Sin título de diapositiva - INACAP · Sea ágil la utilización de los equipos en línea. ... programas de limpieza, principalmente en el ... de traslado de su

w w w . i n a c a p . c l

Auditoría Computacional

Modulo 5 : El Centro de Procesamiento de Datos (CPD) y la Seguridad en la Auditoria Informática


5.1 Controles y Actividades del Centro de Procesamiento de Datos

• 5.1.1 Tipos de controles del CPD

• 5.1.2 Aspectos relacionados con el Orden en el CPD

• 5.1.3 Configuración del CPD

• 5.1.4 Eficiencia de la producción.


1.1 Tipos de controles del CPD

La responsabilidad de los datos es compartida conjuntamente por alguna función determinada de la organización y el departamento de

informática.

Se debe determinar los propietarios o usuarios posibles y la responsabilidad de su actualización y consistencia.

Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los informes y grupos de

procesos donde son generados.

Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia dentro

de una aplicación y de todas las aplicaciones en general.

Los datos son uno de los recursos más valiosos de las empresasy, aunque son intangibles, necesitan ser controlados yauditados, por lo cual se debe tener presente:


1.1.1 Control de los datos fuente y manejo de cifras de control

• La mayoría de los delitos computacionales son cometidos por modificaciones de datos fuente al:

Suprimir u

Omitir Datos

Adicionar

Datos

Alterar

Datos

Duplicar

Procesos


1.1.1 Control de los datos fuente y manejo de cifras de control

El control de datos es importante en caso de equiposque cuentan con sistemas en línea, en donde losusuarios son los responsables de la captura ymodificación de la información al tener un adecuadocontrol con identificación de responsables de los datos,con claves de acceso de acuerdo a niveles.

3er Nivel

Todo lo anterior,

mas eliminaciones

1er Nivel

Solo Consultas

2do Nivel

Captura, Modificaciones

y Consultas


1.1.2 Control de Operación

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la

documentación requerida para el proceso en los computadores.

Los instructivos de operación proporcionan al operador información

sobre los procedimientos que debe seguir en situaciones

normales y anormales en el procesamiento.

Se debe contar con cuestionarios que permitan identificar los

procedimientos e instructivos formales de operación, analizar su

estandarización y evaluar el cumplimiento de los mismos.


1.1.3 Controles de Salida

Se debe realizar un filtrado inicial para detectar errores obvios también llamada Auditoria de Base de Datos.

La salida deberá dirigirse inmediatamente a un área controlada, y esa distribución solamente por personas autorizadas.

Los totales de control de salida deberán reconciliarse con lo totales de control de entrada para asegurar que ningún dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisión.

Cualquier salida altamente delicada que no deba ser vista por el personal del centro de cómputo deberá ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computación.

Los controles de salida se

instalan para asegurar la

exactitud, integridad, oportunidad, y

distribución correcta de la salida, ya sea

que se dé en pantalla, en forma

impresa o en medios magnéticos. Los

siguientes procedimientos de

control se refieren a la salida:


1.1.3 Controles de Salida

Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual entre el departamento de sistemas y el del usuario.

A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de control principal para la detección de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe fijar los procedimientos para el reporte sistemático de la ocurrencia de errores o de incongruencias.

El diseño de sistemas empleará un ciclo de retroalimentación en el que los usuarios reporten todos los errores al grupo de control, y el grupo de control a su vez, tomará las acciones para corregir cualquier o inconsistencia que pudiera aparecer.


















Se relaciona con la dirección de las operaciones de los

computadores en términos de eficiencia y satisfacción del

usuario.

La función clave del programador de cargas de máquina estárelacionada con el logro eficiente y efectivo que:

Satisfaga las necesidades de tiempo del

usuario.

Sea compatible con los programas de recepción

y trascripción de datos.

Permiten niveles efectivos de utilización de

los equipos y sistemas de operación.

Sea ágil la utilización de los equipos en línea.

La experiencia muestra que los mejores resultados se logran

en las organizaciones que utilizan sistemas formales de

programación de actividades, los cuales intentan balancear

los factores y medir resultados.

1.1.4 Control de la Asignación de Trabajos


1.1.5 Control de Medios de Almacenamiento Masivos

Dispositivos Dirección Medios

Los medios de

almacenamiento

representan archivos

muy importantes cuya

pérdida podría tener

repercusiones muy

serias, no sólo en el

ámbito informático,

sino en la

dependencia a la cual

se presta servicio.

Una dirección de informática bien

administrada debe tener protegidos los dispositivos de

almacenamiento, además de mantener registros de

la utilización de estos archivos, de modo que

sirvan de base a los programas de limpieza,

principalmente en el caso de las cintas.

Se debe tener

perfectamente

identificados los

medios para reducir

la posibilidad de

utilización errónea o

destrucción de la

información


1.1.6 Control de Mantención

Existen básicamente tres tipos de contrato de mantenimiento:

Total

Incluye el mantenimiento

correctivo y preventivo. El

contrato que incluye

reparaciones es

propiamente como un

seguro, ya que en caso de

falla el proveedor debe

proporcionar las partes

sin costo alguno. Este

tipo de contrato es

normalmente el más caro,

pero se deja al proveedor

la responsabilidad total

del mantenimiento a

excepción de daños por

negligencia en la

utilización de los equipos.

Por Evento

En este contrato en caso de descompostura se le

llama al proveedor y éste cobra de acuerdo a

una tarifa y al tiempo que se requiera para

componerlo (casi todos los proveedores incluyen, en la cotización de

compostura, el tiempo de traslado de su oficina a donde se

encuentre el equipo y viceversa). Este tipo de

mantenimiento no incluye reparaciones.

En Banco

Este contrato es aquel en el cual el cliente lleva

a las oficinas del proveedor el equipo, y

éste hace una cotización de acuerdo con el

tiempo necesario para su solución más las

reparaciones ( este tipo de mantenimiento puede ser el más adecuado

para computadoras personales).


1.1.6 Control de Mantención

Al evaluar el mantenimiento debemos primeroanalizar cuál de los tres tipos es el que másconveniente y en segundo lugar pedir los contratosy revisar con detalles que las cláusulas esténperfectamente definidas en las cuales se eliminetoda la subjetividad y considerar penalización encaso de incumplimiento, para evitar contratos quesean parciales hacia el proveedor.


1.2 Aspectos relacionados con el Orden en el CPD

El área Informática debe tener y

observar reglas relativas al orden y

cuidado del CPD. Los dispositivos

del sistema de cómputo deben ser

revisados, ya que los archivos,

pueden ser dañados si se manejan en

forma inadecuada, eso puede

traducirse en pérdidas irreparables o

en costos muy elevados en la

recuperación de éstos. Se deben

revisar las disposiciones y

reglamentos que permiten el

mantenimiento del orden dentro del

CPD.


1.3 Configuración del CPD

Los objetivos son evaluar la configuración actual

tomando en consideración las aplicaciones y el nivel

de uso del sistema, evaluar el grado de eficiencia con

el cual el sistema operativo satisface las necesidades

de la instalación y revisar las políticas seguidas por el

área informática en la conservación de su CPD.

Evaluar la utilización de los diferentes dispositivos periféricos.

Evaluar posibles cambios en el hardware a fin de nivelar el CPD con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo.

Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.

Evaluar la utilización de los diferentes dispositivos periféricos.3

1

2


1.4 Eficiencia de la producción

El objetivo de este punto, es evaluar la eficiencia con que opera el área de producción:

Verifique que se cuente con una descripción completa de los trabajos que se ejecuten y la descripción de las características de carga.

Verifique la existencia de un pronóstico de cargas o trabajos que se efectuarán durante el año, con el objetivo de que se pueda distribuir adecuadamente estas cargas

Verifique que se contemplen dentro de los planes de producción periodos de mantenimiento preventivo.

Verifique que se disponga de espacio y tiempo para realizar ejecuciones especiales, de prueba de sistemas en desarrollo y que deban repetirse.

Verifique que se tengan definidos el espacio y tiempo para el respaldo de la información.

1

2

3

4

5


5.2 Principales Factores que impactan en la seguridad

• 5.2.1 Aspectos de lógica y confidencialidad

• 5.2.2 Aspectos relevantes de la seguridad en el personal

• 5.2.3 Seguridad Física

• 5.2.4 Seguros

• 5.2.5 Seguridad en la utilización de equipamiento

• 5.2.6 Procedimiento de respaldo en caso de desastre

• 5.2.7 Procedimientos y controles necesarios para soportar a otras instituciones


2.1 Aspectos de lógica y confidencialidad

El computador es un instrumento que estructura gran cantidad deinformación, la cual puede ser confidencial para individuos, empresaso instituciones, y puede ser mal utilizado o divulgada a personas quehagan mal uso de esta. También pueden ocurrir robos, fraudes osabotajes que provoquen la destrucción total o parcial de la actividadcomputacional.

En la actualidad, y principalmente en los computadorespersonales, se ha dado un factor que es muy importanteconsiderar: los llamados “Malware", los cuales, aunquetienen diferentes orígenes, son generados principalmentepor programas que son copiados e instalados en uncomputador sin la autorización respectiva ("piratas").



Software malintencionado o “malware” (malicious software), es unPrograma informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.

Ampliación

Spyware

Backdoors

Keyloggers

Dialers

RootKits

Exploits

evolución

Definición clásica

Virus

Gusanos

Troyanos

Bombas lógicas

Tipos de malware

MALWARE



Se trata de pequeñas subrutinas escondidas en los programas quese activan cuando se cumple alguna condición; por ejemplo, haberobtenido una copia en forma ilegal, y éstas pueden ejecutarse enuna fecha o situación predeterminada.

Existen varios tipos de virus pero casi todos actúan como "caballos de Troya", es decir, se encuentran dentro de un programa y actúan a determinada indicación.

Los virus también pueden ser activados como si fueran "bombas de tiempo", en una fecha determinada, pueden causar la destrucción parcial o total de la información.

VIRUS



El aumento del número de empleados que tienen acceso a los equipos.

La facilidad en el uso de los equipos de computación.

El incremento en la concentración del número de aplicaciones, utilizadas en el tratamiento de la información.

Factores que han permitido el incremento de ataques y fraudes por computadora:

El aumento del número de personas que se encuentran estudiando computación.



Clasificación de los Atacantes, según:

Tipo de persona:

Personal interno

Ex-empleados

Timadores

Vándalos

Intrusos Remunerados

Terroristas

Curiosos

Tipo de ataque:

Hacker - Cracker

Crasher - Pheacker

Phishers

Carding-Trashing

Lamers

Copyhackers

Bucaneros

Wannaber

Samurai - Gurus

Objetivo del ataque:

DineroInformación confidencialBeneficios personalesDañoAccidente



El tipo de seguridad puede comenzar desdela simple llave de acceso (contraseña opassword) hasta, sistemas más complicados, perose debe evaluar, que cuando más complejossean los dispositivos de seguridad, máscostosos son de adquirir. Por lo tanto, se debemantener una adecuada relación deseguridad/costo en los sistemas de información.

Un método eficaz para proteger sistemas de

computación es el software de control de

acceso. Dicho simplemente, los

paquetes de control de acceso

protegen contra el acceso no autorizado,

pues piden del usuario una contraseña antes

de permitirle el acceso a informaciónconfidencial.



El sistema integral de seguridad debe comprender:a) Elementos administrativos

b) Definición de una política de seguridad

c) Organización y división de responsabilidades

d) Seguridad física y contra catástrofes (incendio, terremoto

etc.)

e) Prácticas de seguridad del personal

f) Pólizas de seguros

g) Elementos técnicos y procedimientos de seguridad (de

equipos y de sistemas, incluyendo todos los

elementos, tanto redes como terminales)

h) Aplicación de sistemas de seguridad, incluyendo datos y

archivos

i) El papel de los auditores, tanto internos como externos

j) Planeación de programas de desastre y su prueba



Algunas instalaciones y sus aplicaciones

tienen un alto grado de riesgo, con un gran

impacto en la organización o en la

comunidad, si es que el servicio se

interrumpe cierto periodo; otras pueden

fácilmente continuar sin afectar

grandemente a la organización por medio

de utilización de métodos manuales.



Cuantificar el impacto en el caso de suspensión del servicio en aquellas

aplicaciones con un alto riesgo

Formular las medidas de seguridad necesarias dependiendo del nivel de

seguridad que se requiera.

Se debe evaluar el nivel de riesgo que puede tener la información.

Costo/beneficio entre el costo por pérdida de información y el costo de un

sistema de seguridad, para lo cual se debe considerar lo siguiente:

Clasificar la instalación en términos de riesgo (alto, mediano, pequeño) e

identificar aquellas aplicaciones que tengan un alto riesgo.



¿Qué implicaciones tiene el que no se tenga el sistema, y cuánto tiempo

podríamos estar sin utilizarlo?

¿Existe un procedimiento alterno y qué problemas nos ocasionaría?

Para clasificar el riesgo e identificar las aplicaciones de alto

riesgo debemos preguntarnos lo siguiente:

¿Qué sucedería si no se puede usar el sistema?

Definido el grado de riesgo, hay que elaborar una lista de los

sistemas con sus medidas preventivas, así como las correctivas

en caso de desastre señalando su prioridad.



Identificar aquella información que tenga un gran costo financiero en

caso de pérdida o bien que pueda provocar un gran impacto en la toma de

decisiones.

Determinar la información que tenga una pérdida en la organización y,

consecuentemente, puedan provocar hasta la posibilidad de que no

pueda sobrevivir sin esa información.

Para clasificar la instalación en términos de riesgo:

Clasificar los datos, información y programas que contiene información confidencial que tenga un alto valor dentro del mercado de competencia, organización, e información que sea de difícil recuperación.



Un ejemplo de alto riesgo puede ser la informaciónconfidencial de tipo nacional o bien la información sobre elmercado y la publicidad de una compañía.

Un ejemplo de riesgo medio es la nómina, la cual puede ser hecha

a mano, utilizar procedimientos alternos o bien un adecuado

sistema de respaldos.

Un ejemplo de bajo riesgo pueden ser los balances, los cuales

pueden ser reestructurados con cierta facilidad.

Para cuantificar el riesgo es necesario efectuar entrevistas con los altos niveles

administrativos directamente afectados por la suspensión en el procesamiento y

que cuantifiquen el impacto que les puede causar.



Detallar las medidas en caso de desastre, pérdida total, abuso y

los planes necesarios

Dar las prioridades que se deben tomar en cuanto a las

acciones a corto y largo plazo.

Para evaluar las medidas de seguridad se debe:

Especificar la aplicación, los programas y archivos



• El personal que prepara la información no debe tener acceso a la operación.

• Los analistas y programadores no deben tener acceso al área de operación y viceversa.

• Los operadores no deben tener acceso liberado a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación.

• Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.

• Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia.

• Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan sólo en la sala de cómputo, sino también en las oficinas ya que crea posibilidades de fallas en la seguridad.

En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización.


2.2 Aspectos relevantes de la seguridad en el personal

Politica de Vacaciones

Motivación del Personal

Valores Sociales

Estabilidad

Rotación del Personal

Un buen CPD depende, en gran medida, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exámenes psicológicos, médicos y tener muy en cuenta sus antecedentes de trabajo.

Ya que normalmente son personas que trabajan bajo presión y con

mucho estrés, por lo que importan mucho su actitud y comportamiento

Lo cual nos permite evaluar la dependencia con algunas personas,

y evitar esta dependencia

Que disminuya la posibilidad de fraude y nos permita además, detectar los indispensables y

eliminarlos

ya que un empleado motivado tiene un alto grado de lealtad y disminuirá

la posibilidad de ataques intencionados a la organización


2.3 La seguridad Física

Se considera peligroso tener el CPD en las áreas

de alto tráfico de personas

Se debe tomar precauciones en

cuanto a la orientación del CPD

El objetivo es establecer políticas, procedimientos y

prácticas para evitar las interrupciones

prolongadas del servicio del CPD.

El material y construcción del edificio del CPD no debe tener

componentes que sean altamente inflamables, que

despiden humos tóxicos o bien paredes que no estén selladas

y despidan polvos


2.3 La seguridad Física

Entre las principales precauciones que se deben revisar están:

Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas

de polvo.

Se habrá de contar con detectores de humo que indiquen la posible presencia de fuego.

En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible.

Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas.

En cuanto a los extintores, se debe revisar en número de éstos, su capacidad, fácil acceso, peso y tipo de producto que utilizan.

Utilización de extintores inadecuados que pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos.

Personal debe saber usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso

Los materiales más peligros son las cintas magnéticas que, al quemarse producen gases tóxicos y el papel carbón es altamente inflamable.


2.4 Los seguros

Riesgos

Se tiene poco conocimiento de los riesgos de la computación, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia que existe sobre desastres.

Vencimientos

Se debe verificar las fechas de vencimiento de las pólizas, puede suceder que se tenga la póliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.

Valores

El costo de los equipos puede variar, principalmente en aquellos países que tienen grandes tasas de inflación o de devaluación, por lo que los seguros deben estar a precio de compra y no a precio al momento de contratación del seguro.


2.4 Los seguros

Cobertura de equipos

El seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características.

Cobertura factores internos y externos

El seguro debe cubrir tanto daños causados por factores externos (terremoto, inundación, etc.) como por factores internos (daños ocasionados por negligencia de los operadores, daños debidos al aire acondicionado, etc.)

Cobertura SW y HW

También se debe asegurar la pérdida de los programas (software), de la información, de los equipos y el costo de recuperación de lo anterior.


2.5 La Seguridad en la utilización de equipamiento

En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del CPD conocen al detalle el diseño, lo que puede provocar que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas:

• Se debe restringir el acceso a los programas y a los archivos.

• Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los

programas ni los archivos.

• Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos

inadecuados.

• No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales

• En los casos de información confidencial debe usarse, de ser posible, en forma codificada o encriptada.

• Se debe realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos

• Se deben hacer auditorias periódicas sobre el área de operación y la utilización de las terminales.

• Debe existir una perfecta división de responsabilidades entre los digitadores de datos y los operadores de computadora, y

entre los operadores y las personas responsables de los respaldos.

• Deben existir registros que reflejen la transferencia de información entre las diferentes funciones de un sistema.

• Debe controlarse la distribución de las salidas (reportes, cintas, etc.).

• Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta

seguridad.

• Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cómputo al local de almacenaje

distante.

• Se deben identificar y controlar perfectamente los archivos.

• Se debe tener estricto control sobre el acceso físico a los archivos.

• En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa

y versión.



Otro de los puntos en los que hay que tener seguridades en el robo de información confidencial por mediode fotocopiado. Para controlar este tipo de informaciónse debe:

Cuidar que no se obtengan fotocopias deinformación confidencial sin la debida autorización.

Sólo el personal autorizado debe tener acceso a lainformación confidencial.

Controlar los listados tanto de los procesos correctoscomo aquellos procesos con terminación incorrecta.

Controlar el número de copias, y la destrucción de lainformación y del papel carbón de los reportes muyconfidenciales.



El siguiente factor en importancia es contar con los respaldos, y

duplicados de los sistemas, programas, archivos y documentación

necesarios para que pueda funcionar el plan de emergencia.

En los sistemas de cómputo en que se tiene sistemas en tiempo

real, bases de datos y red de computadoras se deben tomar

medidas de alta seguridad en cuanto a:

Equipo, programas y archivos

Control de aplicaciones por terminar (definir qué aplicaciones se

pueden correr en un terminal específico)

Definir una estrategia de seguridad de la red y de respaldos

Requerimientos físicos

Estándar de aplicaciones y de control

Estándar de archivos

Auditoria interna en el momento del diseño del sistema, su

implantación y puntos de verificación y control


2.6 Procedimiento de respaldo en caso de desastre

Se debe establecer en cada dirección de informática un plan deemergencia, el cual ha de ser aprobado por la dirección de informática ycontener tanto procedimiento como información para ayudar a larecuperación de interrupciones en la operación del sistema de cómputo.

• El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de

emergencia se tenga la seguridad que funcionará.

• La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se han de utilizar

respaldos realizados.

• Las revisiones al plan se deben realizar cuando se haya efectuado algún cambio en la configuración del equipo

o bien en periodos semestrales.

• El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de su operación, por

precaución es conveniente tener una copia fuera de la dirección de informática.

• En virtud de la información que contiene el plan de emergencia, se considerará como confidencial o de acceso

restringido.

• La elaboración del plan y de los componentes puede hacerse en forma independiente de acuerdo con los

requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualización.

• Algunas emergencias pueden no afectar a toda la instalación, sino a algunas partes tales como la discoteca y la

cintoteca.

• Para la preparación del plan se seleccionará el personal que realice las actividades claves de éste. El grupo de

recuperación debe estar integrado por personal de administración de la dirección de informática.

• Cada uno de los integrantes del grupo de recuperación, debe tener tareas específicas como la operación del equipo de

respaldo, la interfaz administrativa, de logística, etc.



El curso se desarrolla en clases expositivas. Cadaclase tiene una cierta duración de minutos en lacual se presentan los contenidos principales delcurso, desde una perspectiva de explicación yaclaración de conceptos.

Completa destrucción del centro de cómputo

Destrucción parcial del centro de cómputo

Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc.)

Destrucción parcial o total de los equipos descentralizados

Pérdida total o parcial de información, manuales o documentación

Pérdida del personal clave

Huelga o problemas laborales

Los desastres que pueden suceder podemos clasificarlos así:



La documentación de programación y de operación

El equipamiento completo, considerando la información

correspondiente al hardware y software del equipo propio y del

respaldo

El ambiente de los equipos

Sistemas y Aplicaciones (sistemas operativos, bases de datos,

programas)

El plan en caso de desastre debe incluir:



1) Asegurar que todos los miembros sean notificados

Informar al director de informática

2) Cuantificar el daño o pérdida del equipo, archivos y

documentos para definir qué parte del plan debe ser

activada

3) Determinar el estado de todos los sistemas en proceso

4) Notificar a los proveedores del equipo cuál fue el daño

Cuando el plan sea requerido debido a una

emergencia, el grupo deberá:



5) Establecer la estrategia para llevar a cabo las

operaciones de emergencia tomando en cuenta:• Elaboración de una lista con los métodos disponibles para realizar la

recuperación

• Generación e implementación de la alternancia de los procedimientos de

operación (por ejemplo, cambios en los dispositivos, sustitución de

procesos en línea por procesos en lote)

• Generar el transporte al lugar de respaldo todos los archivos, programas

y medios que se requieran

• Estimación de las necesidades de tiempo de las computadoras para un

periodo largo





La evaluación comprende tanto la parte decontenidos, aplicación de dichos contenidos asituaciones específicas, así como un trabajo ya seapráctico o de investigación.

6) Reducir la carga de procesos, analizando

alternativas como:

• Posponer las aplicaciones de prioridad más baja

• Cambiar la frecuencia del proceso de trabajos

• Suspender las aplicaciones en desarrollo





La evaluación comprende tanto la parte decontenidos, aplicación de dichos contenidos asituaciones específicas, así como un trabajo ya seapráctico o de investigación.

Con el fin de contar con servicios de respaldo

adecuados y reducir al mínimo las restricciones de

proceso, se deberán tomar en cuenta las siguientes

consideraciones:

Mínimo de memoria principal requerida y el

equipos periféricos alternativos que permitan

procesar las aplicaciones esenciales

Se debe tener documentados los cambios de

software

En caso de tener respaldos en otros sitios

disponibles, previamente se deberá conocer el

tiempo de accesos a esos medios.



Copia de programas de producción

Copia de archivos maestros de las aplicaciones clave y sistemas

operativos

Copia de la documentación de los sistemas e instructivos de operación

Copia de los archivos necesarios para procesar las transacciones

Inventario de formas especiales utilizadas en la operación normal (se

deben incluir también papelería normal, cintas magnéticas, cintas de

impresión)

Un local con las instalaciones necesarias (energía, aire acondicionado,

piso adecuado, etc.)

Convenios para el uso de computadoras compatibles

Finalmente se deberá estudiar confeccionar una lista de requerimientos

mínimos que deben tener para un efectivo plan de recuperación en caso de

desastre. Se debe contar con:


Una práctica conveniente, que desde

hace tiempo se ha venido observando

en los centros de procesamiento es

establecer arreglos con otros centros

para utilizar su equipamiento.

Es muy conveniente que este tipo de

arreglo se lleve acabo de una manera

formal, interviniendo en ellos los

niveles jerárquicos más adecuados para

asegurar la seriedad del compromiso.

2.7 Procedimientos y controles necesarios para soportar a otras

instituciones


2.7 Procedimientos y controles necesarios para soportar a otras

instituciones

A quienes se les otorga

Condiciones

Controles

Procedimientos

Tiempo, Periodicidad y Costo

Consideraciones

Documents

Sin título de diapositiva - INACAP · Sea ágil la utilización de los equipos en línea. ... programas de limpieza, principalmente en el ... de traslado de su