INTRODUCCIN Desde los inicios de los sistemas de informacin se comprendi que las contingencias forman parte inherente de los

mismos. Las amenazas a la informacin pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen tcnico (fallas del hardware, del software, con el suministro de energa, etc.). Y es casi siempre una situacin no prevista la que regularmente provoca una crisis y las consecuencias de la misma, segn su impacto y extensin, pueden ser catastrficas para los intereses de cualquier organizacin. Los fallos tcnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rpida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de disear y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, los mecanismos de seguridad de la informacin buscan proteger a la informacin de las diversas amenazas a las que se ve expuesta y supone un importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la paralizacin del negocio durante un perodo ms o menos prolongado. Todo esto conlleva a que la funcin de definir los planes a seguir en cuestin de seguridad se conviertan en una tarea realmente compleja y dispendiosa.

OBJETIVOS

Reanudar con la mayor brevedad posible las funciones empresariales ms crticas, en aras a minimizar el impacto de manera que la correcta recuperacin de los sistemas y procesos quede garantizada y se conserven los objetivos estratgicos de la empresa. Evaluar los riesgos as como los costos de los procedimientos de contingencia requeridos cuando se presenta una interrupcin de las operaciones, de forma que slo se inviertan los recursos necesarios. Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia.

Qu es un Plan de Contingencia?

Podramos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una herramienta que le ayudar a que los procesos crticos de su empresa u organizacin continen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organizacin, seguir operando aunque sea al mnimo.

Consiste en la identificacin de aquellos sistemas de informacin y/o recursos informticos aplicados que son susceptibles de deterioro, violacin o prdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organizacin, con el propsito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la informacin y permitan su recuperacin garantizando la confidencialidad, integridad y disponibilidad de sta en el menor tiempo posible y a unos costos razonables. El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupcin, lo que

implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que tambin debe incluirse el anlisis de los principales distribuidores, clientes, negocios y socios, as como la infraestructura en riesgo. Esto incluye cubrir los siguientes tpicos: hardware, software, documentacin, talento humano y soporte logstico; debe ser lo ms detallado posible y fcil de comprender.

Aspectos Generales de la Seguridad de la Informacin

La Seguridad Fsica La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales de un sistema de informacin de datos. Si se entiende la contingencia o proximidad de un dao como la definicin de Riesgo de Fallo, local o general, tres seran las medidas a preparar para ser utilizadas en relacin a la cronologa del fallo. Antes El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puedan derivar. Es un concepto aplicable a cualquier actividad, no slo a la informtica, en la que las personas hagan uso particular o profesional de entornos fsicos. Ubicacin del Centro de Procesamiento de Datos dentro del edificio. Sistemas contra Incendios. Control de accesos. Seleccin de personal. Seguridad de los medios. Medidas de proteccin. Durante Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podra ser tan grande que resultara fatal para la organizacin. Por otra parte, no es corriente que un negocio responda por s mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperacin del mismo. Son puntos imprescindibles del plan de contingencia: Realizar un anlisis de riesgos de sistemas crticos que determine la tolerancia de los sistemas Establecer un periodo crtico de recuperacin, en la cual los procesos debe de ser reanudados antes de sufrir prdidas significativas o irrecuperables.

 Realizar un Anlisis de Aplicaciones Crticas por que se establecern las prioridades del proceso.

Despus Los contratos de seguros vienen a compensar, en mayor o menor medida las prdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y corregido el fallo. De la gama de seguros existentes, se pueden indicar los siguientes: Centros de proceso y equipamiento: se contrata la cobertura sobre el dao fsico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en el. Reconstruccin de medios de software: cubre el dao producido sobre medios software tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad. Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un desastre o dao en el centro de proceso de datos. Es suficiente para compensar los costos de ejecucin del plan de contingencia. Interrupcin del negocio: cubre las prdidas de beneficios netos causadas por las cadas de los medios informticos o por la suspensin de las operaciones. Documentos y registros valiosos: Se contrata para obtener una compensacin en el valor metlico real por la perdida o dao fsico sobre documentos y registros valiosos no amparados por el seguro de reconstruccin de medios software. Errores y omisiones: proporciona proteccin legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisin que ocasione una prdida financiera a un cliente. Cobertura de fidelidad: cubre las prdidas derivadas de actos deshonestos o fraudulentos cometidos por empleados. Transporte de medios: proporciona cobertura ante prdidas o daos a los medios transportados. Contratos con proveedores y de mantenimiento: proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, as como garantas de fabricacin.

GUA GENERAL PARA ELABORAR UN PLAN DE CONTINGENCIAS Los conceptos bsicos son los siguientes:

Anlisis y valoracin de riesgos. Jerarquizacin de las aplicaciones. Establecimientos de requerimientos de recuperacin. Ejecucin. Pruebas. Documentacin. Difusin y mantenimiento.

Anlisis y valoracin de Riesgos. El proyecto comienza con el anlisis del impacto en la organizacin. Durante esta etapa se identifican los procesos crticos o esenciales y sus repercusiones en caso de no estar

en funcionamiento. El primer componente del plan de contingencia debe ser una descripcin del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organizacin el experimentar un desastre que afecte a la actividad empresarial.

Se debe evaluar el nivel de riesgo de la informacin para hacer:

Un adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad. Clasificar la instalacin en trminos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo. Cuantificar el impacto en el caso de suspensin del servicio. Determinar la informacin que pueda representar cuantiosas prdidas para la organizacin o bien que pueda ocasionar un gran efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido mediante la evaluacin y anlisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Jerarquizacin de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organizacin. Para la determinacin de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones. El plan debe incluir una lista de los sistemas, aplicaciones y prioridades, igualmente debe identificar aquellos elementos o procedimientos informticos como el hardware, software bsico, de telecomunicaciones y el software de aplicacin, que puedan ser crticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organizacin. Tambin se deben incluir en esta categora los problemas asociados por la carencia de fuentes de energa, utilizacin indebida de medios magnticos de resguardo o back up o cualquier otro dao de origen fsico que pudiera provocar la prdida masiva de informacin. Establecimientos de requerimientos de recuperacin. En esta etapa se procede a determinar lo que se debe hacer para lograr una ptima solucin, especificando las funciones con base en el estado actual de la organizacin. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definicin del problema, analizar reas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluacin, formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido, justificacin del costo de implantar las medidas de seguridad, anlisis y evaluacin del plan actual, determinar los recursos humanos, tcnicos y econmicos necesarios para desarrollar el plan, definir un tiempo prudente y viable para lograr que el sistema est nuevamente en operacin. Ejecucin . Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas de la empresa. En la elaboracin del plan de contingencias deben de intervenir los niveles ejecutivos de la organizacin, personal tcnico de los procesos y usuarios, para as garantizar su xito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo tcnico, econmico

y organizacional. Pruebas . Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realizacin. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecucin, con lo cual la prueba volver a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversin; en este ltimo caso pasar nuevamente a la fase de conversin para la solucin de los problemas detectados. Una correcta documentacin ayudar a la hora de realizar las pruebas. La capacitacin del equipo de contingencia y su participacin en pruebas son fundamentales para poner en evidencia posibles carencias del plan. Documentacin. Esta fase puede implicar un esfuerzo significativo para algunas personas, pero ayudar a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalacin y recuperacin necesarias, procurando que sean entendibles y fciles de seguir. Es importante tener presente que la documentacin del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusin. Difusin y mantenimiento. Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusin y capacitacin entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisin del plan existente y se examina en su totalidad realizando los cambios en la informacin que pudo haber ocasionado una variacin en el sistema y realizando los cambios que sean necesarios. Procedimientos Recomendados para las Pruebas del Plan de Contingencias, Niveles de Prueba

Se recomiendan tres niveles de prueba: Pruebas en pequeas unidades funcionales o divisiones. Pruebas en unidades departamentales Pruebas inter-departamentales o con otras instituciones externas. La premisa es comenzar la prueba en las unidades funcionales ms pequeas, extendiendo el alcance a las unidades departamentales ms grandes, para finalmente realizar las pruebas entre unidades interdepartamentales o con otras instituciones externas.

Mtodos para Realizar Pruebas de Planes de Contingencia

Prueba Especfica Consiste en probar una sola actividad, entrenando al personal en una funcin especifica, basndose en los procedimientos estndar definidos en el Plan de Contingencias. De esta manera el personal tendr una tarea

bien definida y desarrollar la habilidad para cumplirla. Prueba de Escritorio Implica el desarrollo de un plan de pruebas a travs de un conjunto de preguntas tpicas (ejercicios). Caractersticas: La discusin se basa en un formato preestablecido. Esta dirigido al equipo de recuperacin de contingencias. Permite probar las habilidades gerenciales del personal que tiene una mayor responsabilidad Simulacin en Tiempo Real Las pruebas de simulacin real, en un departamento, una divisin, o una unidad funcional de la empresa esta dirigido una situacin de contingencia por un perodo de tiempo definido. Las pruebas se hacen en tiempo real Es usado para probar partes especficas del plan Permite probar las habilidades coordinativas y de trabajo en equipo de los grupos asignados para afrontar contingencias. Preparaciones Pre Prueba Repasar los planes de contingencia seleccionados para probar. Verificar si se han asignado las respectivas responsabilidades. Verificar que el plan este aprobado por la alta direccin de la institucin. Entrenar a todo el personal involucrado, incluyendo orientacin completa de los objetivos del plan, roles, responsabilidades y la apreciacin global del proceso. Establecer la fecha y la hora para la ejecucin de la prueba. Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y distribuirlo antes de su ejecucin. Asegurar la disponibilidad del ambiente donde se har la prueba y del personal esencial en los das de ejecucin de dichas pruebas. Comprobacin de Plan de Contingencias La prueba final debe ser una prueba integrada que involucre secciones mltiples e instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho, de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El siguiente diagrama de bloques representa los pasos necesarios, para la ejecucin de las pruebas del plan de contingencias. La figura adjunta muestra los pasos necesarios para hacer la comprobacin del Plan de Contingencias. Mantenimiento de Plan de Contingencias y Revisiones Las limitaciones y problemas observados durante las pruebas deben analizarse planteando alternativas y soluciones, las cuales sern actualizadas en el Plan de Contingencias.