Plan de contingencia en seguridad Informática

Dentro de la seguridad informática se denomina plan de contingencia (también de recuperación de desastres o de continuación de negocios), a la definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización. Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una anomalía en el sistema de información.

El plan de contingencia debe considerar todos los componentes del sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones, documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo) para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo, se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su apoyo decidido y constante, el fracaso del plan está garantizado.

El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el plan de contingencia. Además el plan de contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.

Etapas fundamentales de un Plan de Contingencia.

1. Definición general del plan.

2. Determinación de vulnerabilidades.

3. Selección de los recursos alternativos.

4. Preparación detallada del plan.

Definición general del plan.

En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:

Marco del plan.

• ¿Debe limitarse a los equipos centrales?
• ¿Debe incluir los equipos departamentales, PC's y LAN's?
• ¿Qué procesos son, estratégicamente, más importantes?

Organización.

• ¿Quiénes deben componer el equipo de desarrollo del plan?
• ¿Quién será el responsable de este equipo?.
• ¿Cómo se relacionarán con el resto de la institución?
• ¿Qué nivel de autonomía tendrá el equipo?
• ¿A quién reportará?

Apoyo institucional.

Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el organismo. Asimismo, debe instar su total colaboración e informarles de su responsabilidad en la elaboración del mismo.

Presupuesto.

Debe prever los gastos asociados con:

• La adquisición del paquete informático, o contratación de la empresa de servicios, para la elaboración del proyecto.
• Reuniones, viajes, formación del personal.
• Costos del personal que constituye el equipo de elaboración del plan.
• Almacenamiento externo y transporte de los soportes de respaldo de la información.
• Adquisición o contratación de equipos.

Fuente

• [Universidad de las ciencias informáticas Departamento de la especialidad: Seguridad Informática]