Beruflich Dokumente
Kultur Dokumente
INDICE
INTRODUCCION ................................................................................................................ 3
PLAN DE CONTINGENCIA .................................................................................................. 4
I.
III.
ESTIMACION DE RIESGO
3.3 Revelacin o Infidencia ......................................................................................... 24
3.4 Modificaciones ...................................................................................................... 25
IV.
VI.
ESTIMACION DE RIESGO
INTRODUCCION
El presente Plan de Contingencias describe los principales procedimientos y medidas a
adoptar frente a eventos que pudieran acontecer durante las etapas de construccin y
operacin, a fin de obtener una respuesta, rpida, adecuada y oportuna que pueda
mitigar el accidente, incidente o estado emergencia.
En este plan se han identificado claramente los diferentes tipos de emergencia que
pudieran acontecer en el desarrollo de las actividades del proyecto y cada uno de ellos
tendr un componente de respuesta y control.
El Plan de Contingencias es un documento interno que es utilizado como gua, en los
casos de emergencia o eventos fortuitos, como son:
Desastres naturales
Desastres fortuitos o imprevistos
Desastres provocados o sabotaje
ESTIMACION DE RIESGO
PLAN DE CONTINGENCIA
I.
Esquema General
El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden
estar expuestos nuestros equipos de cmputo y la informacin contenida en los
diversos medios de almacenamiento, por lo que en este Manual haremos un anlisis
de los riesgos, cmo reducir su posibilidad de ocurrencia y los procedimientos a seguir
en caso que se presentara el problema.
Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es
necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres,
el cual tendr como objetivo, restaurar el Servicio de Cmputo en forma rpida,
eficiente y con el menor costo y prdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace
necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de
Contingencias lo ms completo posible.
Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro local, el
cual nos ha dejado sin equipos de cmputo y sin los archivos magnticos (programas y
datos) contenidos en dichos equipos y en las oficinas del local.
Hay dos mbitos que vamos a analizar. El primero abarca las actividades que se deben
realizar y los grupos de trabajo o responsables de operarlas. El segundo, el control,
esto es, las pruebas y verificaciones peridicas de que el Plan de Contingencias est
operativo y actualizado.
Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos:
1.- Plan de Reduccin de Riesgos (Plan de Seguridad).
2.- Plan de Recuperacin de Desastres.
2.1.- Actividades Previas al Desastre.
2.1.1.- Establecimiento del Plan de Accin.
2.1.2.- Formacin de Equipos Operativos.
2.1.3.- Formacin de Equipos de Evaluacin (auditora de cumplimiento de
procedimientos de Seguridad).
2.2.- Actividades durante el Desastre.
2.2.1.- Plan de Emergencias.
2.2.2.- Formacin de Equipos.
2.2.3.- Entrenamiento.
ESTIMACION DE RIESGO
2.3.1.- Evaluacin de Daos.
2.3.2.- Priorizacin de Actividades del Plan de Accin sealadas en 2.1.1
2.3.3.- Ejecucin de Actividades
2.3.4.- Evaluacin de Resultados.
2.3.5.- Retroalimentacin del Plan de Accin.
puede ir mal?
qu frecuencia puede ocurrir?
Cules seran sus consecuencias?
Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
Con
se intenta proteger?
Cul es su valor para uno o para la organizacin?
Frente a qu se intenta proteger?
Cul es la probabilidad de un ataque?
A continuacin se muestra un ejemplo de cmo se realiza una evaluacin de riesgos.
TCNICAS DE SEGURIDAD ELCTRICA
ESTIMACION DE RIESGO
El o los responsables de la oficina de informtica se sentarn con los responsables de
las reas usuarias y realizarn el siguiente conjunto de puntualizaciones:
A qu riesgos en la seguridad informtica se enfrenta la Institucin?
Al
ESTIMACION DE RIESGO
Los
de riesgo bajo
de riesgo muy bajo
Factor de riesgo alto
Factor de riesgo muy alto
Factor de riesgo medio
Factor
ESTIMACION DE RIESGO
cada uno. Ejemplo:
PROTECCIONES ACTUALES
Generales,
se hace una copia casi diaria de los archivos que son vitales para la
Institucin.
Robo comn, se cierran las puertas de entrada y ventanas.
Vandalismo, se cierra la puerta de entrada.
Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma
regular, no se permite fumar, est previsto el prstamo de otros equipos.
Dao por virus, todo el software que llega se analiza en un sistema utilizando
software antivirus. Los programas de dominio pblico y de uso compartido
(Shareware), slo se usan si proceden de una fuente fiable.
Equivocaciones, los empleados tienen buena formacin. Cuando son necesarios, se
intenta conseguir buenos trabajadores temporales.
Terremoto, nada. Aparte de la proteccin contra incendios, la cual es buena.
Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen
de llave de bloqueo del teclado.
Robo de datos, se cierra la puerta principal. Varias computadoras disponen de llave
de bloqueo del teclado
Fuego, en la actualidad se encuentra instalado Sistemas contra incendios,
extinguidores, en sitios estratgicos y se brinda entrenamiento en el manejo de los
sistemas o extinguidores al personal, en forma peridica.
En los Captulos siguientes se brinda informacin completa y detallada de la Seguridad
TCNICAS DE SEGURIDAD ELCTRICA
ESTIMACION DE RIESGO
de Equipos y de la Informacin.
ESTIMACION DE RIESGO
1.2.1.1 Establecimiento de Plan de Accin
10
ESTIMACION DE RIESGO
captulos siguientes, hay que tener en cuenta:
Inventario actualizado de los equipos de manejo de informacin (computadoras,
lectoras de microfichas, impresoras, etc.), especificando su contenido (software que
usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional.
Plizas de Seguros Comerciales. Como parte de la proteccin de los Activos
Institucionales, pero haciendo la salvedad en el contrato, que en casos de siniestros, la
restitucin del Computador siniestrado se podr hacer por otro de mayor potencia
(por actualizacin tecnolgica), siempre y cuando est dentro de los montos
asegurados.
Sealizacin o etiquetado de los Computadores de acuerdo a la importancia de su
contenido, para ser priorizados en caso de evacuacin. Por ejemplo etiquetar (colocar
un sticker) de color rojo a los Servidores, color amarillo a las PC's con Informacin
importante o estratgica y color verde a las PC's de contenidos normales.
Tener siempre actualizada una relacin de PC's requeridas como mnimo para cada
Sistema permanente de la Institucin (que por sus funciones constituyen el eje central
de los Servicios Informticos de la Institucin), las funciones que realizara y su posible
uso en dos o tres turnos de trabajo, para cubrir las funciones bsicas y prioritarias de
cada uno de estos Sistemas.
c) Obtencin y almacenamiento de los Respaldos de Informacin
(BACKUPS).
Se deber establecer los procedimientos para la obtencin de copias de Seguridad de
todos los elementos de software necesarios para asegurar la correcta ejecucin de los
Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con:
1) Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contar con una copia de cada uno de ellos).
2) Backups del Software Base (Paquetes y/o Lenguajes de Programacin con los cuales
han sido desarrollados o interactan nuestros Aplicativos Institucionales).
3) Backups del Software Aplicativo (Considerando tanto los programas fuentes, como
los programas objetos correspondientes, y cualquier otro software o procedimiento
que tambin trabaje con la data, para producir los resultados con los cuales trabaja el
usuario final). Se debe considerar tambin las copias de los listados fuentes de los
programas definitivos, para casos de problemas.
4) Backups de los Datos (Bases de Datos, Indices, tablas de validacin, passwords, y
todo archivo necesario para la correcta ejecucin del Software Aplicativo de nuestra
Institucin).
5) Backups del Hardware. Se puede implementar bajo dos modalidades:
Modalidad Externa. Mediante convenio con otra Institucin que tenga equipos
similares o mayores y que brinden la seguridad de poder procesar nuestra
Informacin, y ser puestos a nuestra disposicin, al ocurrir una contingencia y mientras
se busca una solucin definitiva al siniestro producido. Este tipo de convenios debe
tener tanto las consideraciones de equipamiento como de ambientes y facilidades de
trabajo que cada institucin se compromete a brindar, y debe de ser actualizado cada
TCNICAS DE SEGURIDAD ELCTRICA
11
ESTIMACION DE RIESGO
vez que se efectuen cambios importantes de sistemas que afecten a cualquiera de las
instituciones.
Modalidad Interna. Si tenemos ms de un local, en ambos debemos tener sealados
los equipos, que por sus caractersticas tcnicas y capacidades, son susceptibles de ser
usados como equipos de emergencia del otro local, debindose poner por escrito
(igual que en el caso externo), todas las actividades a realizar y los compromisos
asumidos.
En ambos casos se deber probar y asegurar que los procesos de restauracin de
Informacin posibiliten el funcionamiento adecuado de los Sistemas. En algunos casos
puede ser necesario volver a recompilar nuestro software aplicativo bajo plataformas
diferentes a la original, por lo que es imprescindible contar con los programas fuentes,
al mismo grado de actualizacin que los programas objeto.
d) Polticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinacin de responsabilidades
en la obtencin de los Backups mencionados anteriormente en el punto c,
debindose incluir:
Periodicidad de cada Tipo de Backup.
Respaldo de Informacin de movimiento entre los perodos que no se sacan
Backups (backups incrementales).
Uso obligatorio de un formulario estndar para el registro y control de los Backups
(se incluye un formato tipo en el anexo IV.)
Correspondencia entre la relacin de Sistemas e Informaciones necesarias para la
buena marcha de la empresa (mencionado en el punto a), y los backups efectuados.
Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo
del medio magntico empleado.
Reemplazo de los Backups, en forma peridica, antes que el medio magntico de
soporte se pueda deteriorar (reciclaje o refresco).
Almacenamiento de los Backups en locales diferentes donde reside la informacin
primaria (evitando la prdida si el desastre alcanzo todo el edificio o local estudiado).
Pruebas peridicas de los Backups (Restore), verificando su funcionalidad, a travs
de los sistemas, comparando contra resultados anteriores confiables.
1.2.1.2 Formacin de Equipos Operativos
12
ESTIMACION DE RIESGO
Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos en cuanto a
archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas.
Supervisar procedimientos de respaldo y restauracin.
Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de los
respaldos incrementales.
Coordinar lneas, terminales, modem, otros aditamentos para comunicaciones.
Establecer procedimientos de seguridad en los sitios de recuperacin.
Organizar la prueba de hardware y software.
Ejecutar trabajos de recuperacin.
Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el
local alternante.
Realizar procedimientos de control de inventario y seguridad del almacenamiento
en el local alternante.
Establecer y llevar a cabo procedimientos para restaurar el lugar de recuperacin.
Participar en las pruebas y simulacros de desastres.
1.2.1.3 Formacin de Equipos de Evaluacin (Auditora de cumplimiento de
los procedimientos sobre Seguridad)
Esta funcin debe ser realizada de preferencia por personal de Inspectora, de no ser
posible, la realizar el personal del rea de Informtica, debiendo establecerse
claramente sus funciones, responsabilidades y objetivos:
Revisar que las Normas y procedimientos con respecto a Backups y seguridad de
equipos y data se cumpla.
Supervisar la realizacin peridica de los backups, por parte de los equipos
operativos, comprobando fsicamente su realizacin, adecuado registro y
almacenamiento.
Revisar la correlacin entre la relacin de Sistemas e Informaciones necesarios para
la buena marcha de la Institucin (detallados en a), y los backups realizados.
Informar de los cumplimientos e incumplimientos de las Normas, para las acciones
de correccin respectivas.
13
ESTIMACION DE RIESGO
1.2.2.1 Plan de Emergencias
Durante el da.
Durante la Noche o madrugada.
Este plan deber incluir la participacin y actividades a realizar por todas y cada una de
las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro,
debiendo detallar:
Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.) con funciones
claramente definidas a ejecutar durante el siniestro.
Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que
el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber
de existir dos equipos de personas que actuen directamente durante el siniestro, un
equipo para combatir el siniestro y otro para el salvamento de los recursos
Informticos, de acuerdo a los lineamientos o clasificacin de prioridades, para salvar
los equipos sealados en el acpite 1.2.1.1.
1.2.2.3 Entrenamiento
Establecer un programa de prcticas peridicas de todo el personal en la lucha contra
los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en
los planes de evacuacin del personal o equipos, para minimizar costos se puede
aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros
TCNICAS DE SEGURIDAD ELCTRICA
14
ESTIMACION DE RIESGO
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y
tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es
conveniente que participen los elementos directivos, dando el ejemplo de la
importancia que la alta direccin otorga a la Seguridad Institucional.
Toda vez que el Plan de accin es general y contempla una prdida total, la evaluacin
de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades
que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y
urgentes de nuestra Institucin.
Es importante evaluar la dedicacin del personal a actividades que puedan no haberse
afectado, para ver su asigna miento temporal a las actividades afectadas, en apoyo al
personal de los sistemas afectados y soporte tcnico.
15
ESTIMACION DE RIESGO
1.3.2.3 Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de equipos de trabajo para realizar las
actividades previamente planificadas en el Plan de accin (1.2.1.1). Cada uno de estos
equipos deber contar con un coordinador que deber reportar diariamente el avance
de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de
inmediato a la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del
servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es
volver a contar con los recursos en las cantidades y lugares propios del Sistema de
Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para
no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no
perjudicar la operatividad de la Institucin o local de respaldo.
1.3.2.4 Evaluacin de Resultados.
Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron
afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades
realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias
modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se
comportaron los equipos de trabajo, etc.
De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de
recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista
de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro.
1.3.2.5 Retroalimentacin del Plan de Accin.
16
ESTIMACION DE RIESGO
II.
17
ESTIMACION DE RIESGO
Una base de datos es un conjunto de datos organizados, entre los cuales existe una
correlacin y que adems, estn almacenados con criterios independientes de los
programas que los utilizan.
Tambin puede definirse, como un conjunto de archivos interrelacionados que es
creado y manejado por un Sistema de Gestin o de Administracin de Base de Datos
(Data Base Management System-DBMS).
Las caractersticas que presenta un DBMS son las siguientes:
f) Acceso
Es la recuperacin o grabacin de datos que han sido almacenados en un sistema de
computacin. Cuando se consulta a una base de datos, los datos son primeramente
recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.
g) Ataque
Trmino general usado para cualquier accin o evento que intente interferir con el
funcionamiento adecuado de un sistema informtico, o intento de obtener de modo
no autorizado la informacin confiada a una computadora.
h) Ataque activo
Accin iniciada por una persona que amenaza con interferir el funcionamiento
adecuado de una computadora, o hace que se difunda de modo no autorizado
informacin confiada a una computadora personal. Ejemplo: El borrado intencional de
archivos, la copia no autorizada de datos o la introduccin de un virus diseado para
interferir el funcionamiento de la computadora.
i) Ataque pasivo
Intento de obtener informacin o recursos de una computadora personal sin interferir
con su funcionamiento, como espionaje electrnico, telefnico o la intercepcin de
una red. Todo sto puede dar informacin importante sobre el sistema, as como
permitir la aproximacin de los datos que contiene.
j) Amenaza
18
ESTIMACION DE RIESGO
Cualquier cosa que pueda interferir con el funcionamiento adecuado de una
computadora personal, o causar la difusin no autorizada de informacin confiada a
una computadora. Ejemplo: Fallas de suministro elctrico, virus, saboteadores o
usuarios descuidados.
k) Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente,
como por ejemplo las fallas de suministro elctrico o un intento de borrado de un
archivo protegido
l) Golpe (breach)
Es una violacin con xito de las medidas de seguridad, como el robo de informacin,
el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.
19
ESTIMACION DE RIESGO
III.
SEGURIDAD DE LA INFORMACION
20
ESTIMACION DE RIESGO
3.1.1 Control de Acceso al Area de Sistemas
La libertad de acceso al rea de sistemas puede crear un significativo problema de
seguridad.
El acceso normal debe ser dado solamente a la gente que regularmente trabaja en esta
rea. Cualquier otra persona, de otro modo puede tener acceso nicamente bajo
control.
Mantener la seguridad fsica de su rea de sistema es su primera lnea de defensa. Para
ello deber tomar en consideracin el valor de sus datos, el costo de proteccin, el
impacto que su prdida podra tener en su organizacin y la motivacin, competencia
y oportunidades de la gente que podra querer daar los datos o el sistema.
Existen diferentes formas de implementarlo:
Forma Institucional.- El acceso al Area de Sistemas se identifica en el rea de
Recepcin Institucional, asignndole un color especfico: rojo por ejemplo.
Slo en el Area.- Asignando un puesto de vigilancia en el ingreso al Area de
Sistemas.
3.1.2 Acceso Limitado a los Terminales
Los terminales que son dejados sin proteccin pueden ser mal usados. Cualquier
terminal que puede ser utilizado como acceso a los datos de un Sistema controlado,
debe ser encerrado en un rea segura o guardado, de tal manera que no sean usados,
excepto por aquellos que tengan autorizacin para ello.
Igualmente, se deber considerar la mejor manera de identificar a los operadores de
terminales del Sistema, y el uso de contraseas, cuando un terminal no sea usado
pasado un tiempo predeterminado (5 - 10 Min.).
Restricciones que pueden ser aplicadas:
Determinacin de los perodos de tiempo para los usuarios o las terminales.
Designacin del usuario por terminal o del terminal por usuario.
Limitacin del uso de programas para usuario o terminales.
Lmite de tentativas para la verificacin del usuario.
Tiempo de validez de las seas.
3.1.3 Control de acceso a la Informacin
Algunos usuarios o extraos (personal no autorizado) pueden encontrar alguna forma
mediante la cual, logren el acceso al sistema o la base de datos y descubrir informacin
clasificada o datos no autorizados.
21
ESTIMACION DE RIESGO
22
ESTIMACION DE RIESGO
usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de
acceso. Las distinciones que existen en los niveles de acceso estn referidas a la lectura
o modificacin en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la informacin:
Nivel de consulta de la informacin no restringida o reservada.
Nivel de mantenimiento de la informacin no restringida o reservada.
Nivel de consulta de la informacin incluyendo la restringida o reservada.
Nivel de mantenimiento de la informacin incluyendo la restringida.
a) Nivel de consulta de la informacin
El privilegio de lectura est disponible para cualquier usuario y slo se requiere un
conocimiento de la estructura de los datos, o del Sistema de otro usuario para lograr el
acceso.
La autorizacin de lectura permite leer pero no modificar la base de datos.
b) Nivel de mantenimiento de la informacin
El concepto de mantenimiento de la informacin consiste en:
Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes.
Actualizacin. Permite modificar la informacin pero no la eliminacin de datos.
Borrado. Permite la eliminacin de datos.
Un usuario puede tener asignados todos, ninguno o una combinacin de los tipos de
autorizacin anteriores. Adems de las formas de autorizacin de acceso de datos
antes mencionados, es posible autorizar al usuario para que modifique el esquema de
la base de datos, pero es preferible que esta funcin sea de responsabilidad del Centro
de Cmputo.
Cada palabra clave debe tener asignado uno de los niveles de acceso a la informacin
mencionados anteriormente.
La forma fundamental de autoridad es la que se le da al administrador de la base de
datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar la base de
datos, etc. Esta forma de autorizacin es anloga a la que se provee a un "super
usuario" o al operador para un sistema operativo.
3.2 Destruccin
Sin adecuadas medidas de seguridad las empresas pueden estar a merced no slo de la
destruccin de la informacin sino tambin de la destruccin de su equipo informtico.
La destruccin del equipo puede darse por una serie de desastres como son: incendios,
inundaciones, sismos, o posibles fallas elctricas, etc.
Cuando se pierden los datos y no hay disponibles copias de seguridad, se han de volver
TCNICAS DE SEGURIDAD ELCTRICA
23
ESTIMACION DE RIESGO
a crear los datos o trabajar sin ellos. De hecho, se puede comprobar cmo una gran
parte del espacio en disco est ocupado por archivos, que es til tener a mano pero
que no son importantes para el funcionamiento normal. Un ejemplo tpico son las
copias de la correspondencia en forma de archivos del procesador de textos. Estos
archivos se guardan muchas veces como referencia o, por si hubiera que enviar cartas
parecidas en un futuro. Sin embargo, probablemente tambin existe copia en papel de
estas cartas. Si se borran los archivos, puede ser molesto, pero las consecuencias en la
organizacin pueden ser mnimas.
Los archivos de contabilidad suponen una situacin diferente, ya que volver a crearlos
puede necesitar de mucho tiempo y costo. Muchas organizaciones basan en estos
archivos la toma de decisiones diaria. Sin los datos al da, el funcionamiento se vera
seriamente daado. Para evitar daos mayores al ser destruida la informacin, debe
hacerse backupsde la informacin vital para la empresa y almacenarse en lugares
adecuadamente preparados para ese fin y de preferencia aparte del local donde se
encuentran los equipos que usualmente lo manejan.
Hay que protegerse tambin ante una posible destruccin del hardware o software por
parte de personal no honrado. Por ejemplo: hay casos en los que, empleados que han
sido recientemente despedidos o estn enterados que ellos van a ser despedidos, han
destruido o modificado archivos para su beneficio inmediato o futuro.
24
ESTIMACION DE RIESGO
3.4 Modificaciones
La importancia de los datos que se modifican de forma ilcita, est condicionada al
grado en que la organizacin depende de los datos para su funcionamiento y toma de
decisiones. Si fuera posible, sto podra disminuir su efecto si los datos procedentes de
las computadoras que forman la base de la toma de decisiones, se verificarn antes de
decidir. Hay que estar prevenido frente a la tendencia a asumir que si viene de la
computadora, debe ser correcto.
Determinar procedimientos para controlar los programas de aplicacin
Adicionalmente a proteger sus programas de Aplicacin como activos, es a menudo
necesario establecer controles rgidos sobre las modificaciones a los programas, para
estar seguros de que los cambios no causan daos accidentales o intencionados a los
datos o a su uso no autorizado.
Deben ser considerados como medidas de seguridad para proteger los datos en el
sistema, las limitaciones en el mbito de los programas de aplicacin, auditoras y
pruebas, revisiones de modificaciones, exclusin cuando sea necesario de los
programas de aplicacin de las reas de sistemas (pase al "Area de Produccin" o a
"Biblioteca de Programas") y restricciones efectivas en los programas de aplicacin de
las reas de sistemas (necesidad de documento de autorizacin para tener acceso a los
programas de aplicacin).
Particular atencin debe ser dada al dao potencial que pueda efectuar un
programador a travs de una modificacin no autorizada.
Nuestra mejor proteccin contra la prdida de datos consiste en hacer copias de
seguridad, almacenando copias actualizadas de todos los archivos valiosos en un lugar
seguro.
Los usuarios deben ser concientizados de la variedad de formas en que los datos
pueden perderse o deteriorarse. Una campaa educativa de este tipo puede iniciarse
con una reunin especial de los empleados, profundizarse con una serie de seminarios
y reforzarse con carteles y circulares relacionados al tema.
Para la realizacin de las copias de seguridad se tiene que tomar algunas decisiones
TCNICAS DE SEGURIDAD ELCTRICA
25
ESTIMACION DE RIESGO
previas como por ejemplo Qu soporte de copias de seguridad se va usar? ,Se van a
usar dispositivos especializados para copia de seguridad?, Con qu frecuencia se
deben realizar copias de seguridad?, Cules son los archivos a los que se le sacar
copia de seguridad y donde se almacenar?, etc. Las empresas podran desear
establecer directrices claras en estas materias, para que los usuarios tengan claras
cules son sus responsabilidades. Tales reglas y normativas pueden incorporase en una
campaa educativa.
Las empresas deben tener muy en cuenta los siguientes puntos para la proteccin de
sus datos de una posible contingencia.
1. Hacer de la copia de seguridad una poltica, no una opcin.
2. Hacer que la copia de seguridad resulte deseable.
3. Facilitar la ejecucin de la copia de seguridad (equipos adecuados, disponibilidad,
suministros).
4. Hacer la copia de seguridad obligatoria.
5. Asegurarse de que los usuarios cumplen la poltica de copias de seguridad (Poltica
de Auditora a las Copias de Seguridad).
IV.
POLITICAS DE SEGURIDAD
26
ESTIMACION DE RIESGO
poseen un incentivo para hacerlo. D a las personas de su organizacin un incentivo
para mantenerla. Establezca premios para las ideas que supongan trucos de seguridad
y que apoyen las medidas de seguridad oficiales. Haga que los responsables ofrezcan
recompensas sustanciosas a los ganadores
Establezca una lnea de comunicacin sobre seguridad. El personal debe conocer
dnde puede obtener consejos sobre los temas de seguridad. Tambin deben de poder
informar sobre violaciones de la seguridad o actividades sospechosas de forma
annima. Por otro lado, ofrezca recompensas por informar de las violaciones de
seguridad.
Las normas de seguridad tambin describen el modo de funcionamiento de los
dispositivos de seguridad y su administracin. Por ejemplo, supongamos un dispositivo
simple de bloqueo de teclado. En las normas de seguridad se podra indicar:
Todos los usuarios bloquearn su teclado cada vez que dejen sin atencin su sistema.
Pero sto no es suficiente. Debe estar reglamentado quin ha de disponer de la llave
principal y quin ha de controlar las copias.
27
ESTIMACION DE RIESGO
escribir, procesar o autorizar un programa, trabajo o especficamente un cambio, debe
ser asignado a diferentes personas. La separacin efectiva de funciones sensitivas
relacionadas, ayudar a reducir los errores y el riesgo de actos no autorizados
cometidos deliberadamente por el personal de Procesamiento de Datos.
Las normas se han de trasladar en la jerarqua para que las personas clave,
implementen las medidas de seguridad dadas y ejecuten las acciones adicionales
necesarias. Por ejemplo:
Cualquiera que utilice una computadora personal deber grabar su trabajo y
desconectar la computadora, siempre que la deje de usar.
El responsable del servicio de informtica realizar comprobaciones puntuales para
asegurar que las copias de seguridad se realizan segn el plan aprobado.
Cuando se elabora la poltica de seguridad, tambin se debe tener muy en cuenta:
V.
28
ESTIMACION DE RIESGO
El fuego es considerado el principal enemigo del computador ya que puede destruir
fcilmente los ficheros de informacin y programas.
Adems de la prdida de ficheros o del equipo, el fuego puede causar otras prdidas
no cubiertas por el seguro. La ms importante es la prdida del "momento del
negocio". Un contratiempo de semanas o meses causa irreparables daos a cualquier
organizacin, aunque lograra situarse en las condiciones originales.
A continuacin presentaremos algunos elementos en la lucha contra este tipo de
amenaza.
5.1.1.1 Sistemas Automaticos Antifuego
a) Sprinklers. Es un sistema ''Tipo Ducha. La instalacin de este sistema se efecta en
la parte superior del ambiente, como el techo.
Cuando se activa el sprinklers se abren las vlvulas y como si fuera una ducha, cae el
agua al lugar donde los detectores de humo y/o calor detectan la seal de incendio.
Este sistema es bastante eficaz para combatir un posible incendio, pero no es
recomendable en los departamentos con equipos de cmputo, ya que este sistema
puede daar los equipos, adems de ser el agua un excelente conductor de la
electricidad.
b) Inundacin del rea con gas. Otro de los mtodos muy eficaces para combatir el
fuego es la inundacin del rea con gas antifuego. En una emergencia por fuego, el
rea se inunda con un determinado gas como:
Dixido de Carbono,
Haln.
Este sistema no causa dao al equipo, pero el personal tiene que abandonar el lugar
con rapidez, porque este tipo de gas quita el oxgeno, por tanto las personas no
pueden respirar y consecuentemente, causar la muerte por ahogamiento.
5.1.1.2 Extinguidores Manuales
Cuando no se cuenta con sistemas automticos antifuego y se vea o perciba seales de
fuego, entonces se debe actuar con rapidez para poder sofocar el incendio. Para ello,
se debe tener en cuenta el material que est siendo consumido por el fuego. Para cada
tipo de situacin hay un agente antifuego ideal, as tenemos:
29
ESTIMACION DE RIESGO
PAPEL, MADERA
este tipo de material
que deja brasa
o ceniza requiere un
agente que moje o enfre.
GAS
CARBONICO
(CO2)
ESPUMA
AGUA
apaga solamente
en la superficie
sofoca
excelente
enfra y empapa
apaga totalmente
EQUIPAMIENTO
ELECTRICO
excelente
no deja residuos,
no daa el
conduce la electricidad y
equipamiento y no adems daa el equipo.
es conductor de
electricidad
LIQUIDOS INFLAMABLES
(aceites, gasolina, grasa, etc.) ,
requieren
accin rpida de sofocar y enfriar.
Bueno; no deja
residuos y es
inofensivo
Materia
MATERIAL
CO2
conductora de
electricidad.
MODO DE OPERARLOS
MODO DE OPERARLOS
1.- Retirar la traba de seguridad
2.- Asegure firmemente el mango difusor
3.- Apretar el gatillo
4.- Oriente el chorro hacia la base del fuego haciendo un barrido.
Alcance: 1 a 2 metros.
Substancia: Bixido de carbono
Momento del Recargo: Prdida del 10% o mas del peso.
ESPUMA
AGUA - GAS
30
ESTIMACION DE RIESGO
7.1.1.3 Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.
Ellos deben recibir algunas lecciones de instrucciones en el mecanismo de lucha contra
el fuego y luego, estar enseados de cmo operar el extinguidor de mano.
Si hay sistemas de deteccin de fuego que activaron el Sistema de Extincin, todo el
personal de esa rea debe estar entrenado en la forma cmo usarlos. Es muy
importante que todo el personal reciba la instruccin de no interferir con este proceso
automtico y evitar su actuacin en el sistema de extincin, a menos que estn
seguros que no hay fuego.
Muchas veces la sensibilidad de comienzo de fuego en los aparatos de deteccin es
muy alta. Esto genera falsas alarmas y el personal de operacin se acostumbra a
detener el sistema automtico de extincin de fuego, sin observar realmente si hay
incendio.
31
ESTIMACION DE RIESGO
BOMBEROS
Conseguir informacin con el Departamento local de Bomberos, antes de que ellos
sean llamados en una emergencia. Hacer que el Departamento est consciente de las
particularidades y vulnerabilidades del sistema por excesivas cantidades de agua que
provienen de arriba y la conveniencia de una salida para el humo, tanto que minimice
la cantidad de penetracin al rea de Procesamiento de Datos.
No es razonable anticipar que el Departamento de Bomberos puede estar
completamente enterado de la situacin peculiar presentada por su particular
instalacin. Ellos no podran proporcionar intereses apropiados para la proteccin del
sistema de Procesamiento de Datos, si no se les ha dado la oportunidad de revisarlo.
Adems, ellos pueden, usualmente, ofrecer excelentes consejos como precauciones,
los cuales deben ser tomados para prevenir incendios.
Otro de los peligros relevantes es el agua. El agua puede entrar en una sala de
computadores por varios conductos.
Computadores en stanos o a nivel de calle son vulnerables a inundaciones, los
centros de cmputo tambin pueden quedar inundados por caeras reventadas en el
suelo, falso techo o paredes.
Aunque realmente el agua es una amenaza para los componentes del computador y
cables, no constituye un verdadero peligro para las cintas magnticas. Se ha
demostrado en pruebas, que cintas sumergidas en agua durante varias horas han
podido ser ledas de nuevo (libres de errores), despus de secarlas durante dos das. Si
el agua, por si sola, no constituye un serio peligro y el calor por debajo de 120 grados
no es perjudicial, ambos elementos juntos pueden causar serios problemas.
Las cintas magnticas pueden ser destruidas por temperaturas de slo 54 grados
TCNICAS DE SEGURIDAD ELCTRICA
32
ESTIMACION DE RIESGO
cuando la humedad relativa es del 85 por 100. Estas condiciones pueden producirse
fcilmente dentro de un coche cerrado en un da caluroso.
Supresores de picos.
Estabilizadores, y
Sistemas de alimentacin ininterrumpida (SAI o UPS: UNINTERRRUPTIBLE
POWER SISTEM.
33
ESTIMACION DE RIESGO
Estado
34
ESTIMACION DE RIESGO
VI.
35
ESTIMACION DE RIESGO
Niveles de Control:
36
ESTIMACION DE RIESGO
37
ESTIMACION DE RIESGO
d. Las ranuras de los ventiladores de refrigeracin deben estar libres.
e. Se debe evitar, en lo posible, la introduccin de partculas de polvo que pueden
originar serios problemas.
6.2.3 Recomendaciones para el mantenimiento de los Discos Duros.
Aunque el conjunto de cabezales y discos viene de fbrica sellado hermticamente,
debe evitarse que los circuitos electrnicos que se encuentran alrededor se llenen de
partculas de polvo y suciedad que pudieran ser causa de errores.
El ordenador debe colocarse en un lugar donde no pueda ser golpeado, de preferencia
sobre un escritorio resistente y amplio.
Se debe evitar que la microcomputadora se coloque en zonas donde haya acumulacin
de calor. Esta es una de las causas ms frecuentes de las fallas de los discos duros,
sobre todo cuando algunas piezas se dilatan ms que otras.
No se debe mover la CPU conteniendo al disco duro cuando est encendido, porque
los cabezales de lectura-escritura pueden daar al disco.
Una de las medidas ms importantes en este aspecto, es hacer que la gente tome
conciencia de lo importante que es cuidar un microcomputador.
6.2.4 Recomendaciones para el mantenimiento de Disquetes
Las recomendaciones que a continuacin se sugieren se aplican en general para los
diferentes tipos de disquetes: de 5 " y 3 " de alta y baja densidad en ambos casos.
a. Debe mantenerse a una temperatura normal, en un rango comprendido entre los
10C y 52C, con la finalidad de evitar que se deteriore el material del cual est hecho.
b. Para coger el disquete debe hacerse por la parte plstica y nunca por la parte fsica
interna, debido a que por su tecnologa, el proceso de almacenamiento es magntico y
el cuerpo humano ejerce cierta fuerza magntica y puede desmagnetizarse.
c. De manera similar, no debe acercarse a los disquetes ningn cuerpo con
propiedades magnticas (como los imanes), ya que podran provocar la prdida
irrecuperable de los datos ya almacenados.
d. Cuando se est grabando o borrando informacin no se debe levantar la compuerta
del disk drive (disquete de 5 ") o presionar el botn (disquete de 3 "), porque puede
ocurrir que no slo se dae la informacin restante, sino tambin el formato lgico,
tomndolos como bloques de sectores daados.
e. Los disquetes deben mantenerse en sus respectivas fundas y en su manipuleo se
debe evitar:
* Doblar los disquetes
* Colocar un peso sobre ellos, debiendo mantenerse en zonas libres.
* Tratarlos como una placa simple de plstico, es decir, no se debe usar clips o grapas
para unirlos con otros materiales (hojas u otros disquetes).
38
ESTIMACION DE RIESGO
39
ESTIMACION DE RIESGO
CONCLUSIONES
Un plan de contingencias es un instrumento de gestin para el buen gobierno de
las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el
desempeo.
Al finalizar este documento se hace notar los siguientes objetivos:
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta
una estructura estratgica y operativa que ayudar a controlar una situacin de
emergencia y a minimizar sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos alternativos al
funcionamiento normal de una organizacin, cuando alguna de sus funciones usuales
se ve perjudicada por una contingencia interna o externa.
Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento
de la organizacin frente a cualquier eventualidad, ya sean materiales o personales. Un
plan de contingencia incluye cuatro etapas bsicas: la evaluacin, la planificacin, las
pruebas de viabilidad y la ejecucin.
Los especialistas recomiendan planificar cuando an no es necesario; es decir, antes de
que sucedan los accidentes. Por otra parte, un plan de contingencia debe ser dinmico
y tiene que permitir la inclusin de alternativas frente a nuevas incidencias que se
pudieran producir con el tiempo. Por eso, debe ser actualizado y revisado de forma
peridica.
Un plan de contingencia tambin tiene que establecer ciertos objetivos estratgicos y
un plan de accin para cumplir con dichas metas.
En concreto podemos establecer que todo plan de contingencia tiene que estar
conformado a su vez por otros tres planes que sern los que establezcan las medidas a
realizar, las amenazas a las que se hace frente y el tiempo de establecimiento de
aquellas.
En primer lugar, est el plan de respaldo que es aquel que se encarga de determinar lo
que son las medidas de prevencin, es decir, las que se tienen que llevar a cabo con el
claro objetivo de evitar que pueda tener lugar la materializacin de una amenaza en
concreto.
En segundo lugar, tambin integra al proyecto de contingencia lo que es el plan de
emergencia que, como su propio nombre indica, est conformado por el conjunto de
acciones que hay que llevar a efecto durante la materializacin de la amenaza y
tambin despus de la misma. Y es que gracias a aquellas se conseguir reducir y
acabar con los efectos negativos de aquella.
Y en tercer lugar est el plan de recuperacin que se realiza despus de la amenaza
con el claro objetivo de recuperar el estado en el que se encontraban las cosas antes
de que aquella se hiciera real.
40
ESTIMACION DE RIESGO
BIBLIOGRAFA
http://www.minem.gob.pe/minem/archivos/Cap%C3%83%C2%ADtulo%208%20%20Plan%20de%20Contingencias.pdf
http://www.seguridad-la.com/artic/segcorp/7209.htm
http://es.wikipedia.org/wiki/Plan_de_contingencias
http://www.indeci.gob.pe/prev_desat/pdfs/ley28551.pdf
http://intranet2.minem.gob.pe/web/archivos/dgaae/publicaciones/resumen/calidda/
9.pdf
http://www.osinerg.gob.pe/newweb/uploads/GFH/08.-PCGrifoFlotante.pdf
http://gasnatural.osinerg.gob.pe/contenidos/uploads/GFGN/PlandeContingencia_Ago
sto11.pdf
http://www.osinerg.gob.pe/newweb/uploads/GFH/08.-PCGrifoFlotante.pdf
http://www.ongei.gob.pe/publica/metodologias/Lib5007/0300.htm
http://es.slideshare.net/Chenny3/plan-de-contingencia-8874360
http://www.digesa.sld.pe/Plan.pdf
http://www.indeci.gob.pe/prev_desat/pdfs/ley28551.pdf
http://www.forodeseguridad.com/artic/segcorp/7209.htm
http://www.minsa.gob.pe/portada/especiales/2011/temporadadelluvias/Contingencia
/Plan_Contingencia-San-Mateo.pdf
http://norma-ohsas18001.blogspot.com/2013/09/planes-de-contingencia.html
http://www.sedapal.com.pe/Contenido/ambiental/ambiental/disco1/018%20CAPITUL
O%2017%20Plan%20de%20Contingencias.pdf
http://www.monografias.com/trabajos24/plan-contingencia/plan-contingencia.shtml
http://www.monografias.com/trabajos96/plan-contingencia-mercado-modelo/plancontingencia-mercado-modelo.shtml
41