Diferencia entre revisiones de «Plan de contingencia en seguridad Informática»
(Página creada con '{{Definición |nombre= Plan de contingencia |imagen= |tamaño= |concepto=Definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un...') |
|||
| Línea 21: | Línea 21: | ||
4. Preparación detallada del plan. | 4. Preparación detallada del plan. | ||
| − | ==Definición general del plan. == | + | ===Definición general del plan.=== |
En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son: | En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son: | ||
| Línea 47: | Línea 47: | ||
*Almacenamiento externo y transporte de los soportes de respaldo de la información. | *Almacenamiento externo y transporte de los soportes de respaldo de la información. | ||
*Adquisición o contratación de equipos. | *Adquisición o contratación de equipos. | ||
| + | |||
| + | ===Determinación de vulnerabilidades. === | ||
| + | El propósito es obtener información de las consecuencias, de todo tipo, que tendría la ocurrencia de un siniestro. | ||
| + | |||
| + | '''Identificación de aplicaciones críticas. ''' | ||
| + | |||
| + | Se determinarán las aplicaciones críticas priorizándolas en orden de importancia. Se obtendrá así un listado en el que las aplicaciones más vitales, que ocuparán los primeros lugares de la lista, serán las que se deban recuperar primero, y siempre en el orden de aparición. | ||
| + | |||
| + | '''Identificación de recursos. ''' | ||
| + | |||
| + | Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos serán: equipo lógico de base, equipos físicos, de comunicaciones, etc. | ||
| + | |||
| + | '''Período máximo de recuperación. ''' | ||
| + | |||
| + | *Cada departamento dependiente de aplicaciones críticas determinará el período máximo que puede permanecer sin dichas aplicaciones tras un colapso de las mismas. | ||
| + | *Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de recuperación. Este período podrá ser de minutos, horas, semanas, etc. | ||
| + | Las informaciones de los apartados Identificación de aplicaciones críticas y periodo máximo de recuperación se obtendrán mediante formularios y entrevistas a realizar a los máximos responsables de los departamentos de la organización. | ||
| + | Una vez concluida esta etapa el equipo de desarrollo del PC deberá obtener la conformidad de los departamentos implicados y de los máximos responsables de la institución. | ||
==Fuente== | ==Fuente== | ||
Revisión del 12:16 25 sep 2013
| ||||
Dentro de la seguridad informática se denomina plan de contingencia (también de recuperación de desastres o de continuación de negocios), a la definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización. Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una anomalía en el sistema de información.
El plan de contingencia debe considerar todos los componentes del sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones, documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo) para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo, se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su apoyo decidido y constante, el fracaso del plan está garantizado.
El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el plan de contingencia. Además el plan de contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.
Sumario
Etapas fundamentales de un Plan de Contingencia.
1. Definición general del plan.
2. Determinación de vulnerabilidades.
3. Selección de los recursos alternativos.
4. Preparación detallada del plan.
Definición general del plan.
En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:
Marco del plan.
- ¿Debe limitarse a los equipos centrales?
- ¿Debe incluir los equipos departamentales, PC's y LAN's?
- ¿Qué procesos son, estratégicamente, más importantes?
Organización.
- ¿Quiénes deben componer el equipo de desarrollo del plan?
- ¿Quién será el responsable de este equipo?.
- ¿Cómo se relacionarán con el resto de la institución?
- ¿Qué nivel de autonomía tendrá el equipo?
- ¿A quién reportará?
Apoyo institucional.
Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el organismo. Asimismo, debe instar su total colaboración e informarles de su responsabilidad en la elaboración del mismo.
Presupuesto.
Debe prever los gastos asociados con:
- La adquisición del paquete informático, o contratación de la empresa de servicios, para la elaboración del proyecto.
- Reuniones, viajes, formación del personal.
- Costos del personal que constituye el equipo de elaboración del plan.
- Almacenamiento externo y transporte de los soportes de respaldo de la información.
- Adquisición o contratación de equipos.
Determinación de vulnerabilidades.
El propósito es obtener información de las consecuencias, de todo tipo, que tendría la ocurrencia de un siniestro.
Identificación de aplicaciones críticas.
Se determinarán las aplicaciones críticas priorizándolas en orden de importancia. Se obtendrá así un listado en el que las aplicaciones más vitales, que ocuparán los primeros lugares de la lista, serán las que se deban recuperar primero, y siempre en el orden de aparición.
Identificación de recursos.
Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos serán: equipo lógico de base, equipos físicos, de comunicaciones, etc.
Período máximo de recuperación.
- Cada departamento dependiente de aplicaciones críticas determinará el período máximo que puede permanecer sin dichas aplicaciones tras un colapso de las mismas.
- Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de recuperación. Este período podrá ser de minutos, horas, semanas, etc.
Las informaciones de los apartados Identificación de aplicaciones críticas y periodo máximo de recuperación se obtendrán mediante formularios y entrevistas a realizar a los máximos responsables de los departamentos de la organización. Una vez concluida esta etapa el equipo de desarrollo del PC deberá obtener la conformidad de los departamentos implicados y de los máximos responsables de la institución.
Fuente
- [Universidad de las ciencias informáticas Departamento de la especialidad: Seguridad Informática]
