Planificación de Contingencia
Enviado por elizabeth2802 • 23 de Enero de 2014 • Tesis • 2.227 Palabras (9 Páginas) • 318 Visitas
Introducción
Este manual es una guía, según los estándares de planes de contingencia informático, para que cada Gerente de Departamento de Empresa_X (en adelante E_X) defina y documente un Informe de Trabajo derivados de la definición del Plan de Contingencia de Informático.
El alcance de este plan guarda relación con la infraestructura informática, así como los procedimientos relevantes de su Departamento asociados con la plataforma tecnológica.
Entenderemos como infraestructura informática al hardware, software y elementos complementarios que soportan la información o datos críticos para la función del negocio bajo su responsabilidad.
Entendemos también como procedimientos relevantes a la infraestructura informática a todas aquellas tareas que su personal realiza frecuentemente cuando interactúa con la plataforma informática (entrada de datos, generación de reportes, consultas, etc.).
Un Plan de Contengencia considera una "Planificación de la Contingencia" así como un conjunto de "Actividades" las que buscan definir y cumplir metas que permitan a cada Departamento de E_X controlar el riesgo asociado a una contingencia.
Como Administrador Usted deberá leer acabadamente este instructivo, así como generar un "Plan de Trabajo para el Plan de Contingencia de IT" que involucre a los actores relevantes. Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas orientadas a reducir dichos riesgos. Naturalmente, en la generación del Plan de Trabajo de su Departamento es recomendable trabajar con sus reportes clave a fin de que sus recomendaciones cuenten con una base operativa sólida.
La Administración de E_X ya ha definido el Plan de Trabajo de Administración para el Plan de Contingencia de IT, en donde Usted es un miembro importante del Comité de Recuperación frente a desastres. Este comité se activará frente a una Contingencia, según la convocación del Gte. de Administración y Finanzas.
Sugerimos que su plan de trabajo respectivo, se genere como "una respuesta" a cada uno de los puntos que contiene esta Guía de Plan de Contingencia de E_X.
Agradecemos la diligencia que invertirá en este aspecto tan importante del manejo de contingencias informáticas, el que sabemos valorará en la eventualidad de una contingencia mayor.
1. Planificación de Contingencia
El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y lógica en prevision de desastres.
Se define la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o por el hombre. Se ha considerado que para la compañía, la seguridad es un elemento básico para garantizar su supervivencia y entregar el mejor Servicio a sus Clientes, y por lo tanto, considera a la Información como uno de los activos más importantes de la Organización, lo cual hace que la protección de esta sea el fundamento más importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperacion para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de los procedimientos de seguridad de la Información que cada Departamento de la firma debe definir.
1.1 Actividades Asociadas
Las actividades consideradas en este documento son :
- Análisis de Riesgos
- Medidas Preventivas
- Previsión de Desastres Naturales
- Plan de Respaldo
- Plan de Recuperación
2. Análisis de Riesgos
Para realizar un análisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la compañía, y su importancia dentro del mecanismo de funcionamiento.
Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría.
2.1. Bienes susceptibles de un daño
Se puede identificar los siguientes bienes afectos a riesgos:
a) Personal b) Hardware
c) Software y utilitarios d) Datos e información e) Documentación
f) Suministro de energía eléctrica
g) Suministro de telecomunicaciones
2.2. Daños
Los posibles daños pueden referirse a:
a) Imposibilidad de acceso a los recursos debido a problemas fíisicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.
b) Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, llámese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado.
c) Divulgacion de información a instancias fuera de la Compañía y que afecte su patrimonio estratégico
Comercial y/o Institucional, sea mediante Robo o Infidencia.
2.3. Prioridades
La estimación de los daños en los bienes y su impacto, fija una prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se pierden en el acontecimiento.
Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre.
2.4. Fuentes de daño
Las posibles fuentes de daño que pueden causar la no operación normal de la compañía asociadas al Centro de
Operaciones Computacionales de E_X son:
Acceso no autorizado
Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las
...