Auditora Computacional

Modulo 5 : El Centro de Procesamiento de Datos (CPD) y la Seguridad en la Auditoria Informtica

www.inacap.cl

5.1 Controles y Actividades del Centro de Procesamiento de Datos

5.1.1 Tipos de controles del CPD 5.1.2 Aspectos relacionados con el Orden en el CPD 5.1.3 Configuracin del CPD 5.1.4 Eficiencia de la produccin.

www.inacap.cl

1.1 Tipos de controles del CPD

Los datos son uno de los recursos ms valiosos de las empresas y, aunque son intangibles, necesitan ser controlados y auditados, por lo cual se debe tener presente:
La responsabilidad de los datos es compartida conjuntamente por alguna funcin determinada de la organizacin y el departamento de informtica.

Se debe determinar los propietarios o usuarios posibles y la responsabilidad de su actualizacin y consistencia.

Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los informes y grupos de procesos donde son generados.

www.inacap.cl

1.1.1 Control de los datos fuente y manejo de cifras de control

La mayora de los delitos computacionales son cometidos por modificaciones de datos fuente al:
Duplicar Procesos

Suprimir u Omitir Datos

Alterar Datos

Adicionar Datos

www.inacap.cl

1.1.1 Control de los datos fuente y manejo de cifras de control

El control de datos es importante en caso de equipos que cuentan con sistemas en lnea, en donde los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con identificacin de responsables de los datos, con claves de acceso de acuerdo a niveles.

2do Nivel Captura, Modificaciones y Consultas

3er Nivel Todo lo anterior, mas eliminaciones

1er Nivel Solo Consultas

www.inacap.cl

1.1.2 Control de Operacin

La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en los computadores.

Los instructivos de operacin proporcionan al operador informacin sobre los procedimientos que debe seguir en situaciones normales y anormales en el procesamiento.

Se debe contar con cuestionarios que permitan identificar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.

www.inacap.cl

1.1.3 Controles de Salida

Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribucin correcta de la salida, ya sea que se d en pantalla, en forma impresa o en medios magnticos. Los siguientes procedimientos de control se refieren a la salida:

Se debe realizar un filtrado inicial para detectar errores obvios tambin llamada Auditoria de Base de Datos. La salida deber dirigirse inmediatamente a un rea controlada, y esa distribucin solamente por personas autorizadas. Los totales de control de salida debern reconciliarse con lo totales de control de entrada para asegurar que ningn dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisin. Cualquier salida altamente delicada que no deba ser vista por el personal del centro de cmputo deber ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computacin.
www.inacap.cl

1.1.3 Controles de Salida

Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribucin correcta de la salida, ya sea que se d en pantalla, en forma impresa o en medios magnticos. Los siguientes procedimientos de control se refieren a la salida:

Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual entre el departamento de sistemas y el del usuario. A pesar de todas las precauciones tomadas, se presentarn algunos errores. El punto de control principal para la deteccin de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe fijar los procedimientos para el reporte sistemtico de la ocurrencia de errores o de incongruencias. El diseo de sistemas emplear un ciclo de retroalimentacin en el que los usuarios reporten todos los errores al grupo de control, y el grupo de control a su vez, tomar las acciones para corregir cualquier o inconsistencia que pudiera aparecer.
www.inacap.cl

1.1.4 Control de la Asignacin de Trabajos

Se relaciona con la direccin de las operaciones de los computadores en trminos de eficiencia y satisfaccin del usuario. La funcin clave del programador de cargas de mquina est relacionada con el logro eficiente y efectivo que: Satisfaga las necesidades de tiempo del usuario. Sea compatible con los programas de recepcin y trascripcin de datos. Permiten niveles efectivos de utilizacin de los equipos y sistemas de operacin. Sea gil la utilizacin de los equipos en lnea.

La experiencia muestra que los mejores resultados se logran en las organizaciones que utilizan sistemas formales de programacin de actividades, los cuales intentan balancear los factores y medir resultados.

www.inacap.cl

1.1.5 Control de Medios de Almacenamiento Masivos

Dispositivos
Los medios de almacenamiento representan archivos muy importantes cuya prdida podra tener repercusiones muy serias, no slo en el mbito informtico, sino en la dependencia a la cual se presta servicio.

Direccin
Una direccin de informtica bien administrada debe tener protegidos los dispositivos de almacenamiento, adems de mantener registros de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza, principalmente en el caso de las cintas.

Medios
Se debe tener perfectamente identificados los medios para reducir la posibilidad de utilizacin errnea o destruccin de la informacin

www.inacap.cl

1.1.6 Control de Mantencin

Existen bsicamente tres tipos de contrato de mantenimiento:
Total
Incluye el mantenimiento correctivo y preventivo. El contrato que incluye reparaciones es propiamente como un seguro, ya que en caso de falla el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente el ms caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepcin de daos por negligencia en la utilizacin de los equipos.

Por Evento

En Banco

En este contrato en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye reparaciones.

Este contrato es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace una cotizacin de acuerdo con el tiempo necesario para su solucin ms las reparaciones ( este tipo de mantenimiento puede ser el ms adecuado para computadoras personales).

www.inacap.cl

1.1.6 Control de Mantencin

Al evaluar el mantenimiento debemos primero analizar cul de los tres tipos es el que ms conveniente y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y considerar penalizacin en caso de incumplimiento, para evitar contratos que sean parciales hacia el proveedor.

www.inacap.cl

1.2 Aspectos relacionados con el Orden en el CPD

El rea Informtica debe tener y observar reglas relativas al orden y cuidado del CPD. Los dispositivos del sistema de cmputo deben ser revisados, ya que los archivos, pueden ser daados si se manejan en forma inadecuada, eso puede traducirse en prdidas irreparables o en costos muy elevados en la recuperacin de stos. Se deben revisar las disposiciones y reglamentos que permiten el mantenimiento del orden dentro del CPD.

www.inacap.cl

1.3 Configuracin del CPD

Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por el rea informtica en la conservacin de su CPD.
Evaluar posibles cambios en el hardware a fin de nivelar el CPD con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo.

2
3

Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.

Evaluar la utilizacin de los diferentes Evaluar ladispositivos utilizacin de los diferentes dispositivos perifricos. perifricos.
www.inacap.cl

1.4 Eficiencia de la produccin

Verifique que se cuente con una descripcin completa de los trabajos que se ejecuten y la descripcin de las caractersticas de carga.
Verifique la existencia de un pronstico de cargas o trabajos que se efectuarn durante el ao, con el objetivo de que se pueda distribuir adecuadamente estas cargas

2
3 4 5

Verifique que se contemplen dentro de los planes de produccin periodos de mantenimiento preventivo. Verifique que se disponga de espacio y tiempo para realizar ejecuciones especiales, de prueba de sistemas en desarrollo y que deban repetirse. Verifique que se tengan definidos el espacio y tiempo para el respaldo de la informacin.

El objetivo de este punto, es evaluar la eficiencia con que opera el rea de produccin:

www.inacap.cl

5.2 Principales Factores que impactan en la seguridad

5.2.1 Aspectos de lgica y confidencialidad 5.2.2 Aspectos relevantes de la seguridad en el personal 5.2.3 Seguridad Fsica 5.2.4 Seguros 5.2.5 Seguridad en la utilizacin de equipamiento 5.2.6 Procedimiento de respaldo en caso de desastre 5.2.7 Procedimientos y controles necesarios para soportar a otras instituciones
www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

El computador es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizado o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional.

En la actualidad, y principalmente en los computadores personales, se ha dado un factor que es muy importante considerar: los llamados Malware", los cuales, aunque tienen diferentes orgenes, son generados principalmente por programas que son copiados e instalados en un computador sin la autorizacin respectiva ("piratas").

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

MALWARE
Software malintencionado o malware (malicious software), es un Programa informtico que provoca de forma intencionada una accin daina para el sistema y/o usuario.

Tipos de malware
Definicin clsica Virus Gusanos Troyanos Bombas lgicas

evolucin

Ampliacin Spyware Backdoors Keyloggers Dialers RootKits Exploits

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

VIRUS
Se trata de pequeas subrutinas escondidas en los programas que se activan cuando se cumple alguna condicin; por ejemplo, haber obtenido una copia en forma ilegal, y stas pueden ejecutarse en una fecha o situacin predeterminada. Existen varios tipos de virus pero casi todos actan como "caballos de Troya", es decir, se encuentran dentro de un programa y actan a determinada indicacin. Los virus tambin pueden ser activados como si fueran "bombas de tiempo", en una fecha determinada, pueden causar la destruccin parcial o total de la informacin.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Factores que han permitido el incremento de ataques y fraudes por computadora:
El aumento del nmero de personas que se encuentran estudiando computacin.

El aumento del nmero de empleados que tienen acceso a los equipos.

La facilidad en el uso de los equipos de computacin.

El incremento en la concentracin del nmero de aplicaciones, utilizadas en el tratamiento de la informacin.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Clasificacin de los Atacantes, segn:

Tipo de persona:
Personal interno Ex-empleados Timadores Vndalos Intrusos Remunerados Terroristas Curiosos

Tipo de ataque:
Hacker - Cracker Crasher - Pheacker Phishers Carding-Trashing Lamers Copyhackers Bucaneros Wannaber Samurai - Gurus

Objetivo del ataque:

Dinero Informacin confidencial Beneficios personales Dao Accidente

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o password) hasta, sistemas ms complicados, pero se debe evaluar, que cuando ms complejos sean los dispositivos de seguridad, ms costosos son de adquirir. Por lo tanto, se debe mantener una adecuada relacin de seguridad/costo en los sistemas de informacin.

Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

El sistema integral de seguridad debe comprender:

a) b) c) d) Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremoto etc.) e) Prcticas de seguridad del personal f) Plizas de seguros g) Elementos tcnicos y procedimientos de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales) h) Aplicacin de sistemas de seguridad, incluyendo datos y archivos i) El papel de los auditores, tanto internos como externos j) Planeacin de programas de desastre y su prueba
www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con un gran impacto en la organizacin o en la comunidad, si es que el servicio se interrumpe cierto periodo; otras pueden fcilmente continuar sin afectar grandemente a la organizacin por medio de utilizacin de mtodos manuales.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Se debe evaluar el nivel de riesgo que puede tener la informacin. Costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:

Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) e identificar aquellas aplicaciones que tengan un alto riesgo.

Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo

Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Para clasificar el riesgo e identificar las aplicaciones de alto riesgo debemos preguntarnos lo siguiente:

Qu sucedera si no se puede usar el sistema?

Qu implicaciones tiene el que no se tenga el sistema, y cunto tiempo podramos estar sin utilizarlo?

Existe un procedimiento alterno y qu problemas nos ocasionara?

Definido el grado de riesgo, hay que elaborar una lista de los sistemas con sus medidas preventivas, as como las correctivas en caso de desastre sealando su prioridad.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Para clasificar la instalacin en trminos de riesgo:

Clasificar los datos, informacin y programas que contiene informacin confidencial que tenga un alto valor dentro del mercado de competencia, organizacin, e informacin que sea de difcil recuperacin.

Identificar aquella informacin que tenga un gran costo financiero en caso de prdida o bien que pueda provocar un gran impacto en la toma de decisiones. Determinar la informacin que tenga una prdida en la organizacin y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo nacional o bien la informacin sobre el mercado y la publicidad de una compaa.

Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con cierta facilidad.
Para cuantificar el riesgo es necesario efectuar entrevistas con los altos niveles administrativos directamente afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que les puede causar.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad Para evaluar las medidas de seguridad se debe:

Especificar la aplicacin, los programas y archivos

Detallar las medidas en caso de desastre, prdida total, abuso y los planes necesarios

Dar las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.

www.inacap.cl

2.1 Aspectos de lgica y confidencialidad

En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin.

El personal que prepara la informacin no debe tener acceso a la operacin. Los analistas y programadores no deben tener acceso al rea de operacin y viceversa. Los operadores no deben tener acceso liberado a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. Al implantar sistemas de seguridad, puede reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. Otro de los puntos que hay que evaluar y revisar en forma visual es el orden y limpieza, no tan slo en la sala de cmputo, sino tambin en las oficinas ya que crea posibilidades de fallas en la seguridad.

www.inacap.cl

2.2 Aspectos relevantes de la seguridad en el personal

Un buen CPD depende, en gran medida, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo. Valores Sociales Estabilidad
Ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho su actitud y comportamiento

Politica de Vacaciones
Lo cual nos permite evaluar la dependencia con algunas personas, y evitar esta dependencia

Rotacin del Personal

Que disminuya la posibilidad de fraude y nos permita adems, detectar los indispensables y eliminarlos

Motivacin del Personal

ya que un empleado motivado tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la organizacin

www.inacap.cl

2.3 La seguridad Fsica

El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio del CPD.

Se considera peligroso tener el CPD en las reas de alto trfico de personas

El material y construccin del edificio del CPD no debe tener componentes que sean altamente inflamables, que despiden humos txicos o bien paredes que no estn selladas y despidan polvos

Se debe tomar precauciones en cuanto a la orientacin del CPD

www.inacap.cl

2.3 La seguridad Fsica

Entre las principales precauciones que se deben revisar estn:

Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo. Se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipos de fuente no interrumpible. Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas. En cuanto a los extintores, se debe revisar en nmero de stos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos. Personal debe saber usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso Los materiales ms peligros son las cintas magnticas que, al quemarse producen gases txicos y el papel carbn es altamente inflamable.

www.inacap.cl

2.4 Los seguros

Riesgos
Se tiene poco conocimiento de los riesgos de la computacin, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia que existe sobre desastres.

Vencimientos
Se debe verificar las fechas de vencimiento de las plizas, puede suceder que se tenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.

Valores
El costo de los equipos puede variar, principalmente en aquellos pases que tienen grandes tasas de inflacin o de devaluacin, por lo que los seguros deben estar a precio de compra y no a precio al momento de contratacin del seguro.

www.inacap.cl

2.4 Los seguros

Cobertura de equipos
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas.

Cobertura factores internos y externos

El seguro debe cubrir tanto daos causados por factores externos (terremoto, inundacin, etc.) como por factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado, etc.)

Cobertura SW y HW
Tambin se debe asegurar la prdida de los programas (software), de la informacin, de los equipos y el costo de recuperacin de lo anterior.

www.inacap.cl

2.5 La Seguridad en la utilizacin de equipamiento

En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del CPD conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas:
Se debe restringir el acceso a los programas y a los archivos. Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales En los casos de informacin confidencial debe usarse, de ser posible, en forma codificada o encriptada. Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos Se deben hacer auditorias peridicas sobre el rea de operacin y la utilizacin de las terminales. Debe existir una perfecta divisin de responsabilidades entre los digitadores de datos y los operadores de computadora, y entre los operadores y las personas responsables de los respaldos. Deben existir registros que reflejen la transferencia de informacin entre las diferentes funciones de un sistema. Debe controlarse la distribucin de las salidas (reportes, cintas, etc.). Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad. Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cmputo al local de almacenaje distante. Se deben identificar y controlar perfectamente los archivos. Se debe tener estricto control sobre el acceso fsico a los archivos. En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versin.

www.inacap.cl

2.5 La Seguridad en la utilizacin de equipamiento

Otro de los puntos en los que hay que tener seguridad es en el robo de informacin confidencial por medio de fotocopiado. Para controlar este tipo de informacin se debe: Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin.

Slo el personal autorizado debe tener acceso a la informacin confidencial.

Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta.

Controlar el nmero de copias, y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. www.inacap.cl

2.5 La Seguridad en la utilizacin de equipamiento

El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de emergencia. En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases de datos y red de computadoras se deben tomar medidas de alta seguridad en cuanto a:

Equipo, programas y archivos Control de aplicaciones por terminar (definir qu aplicaciones se pueden correr en un terminal especfico) Definir una estrategia de seguridad de la red y de respaldos Requerimientos fsicos Estndar de aplicaciones y de control Estndar de archivos Auditoria interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Se debe establecer en cada direccin de informtica un plan de emergencia, el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo.
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcionar. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se han de utilizar respaldos realizados. Las revisiones al plan se deben realizar cuando se haya efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica. En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualizacin. Algunas emergencias pueden no afectar a toda la instalacin, sino a algunas partes tales como la discoteca y la cintoteca. Para la preparacin del plan se seleccionar el personal que realice las actividades claves de ste. El grupo de recuperacin debe estar integrado por personal de administracin de la direccin de informtica. Cada uno de los integrantes del grupo de recuperacin, debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa, de logstica, etc.

www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Los desastres pueden suceder El curso que se desarrolla en clasespodemos expositivas. Cada clasificarlos as: una cierta duracin de minutos en la clase tiene
cual se presentan los contenidos principales del Completa destruccin del centro de cmputo curso, desde una perspectiva de explicacin y Destruccin parcial del centro de cmputo aclaracin de conceptos.

Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire acondicionado, etc.) Destruccin parcial o total de los equipos descentralizados Prdida total o parcial de informacin, manuales o documentacin Prdida del personal clave Huelga o problemas laborales
www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

El plan en caso de desastre debe incluir:

La documentacin de programacin y de operacin El equipamiento completo, considerando la informacin correspondiente al hardware y software del equipo propio y del respaldo El ambiente de los equipos Sistemas y Aplicaciones (sistemas operativos, bases de datos, programas)

www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Cuando el plan sea requerido debido a una emergencia, el grupo deber:

1) Asegurar que todos los miembros sean notificados Informar al director de informtica 2) Cuantificar el dao o prdida del equipo, archivos y documentos para definir qu parte del plan debe ser activada 3) Determinar el estado de todos los sistemas en proceso 4) Notificar a los proveedores del equipo cul fue el dao

www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Cuando el plan sea requerido debido a una emergencia, el grupo deber:

5) Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta:
Elaboracin de una lista con los mtodos disponibles para realizar la recuperacin Generacin e implementacin de la alternancia de los procedimientos de operacin (por ejemplo, cambios en los dispositivos, sustitucin de procesos en lnea por procesos en lote) Generar el transporte al lugar de respaldo todos los archivos, programas y medios que se requieran Estimacin de las necesidades de tiempo de las computadoras para un periodo largo www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Cuando el plan sea requerido debido a una emergencia, el grupo deber:

6) Reducir la carga de procesos, analizando alternativas como:

Posponer las aplicaciones de prioridad ms baja Cambiar la frecuencia del proceso de trabajos evaluacin comprende tanto la parte La Suspender las aplicaciones en desarrollo

de contenidos, aplicacin de dichos contenidos a situaciones especficas, as como un trabajo ya sea prctico o de investigacin.
www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre Con el fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de proceso, se debern tomar en cuenta las siguientes consideraciones: Mnimo de memoria principal requerida y el equipos perifricos alternativos que permitan procesar las aplicaciones esenciales Se debe tener documentados los cambios de software La evaluacin comprende tanto la parte de En caso de tener respaldos en otroscontenidos sitios contenidos, aplicacin de dichos a disponibles, previamente secomo deber situaciones especficas, as unconocer trabajo el ya sea tiempo de a esos medios. prctico o accesos de investigacin.
www.inacap.cl

2.6 Procedimiento de respaldo en caso de desastre

Finalmente se deber estudiar confeccionar una lista de requerimientos mnimos que deben tener para un efectivo plan de recuperacin en caso de desastre. Se debe contar con: Copia de programas de produccin Copia de archivos maestros de las aplicaciones clave y sistemas operativos Copia de la documentacin de los sistemas e instructivos de operacin Copia de los archivos necesarios para procesar las transacciones Inventario de formas especiales utilizadas en la operacin normal (se deben incluir tambin papelera normal, cintas magnticas, cintas de impresin) Un local con las instalaciones necesarias (energa, aire acondicionado, piso adecuado, etc.) Convenios para el uso de computadoras compatibles
www.inacap.cl

2.7 Procedimientos y controles necesarios para soportar a otras instituciones

Una prctica conveniente, que desde hace tiempo se ha venido observando en los centros de procesamiento es establecer arreglos con otros centros para utilizar su equipamiento. Es muy conveniente que este tipo de arreglo se lleve acabo de una manera formal, interviniendo en ellos los niveles jerrquicos ms adecuados para asegurar la seriedad del compromiso.

www.inacap.cl

2.7 Procedimientos y controles necesarios para soportar a otras instituciones Consideraciones

A quienes se les otorga

Condiciones
Controles Procedimientos

Tiempo, Periodicidad y Costo

www.inacap.cl