PLAN DE CONTINGENCIA Y

CONTINUIDAD
DISPOSITIVOS SWITCH

PRESENTADO POR:

JIMMY ALEXANDER DAZA TARQUINO

CODIGO 10140

DIRIGIDO A:

INGENIERO ALEXANDER SABOGAL

UNIVERSIDAD ECCI
AUDITORIA DE SISTEMAS
El contenido del presente trabajo ayudara a los administradores encargados de la seguridad de la
red evitar los posibles riesgos determinados en la matriz buscando generara un plan de contingencia
y continuidad en el negocio donde este se requiera, lo primero que nos debemos preguntar es ¿qué
es un plan de contingencia y continuidad?

Características:

 Nace de un análisis de riesgos

 Garantiza la continuidad en el negocio de las operaciones en infraestructura, sistemas,
equipos y comunicaciones.
 Tiene revisiones periódicas.
 Es probado periódicamente.

Objeto

Asegurar la continuidad y/o recuperación oportuna de los sistemas, comunicaciones e

infraestructura ante un desastre. Accidente o daño intencional o accidental

Los riesgos que se seleccionaron con el grupo de trabajo fueron:

RIESGOS CAUSAS
Mala configuración Personal no idóneo
Infraestructura Fallas eléctricas
Falta de políticas Detección en la producción
mantenimiento Fallas técnicas

POSIBLES AMENAZAS

Ataques que usan ARP Spoofing: Switch Port Stealing (Sniffing): Utilizando ARP Spoofing el atacante
consigue que todas las tramas dirigidas hacia otro puerto del switch lleguen al puerto del atacante
para luego reenviarlos hacia su destinatario y de esta manera poder ver el tráfico que viaja desde el
remitente hacia el destinatario (Una especie de Sniffing half-duplex).

Man in the Middle (Sniffing): Utilizando ARP Spoofing el atacante logra que todas las tramas que
intercambian las víctimas pasen primero por su equipo (Inclusive en ambientes switcheados)
Secuestro (Hacking): Utilizando ARP Spoofing el atacante puede lograr redirigir el flujo de tramas
entre dos dispositivos hacia su equipo. Así puede lograr colocarse en cualquiera de los dos extremos
de la comunicación (previa des habilitación del correspondiente dispositivo) y secuestrar la sesión.

Denial of service (DOS): Utilizando ARP Spoofing el atacante puede hacer que un equipo crítico de
la red tenga una dirección MAC inexistente. Con esto se logra que las tramas dirigidas a la IP de este
dispositivo se pierdan.

Estrategias de plan de contingencia y continuidad

Las estrategias de contingencia/continuidad de los procesos están diseñadas para identificar

prioridades y determinar en forma razonable las soluciones a ser seleccionadas en primera instancia
o los riesgos a ser encarados en primer lugar. Hay que decidir si se adoptarán las soluciones a gran
escala, como las opciones de recuperación de desastres para un centro de datos alterno.

Después de que se presente el siniestro o desastre se deben realizar actividades con las que se
detallen la magnitud del daño que se ha producido, que sistemas se están afectados, que equipos
han quedado no operativos, cuales se pueden recuperar y en cuanto tiempo, Adicionalmente se
lanza un pre-aviso a los sitios externos donde se está custodiando la información que está en
backup, para ir avanzando en las labores de restablecimiento del servicio.

Toda vez que el Plan de acción es general y contempla una pérdida total, la evaluación de daños
reales y su comparación, dará la lista de las actividades que se deben realizar, siempre priorizando
a las actividades estratégicas y urgentes de la Entidad. Es importante evaluar la dedicación del
personal a actividades que puedan no haberse afectado, para ver su asignación temporal a las
actividades afectadas, en apoyo al personal de los sistemas afectados y soporte técnico. Con el fin
de establecer una estrategia clara en el Plan Institucional de Contingencias Informáticas se
evaluarán los siguientes aspectos:

 Plan de respaldo: tiene que ver de cómo se llevan a cabo las acciones críticas entre la
pérdida de un servicio o recurso, y su recuperación o restablecimiento. Todos los nuevos

 diseños de sistemas, proyectos o ambientes, tendrán sus propios planes de respaldo.

 Respaldo de datos vitales: se deben identificar las áreas para realizar los respaldos (sistemas
 en red, sistemas no conectados a la red, sitio web).

Plan de recuperación: se consideran varios ítems:

 Objetivos del plan de recuperación: Determinación de la políticas y procedimientos para

respaldar las aplicaciones y datos, planificar la reactivación dentro de las 12 horas de
producido un desastre, todo el sistema de procesamiento y sus funciones asociadas,
 permanente mantenimiento y supervisión de los sistemas y aplicaciones, establecimiento
de una disciplina de acciones a realizar para garantizar una rápida oportuna respuesta
 frente a un desastre.
 Alcance del Plan de recuperación: El objetivo es restablecer en el menor tiempo posible el
nivel de operación normal del centro de procesamiento de la información, basándose en los
planes de emergencia y de respaldo a los niveles del centro de cómputo y de los demás
niveles.
 La responsabilidad sobre el Plan de recuperación es de la Administración, la cual debe
considerar la combinación de todo su personal, equipos, datos, sistemas,
comunicaciones y suministros.

CONTINGENCIA EN LOS ELEMENTOS FISICOS

a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s)como en el
procesador central.
b) Falla en el hardware de Red: Falla en los Switches. Falla en el cableado de la Red.
c) Falla en el Router.
d) Falla en el Firewall.

Las alteraciones que sufran los servidores tanto en Software y Hardware pueden ser corregidas en
la mayoría de los casos, sin embargo en algunas ocasiones, las alteraciones llegan a ser tan grandes
que el tiempo requerido para el inicio de las operaciones normales puede extenderse hasta por días
sin tener la absoluta certeza de que las correcciones que se hicieron fueron las necesarias, por tal
motivo es mejor acudir a los respaldos de información y restaurar los datos, de esta forma las
operaciones del día no se verán afectadas y al mismo tiempo se ponen al día los datos faltantes de
la operación del día anterior. Análisis y Evaluación del daño causado por la alteración.

En el caso de que la alteración haga imposible el inicio inmediato de las operaciones se procede
como sigue:

 Recoger los respaldos de datos, programas, manuales y claves del lugar en el que se
encuentren resguardados. Responsable: Coordinador de Redes y Comunicaciones.

 Si las fallas se derivan del mal funcionamiento de un equipo(Hardware) se procede a su

reemplazo inmediato o remitirse a la póliza de mantenimiento. Responsable: Coordinador
de Redes y Comunicaciones.

 Instalar (sí lo amerita) el sistema operativo. Responsable: Coordinador de Redes y

Comunicaciones.

 Restaurar la información de las bases de datos y programas. Responsable: Coordinador de

Sistemas.
 Revisar y probar la integridad de los datos. Responsable: Coordinador de Sistemas.
  Iniciar las operaciones.

En los casos en que la alteración puede ser corregida sin problemas graves, se procede conforme a
lo siguiente:

 Corrección de las alteraciones que se localicen en los servidores Hardware. Responsable:

Coordinador de Redes y Comunicaciones.

 Corrección de las alteraciones que se localicen en los servidores Software. Responsable:

Coordinador de Sistemas.

 Revisión y prueba de la integridad de los datos. Responsable: Coordinador de Sistemas.

 Iniciar las operaciones.

RECOMENDACIONES A NIVEL FÍSICO

 El servidor de archivos no debe ser accesible físicamente a cualquier persona.

 Es conveniente que exista un espacio físico donde se ubique el servidor, con acceso restringido
al personal autorizado, y que cumpla con los requisitos adecuados para su funcionamiento,
como temperatura ambiental adecuada, aislado del polvo y plagas dañinas.
 En este espacio, además de ubicar el servidor, se pueden ubicar los elementos más sensibles de
la red corporativa como el HUB/Switch y el servidor proxy.

RECOMENDACIONES A NIVEL LÓGICO

Habilitar un firewall que evite ingresos desde redes externas hacia la red corporativa. Para la
implementación del mismo presentamos las siguientes opciones:

 La primera opción consta de configurar adecuadamente el firewall que viene incluido con el
sistema operativo Linux Suse 8.0

 La segunda opción sería adquirir un hardware de seguridad que entre sus características tenga
implementado un firewall, el hardware sugerido es el siguiente: SGS360 APPLIANCE. Para más
detalles del producto.
La recomendación de hardware incrementaría los costó de seguridad los cuales se verían justificados
por la posible expansión de la empresa.

 Instalar un sistema de detección de intrusos para monitorear los accesos o tentativas

de accesos a la red corporativa para esto presentamos a continuación dos opciones:

 La primera opción es un software de IDS instalado en el servidor proxy de la red. Este puede
ser LIDS (Linux Intrusión Detección System), que es un parche del kernel de Linux que
permite implementar funcionalidades de IDS al sistema operativo, y debido a ser open
source, no tiene costo.

 La segunda opción es utilizar el IDS que esta implementado en el SGS360 APPLIANCE de

Symantec. Deshabilitar los servicios que no sean necesarios y luego de esto verificar los
posibles puertos que se encuentren abiertos innecesariamente para proceder a cerrarlos.
Esta información se encuentra detallada en la situación actual.

 Concienciar a los usuarios de la red, se deberá concienciar a los usuarios de la red, acerca
de una política mínima de seguridad, por ejemplo, evitar las claves fácilmente descifrables.
Esta información se encuentra detallada en las políticas de seguridad informática.

 Solo está permitido instalar en las computadoras el software requerido para el

desarrollo de las actividades de la empresa, para esto se contará con un listado de dicho
software, el cual deberá ser seleccionado por la Gerencia y jefes de área. Debido a que en
SASF el servidor de Base de Datos y de archivos en ocasiones es al mismo tiempo una
estación de trabajo, es fácil que se produzca pérdida de información. Es por esta razón que
no se debe de instalar herramientas de desarrollo como lenguajes de programación y
compiladores.

 Teniendo presente que la mayoría de los ataques informáticos no vienen de fuera, sino de
dentro, según lo indican las estadísticas de penetración a las redes corporativas expuestas
en el anexo D, un usuario interno podría capturar contraseñas con una herramienta sniffer.
Para evitarlo, es conveniente que la red, en lugar de estar basada en un HUB, este basada en un
conmutador (SWITCH)

 Eso evitará que todos los paquetes de información lleguen a todas las
tarjetas de red. Usando una red conmutada puede evitar muchos intentos de espionaje de
la información que circula por la red.

 Es recomendable agregar contraseña del BIOS a todos los equipos de la red, para evitar
vulnerabilidades de acceso dependientes de los Sistemas Operativos Instalados.
BIBLIOGRAFIA

http://facatativa-cundinamarca.gov.co/apc-aa-files/32666261396530396563616434656231/plan-
de-contingencias-facatativa.pdf

https://es.scribd.com/doc/99474679/Plan-de-Contingencia-Mdlp-f-Ejemplo

http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Planes/Plan_Contingencia_
Centro_Computo_CORPAC_(GG-710-2008_06.08.2008).pdf