacciones diarias, semanales y mensuales que
maneja el sistema.
Instituto Nacional de Estadística e Informática
43
Plan de Contingencia de los
Sistemas de Información
•
El equipamiento necesario para un manejo óptimo del Sistema.
•
La(s) fecha(s) en las que la información es necesitada con carácter
de urgencia.
•
El nivel de importancia estratégica que tiene la información de
este Sistema para la Institución (medido en horas o días que la
Institución puede funcionar adecuadamente, sin disponer de la
información del Sistema). Equipamiento mínimo necesario para
que el Sistema pueda seguir funcionando (considerar su
utilización en tres turnos de trabajo, para que el equipamiento sea
el mínimo posible).
•
Actividades a realizar para volver a contar con el Sistema de
Información (actividades de Restore).
Con toda esta información se deberá de realizar una lista priorizada
(un ranking) de los Sistemas de Información necesarios para que la
Institución pueda recuperar su operatividad perdida en el desastre
(contingencia).
b) Equipos de Cómputo. Aparte de las Normas de Seguridad que se
verán en los capítulos siguientes, hay que tener en cuenta:
•
•
44
•
Inventario actualizado
de los equipos de manejo
de información (computadoras,
lectoras
de
microfichas,
impresoras,
etc.), especificando su
contenido (software que
usa, principales archivos
que contiene), su ubicación
y nivel de uso Institucional.
•
Pólizas de Seguros
Comerciales. Como parte
de la protección de los
Activos
Institucionales,
pero haciendo la salvedad
en el contrato, que en
casos de siniestros, la
restitución del Computador
siniestrado se podrá hacer por otro de mayor potencia (por
actualización tecnológica), siempre y cuando esté dentro de los
montos asegurados.
Señalización o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de
evacuación. Por ejemplo etiquetar (colocar un sticker) de color
rojo a los Servidores, color amarillo a las PC's con Información
importante o estratégica y color verde a las PC's de contenidos
normales.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
Tener siempre actualizada una relación de PC's requeridas como
mínimo para cada Sistema permanente de la Institución (que por
sus funciones constituyen el eje central de los Servicios
Informáticos de la Institución), las funciones que realizaría y su
posible uso en dos o tres turnos de trabajo, para cubrir las
funciones básicas y prioritarias de cada uno de estos Sistemas.
c) Obtención y Almacenamiento de los Respaldos de Información
(BACKUPS).
Se deberá establecer los procedimientos para la obtención de copias
de Seguridad de todos los elementos de software necesarios para
asegurar la correcta ejecución de los Sistemas o aplicativos de la
Institución. Para lo cual se debe contar con:
•
Backups del Sistema Operativo (en caso de tener varios Sistemas
Operativos o versiones, se contará con una copia de cada uno de
ellos).
•
Backups del Software Base (Paquetes y/o Lenguajes de
Programación con los cuales han sido desarrollados o interactúan
nuestros Aplicativos Institucionales).
•
Backups del Software Aplicativo (Considerando tanto los
programas
fuentes,
como
los
programas
objetos
correspondientes, y cualquier otro software o procedimiento que
también trabaje con la data, para producir los resultados con los
cuales trabaja el usuario final). Se debe considerar también las
copias de los listados fuentes de los programas definitivos, para
casos de problemas.
•
Backups de los Datos (Bases de Datos, Indices, tablas de
validación, passwords, y todo archivo necesario para la correcta
ejecución del Software Aplicativo de nuestra Institución).
•
Backups del Hardware. Se puede implementar bajo dos
modalidades:
Modalidad Externa. Mediante convenio con otra Institución que
tenga equipos similares o mayores y que brinden la seguridad de
poder procesar nuestra Información, y ser puestos a nuestra
disposición, al ocurrir una contingencia y mientras se busca una
solución definitiva al siniestro producido. Este tipo de convenios
debe tener tanto las consideraciones de equipamiento como de
ambientes y facilidades de trabajo que cada institución se
compromete a brindar, y debe de ser actualizado cada vez que se
efectúen cambios importantes de sistemas que afecten a
cualquiera de las instituciones.
Modalidad Interna. Si tenemos más de un local, en ambos
debemos tener señalados los equipos, que por sus características
técnicas y capacidades, son susceptibles de ser usados como
equipos de emergencia del otro local, debiéndose poner por
Instituto Nacional de Estadística e Informática
45
Plan de Contingencia de los
Sistemas de Información
escrito (igual que en el caso externo), todas las actividades a
realizar y los compromisos asumidos.
En ambos casos se deberá probar y asegurar que los procesos de
restauración de Información posibiliten el funcionamiento
adecuado de los Sistemas. En algunos casos puede ser necesario
volver a recompilar nuestro software aplicativo bajo plataformas
diferentes a la original, por lo que es imprescindible contar con
los programas fuentes, al mismo grado de actualización que los
programas objeto.
d) Políticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinación de
responsabilidades en la obtención de los Backups mencionados
anteriormente en el punto «c», debiéndose incluir:
•
Periodicidad de cada Tipo de Backup.
•
Respaldo de Información de movimiento entre los períodos que
no se sacan Backups (backups incrementales).
•
Uso obligatorio de un formulario estándar para el registro y
control de los Backups.
•
Correspondencia entre la relación de Sistemas e Informaciones
necesarias para la buena marcha de la empresa, y los backups
efectuados.
•
Almacenamiento de los Backups en condiciones ambientales
óptimas, dependiendo del medio magnético empleado.
•
Reemplazo de los Backups, en forma periódica, antes que el
medio magnético de soporte se pueda deteriorar (reciclaje o
refresco).
•
Almacenamiento de los Backups en locales diferentes donde
reside la información primaria (evitando la pérdida si el desastre
alcanzo todo el edificio o local estudiado).
•
Pruebas periódicas de los Backups (Restore), verificando su
funcionalidad, a través de los sistemas, comparando contra
resultados anteriores confiables.
! Formación de Equipos Operativos
En cada unidad operativa de la Institución, que almacene información y
sirva para la operatividad Institucional, se deberá designar un
responsable de la seguridad de la Información de su unidad. Pudiendo
ser el jefe de dicha Area Operativa.
Sus labores serán:
•
46
Ponerse en contacto con los propietarios de las aplicaciones y
trabajar con ellos.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
•
Proporcionar soporte técnico para las copias de respaldo de las
aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos
en cuanto a archivos, bibliotecas, utilitarios, etc., para los principales
sistemas y subsistemas.
•
Supervisar procedimientos de respaldo y restauración.
•
Supervisar la carga de archivos de datos de las aplicaciones, y la
creación de los respaldos incrementales.
Coordinar líneas, terminales, módem, otros aditamentos para
comunicaciones.
•
•
Establecer procedimientos
recuperación.
•
Organizar la prueba de hardware y software.
•
Ejecutar trabajos de recuperación.
•
Cargar y probar archivos del sistema operativo y otros sistemas
almacenados en el local alternante.
•
Realizar procedimientos de control de inventario y seguridad del
almacenamiento en el local alternante.
•
Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperación.
Participar en las pruebas y simulacros de desastres.
•
de
seguridad
en
los
sitios
de
! Formación de Equipos de Evaluación (Auditoría de cumplimiento de los
procedimientos sobre Seguridad)
Esta función debe ser realizada de preferencia por personal de
Inspectoría, de no ser posible, la realizará el personal del área de
Informática, debiendo establecerse claramente sus funciones,
responsabilidades y objetivos :
6.1.2
•
Revisar que las Normas y procedimientos con respecto a Backups y
seguridad de equipos y data se cumpla.
•
Supervisar la realización periódica de los backups, por parte de los
equipos operativos, comprobando físicamente su realización,
adecuado registro y almacenamiento.
•
Revisar la correlación entre la relación de Sistemas e Informaciones
necesarios para la buena marcha de la Institución, y los backups
realizados.
•
Informar de los cumplimientos e incumplimientos de las Normas,
para las acciones de corrección respectivas.
Actividades Durante el Desastre
Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las
siguientes actividades, planificadas previamente:
Instituto Nacional de Estadística e Informática
47
Plan de Contingencia de los
Sistemas de Información
a) Plan de Emergencias.
b) Formación de Equipos.
c) Entrenamiento.
a) Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando se
presente un Siniestro, así como la difusión de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del
Siniestro:
Durante el día.
Durante la Noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas
y cada una de las personas que se pueden encontrar presentes en el área
donde ocurre el siniestro, debiendo detallar :
•
Vías de salida o escape.
•
Plan de Evacuación del Personal.
•
Plan de puesta a buen recaudo de los activos (incluyendo los activos
de Información) de la Institución (si las circunstancias del siniestro lo
posibilitan)
•
Ubicación y señalización de los elementos contra el siniestro
(extinguidores, cobertores contra agua, etc.)
•
Secuencia de llamadas en caso de siniestro, tener a la mano:
elementos de iluminación (linternas), lista de teléfonos de Bomberos /
Ambulancia, Jefatura de Seguridad y de su personal (equipos de
seguridad) nombrados para estos casos.
b) Formación de Equipos
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.)
con funciones claramente definidas a ejecutar durante el siniestro.
Si bien la premisa básica es la protección de la Integridad del personal,
en caso de que el siniestro lo permita (por estar en un inicio o estar en
una área cercana, etc.), deberá de existir dos equipos de personas que
actúen directamente durante el siniestro, un equipo para combatir el
siniestro y otro para el salvamento de los recursos Informáticos, de
acuerdo a los lineamientos o clasificación de prioridades.
48
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
c) Entrenamiento
Establecer un programa de prácticas periódicas de todo el personal en la
lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que
se le hayan asignado en los planes de evacuación del personal o
equipos, para minimizar costos se puede aprovechar fechas de recarga
de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los
siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden
realmente ocurrir, y tomen con seriedad y responsabilidad estos
entrenamientos, para estos efectos es conveniente que participen los
elementos directivos, dando el ejemplo de la importancia que la alta
dirección otorga a la Seguridad Institucional.
6.1.3
Actividad Después del Desastre
Después de ocurrido el Siniestro o Desastre es necesario realizar las
actividades que se detallan, las cuales deben estar especificadas en el Plan
de Acción.
a) Evaluación de Daños.
b) Priorización de Actividades del Plan de Acción.
c) Ejecución de Actividades.
d) Evaluación de Resultados.
e) Retroalimentación del Plan de Acción.
a) Evaluación de Daños.
Inmediatamente después que el siniestro ha concluido, se deberá evaluar
la magnitud del daño que se ha producido, que sistemas se están
afectando, que equipos han quedado no operativos, cuales se pueden
recuperar, y en cuanto tiempo, etc.
Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual
tenemos el convenio de respaldo, para ir avanzando en las labores de
preparación de entrega de los equipos por dicha Institución.
b) Priorización de Actividades del Plan de Acción.
Toda vez que el Plan de Acción es general y contempla una pérdida total,
la evaluación de daños reales y su comparación contra el Plan, nos dará
la lista de las actividades que debemos realizar, siempre priorizándola en
vista a las actividades estratégicas y urgentes de nuestra Institución.
Es importante evaluar la dedicación del personal a actividades que
puedan no haberse afectado, para ver su asignamiento temporal a las
Instituto Nacional de Estadística e Informática
49
Plan de Contingencia de los
Sistemas de Información
actividades afectadas, en apoyo al personal de los sistemas afectados y
soporte técnico.
c) Ejecución de Actividades.
La ejecución de actividades implica la creación de equipos de trabajo
para realizar las actividades previamente planificadas en el Plan de
acción. Cada uno de estos equipos deberá contar con un coordinador
que deberá reportar diariamente el avance de los trabajos de
recuperación y, en caso de producirse algún problema, reportarlo de
inmediato a la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperación tendrán dos etapas, la primera la
restauración del servicio usando los recursos de la Institución o local de
respaldo, y la segunda etapa es volver a contar con los recursos en las
cantidades y lugares propios del Sistema de Información, debiendo ser
esta última etapa lo suficientemente rápida y eficiente para no perjudicar
el buen servicio de nuestro Sistema e imagen Institucional, como para no
perjudicar la operatividad de la Institución o local de respaldo.
d) Evaluación de Resultados
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que
fueron afectados por el siniestro, debemos de evaluar objetivamente,
todas las actividades realizadas, que tan bien se hicieron, que tiempo
tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las
actividades del plan de acción, como se comportaron los equipos de
trabajo, etc.
De la Evaluación de resultados y del siniestro en si, deberían de salir dos
tipos de recomendaciones, una la retroalimentación del plan de
Contingencias y otra una lista de recomendaciones para minimizar los
riesgos y pérdida que ocasionaron el siniestro.
e) Retroalimentación del Plan de Acción.
Con la evaluación de resultados, debemos de optimizar el plan de acción
original, mejorando las actividades que tuvieron algún tipo de dificultad y
reforzando los elementos que funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no haber tenido
nuestra Institución el plan de contingencias llevado a cabo.
FASE 7 : IMPLEMENTACION
La fase de implementación se da cuando han ocurrido o están por ocurrir los problemas
para este caso se tiene que tener preparado los planes de contingencia para poder
aplicarlos. Puede también tratarse esta etapa como una prueba controlada.
50
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
7.1
De las Emergencia Físicas
CASO A: Error Físico de Disco de un Servidor (Sin RAID).
Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser
reparadas, se debe tomar las acciones siguientes:
1.
2.
3.
4.
5.
6.
7.
8.
Ubicar el disco malogrado.
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
Bajar el sistema y apagar el equipo.
Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle
partición.
Restaurar el último backup en el disco, seguidamente restaurar las
modificaciones efectuadas desde esa fecha a la actualidad.
Recorrer los sistemas que se encuentran en dicho disco y verificar su buen
estado.
Habilitar las entradas al sistema para los usuarios.
CASO B: Error de Memoria RAM
En este caso se dan los siguiente síntomas:
•
El servidor no responde correctamente, por lentitud de proceso o por no rendir
ante el ingreso masivo de usuarios.
•
Ante procesos mayores se congela el proceso.
•
Arroja errores con mapas de direcciones hexadecimales.
•
Es recomendable que el servidor cuente con ECC (error correct checking), por lo
tanto si hubiese un error de paridad, el servidor se autocorregirá.
Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo
fijado por la compañía, a menos que la dificultad apremie, cambiarlo
inmediatamente.
Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben
tomar las acciones siguientes:
1.
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
2.
El servidor debe estar apagado, dando un correcto apagado del sistema.
3.
Ubicar las memorias malogradas.
4.
Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.
5.
Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del
servidor, ello evitará que al encender el sistema, los usuarios ingresen.
Instituto Nacional de Estadística e Informática
51
Plan de Contingencia de los
Sistemas de Información
6.
Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia
el concentrador, habilitar entradas para estaciones en las cuales se realizarán
las pruebas.
7.
Probar los sistemas que están en red en diferentes estaciones.
8.
Finalmente luego de los resultados, habilitar las entradas al sistema para los
usuarios.
CASO C: Error de Tarjeta(s) Controladora(s) de Disco
Se debe tomar en cuenta que ningún proceso debe quedar cortado, debiéndose
ejecutar las siguientes acciones:
1.
2.
3.
4.
5.
6.
7.
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
El servidor debe estar apagado, dando un correcto apagado del sistema.
Ubicar la posición de la tarjeta controladora.
Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o
similar.
Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del
servidor, ello evitará que al encender el sistema, los usuarios ingresen.
Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia
el concentrador, habilitar entradas para estaciones en las cuales se realizarán
las pruebas.
Al final de las pruebas, luego de los resultados de una buena lectura de
información, habilitar las entradas al sistema para los usuarios.
CASO D: Caso de Incendio Total
En el momento que se dé aviso por los altavoces de alguna situación de
emergencia general, se deberá seguir al pie de la letra los siguientes pasos, los
mismos que están encausados a salvaguardar la seguridad personal, el equipo y los
archivos de información que tenemos en cintas magnéticas.
52
•
Ante todo, se recomienda conservar la serenidad. Es obvio que en una situación
de este tipo, impera el desorden, sin embargo, es muy recomendable tratar de
conservar la calma, lo que repercutirá en un adecuado control de nuestras
acciones.
•
En ese momento cualquiera que sea(n) el (los) proceso(s) que se esté(n)
ejecutando en el Computador Principal, se deberá enviar un mensaje (si el
tiempo lo permite) de "Salir de Red y Apagar Computador",
seguidamente digitar Down en el (los) servidor(es).
•
Se apagará (poner en OFF) la caja principal de corriente del departamento de
sistemas.
•
Tomando en cuenta que se trata de un incendio de mediana o mayor magnitud,
se debe tratar en lo posible de trasladar el servidor fuera del local, se
abandonará el edificio en forma ordenada, lo más rápido posible, por las salidas
destinadas para ello.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
CASO E: Caso de Inundación
•
Para evitar problemas con inundaciones se ha de instalar tarimas de un
promedio de 20 cm de altura para la ubicación de los servidores. De esta
manera evitaremos inconvenientes como el referido.
•
En lo posible, los tomacorrientes deben ser instalados a un nivel razonable de
altura.
•
Dado el caso de que se obvió una conexión que está al ras del piso, ésta debe
ser modificada su ubicación o en su defecto anular su conexión.
Para prevenir los corto circuitos, asegurarse de que no existan fuentes de
líquidos cerca a las conexiones eléctricas.
•
•
Proveer cubiertas protectoras para cuando el equipo esté apagado.
CASO F: Caso de Fallas de Fluido Eléctrico
Se puede presentar lo siguiente:
1. Si fuera corto circuito, el UPS mantendrá activo los servidores y algunas
estaciones, mientras se repare la avería eléctrica o se enciende el generador.
2. Para el caso de apagón se mantendrá la autonomía de corriente que el UPS nos
brinda (corriente de emergencia(*)), hasta que los usuarios completen sus
operaciones (para que no corten bruscamente el proceso que tienen en el
momento del apagón), hasta que finalmente se realice el By-pass de corriente
con el grupo electrógeno, previo aviso y coordinación.
3. Cuando el fluido eléctrico de la calle se ha restablecido se tomarán los mismos
cuidados para el paso de grupo electrógeno a corriente normal (o UPS).
*
**
***
7.2
Llámese corriente de emergencia a la brindada por grupo electrógeno y/o
UPS.
Llámese corriente normal a la brindada por la compañía eléctrica.
Se contará con transformadores de aislamiento (nivelan la corriente)
asegurando que la corriente que entre y salga sea 220v, evitando que los
equipos sufran corto circuito por elevación de voltaje (protegiendo de
esta manera las tarjetas, pantallas y CPU del computador).
De las Emergencias Lógicas de Datos
CASO A: Error Lógico de Datos
La ocurrencia de errores en los sectores del disco duro del servidor puede deberse
a una de las siguientes causas:
•
Caída del servidor de archivos por falla de software de red.
•
Falla en el suministro de energía eléctrica por mal funcionamiento del UPS.
•
Bajar incorrectamente el servidor de archivos.
•
Fallas causadas usualmente por un error de chequeo de inconsistencia física.
Instituto Nacional de Estadística e Informática
53
Plan de Contingencia de los
Sistemas de Información
En caso de producirse alguna de las situaciones descritas anteriormente; se deben
realizar las siguientes acciones:
PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme,
proceder con el encendido del servidor de archivos, una vez mostrado el prompt de
Dos, cargar el sistema operativo de red.
PASO 2: Deshabilitar el ingreso de usuarios al sistema.
PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz.
De encontrarse este volumen con problemas, se deberá descargarlo también.
PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenido
del(os) disco(s) duro(s) del servidor.
PASO 5: Al término de la operación de reparación se procederá a habilitar entradas
a estaciones para manejo de soporte técnico, se procederá a revisar que las bases
de datos índices estén correctas, para ello se debe empezar a correr los sistemas y
así poder determinar si el usuario puede hacer uso de ellos inmediatamente.
Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se
debe recuperar con utilitarios.
CASO B: Caso de Virus
Dado el caso crítico de que se presente virus en las computadoras se procederá a lo
siguiente:
Para servidor:
•
Se contará con antivirus para el sistema que aíslan el virus que ingresa al
sistema llevándolo a un directorio para su futura investigación
•
El antivirus muestra el nombre del archivo infectado y quién lo usó.
•
Estos archivos (exe, com, ovl, nlm, etc.) serán reemplazados del diskett original
de instalación o del backup.
•
Si los archivos infectados son aislados y aún persiste el mensaje de que existe
virus en el sistema, lo más probable es que una de las estaciones es la que
causó la infección, debiendo retirarla del ingreso al sistema y proceder a su
revisión.
Para computadoras fuera de red:
Se revisará las computadoras que no estén en red con antivirus de disquete.
De suceder que una computadora se haya infectado con uno o varios virus ya sea
en la memoria o a nivel disco duro, se debe proceder a realizar los siguientes
pasos:
1. Utilizar un disquete que contenga sistema operativo igual o mayor en versión al
instalado en el computador infectado. Reiniciar el computador con dicho
disquete.
2. Retirar el disquete con el que arrancó el computador e insertar el disquete
antivirus, luego activar el programa de tal forma que revise todos los archivos y
no sólo los ejecutables. De encontrar virus, dar la opción de eliminar el virus. Si
54
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
es que no puede hacerlo el antivirus, recomendará borrar el archivo, tomar nota
de los archivos que se borren. Si éstos son varios pertenecientes al mismo
programa, reinstalar al término del Scaneado. Finalizado el scaneado,
reconstruir el Master Boot del disco duro
FASE 8 : MONITOREO
La fase de Monitoreo nos dará la seguridad de que podamos reaccionar en el tiempo
preciso y con la acción correcta. Esta fase es primordialmente de mantenimiento. Cada
vez que se da un cambio en la infraestructura, debemos de realizar un mantenimiento
correctivo o de adaptación.
Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevo
riesgo o una nueva solución. En este caso, toda la evaluación del riesgo se cambia, y
comienza un nuevo ciclo completo, a pesar de que este esfuerzo podría ser menos
exigente que el primero.
Esto es importante ya que nos alimentamos de las nuevas posibilidades de soluciones
ante nuevos casos que se puedan presentar.
Podríamos enumerar las actividades principales a realizar:
•
Desarrollo de un mapa de funciones y factores de riesgo.
•
Establecer los procedimientos de mantenimiento para la documentación y la
rendición de informes referentes a los riesgos.
•
Revisión continua de las aplicaciones.
•
Revisión continua del sistema de backup
•
Revisión de los Sistemas de soporte eléctrico del Centro de Procesamiento de Datos.
Instituto Nacional de Estadística e Informática
55
Plan de Contingencia de los
Sistemas de Información
Capítulo III: Visión Práctica para realizar un Plan de
Contingencia de los Sistemas de Información
PASOS PARA DESARROLLAR EL PLAN DE CONTINGENCIA DE LOS
SISTEMAS DE INFORMACIÓN
ETAPA 1
ETAPA 2
ETAPA 3
Análisis y
Selección de
las
Operaciones
críticas
Identificación de
Procesos en
cada Operación
Listar los
recursos
utilizados por
las
Operaciones
ETAPA 4
Especificar los
escenarios
donde
ocurrirán los
problemas
ETAPA 5
Determinar y
detallar las
medidas
preventivas
ETAPA 6
Formación y
Funciones de
los Grupos de
trabajo
ETAPA 7
ETAPA 8
ETAPA 9
Desarrollo de
los planes de
acción
Preparar la lista
de personas y
organizaciones
para
comunicarse
Pruebas y
Monitoreo
56
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
ETAPA I : Análisis y Selección de las Operaciones Críticas
En esta etapa hay que definir cuales serán nuestras operaciones críticas y tienen que ser
definidas en función a los componentes de los sistemas de información los cuales son:
Datos, Aplicaciones, Tecnología Hardware y Software, instalaciones y personal.
Dentro de las cuales podemos identificar las siguientes, las cuales pueden variar de
sistema a sistema :
•
•
•
•
•
•
•
•
•
•
Reportes Impresos de Informes del Sistema.
Consultas a las Bases de Datos vía Internet.
Consultas a las Bases de Datos vía LAN.
Sistema de Backup y Recuperación de Data.
Sistema de ingreso y modificación en la Base de Datos de documentos que llegan y
salen al exterior.
Los Servidores de Bases de Datos y Aplicaciones.
Los Servicios de Red.
Los Medios de Transmisión.
Las Topologías de Red.
Los Métodos de control de acceso.
Se ha listado los procesos críticos de manera genérica y evaluado su grado de
importancia en función a la magnitud del impacto si los procesos pueden detenerse, y
luego clasificados en niveles H (Alta), R (Regular) y L (Bajo)
Se tiene que elaborar una tabla denominada Operaciones Críticas de los SI, que consta
de tres campos:
•
•
•
Operaciones críticas
Objetivo de la Operación
Prioridad de la Operación
CUADRO 1. OPERACIONES CRITICAS DEL SISTEMA DE INFORMACION
Operaciones Críticas
Objetivos de la Operación
Prioridad de la
Operación
! Informes de los estados
Reportes Impresos de
Informes del Sistema
!
!
Consultas a las Bases
de Datos vía Internet
!
!
!
Consultas a las Bases de
Datos vía LAN
!
!
Instituto Nacional de Estadística e Informática
financieros de la
organización.
Informes de plantillas del
personal.
Informes de producción
mensual, anual.
Informes a los clientes.
Información a los
proveedores.
Sistema de ventas vía
Internet.
Inventarios
Revistas, electrónicas.
R
L
R
57
Plan de Contingencia de los
Sistemas de Información
Objetivos de la Operación
Prioridad de la
Operación
Procesos de Backups de la
información.
! Establecimiento de las
frecuencias de
almacenamiento de datos.
H
Operaciones Críticas
!
Sistema de Backup y
Recuperación de Data
Proceso de los programas
que realizan la entrada y
Sistema de Ingreso y
salida de la información.
modificación en la Base de ! Mantenimiento adecuado
Datos de documentos que
de las aplicaciones.
llegan y salen al exterior.
! Equipamiento necesario
para un funcionamiento
optimo del sistema.
!
H = Alta
R = Regular
H
L = Baja
Se ha tomado solo estas operaciones como modelo para detallar el desarrollo del Plan,
pero cabe recordar que debemos de tener muy en cuenta que hay mas operaciones que
son críticas y que debemos tener cuidado al identificarlas ya que esto contribuirá para el
buen desarrollo del Sistema de Información de su organización, es por eso que debemos
de analizar con cuidado para no tener problemas posteriores.
CUADRO 2: PROCESOS ESTRATEGICOS DEL NEGOCIO
OPERACION PRINCIPAL
CONTENIDO DE LA OPERACION
PRIORIDAD DE LA
OPERACION
VENTAS ( A )
! Ventas a los clientes
ORDENES ACEPTADAS ( B )
! Aceptar órdenes de los clientes
! Administración de las ventas a crédito
H
ENVIO Y REPARTO
! Administración del inventario
! Envío de productos
! Reparto de las ventas a crédito
H
COMPRA ( D )
! Dando órdenes a los fabricantes
! Administración de la compra a crédito
H
PRODUCCIÓN ( E )
! Fabricación
H
ESTADÍSTICAS ( F )
! Estadísticas mensuales
! Estadísticas anuales
R
ELABORACION DE INFORMES
DE LA ADMINISTRACIÓN (G)
! Elaboración de reportes totales de Administración
H = Alta
58
(C)
R = Regular
R
L
L = Baja
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
•
Para cada una de las operaciones principales, enumerar sus procesos.
•
Investigar qué recursos de la empresa (equipamiento, herramientas, sistemas, etc.)
son usados, descríbalos y enumérelos.
CUADRO 3 : ANALISIS SOBRE UN PROCESO DEL NEGOCIO
Nombre de la operación : Aceptación de órdenes
NÚMERO DE
PROCEDIMIENTOS
B–1
B–2
B–3
B–4
B–5
B–6
PROCESOS DE
NEGOCIOS
Recepción de
órdenes de pedido
Confirmar la
cantidad total
límite de órdenes
recibidas
Confirmar si se
cuenta con el
Stock para
atender los
pedidos
Registrar las
órdenes
Enviar las
confirmaciones de
órdenes
(faxearlas
automáticamente)
Indicar el envío o
remitirlas
a sus respectivos
centros
RECURSOS USADOS
NUMERO DE
SERIE DEL
RECURSO
ORDENES ó
NOTAS
Teléfonos fijos
S1
Clientes E y F
PC´s
S2
Clientes G
Líneas dedicadas
S3
Clientes H
Sistema de aceptación de
la orden (Software)
S4
Sistema de aceptación de
la orden
S4
Sistema de aceptación de
la orden
S4
Sistema de aceptación de
la orden
S4
Faxes
S2
Sistema de aceptación de
la orden
S4
Líneas dedicadas
S3
De nosotros para
los clientes
De los Grupos
de Trabajo a los
centros de
reparto
•
Se utiliza las nomenclaturas para identificar los procedimientos y a que proceso
pertenece.
•
Enumerar Recursos Utilizados para los Procesos
•
Describir ubicaciones de proveedores de servicios por los procesos de cada
operación.
Investigue y describa a los proveedores de servicios.
•
Instituto Nacional de Estadística e Informática
59
Plan de Contingencia de los
Sistemas de Información
CUADRO 4: LISTA DE RECURSOS UTILIZADOS
N° Serie del
Recurso
Ubicación
Proveedor del Servicio
Recursos de operaciones
utilizados por
Externo
Proveedor A
B-1
Interno
Soporte técnico
B-1
Externo
Proveedor A
B-1, B-5, K-1
S2-2
Software de
Administración de
compras
Interno
Soporte técnico
B-1, K-1
S3
Líneas dedicadas
Externo
Teléfono A (Red)
B-1, B-6, K-1
Interno
Desarrollo interno
(aplicación)
B-2, B-3, B-4, B-5, B-6, S-10, N1, N-6, N-7, N-11
Interno
Electrónica B (Hardware y
otros)
B-2, B-3, B-4, B-5, B-6, S-1, S6, S-10, N-1, N-2, N-3, N-7, N11
Recurso
S1-1
Pc’s
S1-2
S2-1
S4-1
Sistema de
aceptación de
orden (Software
Base)
S4-2
S5
Almacén
automatizado
Interno
Maquinaria Q
N-2, N-3
S6
Maquinaria de
embolsado
Interno
Maquinaria de precisión R
N-4
S7
Elevadores del
almacén
Interno
Industria pesada S
S-9, K-5
S8
Camiones internos
Interno
Motores T
S-7, N-9
S9
Servicio de reparto
a domicilio
Externo
Transporte L
N-9
S10
Servidores
Interno
Electrónica B
B-1, B-2, B-3 B-4,N-1
S11
Software Clientes
Interno
Desarrollo Interno
B1- , N-9 , B-2 , B-3
•
Estudio Puntual de Fallas
•
Considerando el contenido de cada operación, determinar cuanto tiempo una
interrupción puede ser tolerada.
Describir con que frecuencia se utiliza un recurso y que tiempo una parada o
interrupción bloquea la operación.
•
CUADRO 5: LISTA DEL PERIODOS ACEPTABLES DE INTERRUPCION
N° Serie del
Recurso
Recurso
S1-1
PC´s (Red)
Recursos de
operaciones
utilizados por
B-1
S1-2
PC´s (Red)
S2-1
S2-2
60
Software (Red)
Software de
administración de
Compras
Frecuencia de uso
Período aceptable de
Interrupción
Cada día
Medio día
B-1
Cada día
Medio día
B-1
Cada día
Medio día
K-1
Cada día
Medio día
B-1
Cada día
Medio día
B-5
Cada día
Medio día
K-1
Cada día
Medio día
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
N° Serie del
Recurso
S3
Recurso
Recursos de
operaciones
utilizados por
Frecuencia de uso
Período aceptable de
Interrupción
B-1
Cada día
Medio día
Líneas dedicadas
B-6
Cada noche
Un día
K-1
Cada 3 días
3 días
B-2
Cada día
Medio día
B-3
Cada día
Medio día
S4-1
Sistema de
aceptación de orden
B-4
Cada día
Medio día
S10
Servidores
B-1
Cada día
3 horas
S11
Software Cliente
B1,B3, B5
Cada día
3 horas
•
•
Estudie y describe el estado de fabricación de los productos que constituyen recursos
Las soluciones varían según el período asumido de la parada.
•
Calcular y describir el período que se pasará hasta la recuperación del elemento
afectado, basado en la información confirmada
CUADRO 6 : LISTA DE PROBLEMAS PROBABLES A OCURRIR
Resultados confirmados
Condiciones de preparación de las
medidas preventivas
Posibilidad del
problema
Periodo
necesario para
la
recuperación
Electrónica (Red)
Preparación de las medidas
preventivas
Pequeña
3 Horas
Desarrollo (Red)
Preparación de las medidas
preventivas
Pequeña
3 horas
Electrónica O
(Fax)
Equipos listos para los problemas
de los sistema de información
Pequeña
3 horas
Preparación de las medidas
preventivas
Pequeña
Medio día
Preparación de las medidas
preventivas
Media
2 días
Preparación de las medidas
preventivas
Pequeña
5 días
N° Serie del
Recurso
Recurso
Proveedor del
Servicio
S10
Servidores
S11-1
S11-2
Software
Clientes
Juicio de compañías
S3
Líneas dedicadas
Teléfono A (Red)
S4-1
Sistema de
aceptación de
orden ( Software
Base )
Desarrollo
interno
(aplicación)
Electrónica B
(Hardware)
S5
Almacén
automatizado
Industrial Q
Preparación de las medidas
preventivas
Pequeña
2 días
S7
Elevadores del
almacén
Industria pesada
S
Las partes que pueden tener
problemas son reemplazadas y las
máquinas examinadas
Pequeña
3 días
Transporte L
Preparación de las medidas
preventivas
Grande
2 días
Preparación de las medidas
preventivas
Media
7 días
S4-2
S9
S2
Servicio de
reparto a
domicilio
Sistema de
Administración
de la Compra
Desarrollo
interno
(aplicación)
Instituto Nacional de Estadística e Informática
61
Plan de Contingencia de los
Sistemas de Información
ETAPA 2. Identificación de Procesos en Cada Operación
Para cada una de las operaciones críticas en la Etapa 1, se debe enumerar los procesos
que tienen.
Los responsables de desarrollar los planes de contingencia deben de coordinar en
cooperación con el personal a cargo de las operaciones de los Sistemas Analizados, los
cuales son conocedores de dichos procesos críticos.
Se debe de investigar que recursos administrativos (equipamiento, herramientas,
sistemas, etc.) son usados en cada proceso, se ha descrito y codificado cada recurso,
como: sistema eléctrico, tarjetas, transporte, red de datos, PC's. A su vez también se ha
determinado su novel de riesgo, como críticos y no críticos.
La tabla elaborada contiene cinco campos:
•
•
•
•
•
Código de procedimientos
Procesos
Recursos Utilizados
Código del Recurso
Nivel de Riesgo
CUADRO 7. PROCESOS DEL AREA ANALIZADA (E)
Código del Proceso
Procesos
Plan de Contingencia
Sistema Eléctrico
E- 1
Red de Datos
Proceso
de
los
Servidores
programas
que
realizan la entrada y Sistemas de Gestión
salida
de
la
Impresoras
información
Humanos
PC's
E-2
Mantenimiento
adecuado de
aplicaciones
las
Código del
recurso
Nivel del
Riesgo
R1
Crítico
R2
Crítico
R3
Crítico
R4
Crítico
R5
No Crítico
R6
No Crítico
R7
Crítico
Sistema Eléctrico
R1
Crítico
Red de Datos
R2
Crítico
Servidores
R3
Crítico
PC's
R7
Crítico
Impresoras
R5
No Crítico
Humanos
R6
No Crítico
Teléfono
R8
Crítico
Humanos
R6
No Crítico
PC's
R7
Crítico
Servidores
R3
Crítico
Red de Datos
R2
Crítico
Teléfono
R8
Crítico
Mediante la siguiente tabla de costos, podremos identificar cuales son los procesos que
representan mayor costo y posteriormente utilizar esta información para evaluar la
prioridad de acciones frente a los procedimientos en nuestra tabla de prioridades.
62
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
CUADRO 8. FORMATO DE COSTOS DE CADA PROCESO
CODIGO DE PROCESO
PROCESOS
COSTOS REPRESENTATIVOS
( US $ )
A
Ventas
10,000
B
Aceptación de Ordenes
500
C
Envió y Reparto
2,500
D
Compras
50,000
E
Producción
80,000
F
Estadísticas
5,000
G
Elaboración de Informes de la
Administracion
1,000
Podemos personalizar nuestra tabla de costos según nuestro caso y detallarla según lo
mas realistamente posible, ya que de esto dependerá el darle la prioridad necesaria a
cierto tipo de procesos los cuales quizás no puedan ser identificadas a simple inspección.
ETAPA 3. Listar los Recursos Utilizados por las Operaciones
En esta etapa se identifica a los proveedores de los servicios y recursos usados,
considerados críticos, para los procesos de cada operación en la Etapa 2.
•
Se tiene que identificar los recursos asociados al Sistema de Información, basados en
los códigos del recurso descritos en la etapa 2.
•
Se investiga y describe, si los recursos están dentro del Sistema de Información o
fuera de este, (como compra a otros proveedores de servicios externos o productos).
•
Se investiga y describe a los proveedores de servicios y recursos.
•
La importancia de un mismo recurso difiere de operación en operación. Para esto se
señala a que operaciones esta relacionado el mismo recurso, esto es necesario para
determinar las medidas preventivas para posibles problemas del Sistema de
Información.
El cuadro 9 contiene los siguientes campos:
•
•
•
•
•
Código del Recurso
Recurso
Ubicación
Proveedor del Servicio
Recurso de Operaciones utilizados por
Instituto Nacional de Estadística e Informática
63
Plan de Contingencia de los
Sistemas de Información
CUADRO 9. LISTA DE RECURSOS CRITICOS UTILIZADOS E
Código del
Recurso
Recursos
Ubicación
Proveedor del
Servicio
Recursos Utilizados Por
S1
PC´s (Red)
Interno
Area de Soporte
E1,E2.E3
S2
Software de
Administración de
compras
Interno
Area de Soporte
E1,E2,E3
S10
Servidores
Interno
Area de Soporte
E1,E2,E3
S4
Software de Gestión
de órdenes (Software
de los diferentes
módulos que tiene la
organización)
Interno
Area de Desarrollo
de Software
E1
S1-2
PC's
Interno
Area de Soporte
E1,E2,E3
S11
Software Cliente
Externo
Proveedor
E2,E3
Interno
Soporte Técnico
E2,E3
ETAPA 4. Especificación de Escenarios en los Cuales Pueden Ocurrir los Problemas
•
En consideración de la condición de preparar medidas preventivas para cada recurso,
se ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana,
pequeña).
•
Se calculará y describirá el período que se pasará hasta la recuperación en caso de
problemas, basados en información confirmada relacionada con los Sistemas de
Información.
Mediante el siguiente cuadro podemos elaborar la Probabilidad de fallas de cada uno de
los recursos identificados
CUADRO 10. TABLA DE PROBABILIDAD DE FALLAS DE RECURSOS
Recursos
S1
S2
S3
S4
S 10
S 11
Probabiliad de Falla
Alta
Media
Baja
Alta
Media
Baja
Ninguna
X
Alta
Media
Baja
Alta
X
Media
X
Baja
X
X
Alta
Media
Baja
Alta
X
Media
X
Baja
Alta
Media
X
Baja
X
El cuadro 11 presenta los siguientes campos:
•
Código del Recurso
•
Recurso
•
Proveedor del Servicio
64
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Resultados Confirmados
Análisis de Riesgo (probabilidad del problema, período necesario para la
recuperación, frecuencia de uso)
•
•
CUADRO 11. LISTA DE PROBLEMAS PROBABLES A OCURRIR
Resultados Confirmados
Código
del
Recurso
Recurso
Proveedor del
Servicio
(Oficina de Acción)
Consideraciones de
preparación de las
medidas preventivas
Análisis de Riesgo
Probabilidad
del Problema
Período Necesario
para la
Recuperación
Frecue
ncia de
Uso
S1
PC´s
Soporte Técnico
Preparado
Baja
10 minutos
24
horas
S2
Software de
administración
de compras
Area de Soporte
Programada a ser
finalizada en 3 meses
Media/Alta
2 horas
15
horas
S 10
Servidores
Area de Soporte
Programada a ser
finalizada en 3 meses
Media/Alta
2 horas
15
horas
S4
Software de
Sistemas de
Aceptación de
órdenes
Area de Desarrollo
Programada a ser
finalizada en 2 meses
Media/Alta
2 horas
15
horas
Proveedor
Programada a ser
finalizada en 2 meses
Baja
2 horas
8 horas
S 11
Software
Cliente
Soporte Técnico
Programada a ser
finalizada en 2 meses
Baja
2 horas
2 horas
Mediante la siguiente tabla debemos de priorizar los riesgos identificados tomando en
cuenta tanto el impacto del riesgo como la probabilidad de una falla en el área como
sigue:
CUADRO 12. TABLA MATRIZ DE PRIORIDADES DE ATENCION DE RIESGOS
ALTO
Prioridad 2
Impacto
Prioridad 1
Prioridad 1
MEDIO Prioridad 3
Prioridad 2
Prioridad 1
BAJO
Prioridad 3
Prioridad 2
Prioridad 3
BAJA
MEDIA
ALTA
Probabilidad
Instituto Nacional de Estadística e Informática
65
Plan de Contingencia de los
Sistemas de Información
En la siguiente tabla se ha descrito los procedimientos de las medidas preventivas
tomadas en detalle, cuando los problemas ocurren.
Las medidas preventivas se dan si se ha probado, investigado y listado los recursos
necesarios para llevarlos a cabo, tales como el equipo, manual de fallas y
funcionamiento.
La tabla 6 presenta los siguientes campos
Orden
Procesos
Procedimiento
Recursos necesarios (medidas alternativas)
•
•
•
•
CUADRO 13. DETALLES DE MEDIDAS PREVENTIVAS DEL AREA ANALIZADA
ORDEN
1
PROCESOS
RECURSOS NECESARIOS (MEDIDAS
ALTERNATIVAS)
PROCEDIMIENTO
!
Proceso
de
los
programas
que !
realizan la entrada y !
salida
de
la
información
!
Ingreso
y
recepción
de
expedientes
!
(cartas, oficios, informes, etc.)
Envío de los documentos a !
todas las áreas de la institución !
Salida de documentos(cartas,
oficios, informes, etc.)
Puesta en funcionamiento del grupo
electrógeno
Operaciones Manuales
Puesta en marcha de una red LAN
interna.
!
Programación de cronograma
!
de mantenimiento
Elaboración de órdenes de
!
compra y órdenes de servicios
Puesta en funcionamiento del grupo
electrógeno.
Comunicación con teléfonos móviles.
Actividades de soporte técnico !
para casos de fallas
Almacén de control de bienes
!
Programación de
!
requerimientos.
Puesta en funcionamiento del grupo
electrógeno
Comunicación con teléfonos móviles.
Puesta en Marcha de una red LAN
interna.
2
Mantenimiento
adecuado de
aplicaciones
3
!
Equipamiento
necesario para un
!
funcionamiento
!
optimo del sistema
las
!
Como paso OPCIONAL, se pueden mostrar los riesgos en la Matriz de Análisis de Riesgo.
Cada riesgo se coloca en el rectángulo. Esto corresponde a la evaluación del impacto y
probabilidad de falla del área del riesgo
I
M
P
A
C
T
O
ALTA
Software de Gestión
de compras
MEDIA
BAJA
PC´s
BAJA
MEDIA
ALTA
Probabilidad
66
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
ETAPA 5 Determinar y Detallar las Medidas Preventivas
Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el
uso y mantenimiento de los Sistemas de Información, cuando los problemas ocurran,
considerando el entorno de problemas que suceden y el período de interrupción
aceptable que se estima en la etapa 4.
Si hay mas de un conjunto de medidas preventivas para un recurso, se ha determinado
cual se empleara, para tomar en consideración sus costos y efectos.
Los campos principales considerados en la tabla 5 son los siguientes:
•
Código del Recurso
•
Recurso
•
Problema Asumido (Análisis de Riesgo)
•
Medidas preventivas / alternativas
CUADRO 14. LISTA DE MEDIDAS PREVENTIVAS
Problema Asumido
(análisis de Riesgo)
Código del
Recurso
Recurso
S1
Posibilidad de
ocurrencia del
problema
Período de parada
aceptable
Ejecutada
Si o No
Contenido
PC´s
Baja
Medio día
NO
Transacciones
Manuales
S2
Software de
administración de
compras
Media/Alta
Medio día
SI
Transacciones
Manuales
S3
Servidores
Media/Alta
Medio día
SI
Red Local
S4
Sistemas de Gestión
Media/Alta
2 horas
SI
Transacciones
Manuales
S11
Software cliente
Baja
4 horas
NO
Transacciones
Manuales
ALTO
I
m
p
a
c
t
o
Medidas preventivas/alternativas
Sistema Eléctrico
MED.
BAJO
BAJA
Instituto Nacional de Estadística e Informática
MED.
ALTA
67
Plan de Contingencia de los
Sistemas de Información
ETAPA 6. Formación y Funciones de los Grupos de Trabajo
Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde
las acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de
administración.
Los Grupos de Trabajo permanecerán en operación cuando los problemas ocurran, para
tratar de solucionarlos.
Se elaborará un Organigrama de la estructura funcional de los Grupos de Trabajo.
CUADRO 15. FUNCIONES DE LOS GRUPOS DE TRABAJO DEL SISTEMA
ADMINISTRATIVO DE LOS SISTEMAS DE INFORMACION
Dirección
Área de
Administración
Área de Desarrollo de
Software
Dirección Técnica de
Soporte
Nombre
Cargo
Funciones
Director Técnico
Dirección de Administración
Especialista
Encargado
de
la
oficina
abastecimientos y servicios auxiliares
Especialista
Encargado de la oficina ejecutiva de
personal
Director Técnico
Dirección
software
Especialista
Responsable
del
respaldo
de
la
información Bases de Datos y Aplicaciones
Especialista
Responsable
de
configuración
instalación
de
los
programas
aplicaciones
Director Técnico
Dirección técnica de soporte técnico
Técnico
Responsable de las Pcs y Servidores
Técnico
Responsable del Software Base
Especialista
Responsable de Correo Electrónico
Técnico
Soporte Técnico a usuarios
técnica
de
desarrollo
de
de
e
o
ETAPA 7. Desarrollo de los Planes de Acción
Se estableció los días en los cuales los problemas son mas probables a ocurrir,
incluyendo los sistemas de la institución, clientes, proveedores e infraestructura de la
organización. Se señala los días anunciados, cuando los problemas pueden ocurrir y
otros temas.
El siguiente es un cuadro modelo donde debemos señalar exactamente las ocurrencias
de fallas y las acciones respectivas aplicadas para cada uno de nuestras realidades.
68
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
CUADRO 16. LISTA DE ACCIONES ANTE FALLAS DE RECURSOS
Código
del
Recurso
S1
S2
S3
S 10
S 11
Como Confirmar
Operador
Programa
para la
acción
Localización
para la acción
Ocurrencia
del Problema
En la
mañana
del día
Todas las
oficinas de la
institución
Falla de los
PC´s
Recurso
Acción
Pc´s
Confirmar la
ocurrencia de los
problemas
El área de
administración
comunicara al
Área de
responsable sobre Administración
la ocurrencia del
problema
Software de
administración
de compras
Confirmar la
ocurrencia de los
problemas
El administrador
de la Red
supervisará la red
e informara
cualquier
problema
Dirección
Técnica de
Soporte
Técnico
Caída de la
En todo el
Oficinas
red en ciertas
día
administrativas
áreas
Servidores de
Gestión
Confirmar la
ocurrencia de los
problemas
El administrador
de la red
supervisará e
informará
cualquier
problema
Dirección
Técnica de
Soporte
técnico
Caída de la
En todo el
Oficinas
red en el área
día
administrativas
de gestión
Sistemas de
Gestión
Confirmar la
ocurrencia de los
problemas
El administrador
de los servidores
supervisará e
informará
cualquier
problema
Dirección
Técnica de
Soporte
En todo el
Oficinas
día
administrativas
Software cliente
Confirmar la
ocurrencia de los
problemas
Cobertura de los
medios
Área de
Soporte
Técnico
En el día
Lugar de la
persona a
cargo
Paralización o
fallas en los
programas o
aplicaciones
Caída del
sistema en el
área de
interés.
ETAPA 8. Preparación de la Lista de Personas y Organizaciones para Comunicarse en
Caso de Emergencia
Se creará un directorio telefónico del personal considerado esencial para la organización
en esas fechas críticas, incluyendo el personal encargado de realizar medidas preventivas
y los responsables para las acciones de la recuperación y preparación de medios
alternativos.
A su vez también se creará un listado telefónico de todos los proveedores de servicio del
recurso.
Este directorio se usa para realizar comunicaciones rápidas con los proveedores de
servicio del recurso, incluso con los fabricantes, vendedores o abastecedores de servicio
contraídos, si ocurren los problemas, para hacer que investiguen y que identifiquen las
causas de los problemas y que comiencen la recuperación de los sistemas
Instituto Nacional de Estadística e Informática
69
Plan de Contingencia de los
Sistemas de Información
CUADRO 17. FORMATO DE LISTA TELEFONICA DEL PERSONAL ESENCIAL EN CASO
DE PROBLEMAS RELACIONADOS CON EL SISTEMA ADMINISTRATIVO
Función
Empleado
Dirección
Cargo
Primer Número de
contacto
Segundo
Número de
contacto
Tiempo
CUADRO 18. FORMATO DE LISTA TELEFONICA DE LOS PROVEEDORES DE SERVICIOS
Código del
Recurso
Proveedor del
Servicio
Recurso
Dpto. a
Cargo
Sección o Persona a
Cargo
Número
Telefónico
TABLA DE ANALISIS DE RIESGOS
Como Resultado final deberemos elaborar un cuadro donde se muestre los principales
componentes de el plan de contingencias . En la cual podremos anotar los riesgos en el
siguiente Formato tabla de Análisis de Riesgo, la prioridad que tendrá la accione de
determinada área afectada en función al impacto tanto funcional como de costos, así
como también anotaremos su correspondiente estrategia de contingencia.
CUADRO 19. FORMATO TABLA DE ANALISIS DE RIESGOS
Area Afectada
Riesgos
identificados
Todas las
Oficinas
Perdida del
software
cliente
Todas las
Oficinas
Falla
del
software de
administració
n de compras
Todas las
Oficinas
Falla de los
servicios de
red
(servidores)
Todas las
oficinas
Falla de las
PC´s
70
Impacto
Area
Relacionada
Probabilidad
de falla
Area de
Acción
Prioridad
Estrategia de
Contingencia
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Etapa 9 . Pruebas y Monitoreo
En esta etapa hay que desarrollar la estrategia seleccionada, implantándose con todas las
acciones previstas, sus procedimientos y generando una documentación del plan.
Hay que tener en claro como pasamos de una situación normal a una alternativa, y de
que forma retornamos a la situación normal. Hay situaciones en que debemos de
contemplar la reconstrucción de un proceso determinado, ejemplo: por alguna
circunstancia dada se determino que la facturación se realice en forma manual,
restablecido el servicio que nos llevo a esta contingencia debemos tener el plan como
recuperar estos datos para completar la información que día a día utilizan las demás
áreas.
Antes de realizar las pruebas, los planes deberían ser revisados y juzgados
independientemente en lo que respecta a su eficacia y razonabilidad.
Las pruebas recomendadas para los planes de recuperación de desastres incluyen una
prueba periódica preliminar y un ensayo general, en el que se crea un simulacro de una
crisis con el fin de observar la eficacia del plan. Las actividades importantes a realizar
son:
•
La validación de las estrategias de continuidad de los negocios de una unidad de
negocios.
•
La validación en implementación de un plan (con las operaciones de la empresa y los
representantes de dichas operaciones)
Realización de pruebas en cada unidad para ver la eficacia de la solución.
•
•
La preparación y ejecución de pruebas integradas para verificar la eficacia de la
solución.
La preparación y ejecución de pruebas casos/eventos, probar las respuestas en caso de
situaciones de crisis, en base a un caso en el que los eventos ocurren al azar y se
intensifican en forma gradual.
Instituto Nacional de Estadística e Informática
71
Plan de Contingencia de los
Sistemas de Información
Capitulo IV: Prueba de Plan de Contingencia
4.1
Introducción
Todos los planes de contingencia deben ser probados para demostrar su habilidad
de mantener la continuidad de los procesos críticos de la empresa. Las pruebas se
efectúan simultáneamente a través de múltiples departamentos, incluyendo
entidades comerciales externas.
Realizando pruebas se descubrirán elementos operacionales que requieren ajustes
para asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes
perfeccionen los planes preestablecidos.
4.2
4.3
Objetivos
•
El objetivo principal, es determinar si los planes de contingencia individuales
son capaces de proporcionar el nivel deseado de apoyo a la sección o a los
procesos críticos de la empresa, probando la efectividad de los
procedimientos expuestos en el plan de contingencias.
•
Las pruebas permiten efectuar una valoración detallada de los costos de
operación en el momento de ocurrencia de una contingencia.
Procedimientos Recomendados para las Pruebas del Plan de Contingencias,
Niveles de Prueba
Se recomiendan tres niveles de prueba:
•
Pruebas en pequeñas unidades funcionales o divisiones.
•
Pruebas en unidades departamentales
•
Pruebas interdepartamentales o con otras instituciones externas.
La premisa es comenzar la prueba en las unidades funcionales más pequeñas,
extendiendo el alcance a las unidades departamentales más grandes, para
finalmente realizar las pruebas entre unidades interdepartamentales o con otras
instituciones externas.
4.4
Métodos para Realizar Pruebas de Planes de Contingencia
a)
Prueba Específica
Consiste en probar una sola actividad, entrenando al personal en una función
especifica, basándose en los procedimientos estándar definidos en el Plan de
Contingencias. De esta manera el personal tendrá una tarea bien definida y
desarrollará la habilidad para cumplirla.
72
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
b)
Prueba de Escritorio
Implica el desarrollo de un plan de pruebas a través de un conjunto de
preguntas típicas (ejercicios).
Características:
•
La discusión se basa en un formato preestablecido.
•
Esta dirigido al equipo de recuperación de contingencias.
•
Permite probar las habilidades gerenciales del personal que tiene una
mayor responsabilidad
Los ejercicios de escritorio, son ejecutados por el encargado de la prueba y el
personal responsable de poner el plan de contingencias en ejecución, en una
situación hipotética de contingencia. Un conjunto de preguntas se pedirán que
resuelva el personal. El encargado y el personal utilizarán el plan de
contingencias para resolver las respuestas a cada situación. El encargado
contestará a las preguntas que se relacionan con la disponibilidad del personal
entrenado, suficiencia de los recursos, suficiencia de máquinas, y si los
requerimientos necesarios están a la mano. Los ajustes serán hechos al plan o
al ambiente determinado durante esta fase si cualquier parte del plan no
cumple con los objetivos propuestos.
c)
Simulación en Tiempo Real
Las pruebas de simulación real, en un departamento, una división, o una
unidad funcional de la empresa esta dirigido una situación de contingencia por
un período de tiempo definido.
4.5
•
•
Las pruebas se hacen en tiempo real
Es usado para probar partes específicas del plan
•
Permite probar las habilidades coordinativas y de trabajo en equipo de los
grupos asignados para afrontar contingencias.
Preparaciones Pre Prueba
•
Repasar los planes de contingencia seleccionados para probar.
•
Verificar si se han asignado las respectivas responsabilidades.
•
Verificar que el plan este aprobado por la alta dirección de la institución.
•
Entrenar a todo el personal involucrado, incluyendo orientación completa de
los objetivos del plan, roles, responsabilidades y la apreciación global del
proceso.
Establecer la fecha y la hora para la ejecución de la prueba.
•
•
Desarrollar un documento que indique los objetivos, alcances y metas de la
prueba y distribuirlo antes de su ejecución.
•
Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal
esencial en los días de ejecución de dichas pruebas.
Instituto Nacional de Estadística e Informática
73
Plan de Contingencia de los
Sistemas de Información
4.6
•
No hacer «over test»—la meta es aprender y descubrir las vulnerabilidades, no
generar fracaso y frustración.
•
La prueba inicial se enfoca principalmente en entrenar al equipo que ejecutará
con éxito el plan de contingencias, solucionando el problema y reestableciendo
a la normalidad las actividades realizadas.
•
Enfocar los procesos comerciales críticos que dependen de sistemas
específicos o compañías externas donde se asume que hay problemas.
•
Definir el ambiente donde se realizaran las reuniones del equipo de
recuperación de contingencias.
•
Distribuir una copia de la parte del Plan de Contingencias a ser ejecutado.
Comprobación de Plan de Contingencias
La prueba final debe ser una prueba integrada que involucre secciones múltiples e
instituciones externas. La capacidad funcional del plan de contingencia radica en el
hecho, de que tan cerca se encuentren los resultados de la prueba con las metas
planteadas. El siguiente diagrama de bloques representa los pasos necesarios, para
la ejecución de las pruebas del plan de contingencias. La figura adjunta muestra los
pasos necesarios para hacer la comprobación del Plan de Contingencias.
4.7
Mantenimiento de Plan de Contingencias y Revisiones
Las limitaciones y problemas observados durante las pruebas deben analizarse
planteando alternativas y soluciones, las cuales serán actualizadas en el Plan de
Contingencias.
74
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
PROCESO DE PRUEBAS DEL PLAN DE CONTINGENCIAS
Inicio
¿El Plan de
pruebas es
correcto?
Identificar al Personal
que hará la prueba
Si
Preparar el plan de pruebas
Plan Aprobado
No
Observar el comportamiento
del Plan
Analizar los resultados de las
pruebas. Hacer reportes
¿El Plan está
OK?
Si
Enviar al comité técnico
responsable el reporte de
pruebas
No
Revisar el Plan
¿Existen más
niveles para
probar?
No
Sí
¿Reexaminar?
No
Sí
Enviar la copia a la oficina
responsable
Sí
Continuar
probando otros
planes
¿ Más planes
probar?de Operación del Plan
Ejemplo.aHoja
No
Iniciar el
siguiente nivel
de pruebas
Iniciar el plan
de
mantenimiento
Instituto Nacional de Estadística e Informática
75
Plan de Contingencia de los
Sistemas de Información
Este formato se propone para describir el escenario real donde se hará la prueba.
Documentará el día de la semana y la hora (si es necesario) de ocurrencia del
acontecimiento. La “Descripción del Evento/Mensaje” define los eventos del
incidente presentados en el departamento, los cuales se deben solucionar. Las
soluciones deben ser coincidentes con los planes de contingencia previamente
aprobados. El ‘ítem #‘ debe ser utilizado por los observadores y los evaluadores
para realizar identificaciones, dar respuestas a los acontecimientos y a los mensajes
específicos mientras estos ocurren.
Fecha / Tiempo
24/02/01
10.45 a.m.
Significado
del Día
Item #
Día Feriado
101
Día Normal
102
Descripción del
Evento/Mensaje
Se perdieron los accesos
a las bases de datos, los
documentos se
corrompieron; algunos
discos duros se borraron
totalmente.
Problemas en las ventas
Las facturas no
pueden ser generadas.
Etc.
4.8
Entorno de las Pruebas del Plan de Contingencias
La siguiente estructura de entorno se sugiere para la documentación del plan de
pruebas:
1.
2.
3.
4.
5.
6.
8.
10.
76
Pruebas de objetivos y alcances.
Pruebas metodológicas.
Precisar equipos y recursos.
Demanda de personal capacitado.
Detallar itinerarios y localizaciones.
Control del Proceso.
Objetivos trazados a partir del control.
Control de la evaluación y observaciones.
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
1.-
Pru ebas de alcance s y
objet iv os
El est ado qu e se pie nsa log rar t r as la
r ealiza ción d e las pru eb as.
2.-
Pr uebas m et odoló gic as
3.-
Prec isar equip os y re cur sos
Pro porc iona una descrip c ió n d el t ipo
d e pru eba q ue se realizará.
Id en t if ica y e st ab lec e lo necesar io.
4.-
D em and a de perso n al
c apacit a do
D et allar itin er ario s y
loca lizacio n es
5.-
6.-
Co nt r ol de l pro ceso
7.-
C ont rol de la ac ción d el
tiem po
8.-
Objet iv os t razad os a p art ir
del co n tr ol
Co nt r ol de perso n al
9.-
1 0 . - Pr uebas de ev alu ac ió n y
ob serv acio n es
Enu m era y desc rib e e l perso nal y las
nece sid ad es de c ap ac itació n.
D esarr olla las t areas, lím it es, y las
respon sabilidad es qu e m u est ran el
plan p ara la ejec u ció n d e la p rueb a.
Describ e la dispo sic ión; desar rollo d el
esc en ario de e nsay o , y
p roc e dim ient os
De t alla la sec uenc ia de ev ent os pa ra
la p ru eb a.
Def ine las m edid as d e éx it o par a la
p rueb a.
D ef ine los pr oc edim ient os pa ra
t erm inar, suspen der , y reiniciar la
pr ueba. .
De t alla lo s result ad o s de la ev aluac ión
y de la obser v ac ión, ad em ás p lan es
de ac ción alt er nado s para rec t if ic ar
f allas.
RESUMEN DE LA PRUEBA DEL REPORTE DE ESCRITORIO (DESKTOP/TABLETOP
EXERCISE)
Obligación de Mitigar los Daños
Es importante recordar que si los sistemas de Información de una compañía fallan y
esto da como resultado pérdidas o daños, entonces la compañía tiene una
obligación de evitar la acumulación innecesaria de daños adoptando las medidas
necesarias para mitigar dichos daños. De igual manera, si ocurren pérdidas a raíz
de las acciones de terceros, es posible que la compañía no recupere los daños que
a sabiendas permitió que aumentaran. En otras palabras, las compañías no deben
confiar en el hecho de que inicialmente no fue su culpa y simplemente suponer que
la parte culpable se responsabilizará de todas las pérdidas y daños resultantes. La
compañía debe adoptar algún tipo de acción para minimizar el impacto sobre sus
negocios, y los daños a la propiedad, resultantes de una falla del sistema de
información.
En la práctica, un plan de contingencia puede y debe ser visto como una
herramienta para cumplir con esta obligación legal: el plan resumirá los pasos que
la compañía dará para mitigar sus daños en caso de que ocurra una falla. Por
supuesto que la falta de un plan no eliminará la obligación de mitigar, y el hecho de
que no haya un plan podría ser empleado en contra de la compañía en un litigio
Instituto Nacional de Estadística e Informática
77
Plan de Contingencia de los
Sistemas de Información
subsecuente como evidencia de que no adoptó las medidas suficientes para
minimizar el daño incurrido. Los peritos podrían atestiguar que el plan de
contingencia para el sistema de información era necesario, y que la ausencia de un
plan era irrazonable y que el acusado no debería sufrir las consecuencias.
Para complicar aún más las cosas, un plan de contingencia debería tomar en cuenta
también cualquier otro sistema para la determinación de prioridades que pudiera
haber sido utilizado por una compañía, u otros procesos utilizados para enfocar los
sistemas que tienen una importancia crítica para la misión. El “sistema para
determinar prioridades” se refiere a la práctica utilizada durante la guerra de separar
a los soldados heridos en categorías, poniendo a un lado a los que probablemente
sobrevivirían aún sin atención médica, aquellos que probablemente morirían sin
importar lo que se hiciera por ellos, y aquellos para los cuales la atención médica
era de importancia crítica; la atención médica se centraba en las personas que se
encontraban en esta última categoría.
Suponga que la Compañía X, presionada por el tiempo, ha decidido arreglar ciertos
sistemas considerados críticos para su misión, e ignorar otros. Probablemente la
compañía X necesitará un plan de contingencia para resolver cualquier problema y
que se salven los sistemas considerados críticos para su misión — si los sistemas
son tan críticos se necesitan todas las precauciones debidas— ¿pero que ocurre
con los sistemas que han sido ignorados? Los sistemas ignorados podrían
ocasionar daños y en efecto podrían convertirse en el foco — y tal vez el único foco
—de cualquier proceso legal subsecuente. ¿La Compañía X tiene una explicación
suficientemente adecuada para ser presentada ante un jurado, para respaldar su
decisión de escoger los sistemas que consideraba críticos para su misión?
Por el contrario, para aquellos sistemas que no se consideraban críticos para su
misión, ¿la compañía implementó por lo menos un plan para minimizar el impacto
de cualquier falla en dichos sistemas? De no ser así, la Compañía X se encontrará
en una situación poco envidiable de tratar de explicar potencialmente ante una
corte por qué no debería ser responsable por la falla de un sistema de computación
que explícitamente decidió no reparar y que sabía que probablemente no
funcionaría ante un problema, y simultáneamente no adoptó ninguna acción (a
través de un plan de contingencia) para minimizar el impacto de las fallas de los
sistemas sobre terceros. Sabíamos que era probable que ocurran problemas, pero
no hicimos nada.
Dos lecciones claves surgen. Primero, es importante evaluar los impactos
económicos de los sistemas de computación, y utilizar el plan de contingencia
como un vehículo para mitigar las pérdidas económicas tanto para el negocio como
por razones legales. Segundo, el plan de contingencia debería enfocar no
solamente los sistemas considerados críticos para la misión. Debería enfocar todos
los sistemas, y hasta cierto grado el plan de contingencia puede ser aún más
importante desde el punto de vista legal para las aplicaciones no críticas que se
espera que fallen.
78
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
Meta : Documentación de un Plan
Por supuesto que un plan de contingencia tiene un valor limitado desde el punto de
vista comercial o legal, si no fue redactado por escrito y si no se mantiene
adecuadamente en lugares de fácil acceso para el personal clave. Generalmente,
para propósitos legales — para evitar y defender cualquier alegato de negligencia o
falta de cuidado debido — es de importancia crítica que los planes de contingencia
sean revisados apropiadamente para que se adecuen al sistema de información,
con los jefes de equipo y los funcionarios y/o los miembros de las juntas directivas
y además que dichas acciones sean tomadas con una anticipación suficiente ante
cualquier problema, con el fin de permitir el tiempo suficiente para los comentarios,
reacciones e implementación de las mismas, ya que un plan de contingencia
requiere de negociación y seguimiento. Además, si se decide que no se necesita
ningún plan de contingencia, esa decisión debería estar adecuadamente
documentada y explicada a la luz de la atención que se está dando actualmente a
los planes de contingencia. En última instancia, la compañía querrá evitar cualquier
responsabilidad individual de sus directores y funcionarios bajo el reglamento del
“juicio de la empresa”, aseverando que todas sus decisiones en cuanto a la forma
de manejar las contingencias del Sistema de Información fueron debidamente
consideradas, y/o que se basó en las opiniones de los expertos en los que la
compañía razonablemente confió para formular un plan de contingencia.
Después de la documentación del Plan de Contingencia y su aprobación por el
comité técnico a cargo de dicho plan, las copias se distribuyen a todas las áreas de
la organización.
Instituto Nacional de Estadística e Informática
79
Plan de Contingencia de los
Sistemas de Información
Anexos
CRITERIOS SOBRE SISTEMAS DE INFORMACION EN INTERNET
La seguridad es uno de los aspectos más conflictivos del uso de las tecnologías de
la información. Es suficiente comprobar cómo la falta de una política de seguridad global
está frenando el desarrollo de Internet en áreas tan interesantes y prometedoras, como el
comercio electrónico o la interacción con las administraciones públicas.
Los recientes avances en las telecomunicaciones y en la computación en red han
proporcionado la aparición de canales rápidos para la propagación de datos a través de
sistemas digitales. Las redes abiertas están siendo utilizadas cada vez más como una
plataforma para la comunicación en nuestra sociedad, pues permiten rápidos y eficientes
intercambios de información con un bajo coste económico asociado y con una fácil
accesibilidad.
El desarrollo actual y las perspectivas de futuro de las "superautopistas de datos" y
de una infraestructura global de información, es decir, de Internet y de la World Wide
Web (WWW), crean toda una variedad de nuevas posibilidades. Sin embargo, la
realización efectiva de tales posibilidades están influidas por las inseguridades típicas de
las redes abiertas: los mensajes pueden ser interceptados y manipulados, la validez de
los documentos se puede negar, o los datos personales pueden ser recolectados de
forma ilícita. Como resultado, el atractivo y ventajas ofrecidas por la comunicación
electrónica, tanto en el desarrollo de oportunidades comerciales entre organizaciones
privadas como en las interrelaciones entre las organizaciones públicas y los ciudadanos,
no pueden ser explotadas en su totalidad.
ATAQUE
INFORMACION
RECURSOS
SISTEMA
REDES
ATAQUE
ATAQUE
Es por esto tener en cuenta dentro de nuestro plan de contingencia la operatividad
de un firewall para impedir el acceso a usuarios del exterior que no tengan autorización,
ya que esto podría ser perjudicial para el servicio de nuestros servidores de red.
80
Instituto Nacional de Estadística e Informática
Plan de Contingencia de los
Sistemas de Información
CONCLUSION
•
Dependiendo del tamaño de la institución u organización se tendrá que realizar
paralelamente un plan de contingencia por cada módulo del sistema de
Información.
•
Adicionalmente al plan de contingencias se debe desarrollar pruebas para verificar
la efectividad de las acciones en caso de la ocurrencia de los problemas y tener la
seguridad de que se cuenta con un método seguro.
•
No existe un plan único para todas las organizaciones, esto depende mucho de la
capacidad de la infraestructura física como de las funciones que realiza en CPD
(Centro de Procesamiento de Datos) mas conocido como Centro de Cómputo.
BIBLIOGRAFIA
•
Y2K A CONTINGENCY PLANNING GUIDE
META Group Inc.
•
YEAR 2000 COMPUTING CRISIS: BUSINESS CONTINUITY AND CONTINGENCY
PLANNING
United States General Accounting Office
•
CONTINGENCY PLANS FOR THE YEAR 2000 COMPUTER PROBLEM
Seminar on the year 2000 Computer
Masahito Nakamura
Instituto Nacional de Estadística e Informática
81
ANEXO - F
Manual de Usuario
CD Interactivo
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 1
Introducción:
El presente CD Interactivo, le permite aumentar sus conocimientos en la creación
de planes de contingencia, cubriendo los siguientes áreas: Identificación y
evaluación de riesgos como parte de un plan de Seguridad, documentación e
implementación del plan de contingencia en general para cualquier tipo de
empresa. Después de haber leído toda la metodología para la creación de planes
de contingencia, encontrara una auto evaluación para probar los conocimientos
adquiridos, por otra parte tendrá la opción de imprimir toda la documentación
presentada y el cuestionario de la evaluación juntamente con las respuestas para
respaldar sus conocimientos adquiridos en tema de Planes de contingencia.
3.7 Acerca del CD
3.6 Recursos de impresión
3.1 Seguridad
3.2 Plan de Contingencia
3.3 Manual
En cuanto al tema de Seguridad, este producto realiza una validación de las
respuestas proporcionadas en el cuestionario para la evaluación de Seguridad
dentro de su empresa, ya que al finalizar la prueba, el CD le proporcionara una
recomendación acorde a las respuestas obtenidas previamente, las cuales podrán
ser consideradas, para implementarlas dentro de su empresa.
3.4 Tips
3.5 Glosario
3.8 Salir
Este documento proporciona la información principal que necesita para operar el
producto y algunos datos adicionales sobre su funcionamiento.
OBJETIVO GENERAL
Servir al usuario como guía para llevar a cabo cualquier transacción el sistema.
Opciones del HOME
OBJETIVOS ESPECÍFICOS
3.1 Seguridad informática
•
Que le guié al usuario en le desarrollo de sus actividades
3.2 Plan de contingencia
•
Servir como una ayuda para el usuarios
3.3 Manual
3.4 Tips
3.5 Glosario
INSTRUCCIONES DE USO
3.6 Recursos de impresión
1.
Introduzca el CD Interactivo PLACONSI en la unidad de CDROM de su PC o
3.7 Acerca del CD…
laptop.
3.8 Salir
2.
El CD se autoejecutara y presentara una Introducción.
3.
Después de la Introducción, aparecerá la pantalla de HOME de PLACONSI con
las siguientes funciones:
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 2
FUNCIONALIDAD DE PLACONSI
3.1 Seguridad Informática
Presentara una pequeña introducción de seguridad informática.
Opción que lo llevara a
la siguientes preguntas
de evaluación
Click en
Siguiente
3.1.2
Después de haber contestado las seis preguntas, aparecerá una
recomendación basada en las respuestas previas a las preguntas del
cuestionario, como lo vera en la pantalla siguiente.
3.1.2.1 En la parte superior de la pantallas cuenta con el Botón VOLVER por
si desea regresar a la pantalla anterior
3.1.1
Presione el botón siguiente para ver la siguiente pantalla. Seguidamente
Presentara seis preguntas de una en
una para que seleccione una
respuesta SI o NO, como lo vera en la siguiente pantalla,
3.1.2.2 Si desea Ir al HOME del CD en la parte superior de la pantalla se
encuentra un Botón INICIO
3.1.2.3 Si desea salir del CD presione el botón SALIR que se encuentra en la
parte inferior derecha de la pantalla
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 3
Botón Volver lo
lleva al inicio
de la evaluación
Presentará un Home y una pequeña introducción de planes de contingencia con
Botón Inicio lo
lleva al HOME
tres opciones:
3.2.1
Metodología para la creación de Planes de Contingencia
3.2.2
Ejemplo de Planes de Contingencia
3.2.3
Recursos de impresión
3.2.1 Metodología para
Planes de Contingencia
3.2.2 Ejemplo
de Planes de
Contingencia
3.1.3
3.2.3 Recursos de
Impresión
Según la selección de respuestas, Placonsi le mostrara 64 posibles
recomendaciones como la anterior, basado en un factorial de 6.
3.1.4
En la parte superior derecha se presenta el botón INICIO, al presionarlo
lo llevara a la pantalla introducción de Seguridad Informática.
3.1.5
En la parte superior centro de la pantalla vera la palabra PLACONSI, al
presionarla lo llevara a la pantalla Home del CD
3.2.1
•
Metodología para la creación de planes de contingencia
Presentara una introducción sobre la metodología para la creación de
planes de contingencia
3.2 Plan de contingencia
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 4
3. Asignación de prioridades
1. Identificación
de Riesgos
2. Evaluación
de riesgos
a las aplicaciones
4. Establecimiento de los
requerimientos de recuperación
5. Elaboración de
la documentación
7. Distrib. Y
mantenimient
o del plan
6. Verificación e
implementación del
plan
Presione el
botón Continuar
•
•
aparece un texto que le ayudara a conocer mas sobre las etapas de la
contingencia,
creación de planes de contingencia.
presione el botón Continuar para ver la siguiente pantallas
que contiene los siete pasos para la elaboraron de un plan contingencia.
•
•
En la parte superior de la pantallas cuenta con el
•
Botón VOLVER por si
Después de haber leído y entendido las siete etapas para la elaboración de
un plan de contingencia, podrá probar sus conocimientos haciendo clic en
desea regresar a la pantalla anterior
el botón Desea evaluar sus conocimientos, como lo vera en la
Si desea Ir al HOME del CD en la parte superior de la pantalla se encuentra un
pantalla siguiente
Botón INICIO
•
Haga clic en cada una de las siete opciones anteriores y en cada opción
Después de haber leído la introducción sobre la creación de planes de
•
Si desea salir del CD presione el botón SALIR que se encuentra en la parte
inferior derecha de la pantalla
En la parte superior de la pantallas cuenta con el Botón VOLVER por si
desea regresar a la pantalla anterior
•
Si desea Ir al HOME del CD en la parte superior de la pantalla se
encuentra un Botón INICIO
•
Si desea salir del CD presione el botón SALIR que se encuentra en la
parte inferior derecha de la pantalla
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 5
Presione aquí
para realizar la
auto evaluación
•
Click en Siguiente
Seguidamente aparecerá una serie de preguntas relacionadas a los siete
•
etapas estudiadas anteriormente, en cada pregunta tiene varias opciones para
que solo seleccione la respuesta correcta, como lo vera en la pantalla
evaluación.
•
siguiente.
•
En la parte superior de la pantallas cuenta con el
Presione el botón siguiente para continuar con el resto de la auto
Si selecciona alguna de las respuestas equivocadas, no podrá pasar a la
siguiente evaluación, la pantalla de error que le mostrara es la siguiente.
Botón VOLVER por si
desea regresar a la pantalla anterior
•
Si desea Ir al HOME del CD en la parte superior de la pantalla se encuentra un
Botón INICIO
•
Si desea salir del CD presione el botón SALIR que se encuentra en la parte
inferior derecha de la pantalla
•
Deberá contestar las 32 preguntas y al final le mostrara una pantalla de
que a terminado la evaluación, como la siguiente pantalla
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 6
Volver a
Evaluar
Ir al Menú
Opciones del audio para oír el
ejemplo de plan de contingencia
•
En esta opción podrá escuchar mediante grabación todo el detalle como
•
Al seleccionar Volver al evaluar lo llevara al inicio de la evaluación
ejemplo de la creación de un plan de contingencia, el cual se forma por:
•
Al seleccionar Ir al menú, lo llevara al menú principal Home
Plan de seguridad (Identificación de riesgos) y un Plan de recuperación de
•
En la parte superior de la pantallas cuenta con el
desastre
•
Botón VOLVER por si
desea regresar a la pantalla anterior
•
Este ejemplo tiene una duración aproximada de 40 minutos.
Si desea Ir al HOME del CD en la parte superior de la pantalla se encuentra un
•
Si desea adelantas/atrasar o detener/producir la grabación tiene los
Botón INICIO
•
Si desea salir del CD presione el botón SALIR que se encuentra en la parte
controladores de audio justo debajo de la imagen de la laptop.
•
inferior derecha de la pantalla
En el monitor de la izquierda podrá ver imágenes acorde a la grabación,
capturando las ideas principales.
•
Debajo de ese 2do monitor a la izquierda tiene las opciones del Menú
principal por si desea salir de la opción donde se encuentra y navegar a
diferentes opciones de PLACONSI.
3.2.2
Ejemplo de planes de Contingencia
•
Sino posee audio podrá imprimir el contenido del ejemplo de plan de
contingencia en la opción Recursos de Impresión.
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 7
3.3 Manual
En esta opción tiene como finalidad guiar al usuario en los pasos y procedimientos
que debe seguir para optimizar la navegación en el CD Interactivo PLACONSI.
Este manual será de gran utilidad pues está diseñado de manera tal que cualquier
usuario con mucha o poca experiencia en Navegación en CD Interactivos puedan
sacar provecho de su contenido.
3.4 Tips
En esta opción encontrará consejos prácticos que podrá implementar en su red
informática.
•
En el centro aparecerá aun recuadro y en la parte superior observara las
letras del alfabeto para que seleccione la letra inicial de la palabra que
busca.
•
Una segunda forma de búsqueda es digitar la palabra deseada o las
iniciales de ella en la casilla del formulario y luego hace clic en Buscar
•
Seguidamente aparecerá el concepto deseado en el recuadro ubicado de la
parte derecha de la pantalla que lleva por nombre Descripción
•
3.5 Glosario
•
Presenta una pequeña introducción sobre el uso del mismo
•
Clic en INGRESAR
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 8
Como tercera forma de búsqueda aparecerá un listado de
palabras
para que seleccione la que desee.
•
Para ir al HOME nuevamente deberá hacer clic en la palabra PLACONSI
ubicada en la parte superior céntrica de la pantalla.
•
Salir.
o
o
•
Aparecerá un mensaje antes de sacarlo de la sesión “GRACIAS
•
Cuenta con cuatro opciones de documentos a imprimir: Metodología para
POR UTILIZAR PLACONSI” ¿Esta seguro que desea salir? SI NO
el plan de contingencia, Ejemplo de planes de
contingencia, las
Si selecciona SI, inmediatamente lo saca de la sesión de
Evoluciones
genéricas
PLACONSI
contingencias
Si le selecciona NO, se desaparece la pantalla y lo deja seguir navegando
en PLACONSI
•
realizadas
y
las
recomendaciones
sobre
Inmediatamente se abre una pantalla en PDF para cada una de las
opciones antes mencionadas, en la que podrá realizar lo siguiente:
a.
Imprimir dicho documento
b.
Aumentar el fuente de la letra para una mejor
lectura desde la pantalla
3.6 Recursos de Impresión
•
El icono del tintero y la pluma de color morado, identifica la opción de
Recursos de Impresión
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 9
c.
Realizar
búsqueda
documento
por
palabras
en
todo
el
•
Si desea ir al Home, debe hacer clic en INIICO, ubicado en la parte superior
de la pantalla
•
Si desea salir de PLACONSI, en la parte inferior derecha tiene la opción SALIR,
solo debe hacer clic sobre dicha palabra.
3.7 Acerca del CD…
•
Presentara los créditos, agradecimientos y derechos reservados de la
Universidad Francisco Gavidia
•
Para ir al HOME nuevamente deberá hacer clic en la palabra PLACONSI
ubicada en la parte superior céntrica de la pantalla
•
Para ir al HOME nuevamente deberá hacer clic en la palabra PLACONSI
ubicada en la parte superior céntrica de la pantalla
•
Para Salir presione el botón SALIR ubicado en la parte inferior derecha
3.8 SALIR.
Cada vez que presione el botón salir en cualquiera de las pantallas de
PLACONSI aparecerá la siguiente pantalla para confirmar que si desea Salir.
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 10
•
Si desea salir de PLACONSI, presione el botón SALIR.
•
Si desea volver a PLACONSI, presione el botón volver
GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática
Pág. 11
Descargar