Plan De Contingencia

Planificación de la contingencia

El Plan está orientado a establecer, junto con otros trabajos de seguridad, una de cuando sistema de seguridad física y lógica en previsión de desastres. Se define la Seguridad de Datos Informáticos como un conjunto de medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. Se ha considerado que para la empresa, la seguridad es un elemento básico para garantizar su supervivencia y entregar el mejor servicio a sus clientes, y por lo tanto, considera a la Información como uno de los activos más importantes de la Organización, lo cual hace que la protección de esta, sea el fundamento más importante de este Plan de Contingencia .En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperación para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de los procedimientos de seguridad de la Información que cada Departamento de la empresa debe definir.

Actividades asociadas.

 Las actividades consideradas en este documento son:

 Análisis de Riesgos.

 Medidas Preventivas.

 Previsión de Desastres Naturales.

 Plan de Respaldo.

 Plan de Recuperación

Análisis de Riesgos.

Para realizar un análisis de los riesgos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la empresa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anularla ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría como se ha visto a lo largo de las exposiciones de esta materia de Protocolos de Operación y Mantenimiento.

Bienes susceptibles de daño.

Se puede identificar los siguientes bienes afectos a riesgos:

a) Personal.

b) Hardware.

c) Software y utilitarios

d) Datos e información.

e) Documentación.

f) Suministro de energía eléctrica.

g) Suministro de telecomunicaciones.

Daños.

Los posibles daños pueden referirse a:

1. Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.

2. Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, por ejemplo, cambios de claves o códigos de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave ,proceso de información no deseado.

3. Divulgación de información a instancias fuera de la empresa y que afecte su patrimonio estratégico comercial y/o Institucional, sea mediante robo o infidencia.

Prioridades

La estimación de los daños en los bienes y su impacto, fija una prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición delos Servicios que se pierden en la contingencia.

Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre.

Fuentes de daños

Las posibles fuentes de daño que pueden causar una operación anormal de la empresa, asociadas al Departamento o Área de Sistemas Informáticos de la misma son:

Acceso no autorizado.

Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las instalaciones).

Violación de las claves de acceso a los sistemas informáticos.

Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas informáticos en uso (virus, sabotaje, hackers).

Intromisión no autorizada a procesos y/o datos de los sistemas, ya sea por simple curiosidad o malas intenciones.

Desastres naturales.

a) Movimientos sísmicos que afecten directa o indirectamente a las instalaciones físicas de soporte (edificios) y/o de operación (equipos de cómputo).

b) Inundaciones causadas por falla en los sistemas de drenaje.

c) Fallas en los equipos de soporte:

1. Por fallas causadas por la agresividad del ambiente.

2. Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por parte de la empresa.

3. Por fallas de los equipos de acondicionamiento atmosféricos necesarios para una adecuada operación de los equipos computacionales más sensibles.

4. Por fallas de la comunicación.

5. Por fallas en el tendido de la red local.

6. Fallas en las telecomunicaciones con la fuerza de venta.

7. Fallas en las telecomunicaciones con instalaciones externas.

8. Por fallas de la Central Telefónica (Telmex).

9. Por fallas de líneas de fax o de Internet.

Vandalismo.

Un intento de vandalismo ya sea menor o mayor, podría afectar a las PC’s, periféricos y servidores así como las comunicaciones. Si el intento de vandalismo es mayor, se presenta un grave riesgo dentro del área de Sistemas Informáticos ya que puede dañar los dispositivos perdiendo toda la información por consecuencia las actividades se verían afectadas en su totalidad, así como el servicio proporcionado al cliente

A continuación se menciona en forma enunciativa una serie de medida preventiva:

 Establecer vigilancia mediante cámaras de seguridad en el sitio, el todos los movimientos de entrada del personal.

 Instalar cual registre identificadores mediante tarjetas de acceso.

 Determinar lugares especiales, fuera del centro de datos, para almacenarlos medios magnéticos de respaldo y copia de la documentación de referencia y procedimientos de respaldo y recuperación (se puede contratar una caja de seguridad bancaria donde se custodiaran los datos e información crítica).

 Contar, ya sea bajo contrato o mediante convenio, con un centro de cómputo alterno de características físicas y equipo de cómputo adecuado para darle continuidad a las operaciones críticas de

...