Plan de contingencia en seguridad Informática

Revisión del 16:49 1 oct 2013 de Manuelmanzanillovi (discusión | contribuciones)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Plan de contingencia
Información sobre la plantilla
PlandeContingencia.jpg
Concepto:Definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización.

Dentro de la seguridad informática se denomina plan de contingencia (también de recuperación de desastres o de continuación de negocios), a la definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización. Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una anomalía en el sistema de información.

El plan de contingencia debe considerar todos los componentes del sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones, documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo) para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo, se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su apoyo decidido y constante, el fracaso del plan está garantizado.

El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el plan de contingencia. Además el plan de contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.

Etapas fundamentales de un Plan de Contingencia.

  • Definición general del plan.
  • Determinación de vulnerabilidades.
  • Selección de los recursos alternativos.
  • Preparación detallada del plan.
  • Pruebas y mantenimiento.

Definición general del plan.

En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:

Marco del plan.

  • ¿Debe limitarse a los equipos centrales?
  • ¿Debe incluir los equipos departamentales, PC's y LAN's?
  • ¿Qué procesos son, estratégicamente, más importantes?

Organización.

  • ¿Quiénes deben componer el equipo de desarrollo del plan?
  • ¿Quién será el responsable de este equipo?.
  • ¿Cómo se relacionarán con el resto de la institución?
  • ¿Qué nivel de autonomía tendrá el equipo?
  • ¿A quién reportará?

Apoyo institucional.

Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el organismo. Asimismo, debe instar su total colaboración e informarles de su responsabilidad en la elaboración del mismo.

Presupuesto.

Debe prever los gastos asociados con:

  • La adquisición del paquete informático, o contratación de la empresa de servicios, para la elaboración del proyecto.
  • Reuniones, viajes, formación del personal.
  • Costos del personal que constituye el equipo de elaboración del plan.
  • Almacenamiento externo y transporte de los soportes de respaldo de la información.
  • Adquisición o contratación de equipos.

Determinación de vulnerabilidades.

El propósito es obtener información de las consecuencias, de todo tipo, que tendría la ocurrencia de un siniestro.

Identificación de aplicaciones críticas.

Se determinarán las aplicaciones críticas priorizándolas en orden de importancia. Se obtendrá así un listado en el que las aplicaciones más vitales, que ocuparán los primeros lugares de la lista, serán las que se deban recuperar primero, y siempre en el orden de aparición.

Identificación de recursos.

Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos serán: equipo lógico de base, equipos físicos, de comunicaciones, etc.

Período máximo de recuperación.

  • Cada departamento dependiente de aplicaciones críticas determinará el período máximo que puede permanecer sin dichas aplicaciones tras un colapso de las mismas.
  • Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de recuperación. Este período podrá ser de minutos, horas, semanas, etc.

Las informaciones de los apartados Identificación de aplicaciones críticas y periodo máximo de recuperación se obtendrán mediante formularios y entrevistas a realizar a los máximos responsables de los departamentos de la organización. Una vez concluida esta etapa el equipo de desarrollo del PC deberá obtener la conformidad de los departamentos implicados y de los máximos responsables de la institución.

Selección de los recursos alternativos.

Con los datos anteriores es fácil analizar y determinar las alternativas más convenientes en términos de costo-rendimiento. Estas alternativas pueden ser procesos manuales, acuerdos mutuos, salas vacías ("cold-site") o salas operativas ("host-site").

Recuperación manual

Es sólo posible en un número muy escaso y decreciente con los años de aplicaciones.

Acuerdos mutuos

  • Se realizan entre dos instituciones de similar configuración en sus Tecnologías de la Información.
  • Se precisa que cada institución tenga su PC.
  • Las aplicaciones críticas de cada institución puedan ser soportadas por los recursos informáticos y de transmisión de datos de la otra, sin degradar las propias aplicaciones de ésta.
  • Los cambios o actualizaciones de los recursos sean simultáneos en ambas instituciones.

Con el crecimiento de las aplicaciones en tiempo real y la interconexión de equipos de diferentes fabricantes, los acuerdos mutuos se hacen cada vez más difíciles.

Salas vacías

Sólo son viables si la institución puede resistir sin sus recursos de Tecnologías de la Información durante un tiempo determinado. Es necesario que el fabricante de los equipos a reponer se comprometa por escrito a dicha reposición dentro del período máximo de recuperación.

Salas operativas.

  • Son necesarias si el período máximo de recuperación es de minutos u horas.
  • Una posibilidad es utilizar dos instalaciones diferentes y separadas, una trabajando normalmente como centro de desarrollo y otra de producción. El centro de desarrollo debe estar dimensionado con la suficiente holgura para alojar las aplicaciones críticas de producción caso de ser necesario.
  • Otra posibilidad, la más usual, es la contratación del servicio de respaldo a una empresa especializada.

Preparación detallada del plan.

Incluye la documentación de las acciones a tomar, los actores a involucrar, los recursos a emplear, procedimientos a seguir, etc. en un formato adecuado para su uso en situaciones críticas. Esta documentación debe estar disponible en varios lugares accesibles inmediatamente.

Plan de contingencia de las áreas de servicio.

Comprende el establecimiento del equipo humano de recuperación, localización de las instalaciones de emergencia, inventario de recursos de respaldo y su ubicación, lista del personal involucrado y su localización en todo momento, lista de empresas a contactar, sitios de almacenamiento de los soportes de respaldo de información, etc. Así mismo, se detallarán los procedimientos de recuperación de las aplicaciones críticas según su periodo máximo de recuperación.

Plan de contingencia de servicios.

Consta de la documentación de los procedimientos de recuperación de los servicios con aplicaciones críticas. Incluye el equipo humano de recuperación, el inventario de informaciones, localización de las instalaciones de emergencia, etc.

Plan de almacenamiento de información.

Mientras todos los CPD que se precian disponen de soportes de respaldo de la información debidamente almacenados en instalaciones externas, no sucede lo mismo con los departamentos informatizados autónomamente. Es vital que estos departamentos identifiquen, dupliquen y almacenen externamente en lugares seguros las informaciones críticas. Se recomienda el establecimiento de una estrategia, general para toda la institución, de información de respaldo.

Pruebas y mantenimiento.

Si se quiere garantizar que el plan de contingencia, que usualmente se realiza durante un período de tiempo no muy extenso (pocos meses), sea operativo durante años, esta etapa es absolutamente fundamental. De no cuidar esta fase, el plan se convertirá en un costoso ejercicio académico de validez muy limitada en el tiempo. Un aspecto crucial es la formación del personal para asegurar que el plan está vigente en cada momento y funciona correctamente.


Pruebas.

Las pruebas no deben alterar el funcionamiento de los departamentos, por lo que se pueden realizar pruebas parciales en estos departamentos aisladamente. Con mayor periodicidad se pueden realizar pruebas totales, en horario nocturno o en un fin de semana.

Mantenimiento.

Comprende la actualización del plan según nuevas aplicaciones se implementen, otras dejen de ser operativas, se sustituyan equipos, cambie el personal o su ubicación, varíe la legislación, se transformen los objetivos estratégicos, etc. Las etapas citadas deben realizarse consecutivamente en el orden expuesto y sólo se pasará de una a otra tras haber concluido satisfactoriamente la previa. El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la información contenida en los diversos medios de almacenamiento, por lo que previamente se debe haber realizado un análisis de riesgo al sistema al cual se le va a realizar el plan de contingencia.

Plan de Recuperación de Desastres

Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. En estos procedimientos estará involucrado todo el personal de la Institución. Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento. Las actividades a realizar en un plan de recuperación de desastres se pueden clasificar en tres etapas:

  • Actividades Previas al Desastre.
  • Actividades Durante el Desastre.
  • Actividades Después del Desastre.

Fuentes

Obtenido de «https://www.ecured.cu/index.php?title=Plan_de_contingencia_en_seguridad_Informática&oldid=2051023»