Contingencias en Un Centro de Computo

ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

PLAN DE CONTINGENCIA EN LOS CENTROS DE CMPUTO.

Los Planes de Contingencias le permitirn mantener la continuidad de sus sistemas de

informacin frente a eventos crticos, de su entidad y minimizar el impacto negativo sobre

la misma, sus empleados y usuarios. Deben ser parte integral de su organizacin y servir

para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una

solucin. La proteccin de la informacin vital de una entidad ante la posible prdida,

destruccin, robo y otras amenazas, es abarcar la preparacin e implementacin de un

completo Plan de Contingencia Informtico.

Cualquier Sistema de Redes de Computadoras (ordenadores, perifricos y accesorios)

Estn expuestos a riesgo y puede ser fuente de problemas. El Hardware, el Software

estn expuestos a diversos Factores de Riesgo Humano y Fsicos. Estos problemas

menores y mayores sirven para retroalimentar nuestros procedimientos y planes de

seguridad en la informacin. Pueden originarse prdidas catastrficas a partir de fallos de

componentes crticos (el disco duro), bien por grandes desastres (incendios, terremotos,

sabotaje, etc.) o por fallas tcnicas (errores humanos, virus informtico, etc.) que

producen dao fsico irreparable. Por lo anterior es importante contar con un Plan de

contingencia adecuado de forma que ayude a la Entidad a recobrar rpidamente el control

y capacidades para procesar la informacin y restablecer la marcha normal del negocio.

Qu es un Plan de Contingencia?

Podramos definir a un plan de contingencias como una estrategia planificada con una

serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita

restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que

lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que ayudar a que los procesos crticos de una

empresa u organizacin continen funcionando a pesar de una posible falla en los


sistemas computarizados. Es decir, un plan que permite a un negocio u organizacin,

seguir operando aunque sea al mnimo.

Objetivos del Plan de Contingencia

Garantizar la continuidad de las operaciones de los elementos crticos que componen los

Sistemas de Informacin.

Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que

componen un Sistema de Informacin.

Aspectos Generales de la Seguridad de la Informacin

La Seguridad Fsica

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales de

un sistema de informacin de datos. Si se entiende la contingencia o proximidad de un

dao como la definicin de Riesgo de Fallo, local o general, tres seran las medidas a

preparar para ser utilizadas en relacin a la cronologa del fallo.

Antes

El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de acciones

utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que d l se

puedan derivar. Es un concepto aplicable a cualquier actividad, no slo a la informtica, en

la que las personas hagan uso particular o profesional de entornos fsicos.

Ubicacin del Centro de Procesamiento de Datos dentro del edificio.

Sistemas contra Incendios.

Control de accesos.


Seleccin de personal.

Seguridad de los medios.

Medidas de proteccin.

Durante

Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es

cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso

de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera,

el impacto podra ser tan grande que resultara fatal para la organizacin. Por otra parte,

no es corriente que un negocio responda por s mismo ante un acontecimiento como el

que se comenta, se deduce la necesidad de contar con los medios necesarios para

afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres que

junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia

que coordina las necesidades del negocio y las operaciones de recuperacin del mismo.

Son puntos imprescindibles del plan de contingencia:

Realizar un anlisis de riesgos de sistemas crticos que determine la tolerancia de los

sistemas

Establecer un periodo crtico de recuperacin, en la cual los procesos debe de ser

reanudados antes de sufrir prdidas significativas o irrecuperables.

Realizar un Anlisis de Aplicaciones Crticas por que se establecern las prioridades del

proceso.

Despus

Los contratos de seguros vienen a compensar, en mayor o menor medida las prdidas,

gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una

vez detectado y corregido el fallo.


De la gama de seguros existentes, se pueden indicar los siguientes:

Centros de proceso y equipamiento: se contrata la cobertura sobre el dao fsico en el

CPD (Centro de Procesamiento de Datos) y el equipo contenido en l.

Reconstruccin de medios de software: cubre el dao producido sobre medio software

tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su

responsabilidad.

Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones

tras un desastre o dao en el centro de proceso de datos. Es suficiente para compensar los

costos de ejecucin del plan de contingencia.

Interrupcin del negocio: cubre las prdidas de beneficios netos causadas por las cadas

de los medios informticos o por la suspensin de las operaciones.

Documentos y registros valiosos: Se contrata para obtener una compensacin en el

valor metlico real por la perdida o dao fsico sobre documentos y registros valiosos no

amparados por el seguro de reconstruccin de medios software.

Errores y omisiones: proporciona proteccin legal ante la responsabilidad en que

pudiera incurrir un profesional que cometiera un acto, error u omisin que ocasione una

prdida financiera a un cliente.

Cobertura de fidelidad: cubre las prdidas derivadas de actos deshonestos o

fraudulentos cometidos por empleados.

Transporte de medios: proporciona cobertura ante prdidas o daos a los medios

transportados.

Contratos con proveedores y de mantenimiento: proveedores o fabricantes que

aseguren la existencia de repuestos y consumibles, as como garantas de fabricacin.


Fases de la Metodologa para el Desarrollo de un Plan de Contingencia de los Centros de

Cmputo.

Debemos de tener presente que mucho depender de la infraestructura de la empresa y

de los servicios que sta ofrezca para determinar un modelo de desarrollo de plan, no

existe un modelo nico para todos, lo que se intenta es dar los puntos ms importantes a

tener en cuenta.

La presente metodologa se podra resumir en ocho fases de la siguiente manera:

Planificacin: preparacin y aprobacin de esfuerzos y costos.

Identificacin de riesgos: funciones y flujos del proceso de la empresa.

Identificacin de soluciones: Evaluacin de Riesgos de fallas o interrupciones.

Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.

Documentacin del proceso: Creacin de un manual del proceso.

Realizacin de pruebas: seleccin de casos soluciones que probablemente funcionen.

Implementacin: creacin de las soluciones requeridas, documentacin de los casos.

Monitoreo: Probar nuevas soluciones o validar los casos.

Visin Prctica para realizar un Plan de Contingencia de los Sistemas de Informacin

PASOS PARA DESARROLLAR EL PLAN DE CONTINGENCIA EN LOS CENTROS DE CMPUTO

ETAPA I: Anlisis y Seleccin de las Operaciones Crticas

En esta etapa hay que definir cules sern nuestras operaciones crticas y tienen que ser

definidas en funcin a los componentes de los sistemas de informacin los cuales son:

Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal.


ETAPA 2. Identificacin de Procesos en Cada Operacin

Para cada una de las operaciones crticas en la Etapa 1, se debe enumerar los procesos

que tienen. Los responsables de desarrollar los planes de contingencia deben de coordinar

en cooperacin con el personal a cargo de las operaciones de los Sistemas Analizados, los

cuales son conocedores de dichos procesos crticos. Se debe de investigar que recursos

administrativos (equipamiento, herramientas, sistemas, etc.) son usados en cada proceso,

se ha descrito y codificado cada recurso, como: sistema elctrico, tarjetas, transporte, red

de datos, PC's. A su vez tambin se ha determinado su nivel de riesgo, como crticos y no

crticos.

ETAPA 3. Listar los Recursos Utilizados por las Operaciones

En esta etapa se identifica a los proveedores de los servicios y recursos usados,

considerados crticos, para los procesos de cada operacin en la Etapa 2.

ETAPA 4. Especificacin de Escenarios en los Cuales Pueden Ocurrir los Problemas

En consideracin de la condicin de preparar medidas preventivas para cada recurso, se

ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana, pequea).

Se calcular y describir el perodo que se pasar hasta la recuperacin en caso de

problemas, basados en informacin confirmada relacionada con los Sistemas de

Informacin.

ETAPA 5 Determinar y Detallar las Medidas Preventivas

Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el

uso y mantenimiento de los Sistemas de Informacin, cuando los problemas ocurran,


considerando el entorno de problemas que suceden y el perodo de interrupcin

aceptable que se estima en la etapa 4. Si hay ms de un conjunto de medidas preventivas

para un recurso, se ha determinado cual se empleara, para tomar en consideracin sus

costos y efectos.

ETAPA 6. Formacin y Funciones de los Grupos de Trabajo

Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde las

acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de

administracin. Los Grupos de Trabajo permanecern en operacin cuando los problemas

ocurran, para tratar de solucionarlos. Se elaborar un Organigrama de la estructura

funcional de los Grupos de Trabajo.

ETAPA 7. Desarrollo de los Planes de Accin

Se estableci los das en los cuales los problemas son ms probables a ocurrir, incluyendo

los sistemas de la institucin, clientes, proveedores e infraestructura de la organizacin.

Se seala los das anunciados, cuando los problemas pueden ocurrir y otros temas.

ETAPA 8. Preparacin de la Lista de Personas y Organizaciones para Comunicarse en

Caso de Emergencia

Se crear un directorio telefnico del personal considerado esencial para la organizacin

en esas fechas crticas, incluyendo el personal encargado de realizar medidas preventivas

y los responsables para las acciones de la recuperacin y preparacin de medios

alternativos.

A su vez tambin se crear un listado telefnico de todos los proveedores de servicio del

recurso. Este directorio se usa para realizar comunicaciones rpidas con los proveedores

de servicio del recurso, incluso con los fabricantes, vendedores o abastecedores de


servicio contrados, si ocurren los problemas, para hacer que investiguen y que

identifiquen las causas de los problemas y que comiencen la recuperacin de los sistemas

ETAPA 9. Pruebas y Monitoreo

En esta etapa hay que desarrollar la estrategia seleccionada, implantndose con todas las

acciones previstas, sus procedimientos y generando una documentacin del plan. Hay que

tener en claro como pasamos de una situacin normal a una alternativa, y de qu forma

retornamos a la situacin normal. Hay situaciones en que debemos de contemplar la

reconstruccin de un proceso determinado. Antes de realizar las pruebas, los planes

deberan ser revisados y juzgados independientemente en lo que respecta a su eficacia y

razonabilidad.

Prueba de Plan de Contingencia.

Todos los planes de contingencia deben ser probados para demostrar su habilidad de

mantener la continuidad de los procesos crticos de la empresa. Las pruebas se efectan

simultneamente a travs de mltiples departamentos, incluyendo entidades comerciales

externas. Realizando pruebas se descubrirn elementos operacionales que requieren

ajustes para asegurar el xito en la ejecucin del plan, de tal forma que dichos ajustes

perfeccionen los planes preestablecidos.

Objetivos

El objetivo principal, es determinar si los planes de contingencia individuales son

capaces de proporcionar el nivel deseado de apoyo a la seccin o a los procesos crticos de

la empresa, probando la efectividad de los procedimientos expuestos en el plan de

contingencias.

Las pruebas permiten efectuar una valoracin detallada de los costos de operacin en el

momento de ocurrencia de una contingencia.


Procedimientos Recomendados para las Pruebas del Plan de Contingencias, Niveles de

Prueba

Se recomiendan tres niveles de prueba:

Pruebas en pequeas unidades funcionales o divisiones.

Pruebas en unidades departamentales

Pruebas inter-departamentales o con otras instituciones externas.

La premisa es comenzar la prueba en las unidades funcionales ms pequeas,

extendiendo el alcance a las unidades departamentales ms grandes, para finalmente

realizar las pruebas entre unidades inter-departamentales o con otras instituciones

externas.

Mtodos para Realizar Pruebas de Planes de Contingencia

Prueba Especfica

Consiste en probar una sola actividad, entrenando al personal en una funcin especifica,

basndose en los procedimientos estndar definidos en el Plan de Contingencias. De esta

manera el personal tendr una tarea bien definida y desarrollar la habilidad para

cumplirla.

Prueba de Escritorio

Implica el desarrollo de un plan de pruebas a travs de un conjunto de preguntas tpicas

(ejercicios).


Caractersticas:

La discusin se basa en un formato preestablecido.

Esta dirigido al equipo de recuperacin de contingencias.

Permite probar las habilidades gerenciales del personal que tiene una mayor

responsabilidad

Simulacin en Tiempo Real

Las pruebas de simulacin real, en un departamento, una divisin, o una unidad funcional

de la empresa esta dirigido una situacin de contingencia por un perodo de tiempo

definido.

Las pruebas se hacen en tiempo real

Es usado para probar partes especficas del plan

Permite probar las habilidades coordinativas y de trabajo en equipo de los grupos

asignados para afrontar contingencias.

Preparaciones Pre Prueba

Repasar los planes de contingencia seleccionados para probar.

Verificar si se han asignado las respectivas responsabilidades.

Verificar que el plan este aprobado por la alta direccin de la institucin.

Entrenar a todo el personal involucrado, incluyendo orientacin completa de los

objetivos del plan, roles, responsabilidades y la apreciacin global del proceso.

Establecer la fecha y la hora para la ejecucin de la prueba.

Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y

distribuirlo antes de su ejecucin.

Asegurar la disponibilidad del ambiente donde se har la prueba y del personal esencial


en los das de ejecucin de dichas pruebas.

Comprobacin de Plan de Contingencias

La prueba final debe ser una prueba integrada que involucre secciones mltiples e

instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho,

de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El

siguiente diagrama de bloques representa los pasos necesarios, para la ejecucin de las

pruebas del plan de contingencias. La figura adjunta muestra los pasos necesarios para

hacer la comprobacin del Plan de Contingencias.

Mantenimiento de Plan de Contingencias y Revisiones

Las limitaciones y problemas observados durante las pruebas deben analizarse planteando

alternativas y soluciones, las cuales sern actualizadas en el Plan de Contingencias.

Adicionalmente al plan de contingencias se debe desarrollar pruebas para verificar la

efectividad de las acciones en caso de la ocurrencia de los problemas y tener la seguridad

de que se cuenta con un mtodo seguro. No existe un plan nico para todas las

organizaciones, esto depende mucho de la capacidad de la infraestructura fsica como de

las funciones que realiza en CPD (Centro de Procesamiento de Datos) mas conocido como

Centro de Cmputo


PROCESO DE RESTRUCTURACIN DEL NEGOCIO (VUELTA A LA NORMALIDAD)

Actividad Despus del Desastre

Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se

detallan, las cuales deben estar especificadas en el Plan de Accin elaborado

anteriormente

1. Evaluacin de Daos.

2. Priorizacin de Actividades del Plan de Accin.

3. Ejecucin de Actividades.

4. Evaluacin de Resultados.

5. Retroalimentacin del Plan de Accin.

2. Evaluacin de Daos.

Inmediatamente despus que el siniestro ha concluido, se deber evaluar la

magnitud del dao que se ha producido, que sistemas se estn afectando, que

equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto

tiempo, etc.

Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos

el convenio de respaldo, para ir avanzando en las labores de preparacin de

entrega de los equipos por dicha Institucin.

3. Priorizacin de actividades del Plan de Accin.

Toda vez que el Plan de accin es general y contempla una prdida total, la

evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las


actividades que debemos realizar, siempre priorizndola en vista a las actividades

estratgicas y urgentes de nuestra Institucin.

Es importante evaluar la dedicacin del personal a actividades que puedan no

haberse afectado, para ver su asigna miento temporal a las actividades afectadas,

en apoyo al personal de los sistemas afectados y soporte tcnico.

4. Ejecucin de Actividades.

La ejecucin de actividades implica la creacin de equipos de trabajo para realizar

las actividades previamente planificadas en el Plan de accin. Cada uno de estos

equipos deber contar con un coordinador que deber reportar diariamente el

avance de los trabajos de recuperacin y, en caso de producirse algn problema,

reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.

Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del

servicio usando los recursos de la Institucin o local de respaldo, y la segunda

etapa es volver a contar con los recursos en las cantidades y lugares propios del

Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida

y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen

Institucional, como para no perjudicar la operatividad de la Institucin o local de

respaldo.

5. Evaluacin de Resultados.

Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron

afectados por el siniestro, debemos de evaluar objetivamente, todas las

actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que

circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de

accin, como se comportaron los equipos de trabajo, etc.

De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de

recomendaciones, una la retroalimentacin del plan de Contingencias y otra una


lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el

siniestro.

6. Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, debemos de optimizar el plan de accin original,

mejorando las actividades que tuvieron algun tipo de dificultad y reforzando los

elementos que funcionaron adecuadamente.

El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra

Institucin el plan de contingencias llevado a cabo.

Documents

Contingencias en Un Centro de Computo