18-02-2014

PLAN DE CONTINGENCIA

PRESENTACIN El Plan de Contingencia Informtico implica un anlisis de los posibles riesgos a cuales pueden estar expuestos los equipos de computacin y sistemas de informacin. El alcance de este plan guarda relacin con la infraestructura informtica, as como los procedimientos relevantes asociados con la plataforma tecnolgica. La infraestructura informtica est conformada por el hardware, software y elementos complementarios que soportan la informacin o datos crticos para la funcin del negocio. Los procedimientos relevantes a la infraestructura informtica, son aquellas tareas que el personal realiza frecuentemente al interactuar con la plataforma informtica (entrada de datos, generacin de reportes, consultas, etc.).

El Plan de Contingencia est orientado a establecer un adecuado sistema de seguridad fsica y lgica en previsin de desastres, de tal manera de establecer medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. La informacin como uno de los activos ms importantes de la Organizacin, es el fundamento ms importante de este Plan de Contingencia.

Al existir siempre la posibilidad de desastre, pese a todas nuestras medidas de seguridad, es necesario que El Plan de Contingencia Informtico incluya el Plan de Recuperacin de Desastres con el nico objetivo de restaurar el Servicio Informtico en forma rpida, eficiente, con el menor costo y perdidas posibles.

18-02-2014

RESUMEN La proteccin de la informacin vital ante la posible prdida, destruccin, robo y otras amenazas de una empresa, es abarcar la preparacin e implementacin de un completo Plan de Contingencia Informtico. El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el desastre. Un primer aspecto importante del plan es la organizacin de la contingencia, en el que se detallan los nombres de los responsables de la contingencia y sus responsabilidades. El segundo aspecto crtico de un Plan de Contingencia es la preparacin de un Plan de Backup o Respaldo, elemento primordial y necesario para la recuperacin. El tercer aspecto es la preparacin de un Plan de Recuperacin. La empresa debe establecer su capacidad real para recuperar informacin contable crtica en un periodo de tiempo aceptable. Otro aspecto importante del plan de recuperacin identificar el equipo de recuperacin, los nombres, nmeros de telfono, asignaciones especficas, necesidades de formacin y otra informacin esencial, para cada miembro del equipo que participa en el Plan de recuperacin. La base del Plan de Contingencia y su posterior recuperacin, es establecer prioridades claras sobre qu tipo de procesos son los ms esenciales. Es necesario por tanto la identificacin previa de cuales de los procesos son crticos y cules son los recursos necesarios para garantizar el funcionamiento de las aplicaciones de gestin. El Plan de Recuperacin del Desastre (PRD) provee de mecanismos de recuperacin para los registros vitales, sistemas alternativos de telecomunicaciones, evacuacin de personal, fuente alternativa de provisin de servicios, etc. Adems debe ser comprobado de forma peridica para detectar y eliminar problemas. La manera ms efectiva de comprobar si un PRD funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el Plan de Contingencia. El plan de contingencia informtico, debe contemplar los planes de emergencia, backup, recuperacin, comprobacin mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rpidamente el control y capacidades para procesar la informacin y restablecer la marcha normal del negocio. Cul es el grado de preparacin de las empresas para estos desastres?. Los desastres han demostrado que la capacidad de recuperarse ante ellos es crucial para la supervivencia de una empresa. La Direccin General debe comprender los principales riesgos para la empresa y las posibles consecuencias de un desastre. Un Plan de contingencia adecuado identifica las necesidades de todos los departamentos e involucra a TODO el personal de todas las reas de la compaa.

18-02-2014

CAPITULO I. - ANALISIS DE LA SITUACION ACTUAL 1.1. Introduccin Cualquier Sistema de Redes de Computadoras (ordenadores, perifricos y accesorios) estn expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software estn expuestos a diversos Factores de Riesgo Humano y Fsicos. Frente a cualquier evento, la celeridad en la determinacin de la gravedad del problema depende de la capacidad y la estrategia a seguir para sealar con precisin, por ejemplo: Qu componente ha fallado?, Cul es el dato o archivo con informacin se ha perdido, en que da y hora se ha producido y cun rpido se descubri? Estos problemas menores y mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la informacin. Pueden originarse prdidas catastrficas a partir de fallos de componentes crticos (el disco duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por fallas tcnicas (errores humanos, virus informtico, etc.) que producen dao fsico irreparable. Frente al mayor de los desastres solo queda el tiempo de recuperacin, lo que significa adicionalmente la fuerte inversin en recursos humanos y tcnicos para reconstruir su Sistema de Red y su Sistema de Informacin.

1.2.

Objetivos e Importancia del Plan de Contingencia

Objetivos Garantizar la continuidad de las operaciones de los elementos considerados crticos que componen los Sistemas de Informacin. Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un Sistema de Informacin.

Importancia Garantiza la seguridad fsica, la integridad de los activos humanos, lgicos y materiales de un sistema de informacin de datos. Permite realizar un conjunto de acciones con el fin de evitar el fallo, o en su caso, disminuir las consecuencias que d l se puedan derivar. Permite realizar un Anlisis de Riesgos, Respaldo de los datos y su posterior Recuperacin de los datos. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podra ser tan grande que resultara fatal para la organizacin. Permite definir contratos de seguros, que vienen a compensar, en mayor o menor medida las prdidas, gastos o responsabilidades.

18-02-2014

1.3.

Sistema de Red de Computadoras La Red de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. cuenta con Tecnologas de la informacin (TI) en lo referente a: sistemas de comunicacin, sistemas de informacin, conectividad y servicios Informticos que se brinda de forma interna y externa a los usuarios del sistema. Se resume que la Administracin de Red est dividido en dos rubros: 1) Conectividad: se encargada de la conexin almbrica e inalmbrica de los equipos de comunicacin y 2) Manejo de servidores: se encarga de alojar todos los servicios y sistemas de comunicacin e informacin. Los servicios de Red implementados en PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. son los siguientes: o o Servidor de telefona IP. Servidor de Polticas de Grupo Controlador de dominio

1.4.

Sistema de Informacin en PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. El Sistema de Informacin, incluye la totalidad del Software de Aplicacin, Software en Desarrollo, conjunto de Documentos Electrnicos, Bases de Datos e Informacin Histrica registrada en medios magnticos e impresos en papeles, Documentacin y Bibliografa. El listado de Sistema de Informacin en PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., se detalla en el Anexo V.

18-02-2014

CAPITULO II. - PLAN DE REDUCCIN DE RIESGOS El presente documento implica la realizacin de un anlisis de todas las posibles causas a los cuales puede estar expuestos los equipos conectados a la RED de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., as como la informacin contenida en cada medio de almacenamiento. Se realizara un anlisis de riesgo y el Plan de Operaciones tanto para reducir la posibilidad de ocurrencia como para reconstruir el Sistema de Informacin y/o Sistema de Red de Computadoras en caso de desastres. El presente Plan incluye la formacin de equipos de trabajo durante las actividades de establecimiento del Plan de Accin, tanto para la etapa preventiva, correctiva y de recuperacin. El Plan de Reduccin de Riesgos es equivalente a un Plan de Seguridad, en la que se considera todos los riesgos conocidos, para lo cual se har un Anlisis de riesgos. 2.1. Anlisis de Riesgos El presente realiza un anlisis de todos los elementos de riesgos a los cuales est expuesto el conjunto de equipos informticos y la informacin procesada, y que deben ser protegidos. Bienes susceptibles de un dao Se puede identificar los siguientes bienes afectos a riesgos: a) Personal b) Hardware c) Software y utilitarios d) Datos e informacin e) Documentacin f) Suministro de energa elctrica g) Suministro de telecomunicaciones

Daos Los posibles daos pueden referirse a: a) Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones, naturales o humanas. b) Imposibilidad de acceso a los recursos informticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves de acceso, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. c) Divulgacin de informacin a instancias fuera de la institucin y que afecte su patrimonio estratgico, sea mediante Robo o Infidencia.

18-02-2014

Fuentes de dao Las posibles fuentes de dao que pueden causar la no operacin normal de la compaa son: Acceso no autorizado Ruptura de las claves de acceso a los sistemas. Desastres Naturales: a) Movimientos telricos b) Inundaciones c) Fallas en los equipos de soporte (causadas por el ambiente, la red de energa elctrica, no acondicionamiento atmosfrico necesario) Fallas de Personal Clave: por los siguientes inconvenientes: a) Enfermedad b) Accidentes c) Renuncias d) Abandono de sus puestos de trabajo e) Otros. Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red (Switches, cableado de la Red, Router, FireWall) Incendios

2.1.1. Caractersticas El Anlisis de Riesgos tiene las siguientes caractersticas: Es posible calcular la probabilidad de que ocurran las cosas negativas. Se puede evaluar econmicamente el impacto de eventos negativos. Se puede contrastar el Costo de Proteccin de la Informtica y medios versus el Costo de volverla a producir. Durante el estudio Anlisis de Riesgo, se define claramente: Lo que intentamos proteger El valor relativo para la organizacin Los posibles eventos negativos que atentaran lo que intentamos proteger. La probabilidad de ataque. Se debe tener en cuenta la probabilidad de suceso de cada uno de los problemas posibles, de tal manera de tabular los problemas y su costo potencial mediante un Plan adecuado. Los criterios que usaremos para tipificar los posibles problemas son: Tabla 01. Escala de Valores para Criterios de Posibles Problemas Criterios
Grado de Negatividad Posible Frecuencia del Evento negativo

Escala
Leve Nunca Moderado Aleatorio Grave Peridico Muy severo Continuo

18-02-2014

Grado de impacto o consecuencias Grado de Certidumbre

Leve Nunca

Moderado Aleatorio

Grave Probable

Muy severo Seguro

2.1.2. Clases de Riesgo La tabla 02 proporciona el Factor de Probabilidad por Clase de Riesgo en funcin a la ubicacin geogrfica de la empresa y su entorno; por ejemplo, si la institucin: Se ubica en zona ssmica el factor de probabilidad de desastre por terremotos ser alta. Se ubica en una zona marginal con alto ndice de delincuencia, las probabilidades de robo, asalto o vandalismo ser de un sesgo considerablemente alto. Se ubica en zona industrial las probabilidades de Fallas en los equipos ser alto por la magnitud de variaciones en tensiones elctricas que se generan en la zona. Cambia constantemente de personal, las probabilidades de equivocaciones y sabotaje ser alto. Identificacin de Amenazas: Tabla 02. Escala Factor de Probabilidad por Clase de Riesgo
Clase Incendio o Fuego Robo comn de equipos y archivos Sabotaje Falla en los equipos Equivocaciones Accin virus informtico Fenmenos naturales Accesos no autorizados Robo de datos Manipulacin y sabotaje Factor 0.20 0.25 0.20 0.40 0.25 0.20 0.15 0.15 0.20 0.10

Estos valores son estimados y no corresponden a la apreciacin de antecedentes histricos registrados en PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. durante los ltimos aos. Corresponde al presente Plan de Contingencia minimizar o validar estos ndices con medidas preventivas y correctivas sobre cada caso de Riesgo.

18-02-2014

En lo que respecta a Fenmenos naturales, nuestra regin ha registrado en estos ltimos tiempos movimientos telricos de poca intensidad; sin embargo, las lluvias fuertes producen mayores estragos, originando filtraciones de agua, ocasionan cortes de energa elctrica y la suspensin de algunos servicios pblicos.

2.1.2.1. Clase de Riesgo: Incendio o Fuego

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Muy Severo Aleatorio Grave Probable

Situacin actual El rea de Servidores cuenta con un extintor cargado, ubicado dentro del rea de Servidores. El rea de oficina y ubicacin de estaciones de trabajo (PC / Porttiles, Impresoras, etc.) cuenta con un extintor cargado, ubicado dentro de la misma.

Accin correctiva Se cumple Se cumple

Una probabilidad mxima de contingencia de este tipo en las oficinas de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., puede alcanzar a destruir un 50% de las oficinas antes de lograr controlarlo, tambin podemos suponer que en el rea de Servidores tendra un impacto mnimo, por las medidas de seguridad y ambiente que lo protege. Esta informacin permite resaltar el tema sobre el lugar donde almacenar los Backus. El incendio, a travs de su accin calorfica, es ms que suficiente para destruir los Dispositivos de almacenamiento, tal como CDs, DVDs, cartuchos, Discos duros, las mismas que residen en una caja fuerte (medio de seguridad que nos protege frente a robo o terremoto, pero no del calor). Estos dispositivos de almacenamiento muestran una tolerancia de temperatura de 5C a 45C, y una humedad relativa de 20% a 80%. Para la mejor proteccin de los dispositivos de almacenamiento, se colocaran estratgicamente en lugares distantes, con una Segunda Copia de Seguridad custodiada en un lugar externo de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A..

18-02-2014

Uno de los dispositivos ms usados para contrarrestar la contingencia de incendio, son los extinguidores. Su uso conlleva a colocarlos cerca de las posibles reas de riesgo que se debe proteger. A continuacin se detallan los letreros y smbolos que debe conocer todo el personal en el uso del extinguidor.

Fig.01 letreros y smbolos usados en los extinguidores.

A continuacin se describe grficamente el procedimiento para el uso de extinguidores en caso de incendio:

Fig.02 procedimiento para el uso de extinguidores

18-02-2014

2.1.2.2. Clase de Riesgo: Robo Comn de Equipos y Archivos

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Grave Aleatorio Moderado Aleatorio

Situacin actual Los equipos se encuentran en un rea de acceso restringido Hay vigilancia que limita el acceso al rea de servidores. Se han establecido polticas de seguridad que imposibilitan el extraer la informacin protegida

Accin correctiva Se cumple Se cumple Se cumple

No se han reportado casos en la cual haya existido manipulacin y reubicacin de equipos sin el debido conocimiento y autorizacin del Supervisor del rea funcional. Esto demuestra que los equipos se encuentran protegidos de personas no autorizadas y no identificables. Segn antecedentes de otras empresas, es de conocer que el robo de accesorios y equipos informticos, llegaron a participar personal propio de la empresa en colusin con el personal de vigilancia. Es relativamente fcil remover dispositivos conectados a las estaciones de trabajo, una mouse, cables, reguladores de voltaje, etc. y no darse cuenta del faltante hasta das despus. Estas situaciones no se han presentado en nuestras oficinas, pero se recomienda siempre estar alerta.

2.1.2.3. Clase de Riesgo: Vandalismo

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Moderado Aleatorio Grave Probable

Situacin actual

Accin correctiva

PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & Hay vigilancia. HIJOS C.A. est en una zona donde el ndice de vandalismo es bajo

La destruccin del equipo puede darse por una serie de desastres incluyendo el vandalismo, robo y saqueo en simultneo.

2.1.2.4. Clase de Riesgo: Falla en los Equipos

18-02-2014

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre:

Grave Aleatorio Grave Probable

Situacin actual
Equipos de Informtica (Servidores, Estaciones de Trabajo, UPS, Firewall, etc.) totalmente nuevos. La Red de Servidores cuenta con una Red Elctrica Estabilizada. La Red de Servidores cuenta con UPS AVTEK

Accin correctiva
Tomar previsiones econmicas para el mantenimiento y actualizacin. Tomar previsiones econmicas para el mantenimiento y actualizacin.

Tomar previsiones econmicas para el mantenimiento y actualizacin de los UPS BKPro 2200, 2.5 min de autonoma con carga para aumentar su autonoma en caso de total. falla elctrica. Existe un adecuado tendido elctrico en las Tomar previsiones econmicas para el oficinas de PROYECTOS Y CONSTRUCCIONES mantenimiento y actualizacin del tendido. PAYLOADER PADRE & HIJOS C.A. Las estaciones de trabajo (LAPTOPS y WORKSTATION) estn protegidas por reguladores de voltaje ya que solo requieren proteccin elctrica. Sistema de Aire Acondicionado sin fuente poder redundante. En caso de falla elctrica se interrumpe el servicio. Tomar previsiones econmicas para el mantenimiento y actualizacin de los reguladores, para asegurar la proteccin a fallas elctricas. Tomar previsiones econmicas para adquisicin de planta elctrica o UPS con capacidad para su consumo.

De ocurrir esta contingencia las operaciones informticas se detendran, puesto que los dispositivos en los que se trabaja dependen de la corriente elctrica para su desempeo. Si el corte elctrico dura poco tiempo las operaciones no se ven afectadas gravemente, pero si el corte se prolongara por tiempo indefinido provocara un trastorno en las operaciones del da, sin afectar los datos. El equipo de aire acondicionado y ambiente adecuado en el rea de Servidores, favorece su correcto funcionamiento. Para el adecuado funcionamiento de las computadoras personales, necesitan de una fuente de alimentacin elctrica fiable, es decir, dentro de los parmetros correspondientes. Si se interrumpe inesperadamente la alimentacin elctrica o varia en forma significativa (fuera de los valores normales), las consecuencias pueden ser muy serias, tal como dao del HW y la informacin podra perderse. La fuente de alimentacin es un componente vital de los equipos de cmputo, y soportan la mayor parte de las anomalas del suministro elctrico. Se ha identificado los siguientes problemas de energa ms frecuentes: Fallas de energa Transistores y pulsos Bajo voltaje

18-02-2014

Ruido electromagntico Distorsin Variacin de frecuencia. Para los cuales existen los siguientes dispositivos que protegen los equipos de estas anomalas: Supresores de picos Estabilizadores Sistemas de alimentacin ininterrumpida (UPS)

2.1.2.5. Clase de Riesgo: Equivocaciones

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Moderado Peridico Moderado Probable

Situacin actual Las equivocaciones que se producen en forma rutinaria son de carcter involuntario. Cuando el usuario es practicante y tiene conocimientos de informtica, tiene el impulso de navegar por los sistemas. La falta de institucionalizar procedimientos produce vacos y errores en la toma de criterios para registrar informacin. Ante nuevas configuraciones se comunica a los usuarios sobre el manejo, claves, accesos y restricciones, tanto a nivel de Sistemas, Telefona, Internet El personal no tendr acceso a manipular data sensible para la organizacin que puedan eliminar de manera accidental o intencionada. El personal solo tendr acceso a su equipo personal de trabajo en el cual no se almacena ningn tipo de informacin sensible.

Accin correctiva Capacitacin inicial en el ambiente de trabajo. Instruir al nuevo usuario con el Manual de Procedimientos En lo posible se debe cortar estos accesos, limitando su accionar en funcin a su labor de rutina. Reuniones y Actas de Trabajo para fortalecer los procedimientos. Enviar oficios circulares mltiples comunicando los nuevos cambios y polticas. Convocar reuniones de capacitacin antes nuevas opciones en los sistemas. Se cumple

Se cumple

2.1.2.6. Clase de Riesgo: Accin de Virus Informtico

Grado de Negatividad: Muy Severo

18-02-2014

Frecuencia de Evento: Certidumbre: Situacin actual Se cuenta con un Software Antivirus corporativo.

Aleatorio Grado de Impacto:Grave Grado de Probable Accin correctiva Se cumple. Se debe evitar que las licencias no expiren, Se cumple.

Todo Software (oficina, desarrollo, mantenimiento, drives, etc.) es manejado por personal de Soporte Tcnico, quienes son los encargados de su instalacin en las PCs con su respectivo software corporativo. Se tiene un programa permanente de bloqueo acciones como cambiar configuraciones de red, acceso a los servidores, etc. Todos los equipos se encuentra protegido por un firewall que posee entre otras funciones la capacidad de antivirus Todos los equipos poseen sistemas de deteccin y eliminacin de Virus

Se cumple a travs de polticas de usuarios. Se cumple

Se cumple

En estos ltimos aos la accin del virus informtico ha sido contrarrestada con la diversidad de productos que ofrece el mercado de software. Las firmas y/o corporaciones que proporcionan software antivirus, invierten mucho tiempo en recopilar y registrar virus, indicando en la mayora de los casos sus caractersticas y el tipo de dao que puede provocar, por este motivo se requiere de una actualizacin peridica del software antivirus.

2.1.2.7. Clase de Riesgo: Fenmenos Naturales

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Grave Aleatorio Grave Probable

Situacin actual La ltima dcada no se han registrado contingencias debido a fenmenos naturales como: terremotos, inundaciones, aluviones, etc. Tenemos pocas fuertes lluvias que causas estragos en viviendas de material rustico. Las instalaciones de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. estn adecuadamente protegidas, sin embargo se debe verificar el tema del suministro elctrico.

Accin correctiva Medidas de prevencin.

Medidas de prevencin.

18-02-2014

La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin la interrupcin del proceso de operacin normal. Adems, bajo el punto de vista de respaldo, se debe tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, dispositivos de almacenamiento, discos con informacin vital, todo ello como respaldo de aquellos que se encuentren aun en las instalaciones de la institucin. 2.1.2.8. Clase de Riesgo: Accesos No Autorizados
Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Grave Aleatorio Grave Probable

Situacin actual Se controla el acceso al Sistema de Red mediante la definicin de Cuenta o Login con su respectiva clave A cada usuario de Red se le asigna los Atributos de confianza para el manejo de archivos y acceso a los sistemas. Cuando el personal cesa en sus funciones y/o es asignado a otra rea, se le redefinen los accesos y autorizaciones, quedando sin efecto la primera. Se forman Grupos de usuarios, a los cuales se le asignan accesos por conjunto, mejorando la administracin de los recursos Se cuenta con varios niveles de seguridad. Entrada del Edificio con vigilancia y cmaras de seguridad Entrada General a las oficinas con vigilancia, cmaras de seguridad y listado de personal autorizado

Accin correctiva Se cumple Se cumple

Se cumple

Se cumple

Se cumple Se cumple

Todos los usuarios sin excepcin tienen un login o un nombre de cuenta de usuario y una clave de acceso a la red con un mnimo de cinco (5) dgitos. No se permiten claves en blanco. Adems estn registrados en un grupo de trabajo a travs del cual se otorga los permisos debidamente asignados por el responsable de rea. Cada usuario es responsable de salir de su acceso cuando finalice su trabajo o utilizar un bloqueador de pantalla.

2.1.2.9. Clase de Riesgo: Robo de Datos

Grado de Negatividad: Frecuencia de Evento: Grave Aleatorio

18-02-2014

Grado de Impacto: Grado de Certidumbre:

Grave Probable

Situacin actual Las estaciones de trabajo tienen disponible quemadoras de CD/DVD, puertos USB, pero se crean polticas de acceso para restringir su uso El servicio de Internet es potencialmente una ventaja abierta para el robo de informacin electrnica Los documentos impresos (informes, reportes, contratos, etc.) normalmente estn expuestos al robo, aunque existen polticas definidas para su impresin y copias que se realicen. El acceso a los terminales se controla, mediante claves de acceso, de esta manera se impide el robo de informacin electrnica. A travs de las polticas se seguridad se impide el ingreso a los Servidores. El personal tendr acceso a manipular data sensible para la organizacin en las aplicaciones administrativas bajo niveles de autorizacin establecidos en el Sistema. El personal solo tendr acceso a su equipo personal de trabajo en el cual no se almacena ningn tipo de informacin sensible.

Accin correctiva Se cumple

Existen polticas que regulan el uso y acceso del Servicio de Internet. Se cumple.

Se cumple

Se cumple

Se cumple

El Robo de datos puede llevarse a cabo bajo tres modalidades: La primera modalidad consiste en sacar copia no autorizada a nuestros archivos electrnicos aun medio magntico y retirarla fuera de la institucin. La segunda modalidad y tal vez la ms sensible, es la sustraccin de reportes impresos y/o informes confidenciales. La tercera modalidad es va Internet a direcciones de Correo que no corresponden a la Gestin Empresarial.

2.1.2.10. Clase de Riesgo: Manipulacin y Sabotaje

Grado de Negatividad: Frecuencia de Evento: Grado de Impacto: Grado de Certidumbre: Grave Aleatorio Grave Probable

Situacin actual

Accin correctiva

18-02-2014

Existe el problema de la inestabilidad laboral, la misma que podra obligar a personas frustradas, o desilusionadas a causar daos fsicos y lgicos en el sistema de informacin de la institucin. Esto se puede traducir desde el registro de operaciones incorrectas por parte de los usuarios finales, hasta la operacin de borrar registros en el sistema y conductas de sabotaje

La proteccin contra el sabotaje requiere: Una seleccin rigurosa del personal. Buena administracin de los recursos humanos Buenos controles administrativos Buena seguridad fsica en los ambientes donde estn los principales componentes del equipo. Asignar a una persona la responsabilidad de la proteccin de los equipos en cada rea.

El personal no tendr acceso a manipular data sensible para la organizacin. El personal solo tendr acceso a su equipo personal de trabajo en el cual no se almacena ningn tipo de informacin sensible. Las reas de Datos y Energa son reas de acceso restringido que se encuentran resguardadas las 24 horas y a las cuales solo el personal autorizado puede tener acceso en las ocasiones en que su trabajo lo amerite.

Se cumple Se cumple

Se cumple

El peligro ms temido por los centros de Procesamiento de Datos, es el sabotaje. Instituciones que han intentado implementar Programas de Seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un trabajador o un sujeto ajeno a la propia institucin. Un acceso no autorizado puede originar sabotajes. Los riesgos y peligros deben ser identificados y evaluados, para conocer las posibles prdidas y para que pueda ponerse en prctica los adecuados mtodos de prevencin. Una mejora en la seguridad produce, a menudo, importantes beneficios secundarios. Por ejemplo, el cambio de metodologa aplicada a determinadas operaciones conduce frecuentemente a una reduccin del ndice de errores, a una mejora en calidad, a una mejor planificacin y a resultados ms rpidos. No existen un plan idneo o una recomendacin simple para resolver el problema de la seguridad. Realmente no es una situacin esttica u un problema puntual, sino que requiere un constante y continuo esfuerzo y dedicacin.

18-02-2014

Clases de Riesgos

Robo comn De equipos y Archivos

Accin Virus Informtico

Accesos no Autorizado

Incendios

Terrorismo

CLASES S DE RIESGOS

Fallas en el Suministro elctrico

Desastres naturales Terremotos, Inundaciones

Equivocaciones Manipulacin y sabotajes

Fallas en el HW, SW y Comunicaciones

Fig.03 Resumen de la Clase de Riesgo

18-02-2014

2.2. Anlisis en las fallas en la Seguridad En este se abarca el estudio del hardware, software, la ubicacin fsica de la estacin su utilizacin, con el objeto de identificar los posibles resquicios en la seguridad que pudieran suponer un peligro. Las fallas en la seguridad de la informacin y por consiguiente de los equipos informticos, es una cuestin que llega a afectar, incluso, a la vida privada de la persona, de ah que resulte obvio el inters creciente sobre este aspecto. La seguridad de la informacin tiene dos aspectos importantes como: Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos. Garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado. Por ejemplo, en el uso del Servicio Virtual Pblico de Red (VPN), implica una va de acceso a la Red Central de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., la seguridad en este servicio es la validacin de la clave de acceso.

2.3. Protecciones actuales Se realizan las siguientes acciones: Se hace copias de los archivos que son vitales para la institucin. Al robo comn se cierran las puertas de entrada y ventanas Al vandalismo, se cierra la puerta de entrada. A la falla de los equipos, se realiza el mantenimiento de forma regular. Al dao por virus, todo el software que llega se analiza en un sistema utilizando software antivirus. A las equivocaciones, los empleados tienen buena formacin. Cuando se requiere personal temporal se intenta conseguir a empleados debidamente preparados. A terremotos, no es posible proteger la instalacin frente a estos fenmenos. El presente Plan de contingencias da pautas al respecto. Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de llave de bloqueo del teclado. Al robo de datos, se cierra la puerta principal y gavetas de escritorios. Varias computadoras disponen de llave de bloqueo del teclado. Al fuego, en la actualidad se encuentran instalados extintores, en sitios estratgicos y se brindara entrenamiento en el manejo de los extintores al personal, en forma peridica.

18-02-2014

2.3.1. Seguridad de informacin La Seguridad de informacin y por consiguiente de los equipos informticos, es un tema que llega a afectar la imagen institucional de las empresas, incluso la vida privada de personas. Es obvio el inters creciente que da a das se evidencia sobre este aspecto de la nueva sociedad informtica. Ladrones, manipuladores, saboteadores, espas, etc. reconocen que el centro de cmputo de una institucin es su nervio central, que normalmente tiene informacin confidencial y a menudo es vulnerable a cualquier ataque. La Seguridad de informacin tiene tres directivas bsicas que actan sobre la Proteccin de Datos, las cuales ejercen control de:

La lectura Consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual tambin se le puede llamar proteccin de la privacidad, si se trata de datos personales y mantenimiento de la seguridad en el caso de datos institucionales. La escritura Es garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad que se les ha confiado. El empleo de esa informacin Es Secreto se logra cuando no existe acceso a todos los datos sin autorizacin. La privacidad se logra cuando los datos que puedan obtenerse no permiten el enlace a individuos especficos o no se pueden utilizar para imputar hechos acerca de ellos. Por otro lado, es importante definir los dispositivos de seguridad durante el diseo del sistema y no despus. Los diseadores de sistemas deben entender que las medidas de seguridad han llegado a se criterios de diseo tan importantes como otras posibilidades funcionales, as como el incremento de costos que significa agregar funciones, despus de desarrollado un Sistema de Informacin. 2.3.1. 1. Acceso no autorizado Sin adecuadas medidas de seguridad se puede producir accesos no autorizados: Control de acceso al Servidor de Datos. La libertad de acceso las Oficinas, puede crear un significativo problema de seguridad. El acceso normal debe ser dado solamente a la gente que trabaja en esta oficina. Cualquier otra persona puede tener acceso nicamente bajo control.

18-02-2014

Debemos mantener la seguridad fsica de la Oficina como primera lnea de defensa. Para ello se toma en consideracin el valor de los datos, el costo de proteccin, el impacto institucional por la prdida o dao de la informacin. La forma propuesta de implantar el Control de acceso a las Oficinas, sera la siguiente: o o Para personas visitantes, acceso solo a reas comunes o requeridas segn se autorice por la persona que esta visitara. Para personal de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., con autorizacin del encargado de la Oficina.

Acceso limitado computadoras personales y/o estaciones de trabajo de la red. Las estaciones de trabajo que son dejados sin proteccin pueden ser mal usadas. Cualquier estacin de trabajo puede ser utilizado para tener acceso a los datos de un sistema controlado. Control de acceso a la informacin confidencial. Sin el debido control, cualquier usuario encontrara la forma de lograr acceso al Sistema de Red, a una base de datos o descubrir informacin clasificada. Para revertir la posibilidad de ataque se debe considerar: Programas de control a los usuarios de red El sistema Operativo residente en los Servidores de Datos y Aplicaciones es Windows 2003 Server. A travs del Servicio de Active Directory permite administrar a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente. Palabra de acceso (password) Es una palabra o cdigo que se ingresa por teclado antes que se realice un proceso. Constituye un procedimiento de seguridad que protege los programas y datos contra los usuarios no autorizados. La identificacin del usuario debe ser muy difcil de imitar y copiar. El Sistema de Informacin debe cerrarse despus que el usuario no autorizado falle tres veces de intentar ingresar una clave de acceso. Las claves de acceso no deben ser largas puesto que son ms difciles de recordar. Una vez que se obtiene la clave de acceso al sistema, esta se utiliza para entrar al sistema de Red de Informacin va Sistema Operativo. La forma comn de intentar descubrir una clave es de dos maneras: o o Observando el ingreso de la clave Utilizando un mtodo de ensayo y error para introducir posibles claves de acceso y lograr entrar.

18-02-2014

En todo proceso corporativo es recomendable que el responsable de cada rea asigne y actualice de forma peridica el password a los usuarios. No se puede depender de un operador o responsable de una estacin de trabajo, que trabe la operatividad normal del Call Center, por lo que ser necesario establecer el procedimiento para tener un duplicado de Claves de Acceso, bajo el esquema de niveles jerrquicos. El administrador de Redes deber entregar al Jefe o Supervisor, las claves de acceso de su personal en un sobre lacrado o archivo electrnico, debiendo registrar en un Cuaderno de Control, la fecha y motivo de algn cambio. Niveles de Acceso Las polticas de acceso aplicadas, deber identificar los usuarios autorizados a emplear determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso estn referidas a la lectura o modificacin en sus diferentes formas. Cada palabra clave deber tener asignado uno de los niveles de acceso a la informacin o recursos de red disponibles en PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A.. La forma fundamental de autoridad la tiene el Administrador de Redes con derechos totales. Entre otras funciones puede autorizar nuevos usuarios, otorgar derechos para modificar estructuras de las Bases de Datos, etc. De acuerdo a ello se tienen los siguientes niveles de acceso a la informacin:
Nivel Consulta de la informacin Concepto El privilegio de lectura est disponible para cualquier usuario y solo se requiere presentaciones visuales o reportes. La autorizacin de lectura permite leer pero no modificar la Base de Datos. Permite el acceso para agregar nuevos datos, pero no modifica los ya existentes, permite modificar pero no eliminar los datos.

Mantenimiento de informacin

2.3.1. 2. Destruccin Sin adecuadas medidas de seguridad la institucin puede estar a merced no solo de la destruccin de la informacin sino tambin de la destruccin de sus equipos informticos. La destruccin de los equipos puede darse por una serie de desastres como son: incendios, inundaciones, sismos, posibles fallas elctricas o sabotaje, etc. Cuando se pierden los datos y no hay copias de seguridad, se tendr que recrear archivos, bases de datos, documentos o trabajar sin ellos. Est comprobado que una gran parte del espacio en disco est ocupado por archivos de naturaleza histrica, que es til tener a mano pero no son importantes para el funcionamiento normal. Un ejemplo tpico son las copias de

18-02-2014

la correspondencia conservados como documentos de referencia o plantilla. Si se guarda una copia de seguridad de estos archivos las consecuencias de organizacin pueden ser mnimas. Los archivos Electrnicos Contable son de disposicin diferente, ya que volver a crearlos puede necesitar de mucho tiempo y costo. Generalmente la institucin recurre a esta informacin para la toma de decisiones. Sin los datos al da, si el objetivo se vera seriamente afectado. Para evitar daos mayores se hacen copias de seguridad de la informacin vital para la institucin y se almacenan en lugares apropiados (de preferencia en lugar externo a las instalaciones). Hay que protegerse tambin ante una posible destruccin del hardware o software por parte del personal no honrado. Por ejemplo, hay casos en la que, trabajadores que han sido recientemente despedidos o estn enterados que ellos van a ser cesados, han destruido o modificado archivos para su beneficio inmediato o futuro. Depende de los Jefes inmediatos de las reas funcionales dar importancia a estos eventos, debiendo informar al Jefe o Supervisor del Call Center para el control respectivo.

2.3.1. 3. Revelacin o Deslealtad La revelacin o deslealtad es otra forma que utilizan los malos trabajadores para su propio beneficio. La informacin de carcter confidencial es vendida a personas ajenas a la institucin. Para tratar de evitar este tipo de problemas se debe tener en cuenta lo siguiente: Control de uso de informacin en paquetes/ expedientes abiertos, Cintas/DVD/CD y otros datos residuales. La informacin puede ser conocida por personal no autorizadas. Se deben tomar medidas para deshacerse del almacenaje secundario de informacin importante o negar el uso de esa a aquellas personas que pueden usar mal los datos residuales de estas. Mantener informacin impresa o magntica fuera del trayecto de la basura. El material de papel en la plataforma de descarga de la basura puede ser la fuente altamente sensitiva de recompensa para aquellos que esperan el recojo de la basura. Para tener una mayor seguridad de proteccin de la informacin residual y segregada, esta deber ser destruida, eliminada fsicamente, manualmente o mecnicamente (picadoras de papel). Preparar procedimientos de control para la distribucin de informacin. Una manera de controlar la distribucin y posible derivacin de informacin, es mantener un rastro de copias mltiples indicando la confidencialidad o usando numeracin como pag 1 de 9 Desafortunadamente, es muy comn ver grandes volmenes de informacin sensitiva tirada alrededor de la Oficinas y relativamente disponible a gran nmero de personas.

18-02-2014

2.3.1. 4. Modificaciones Hay que estar prevenido frente a la tendencia a asumir que si viene de la computadora, debe ser correcto. La importancia de los datos modificados de forma ilcita, est condicionada al grado en que la institucin, depende de los datos para su funcionamiento y toma de dediciones. Esto podra disminuir su efecto su los datos procedente de las computadoras se verificaran antes de constituir fuente de informacin para la toma de decisiones. Los elementos en la cual se han establecido procedimientos para controlar modificaciones ilcitas son: Los programas de aplicacin: adicionalmente a proteger sus programas de aplicacin como activos, es a menudo necesario establecer controles rgidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan daos accidentales o intencionales a los datos o a su uso no autorizado. La informacin en Bases de Datos: como medidas de Seguridad, para proteger los datos en el sistema, efectuar auditorias y pruebas de consistencia de datos en nuestros histricos. Particular atencin debe ser dada al dao potencial que pueda efectuar un programador a travs de una modificacin no autorizada. Nuestra mejor proteccin contra la perdida/modificacin de datos consiste en hacer copias de seguridad, almacenando copias de todos los archivos valiosos en un lugar seguro. Los usuarios: los usuarios deben ser concientizados de la variedad de formas en que los datos pueden perderse o deteriorarse. Una campaa educativa de este tipo puede iniciarse con una reunin especial de los empleados, profundizarse con una serie de seminarios y reforzarse con carteles y circulares relacionados al tema.

Para la realizacin de las Copias de Seguridad se tiene que tomar algunas decisiones previas como: Qu soporte de copias de seguridad se va utilizar? Se van a usar dispositivos especializados para copia de seguridad? Con que frecuencia se deben realizar las copias de seguridad? Cules son los archivos a los que se le sacara copia de seguridad y donde se almacenara? El personal de Soporte Tcnico o Help Desk establecer Directivas y/o Reglamentos en estas materias, para que los usuarios tomen conocimiento de sus responsabilidades. Tales reglas y normativas deben incorporarse en una campaa de capacitacin educativa. La institucin debe tener en cuenta los siguientes puntos para la proteccin de los datos de una posible contingencia:

18-02-2014

Hacer de la copia de seguridad una poltica, no una opcin. Hacer de la copia de seguridad resulte deseable. Facilitar la ejecucin de la copia de seguridad (equipos adecuados, disponibilidad, suministros). Hacer de la copia de seguridad obligatoria.

Procedimientos para controlar modificaciones ilcitas

Datos Aplicacin Host Red interna Permetro

Seguridad fsica

Fsica: Fenmenos naturales, fuego, temperatura, Instalaciones elctricas y de datos Acceso del personal, Software y Datos: Copias de seguridad: Dnde? Cundo? Cuntas? Tipos? Control de fuga de informacin Acceso de usuarios: Categoras, Niveles, para las: Aplicaciones, Internet, Correo,

CAPITULO III: PLAN DE RECUPERACIN DEL DESASTRE Y RESPALDO DE LA INFORMACION

El costo de la Recuperacin en caso de desastres severos, como los de un terremoto que destruya completamente el interior de edificios e instalaciones, estar directamente relacionado con el valor de los equipos de cmputo e informacin que no fueron informados oportunamente y actualizados en la relacin de equipos informticos asegurados que obra en poder de la compaa de seguros. El Costo de Recuperacin en caso de desastres de proporciones menos severos, como los de un terremoto de grado inferior a 07 o un incendio de controlable, estar dado por el valor no asegurado de equipos informticos e informacin ms el Costo de Oportunidad, que significa, el costo del menor tiempo de recuperacin estratgica, si se cuenta con parte de los equipos e informacin recuperados. Este plan de restablecimiento estratgico del sistema de red, software y equipos informticos ser abordado en la parte de Actividades Posteriores al desastre. El paso inicial en el desarrollo del plan contra desastres, es la identificacin de las personas que sern las responsables de crear el plan y coordinar las funciones. Tpicamente las personas pueden ser: personal Supervisorio, del Soporte Tcnico o Help Desk, personal de Seguridad. Las actividades a realizar en un Plan de Recuperacin de Desastres se clasifican en tres etapas: Actividades Previas al Desastre. Actividades Durante el Desastre. Actividades Despus del Desastre. 3.1. Actividades previas al desastre Se considera las actividades de planteamiento, preparacin, entrenamiento y ejecucin de actividades de resguardo de la informacin, que aseguraran un proceso de recuperacin con el menor costo posible para la institucin. 3.1.1. Establecimientos del Plan de Accin En esta fase de planeamiento se establece los procedimientos relativos a: a. Sistemas e Informacin. b. Equipos de Computacin. c. Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). d. Polticas (Normas y Procedimientos de Backups). a. Sistemas de Informacin La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas (detallada en el anexo V). Los Sistemas y Servicios crticos para PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., son los siguientes:

Lista de Sistemas Sistema de Control de la Central Telefnica: Destinada a Controlar el funcionamiento y configuracin de la central telefnica, las extensiones instaladas y la programacin de estas. Sistema de Control de Llamadas: Destinado a monitorear el control de costos, las tarifas y del uso de este servicio. Sistema de control de Acceso: Destinado a controlar el acceso del personal administrativo a las oficinas, asistencia y cumplimiento de horario laboral. Sistema de Control Administrativo de la empresa: Destinado al manejo administrativo de las diferentes operaciones de la empresa. Sistema de Mantenimiento: Destinado al mantenimiento preventivo y correctivo de los equipos mviles (camiones, tractores, etc.) que posee la empresa. Lista de Servicios Sistema de comunicaciones Internet, Intranet. Servicios Proxy VPN: servicios de acceso privado a la red de la Institucin desde cualquier lugar. Servicio de Monitoreo de la red: monitorea los equipos de comunicacin distribuidos en la red PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A.. Servicios de telefona Principal: telfonos IP Servicio de Antivirus b. Equipos de Computacin Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicacin (software que usa, ubicacin y nivel de uso institucional). Se debe emplear los siguientes criterios sobre identificacin y proteccin de equipos: o Plizas de seguros comerciales, como parte de la proteccin de los activos institucionales y considerando una restitucin por equipos de mayor potencia, teniendo en cuenta la depreciacin tecnolgica. Sealizacin o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuacin. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con informacin importante o estratgica, y color verde a las dems estaciones (normales, sin disco duro o sin uso). Mantenimiento actualizado del inventario de los equipos de cmputo requerido como mnimo para el funcionamiento permanente de cada sistema en la institucin.

c. Obtencin y almacenamiento de Copias de Seguridad (Backups) Se debe contar con procedimientos para la obtencin de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los sistemas en la institucin. Las copias de seguridad son las siguientes: o Backup del Sistema Operativo: o de todas las versiones de sistema operativo

instalados en la Red. o o o Backup del software aplicativo: backups de los programas fuente y los programas ejecutables. Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecucin del software aplicativos de la institucin). Backups del Hardware, se puede implementar bajo dos modalidades: Modalidad Externa: mediante el convenio con otra empresa de Soporte Tcnico o Help Desk de modalidad Outsourcing que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra informacin y ser puestos a nuestra disposicin al ocurrir una continencia mientras se busca una solucin definitiva al siniestro producido. En este Caso se debe definir claramente las condiciones del convenio a efectos de determinar la cantidad de equipos, periodos de tiempo, ambientes, etc., que se puede realizar con la entidad que cuente con equipo u mantenga un Plan de Seguridad de Hardware. Modalidad Interna: si se dispone de ms de un local, en ambos se debe tener sealado los equipos, que por sus capacidades tcnicas son susceptibles de ser usados como equipos de emergencia. Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauracin de informacin posibiliten el funcionamiento adecuado de los sistemas.

d. Polticas (Normas y Procedimientos) Se debe establecer procedimientos, normas y determinacin de responsabilidades en la obtencin de los Backups o Copias de Seguridad. Se debe considerar: o Periodicidad de cada tipo de backup: los backups de los sistemas informticos se realizan de manera diferente: Toda la informacin importante para la prestacin del servicio est almacenada en los servidores de datos aplicaciones, las estaciones de trabajo solo contienen informacin relevante para su funcionamiento y de almacenamiento temporal de cada usuario en el momento de su utilizacin. Se definir un rea de almacenamiento en cada estacin de trabajo para cada usuario, asegurndose de que esta rea no se encuentre dentro del rea de sistema operativo y aplicaciones de la estacin, as como un procedimiento de respaldo automtico de esta rea de datos directamente a un rea dentro del servidor sin intervencin del usuario de la estacin. Los respaldo que se realizan bajo dos modalidades, la primera es diaria y corresponde solo al rea destinada al almacenamiento de los datos definida en los servidores, la otra es semanal y corresponde a la totalidad de los datos, aplicaciones, polticas, definicin de usuarios y cualquier informacin que se considere importante para restablecer completamente la operatividad de los servidores. Los respaldos diarios se realizaran en horas de la noche que corresponden a la de menor incidencia de trabajo para estos, para ello se proceder a mantener por separado y bien identificado un juego de siete (7) respaldos los cuales se procedern a utilizar en forma sucesiva y se rotaran de manera de mantener siempre los ltimos siete (7) das de operatividad, en caso de presentarse algn evento en la consistencia de los datos, solo se habr perdido en el mayor de los

casos extremos por falla de algn respaldo solo los ltimos siete das de operacin. Los respaldos semanales se realizaran en la noche, para ello se proceder a mantener por separado y bien identificado un juego de cuatro (4) respaldos los cuales se procedern a utilizar en forma sucesiva y se rotaran de manera de mantener siempre los ltimos cuatro (4) das de operatividad. Adicional a estos respaldos se realizara cada final de mes un juego de dos (2) respaldos totales de los datos de los servidores y se identificara con la fecha del mes correspondiente, est cinta se almacenara en un lugar seguro permitiendo tener una respaldo de cierre de mes. Los medios de almacenamiento para los respaldos pueden variar dependiendo de la disponibilidad del mercado, ya que estos pueden almacenarse en cintas magnticas, DVD, Discos externos (Conexin USB), etc. Todos los sistemas de datos son monitorizados 24X7 por el personal del centro de datos. En caso de cualquier falla de respaldo del sistema, se enva una notificacin al departamento de Sistemas para seguimiento y la toma de medidas correctivas para asegurar no solo la realizacin del respaldo, sino tambin su confiabilidad. o Uso obligatorio de un formulario de control de ejecucin del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento. Almacenamiento de los backups en condiciones dependiendo del medio magntico empleando. ambientales optimas,

o o

Reemplazo de los backups, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida til del dispositivo donde se ha realizado el backup. Almacenamiento de los backups en locales diferentes donde reside la informacin primaria (evitando la prdida si el desastre alcanzo todo el edificio o local). Se realizaran pruebas de restauracin de datos en otras reas de almacenamiento destinadas para tal fin cada dos (2) semanas de los respaldos realizados, esto permitir asegurar su buen funcionamiento en caso de ser requeridas, tambin debern de verificarse los medios de almacenamiento utilizados y proveer su rotacin para minimizar posible fallas de funcionamiento.

3.1.2. Formacin de equipos operativos En cada unidad operativa, que almacene informacin y sirva para la operatividad institucional, se deber designar un responsable de la seguridad de la informacin de su unidad. Pudiendo ser el Jefe o Supervisor Administrativo de dicha rea, sus funciones sern las siguientes: Contactarse con los autores de las aplicaciones y personal de mantenimiento respectivo. El equipo encargado del Departamento de Sistemas, est formado por las siguientes unidades: o Unidad de Soporte de Mantenimiento preventivo y correctivo del Hardware (Outsourcing).

o Unidad de Personal de Sistemas. Proporcionar las facilidades (procedimientos, tcnicas) para realizar copias de respaldo. Esta actividad est dirigida por el Equipo de Soporte y Mantenimiento. Supervisar el procedimiento de respaldo y restauracin Establecer procedimientos de seguridad en los sitios de recuperacin Organizar la prueba de hardware y software: el encargado y el usuario final dan su conformidad. Ejecutar trabajos de recuperacin y comprobacin de datos. Participar en las pruebas y simulacros de desastres: en esta actividad deben participar el encargado de la ejecucin de actividades operativas, y los servidores administrativos del rea, en el cumplimiento de actividades preventivas al desastre del Plan de Contingencias.

3.1.3. Formacin de Equipos de Evaluacin (Auditoria de cumplimiento de los procesos de seguridad) Esta funcin debe ser realizada preferentemente por el personal de auditoria o inspectora, de no ser posible, lo realizara el personal del rea de Informtica o Soporte Tcnico, debiendo establecerse claramente sus funciones, responsabilidades y objetivos: Revisar que las normas y procedimientos con respecto a backups, seguridad de equipos y data se cumpla. Supervisar la realizacin peridica de los backups, por parte de los equipos operativos, es decir, informacin generada en el rea funcional, software general y hardware. Revisar la correlacin entre la relacin de los Sistemas e informacin necesarios para la buena marcha de la institucin y los backups realizados. Informar de los cumplimientos e incumplimientos de las normas para las acciones de correccin necesarias.

3.2. Actividades durante el Desastre Presentada la contingencia o desastre se debe ejecutar las siguientes actividades planificadas previamente: a. Plan de Emergencias b. Formacin de Equipos c. Entrenamiento a. Plan de Emergencias La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe tener en cuenta la probabilidad de su ocurrencia durante: el da, noche o madrugada. Este plan debe incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro. Solo se debe realizar acciones de resguardo de equipos en los casos en que no se pone en riesgo la vida de personas.

Normalmente durante la accin del siniestro es difcil que las personas puedan afrontar esta situacin, debido a que no estn preparadas o no cuentan con los elementos de seguridad, por lo que las actividades para esta etapa del proyecto de prevencin de desastres deben estar dedicados a buscar ayuda inmediatamente para evitar que la accin del siniestro causen ms daos o destrucciones. Se debe tener en toda Oficina los nmeros de telfono y direcciones de organismos e instituciones de ayuda. Todo el personal debe conocer lo siguiente: o Localizacin de vas de Escape o Salida: Las vas de escape o salida para solicitar apoyo o enviar mensajes de alerta, a cada oficina debe sealizar las vas de escape Plan de Evaluacin Personal: el personal ha recibido peridicamente instrucciones para evacuacin ante sismos, a travs de simulacros, esto se realiza acorde a los programas de seguridad organizadas por Defensa Civil a nivel local. Esa actividad se realizara utilizando las vas de escape mencionadas en el punto anterior. Ubicacin y sealizacin de los elementos contra el siniestro: tales como los extintores, las zonas de seguridad que se encuentran sealizadas (ubicadas normalmente en las columnas), donde el smbolo se muestra en color blanco con fondo verde. De existir un repintado de paredes deber contemplarse la reposicin de estas seales. Secuencia de llamadas en caso de siniestro: tener a la mano elementos de iluminacin, lista de telfonos de instituciones como: Compaa de Bomberos, Hospitales, Centros de Salud, Ambulancias, Seguridad.

b. Formacin de Equipos Se debe establecer los equipos de trabajo, con funciones claramente definidas que debern realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o estar en un rea cercana, etc.), se debe formar 02 equipos de personas que acten directamente durante el siniestro, un equipo para combatir el siniestro y el otro para salvamento de los equipos informticos, de acuerdo a los lineamientos o clasificacin de prioridades.

c. Entrenamiento Se debe establecer un programa de prcticas peridicas con la participacin de todo el personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se pueden realizar recarga de extintores, charlas de los proveedores, etc. Es importante lograr que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir; y tomen con seriedad y responsabilidad estos entrenamientos; para estos efectos es conveniente que participen los Directivos y Ejecutivos, dando el ejemplo de la importancia que la Alta Direccin otorga a la Seguridad Institucional.

3.3. Actividades despus del desastre Estas actividades se deben realizar inmediatamente despus de ocurrido el siniestro, son las siguientes: 3.3.1 Evaluacin de Daos. 3.3.2 Priorizacin de Actividades del Plan de Accin. 3.3.3 Ejecucin de Actividades.

3.3.4 Evaluacin de Resultados. 3.3.5 Retroalimentacin del Plan de Accin. 3.3.1 Evaluacin de daos El objetivo es evaluar la magnitud del dao producido, es decir, que sistemas se estn afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en cuanto tiempo. En el caso de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. se debe atender los procesos de servicio de atencin al cliente a travs del sistema PROFIT; que son las actividades que no podran dejar de funcionar, por la importancia estratgica. La recuperacin y puesta en marcha de los servidores y equipos que permiten el acceso a dichos sistemas, es prioritario. 3.3.2 Priorizar Actividades del Plan de Accin La evaluacin de los daos reales nos dar una lista de las actividades que debemos realizar, preponderando las actividades estratgicas y urgentes de nuestra institucin. Las actividades comprenden la recuperacin y puesta en marcha de los equipos de computacin ponderada y los Sistemas de Informacin, compra de accesorios daados, etc. 3.3.3 Ejecucin de actividades La ejecucin de actividades implica la creacin de equipos de trabajo para realizar actividades previamente planificadas en el Plan de Accin. Cada uno de estos equipos deber contar con un coordinador que deber reportar el avance de los trabajos de recuperacin y, en caso de producirse un problema, reportarlo de inmediato a la Jefatura a cargo del Plan de Contingencias. Los trabajos de recuperacin tendrn dos etapas: o o La primera la restauracin del servicio usando los recursos de la institucin o local de respaldo. La segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente para no perjudicar la operatividad de la institucin y el buen servicio de nuestro sistema e Imagen Institucional.

3.3.4 Evaluacin de Resultados Una vez concluidas las labores de Recuperacin de los sistemas que fueron afectado por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del Plan de Accin, como se comportaron los equipos de trabajo, etc. De la evaluacin de resultados y del siniestro, deberan de obtenerse dos tipos de recomendaciones, una la retroalimentacin del Plan de Contingencias y Seguridad de Informacin, y otra una lista de recomendaciones para minimizar los riesgos y perdida que ocasionaron el siniestro. 3.3.5 Retroalimentacin del Plan de Accin Con la evaluacin de resultados, debemos de optimizar el Plan de Accin original, mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que funcionan adecuadamente. El otro elemento es evaluar cul hubiera sido el costo de no contar con el Plan de Contingencias en la institucin.

3.4 Acciones frente a los tipos de riesgo. 3.4.1 Clase de Riesgo: Incendio o Fuego. Cuando el dao del edificio ha sido mayor, evaluar el traslado a un nuevo local, hasta considerar la posibilidad del traslado. El procedimiento de respuesta a esta emergencia se ve en la figura Nro. 4. Cuando el dao ha sido menor: a. Tramitar la garanta de los equipos daados o comprar los equipos indispensables para la continuidad de las operaciones. Responsable encargado de Soporte y Mantenimiento b. Se recoge los respaldos de datos, programas, manuales y claves. Responsable encargado de Redes. c. Instalar el sistema Mantenimiento operativo. Responsable encargado de Soporte y

d. Restaurar la informacin de las bases de datos y programas. Responsable encargado de Desarrollo. e. Revisar y probar la integridad de los datos. Responsable encargado de Desarrollo.

Fig.04 Respuesta de Emergencia Incendio

QUE HACER? Antes, Durante y Despus de un INCENDIO.

ANTES: Verificar peridicamente que las instalaciones elctricas estn en perfecto estado. No concentrar grandes cantidades de papel, ni fumar cerca de qumicos o sustancias voltiles. Verificar las condiciones de extintores e hidratantes y capacitar para su manejo. Si se fuma, procurar no arrojar las colillas a los cestos de basura, verificar que se hayan apagado bien los cigarrillos y no dejarlos en cualquier sitio, utilizar ceniceros. No almacenar sustancias y productos inflamables. No realizar demasiadas conexiones en contactos mltiples, evitar la sobrecarga de circuitos elctricos. Por ningn motivo mojar las instalaciones elctricas, recordar que el agua es un buen conductor de la electricidad. Si se detecta cualquier anomala en los equipos de seguridad (extintores, hidratantes, equipo de proteccin personal, etc.) y en las instalaciones elctricas, reportar de inmediato a Seguridad. Mantener siempre el rea de trabajo limpia y en orden, ya que no hacerlo es una de las causas que provocan incendios. Tener a la mano los nmeros telefnicos de emergencia. Portar siempre el Carnet de identificacin. DURANTE Ante todo se recomienda conservar la calma, lo que repercutir en un adecuado control de nuestras acciones. En ese momento cualquiera que sea(n) el (los) proceso(s) que se est(n) ejecutando en el Computador Principal, se deber (si el tiempo lo permite) "Salir de Red y Apagar Computador": Down en el (los) servidor(es), apagar (OFF) en la caja principal de corriente del rea de servidores. Si se conoce sobre el manejo de extintores, intenta sofocar el fuego, si este es considerable no trates de extinguirlo con los propios medios, solicitar ayuda. Si el fuego esta fuera de control, realizar evacuacin del inmueble, siguiendo las indicaciones del Personal de bomberos. No utilizar elevadores, descender por las escaleras pegado a la pared que es donde posee mayor resistencia, recuerda: No gritar, No empujar, No correr y dirigirse a la zona de seguridad. Si hay humo donde nos encontramos y no podemos salir, mantenernos al ras del piso, cubriendo tu boca y nariz con un pauelo bien mojado y respira a travs de l, intenta el traslado a pisos superiores. Las personas que se encuentren en los ltimos pisos, debern abrir ventanas para que el humo tenga una va de salida y se descongestionen las escaleras. Si es posible mojar la ropa. Verifica si las puertas estn calientes antes de abrirlas, si lo estn, busca otra salida. DESPUES Retirarse inmediatamente del rea incendiada y ubcate en la zona de seguridad externa que te corresponda. No obstruir las labores del personal especializado, dejar que los profesionales se encarguen de sofocar el incendio. El personal calificado realizara una verificacin fsica del inmueble y definir si esa en condiciones de ser utilizado normalmente. Colaborar con las autoridades.

3.4.2

Clase de Riesgo: Robo comn de equipos y archivos.

Analizar las siguientes situaciones: En qu tipo de vecindario se encuentra la Institucin Las computadoras se ven desde la calle Hay personal de seguridad en la Institucin y estn ubicados en zonas estratgicas Cunto valor tienen actualmente las Bases de Datos Cunta prdida podra causar en caso de que se hicieran pblicas Asegurarse que el personal es de confianza, competente y conoce los procedimientos de seguridad. Trabajo no supervisado, especialmente durante el turno de noche, malas tcnicas de contratacin, evaluacin y de despido de personal. 3.4.3 Clase de Riesgo: Vandalismo.

Si el intento de vandalismo es mayor, se presenta un grave riesgo dentro del rea del Centro de Cmputo ya que puede daar los dispositivos perdiendo toda la informacin y por consecuencia las actividades se veran afectadas en su totalidad, as como el servicio proporcionado. A continuacin se menciona una serie de medidas preventivas: o Establecer vigilancia mediante cmaras de seguridad en el Site, el cual registre todos los movimientos de entrada del personal. o Instalar identificadores mediante tarjetas de acceso. o Determinar lugares especiales, fuera del centro de datos, para almacenar los medios magnticos de respaldo y copia de la documentacin de referencia y procedimientos de respaldo y recuperacin (se puede contratar una caja de seguridad bancaria donde se custodiaran los datos e informacin crtica). Los principales conflictos que pudieran presentarse son: o En cuanto a la red, si el sistema llegar a presentar una falla no habra personal que atendiera la problemtica y por consecuencia se detendran las operaciones a falta del monitoreo a los distintos sistemas. o Respecto a los dispositivos de almacenamiento, si se mantienen los respaldos nicamente dentro del rea de servidores, sera imposible reanudar las actividades que un momento dado fueran crticas, en un sitio alterno, ya que no contaran con copia de la informacin. 3.4.4 Clase de Riesgo: Equivocaciones.

Cunto saben los empleados de computadoras o redes. Durante el tiempo de vacaciones de los empleados, qu tipo de personal los sustituye y qu tanto saben del manejo de computadoras? Difusin de Manuales de Usuario y operacin del correcto uso del software y el hardware a todo el personal que labora de manera directa con los equipos informticos.

3.4.5

Clase de Riesgo: Fallas en los equipos.

Las fallas del sistema de red pueden deberse al mal funcionamiento de los equipos a la prdida de configuracin de los mismos por lo que se deben evaluar las fallas para determinar si estas se derivan del mal funcionamiento de un equipo de la prdida de su configuracin.

Fig.05 Respuesta de Emergencia en Caso de Falla de los Equipos

Casos Error Fsico de Disco de un Servidor (Sin RAID). Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso. 4. Bajar el sistema y apagar el equipo. 5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle particin. 6. Restaurar el ltimo backup, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 7. Verificacin el buen estado de los sistemas. 8. Habilitar las entradas al sistema para los usuarios.

Error Fsico de Disco de un Servidor (Con RAID). Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Retirar el disco malo y reponerlo con otro del mismo tipo, 3. Restaurar el ltimo backup, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 4. Verificacin el buen estado de los sistemas.

Error de Memoria RAM y Tarjeta(s) Controladora(s) de Disco En el caso de las memorias RAM, se dan los siguientes sntomas: El servidor no responde correctamente, por lentitud de proceso o no rendir ante el ingreso masivo de usuarios. Ante procesos mayores se congela el proceso. Arroja errores con mapas de direcciones hexadecimales. Es recomendable que el servidor cuente con ECC (error correct checking), por lo tanto si hubiese un error de paridad, el servidor se autocorregir. Todo cambio interno a realizarse en el servidor ser fuera de horario de trabajo fijado por la compaa, a menos que la dificultad apremie, cambiarlo inmediatamente. Se debe tomar en cuenta que ningn proceso debe quedar cortado, y se deben tomar las acciones siguientes: 1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y telfono a jefes de rea. 2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar las memorias malogradas. 4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares. 5. Retirar la conexin del servidor con el concentrador, ello evitar que al encender el sistema, los usuarios ingresen 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarn las pruebas. 7. Probar los sistemas que estn en red en diferentes estaciones. 8. Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios.

Error Fsico o de Aplicacin de las Estaciones de Trabajo (Laptop) Dado el caso crtico de que las estaciones de trabajo (Laptop) presenten fallas, tales que no pueden ser solventados, se debe tomar las acciones siguientes: 1. Reportar la falla al supervisor de turno. 2. Solicitar el reemplazo de la estacin de trabajo por la estacin de respaldo. 3. Notificar al personal de soporte a usuarios o HelpDesk para su pronta revisin y determinar acciones para su reparacin. 4. Cuando el equipo se encuentre operativo nuevamente entregarlo al usuario responsable de su uso y recuperar el equipo de respaldo. Error Fsico o de Equipos de Comunicacin: Dado el caso crtico de que las los equipos destinados a la comunicacin (Firewall, Routers, Concentradores, etc.) presenten fallas, tales que no pueden ser solventados por el personal de soporte de informtica, se debe tomar las acciones siguientes: 1. Reportar falla al Supervisor de Turno 2. Reportar falla al Departamento de Sistemas 3. Sustituir el equipo si se cuenta con un respaldo para su uso. Error Fsico o de Equipos de suministro elctrico (UPS): Dado el caso crtico de que las los equipos destinados a suministro elctrico ininterrumpido (UPS) presenten fallas, tales que no pueden ser solventados por el personal de soporte de informtica, se debe tomar las acciones siguientes: 1. Reportar falla al Supervisor de Turno 2. Reportar falla al Departamento de Sistemas 3. Sustituir el equipo si se cuenta con un respaldo para su uso. 3.4.6 Clase de Riesgo: Accin de Virus Informtico. Dado el caso crtico de que se presente virus en las computadoras se proceder a lo siguiente: Para servidor: Los servidores se encuentran protegidos por Firewall y ubicados en la red en una zona de que minimiza la posibilidad de ser atacados por virus. Se contar con antivirus para el sistema; aislar el virus para su futura investigacin. Si despus de aislado el virus, persiste el problema, proceder a verificar si est actualizada la huella del Antivirus e investigar si existe algn procedimiento establecido por el proveedor de esta para solucionar el problema. De no solucionarse con las acciones anteriores, deber restaurarse el Sistema Operativo completamente y proceder a restaurar los respaldos de polticas y cualquier informacin requerida para asegurar su total funcionamiento. Para las estaciones de trabajo en la red: De encontrar virus, dar la opcin de eliminar el virus. Si es que no puede hacerlo el antivirus, recomendar borrar el archivo, tomar nota de los archivos que se borren. Si stos son varios pertenecientes al mismo programa, reinstalar la aplicacin o respaldo de los datos al trmino del Scaneado. Si el problema persiste utilizar las imgenes de instalacin del sistema operativo realizadas al momento de la generacin de la estacin de trabajo y proceder a formatear y reinstalar todas las aplicaciones.

3.4.7

Clase de Riesgo: Accesos No Autorizados. Enfatiza los temas de: Contraseas. Las contraseas son a menudo, fciles de adivinar u obtener mediante ensayos repetidos. Debiendo implementarse un nmero mximo (3) de intentos infructuosos. El personal tcnico de soporte en sistemas implementa la complejidad en sus contraseas de tal forma que sean ms de cinco (5) caracteres y consistentes en nmeros y letras. Entrampamiento al intruso. Los sistemas deben contener mecanismos de entrampamiento para atraer al intruso inexperto. Es una buena primera lnea de deteccin, pero muchos sistemas tienen trampas inadecuadas. Privilegio. En los sistemas informticos de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., cada usuario se le presenta la informacin que le corresponde. Para un intruso que busque acceder a los datos de la red, la lnea de ataque ms prometedora ser una estacin de trabajo de la red. Estas se deben proteger con cuidado. Debe habilitarse un sistema que impida que usuarios no autorizados puedan conectarse a la red y copiar informacin fuera de ella, e incluso imprimirla. Por supuesto, una red deja de ser eficiente si se convierte en una fortaleza inaccesible. En este punto el administrador de la red ha clasificado a los usuarios de la red en Grupos con el objeto de adjudicarles el nivel de seguridad y perfil adecuado.

3.4.8

Clase de Riesgo: Fenmenos naturales.

a) Terremoto e Inundacin Para evitar problemas con inundaciones ubicar los servidores a un promedio de 50 cm de altura. En lo posible, los tomacorrientes deben ser instalados a un nivel razonable de altura. Cuando el dao del edificio ha sido mayor, evaluar el traslado a un nuevo local, hasta considerar la posibilidad del traslado. Cuando el dao ha sido menor se procede: a) Tramitar la garanta de los equipos daados o comprar los equipos indispensables para la continuidad de las operaciones. Responsable encargado de Soporte y Mantenimiento b) Recoger los respaldos de datos, programas, manuales y claves. Responsable encargado de Soporte y Mantenimiento. c) Instalar el sistema operativo. Responsable encargado de Soporte y Mantenimiento d) Restaurar la informacin de las bases de datos y programas. Responsable encargado de Soporte y Mantenimiento. e) Revisar y probar la integridad de los datos. Responsable supervisor inmediato.

Fig.06 Respuesta de Emergencia en Caso de Fenmenos Naturales

3.4.9

Clase de Riesgo: Robo de Datos. Se previene a travs de las siguientes acciones: Acceso no Autorizado: Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a: o rea de Sistemas. o Computadoras personales y/o terminales de la red. o Informacin confidencial. Control de acceso al rea de Sistemas: El acceso al rea de Informtica estar restringido: o Slo ingresan al rea el personal que trabaja en el rea. o El ingreso de personas extraas solo podr ser bajo una autorizacin. Acceso Limitado a las estaciones de trabajo: Cualquier estacin de trabajo que puede ser utilizado como acceso a los datos de un Sistema, las siguientes restricciones pueden ser aplicadas: o Determinacin de los perodos de tiempo para los usuarios o las terminales. o Designacin del usuario por estacin. o Limitacin del uso de programas para usuario o estaciones. o Lmite de tentativas para la verificacin del usuario, tiempo de validez de las seas, uso de contraseas, cuando un terminal no sea usado pasado un tiempo predeterminado (5 - 10 minutos). Niveles de Acceso: Los programas de control de acceso debern identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso estn referidos a la lectura o modificacin en sus diferentes formas. o Nivel de consulta de la informacin.- privilegio de lectura. o Nivel de mantenimiento de la informacin.- El concepto de mantenimiento de la informacin consiste en: Ingreso, Actualizacin, Borrado.

3.4.10
1. 2. 3. 4.

Clase de Riesgo: Manipulacin y Sabotaje.

La proteccin contra el sabotaje requiere: Una seleccin rigurosa del personal. Buena administracin de los recursos humanos. Buenos controles administrativos. Buena seguridad fsica en los ambientes donde estn los principales componentes del equipo. 5. Asignar a una persona la responsabilidad de la proteccin de los equipos en cada rea. A continuaciones algunas medidas que se deben tener en cuenta para evitar acciones hostiles: 1. Mantener una buena relacin de trabajo con el departamento de polica local. 2. Mantener adecuados archivos de reserva (backups). 3. Planear para probar los respaldos (backups) de los servicios de procesamiento de datos. 4. Identificar y establecer operaciones criticas prioritarias cuando se planea el respaldo de los servicios y la recuperacin de otras actividades. 5. Usar rastros de auditoras o registros cronolgicos (logs) de transaccin como medida de seguridad. Cuando la informacin eliminada se pueda volver a capturar, se procede con lo siguiente: o Capturar los datos faltantes en las bases de datos de los sistemas Responsable: reas afectadas o Revisar y probar la integridad de los datos. Responsable: Soporte Tcnico y el Supervisor inmediato.. La eliminacin de la informacin, puede volverse a capturar en la mayora de los casos, sin embargo en algunas ocasiones, las prdidas demandan demasiado tiempo requerido para el inicio de las operaciones normales, por tal motivo es recomendable acudir a los respaldos de informacin y restaurar los datos pertinentes, de esta forma las operaciones del da no se veran afectados.

Fig.07 Respuesta de Emergencia en Caso de Manipulacin y Sabotaje

CONCLUSIONES

El presente Plan de contingencias y Seguridad en Informacin de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., tiene como fundamental objetivo el salvaguardar la infraestructura de la Red y Sistemas de Informacin extremando las medidas de seguridad para protegernos y estar preparados a una contingencia de cualquier tipo. Las principales actividades requeridas para la implementacin del Plan de Contingencia son: Identificacin de riesgos, Evaluacin de riesgos, Asignacin de prioridades a las aplicaciones, Establecimiento de los requerimientos de recuperacin, Elaboracin de la documentacin, Verificacin e implementacin del plan, Distribucin y mantenimiento del plan. Un Plan de Contingencia es la herramienta que la institucin debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupcin parcial o total en sus funciones. Las polticas con respecto a la recuperacin de desastres deben de emanar de la mxima autoridad Institucional, para garantizar su difusin y estricto cumplimiento. No existe un plan nico para todas las organizaciones, esto depende de la infraestructura fsica y las funciones que se realizan en la empresa en el rea de procesamiento de datos o servidores. Lo nico que realmente permite a la institucin reaccionar adecuadamente ante procesos crticos, es mediante la elaboracin, prueba y mantenimiento de un Plan de Contingencia.

RECOMENDACIONES Programar las actividades propuestas en el presente Plan de Contingencias y Seguridad de Informacin. Hacer de conocimiento general el contenido del presente Plan de Contingencias y Seguridad de Informacin, con la finalidad de instruir adecuadamente al personal de PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. Adicionalmente al plan de contingencias se debe desarrollar reglas de control y pruebas para verificar la efectividad de las acciones en caso de la ocurrencia de los problemas y tener la seguridad de que se cuenta con un mtodo seguro. Se debe tener una adecuada seguridad orientada a proteger todos los recursos informticos desde el dato ms simple hasta lo ms valioso que es el talento humano; pero no se puede caer en excesos diseando tantos controles y medidas que desvirten el propio sentido de la seguridad, por consiguiente, se debe hacer un anlisis de costo/beneficio evaluando las consecuencias que pueda acarrear la prdida de informacin y dems recursos informticos, as como analizar los factores que afectan negativamente la productividad de la empresa.

ANEXO I: ESTRUCTURA ORGANICA DEL SOPORTE TECNICO DE INFORMATICA

Unidad

Funcin General Mantener y Monitorear los Servicios red. Mantenimiento y Reparacin de Computadoras y equipos tecnolgicos.

Soporte Tecnolgico

Velar por la integridad y buen funcionamiento de los Servidores. Verificar y garantizar el correcto funcionamiento de los sistemas implementados.

ANEXO II: F O R M A T O PARA RELACION DE PROVEEDORES DE HARDWARE / SOFTWARE Y/O SERVICIOS Razn Social Direccin Observacin Contacto Telfono

ANEXO III: FORMATO PARA EL REGISTRO DE BACKUPS

Cdigo: Versin: Anexo de Periodicidad para la Realizacin de Backup o Copias de Seguridad Fecha de actualizacin: Elaborado por:

Sistema Informacin

de

Tipo de Backup

Periodicidad del Backup

Medio de Almacenamiento

Lugar de Almacenamiento

Persona que lo genera

ANEXO IV: MEDIDAS DE PRECAUCIN Y RECOMENDACIN

1. En el rea de Servidores: Es recomendable que no est ubicado en reas de alto trfico de personas o con un alto nmero de invitados. Evitar, en lo posible, los grandes ventanales por el riesgo de terrorismo y sabotaje; adems de que permiten la entrada del sol y calor (inconvenientes para los equipos). En su construccin, no debe existir materiales altamente inflamables, que despiden humos sumamente txicos o bien paredes que no quedan perfectamente selladas y despidan polvo. Su acceso debe estar restringido al personal autorizado. El personal de la Institucin deber tener su carn de identificacin siempre en un lugar visible. Establecer un medio de control de entrada y salida al rea de Servidores. Se recomienda que al personal, de preferencia, se les realice exmenes psicolgicos y mdico, y tener muy en cuenta sus antecedentes de trabajo, ya que el rea de Servidores depende en gran medida, de la integridad, estabilidad y lealtad del personal. El acceso a los Sistemas de Informacin, debe estar controlado mediante la verificacin de la identidad de los usuarios autorizados. Establecer controles para una efectiva disuasin y deteccin, de intentos de acceso no autorizados a los sistemas de informacin. Se recomienda establecer polticas para la creacin de los password y establecer periodicidad de cambios. Establecer polticas de autorizaciones de acceso fsico al ambiente y de revisiones peridicas de dichas autorizaciones. Establecer polticas de control de entrada y salida del personal, en el caso de visitas, verificar los paquetes u objetos que portan. La seguridad de las terminales de un sistema en red podrn ser controlados por medio de anulacin del disk drive, anulacin de Compartir Discos duros, cubrindose de esa manera la seguridad contra robos de la informacin y el acceso de virus informticos. La ubicacin de los controles de acceso (vigilancia) y el acceso en s deben estar ubicados de tal manera que no sea fcil el ingreso de una persona extraa. Las cmaras fotogrficas no se permitirn en el rea de Servidores, sin permiso por escrito de la Gerencia. 2. En la Administracin de las Impresiones: Todo listado que especialmente contenga informacin confidencial, debe ser destruido, as como el papel carbn de los formatos de impresin especiales. Establecer controles de impresin, respetando prioridades de acuerdo a la cola de impresin. Establecer controles respecto a los procesos remotos de impresin.

3. En los Niveles de Control: Existen dos tipos de activos en un Centro de Cmputo (rea de Servidores): los equipos fsicos y la informacin contenida en dichos equipos. Estos activos son susceptibles de robo, dao del equipo, revelacin y/o destruccin no autorizada de la informacin, que interrumpen el soporte a los procesos del negocio. El valor de los activos a proteger, est determinado por el nivel de clasificacin de la informacin y por el impacto en el negocio, causado por prdida o destruccin del Equipo o informacin. Hay que distinguir los activos en nivel clasificado y no clasificado. Para los de nivel no clasificado, no ser necesario control. Para el nivel clasificado, deben observarse todas las medidas de seguridad de la informacin que estos equipos contengan. 4. Recomendaciones para los Medios de Almacenamientos Mantenimiento de Medios Magnticos: Deben guardarse bajo ciertas condiciones, con la finalidad de garantizar una adecuada conservacin de la informacin almacenada. Medidas a considerar: La temperatura y humedad relativa del ambiente de almacenamiento, debe ser adecuada. Las cintas deben colocarse en estantes o armarios adecuados. Deber mantenerse alejados de los campos magnticos. Dar un mantenimiento preventivo en forma peridica a fin de desmagnetizar impurezas. Recomendaciones para el Mantenimiento de los Discos Duros Aunque el conjunto de cabezales y discos viene de fbrica sellado hermticamente, debe evitarse que los circuitos electrnicos que se encuentran alrededor se llenen de partculas de polvo y suciedad que pudieran ser causa de errores. El ordenador debe colocarse en un lugar donde no pueda ser golpeado. Se debe evitar que la computadora se coloque en zonas donde haya acumulacin de calor. Esta es una de las causas ms frecuentes de las fallas de los discos duros. No se debe mover la CPU conteniendo al disco duro cuando est encendido, porque los cabezales de lectura-escritura pueden daar al disco. Respecto a los Monitores La forma ms fcil y comn de reducir la fatiga en la visin que resulta de mirar a una pantalla todo el da, es el uso de medidas contra la refeccin. Se recomienda no mirar directamente a la pantalla, si no mirar con una inclinacin. Se recomienda sentarse por lo menos a 60 cm. (2 pies) de la pantalla. No slo esto reducir su exposicin a las emisiones, sino que puede ayudar a reducir el esfuerzo visual. Tambin mantngase por lo menos a 1 m. o 1.20 m. del monitor de su vecino, ya que la mayora de los monitores producen ms emisiones por detrs, que por delante. Finalmente apague su monitor cuando no lo est usando Recomendacin para el cuidado del Equipo de Computacin Teclado: mantener fuera del teclado grapas y clips pues, de insertarse entre las teclas, puede causar un cruce de funcin. Cpu: mantener la parte posterior del CPU liberado en por lo menos 10 cm. Para asegurar as una ventilacin mnima adecuada. Mouse: poner debajo del mouse una superficie plana y limpia.

Impresora: el manejo de las impresoras, en su mayora, es a travs de los botones, tanto para avanzar como para retroceder el papel. Mantener las reas Operativas Limpias y Pulcra Todas las razones para mantener las reas operativas limpias y pulcras son numerosas. Sin embargo, algunos de los problemas que podemos evitar son: el peligro de fuego generado por la excesiva acumulacin de papeles, el dao potencial al equipo por derramar lquidos en los componentes del sistema, el peligro por fumar y las falsas alarmas creadas por detectores de humo.

ANEXO V: SISTEMAS DE INFORMACION DE PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A., CRITICOS PARA LA CONTINUIDAD DEL NEGOCIO. La relacin de los sistemas de informacin deber detallar los siguientes datos:
Nombre del sistema Lenguaje de Programacin/ Base de datos rea que Genera reas que Usan la Tamao la informacin informacin promedio del base archivo Volumen de transacciones Equipamiento necesario Fechas en que la informacin se necesita urgente

ANEXO VI: ESTADOS DE EMERGENCIA Permiten identificar cules pueden ser los eventos que se pueden presentar que afecten el normal funcionamiento de la plataforma y afecte el ingreso de datos y la operacin de los Sistemas de Informacin.
Descripcin Se produce cuando: Ninguna estacin de trabajo funciona, el computador no ingresa a las aplicaciones o no hay comunicacin con la red. Algunos de los elementos principales que impiden que la red funcione adecuadamente, pueden ser: Servidor, UPS del servidor, concentrador o swiches, puntos de red. Se produce cuando: No hay energa en la toma, Cables de energa flojos o mal conectados, punto de red deteriorado, patchcord flojo en la conexin de equipo o la caja de punto de red, clave de acceso a la red bloqueada, problemas con el Hardware.

Evento Cada De Los Sistemas

Proceso alterno que debe realizar el usuario del sistema Mientras se restablece el sistema se debe realizar las operaciones de registro de manera manual. Solicitar soporte al departamento de sistemas

Proceso alterno que debe realizar el personal de sistemas Informar del problema a la Coordinacin Administrativa, para asignar al personal del soporte. Los mismos que identifican cul de los elementos no estn funcionando y se procede a hacer el reemplazo.

Estacin de trabajo no funciona

En la toma de energa no hay corriente elctrica o el cable de energa esta flojo o mal conectado: Los usuarios deben verificar que estos elementos estn bien conectados, o utilizar otra estacin de trabajo disponible. Solicitar soporte al Departamento de sistemas Si los elementos del equipo estn daados: Solicitar soporte al Departamento de Utilizar otra estacin de trabajo para realizar sus tareas diarias, sino es posible realizarlas manualmente de acuerdo a las instrucciones dadas en cada de sistemas, Solicitar soporte al Departamento de sistemas

Verificar cada uno de los elementos que describen el problema y corregir el elemento en conflicto o reemplazarlo. La Coordinacin Administrativa PROYECTOS Y CONSTRUCCIONES PAYLOADER PADRE & HIJOS C.A. y de Soporte debe apoyar. Verificar el caso mencionado y restaurar los elementos que estn en conflicto. La Coordinacin Administrativa PROYECTOS Y CONSTRUCCIONES PAYLOADER

El programa o aplicacin transaccional no ingresa al sistema

Se puede producir porque la conexin de red esta deshabilitada, borraron acceso directo o icono al programa, archivos de

configuracin del programa fueron borrados, servidor fuera de servicio Prdida de datos en el programa o aplicacin transaccional Ocurre cuando se pierden datos de registro diario del rea operativa que ingresa a las aplicaciones transaccionales para realizar las operaciones. Mientras se restablece el sistema se debe Solicitar soporte al departamento de sistemas

debe apoyar.

Restauracin de archivos del backup si se realiz entre las fechas indicadas. Revisar tabla de referencia de realizacin de backup y las polticas de seguridad de la informacin. Se debe reportar al personal de Soporte de Sistemas, s el error persiste y no permite realizar o continuar con el proceso.

Errores de realizar: advertencia de los programas o aplicaciones transaccionales

Los mensajes de error de la aplicacin expresan alguna anomala dentro de los procesos normales que se realizan. Cada mensaje de error dentro de la aplicacin emite un cdigo con el que se puede identificar la causa, con el cdigo del error que aparece en la pantalla, indica que puede estar pasando, es muy importante reconocer cual es el cdigo del error y el mensaje completo para poder identificar y realizar el proceso de correccin de dicha falla.

Tomar nota del mensaje de error y Solicitar soporte al Departamento de sistemas, para que sea analizado y se establezca una posible solucin. Mientras se restablece el sistema se debe realizar lo siguiente de acuerdo a la actividad que necesite realizar:

ANEXO VII: CONCEPTOS GENERALES

Privacidad Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quin, cundo y qu informacin referente a ellos sern difundidos o transmitidos a otros. Seguridad Se refiere a las medidas tomadas con la finalidad de preservar los datos o informacin que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados. En el caso de los datos de una organizacin, la privacidad y la seguridad guardan estrecha relacin, aunque la diferencia entre ambas radica en que la primera se refiere a la distribucin autorizada de informacin, mientras que la segunda, al acceso no autorizado de los datos. El acceso a los datos queda restringido mediante el uso de palabras claves, de forma que los usuarios no autorizados no puedan ver o actualizar la informacin de una base de datos o a subconjuntos de ellos. Integridad Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las tcnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos. El concepto de integridad abarca la precisin y la fiabilidad de los datos, as como la discrecin que se debe tener con ellos. Datos Los datos son hechos y cifras que al ser procesados constituyen una informacin, sin embargo, muchas veces datos e informacin se utilizan como sinnimos. En su forma ms amplia los datos pueden ser cualquier forma de informacin: campos de datos, registros, archivos y bases de datos, texto (coleccin de palabras), hojas de clculo (datos en forma matricial), imgenes (lista de vectores o cuadros de bits), vdeo (secuencia de tramas), etc. Base de Datos Una base de datos es un conjunto de datos organizados, entre los cuales existe una correlacin y que adems, estn almacenados con criterios independientes de los programas que los utilizan. Tambin puede definirse, como un conjunto de archivos interrelacionados que es creado y manejado por un Sistema de Gestin o de Administracin de Base de Datos (Data Base Management System - DBMS). Las caractersticas que presenta un DBMS son las siguientes: Brinda seguridad e integridad a los datos. Provee lenguajes de consulta (interactivo). Provee una manera de introducir y editar datos en forma interactiva. Existe independencia de los datos, es decir, que los detalles de la organizacin de los datos no necesitan incorporarse a cada programa de aplicacin. Acceso Es la recuperacin o grabacin de datos que han sido almacenados en un sistema de computacin. Cuando se consulta a una base de datos, los datos son primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.

Ataque Trmino general usado para cualquier accin o evento que intente interferir con el funcionamiento adecuado de un sistema informtico, o intento de obtener de modo no autorizado la informacin confiada a una computadora. Ataque Activo Accin iniciada por una persona que amenaza con interferir el funcionamiento adecuado de una computadora, o hace que se difunda de modo no autorizado informacin confiada a una computadora personal. Ejemplo: El borrado intencional de archivos, la copia no autorizada de datos o la introduccin de un virus diseado para interferir el funcionamiento de la computadora. Ataque Pasivo Intento de obtener informacin o recursos de una computadora personal sin interferir con su funcionamiento, como espionaje electrnico, telefnico o la intercepcin de una red. Todo esto puede dar informacin importante sobre el sistema, as como permitir la aproximacin de los datos que contiene. Amenaza Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusin no autorizada de informacin confiada a una computadora. Ejemplo: Fallas de suministro elctrico, virus, saboteadores o usuarios descuidados. Incidente Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente, como por ejemplo las fallas de suministro elctrico o un intento de borrado de un archivo protegido Golpe (Breach) Es una violacin con xito de las medidas de seguridad, como el robo de informacin, el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.

ANEXO VIII: PROBABILIDAD DE QUE TENGA EFECTO ALGUNO DE LOS RIESGOS MENCIONADOS

PREGUNTA Fallas elctricas, que daen los equipos La Institucin cuenta con grupo electrgeno (Planta de generacin elctrica)? Se cuenta con Planos Elctricos de la distribucin del cableado? Esta falla cunto dao puede ocasionar? El fuego que destruyen los equipos y los archivos La institucin cuenta con proteccin contra incendios? Se cuenta con sistema de aspersin automtica? Diversos Extintores? Detectores de Humo? Los empleados estn preparados para un posible incendio? Robo comn, llevndose los equipos En qu tipo de vecindario se encuentra la institucin? Hay venta de drogas? Las computadoras se ven desde la calle? Hay personal de seguridad en la institucin? Cuntos vigilantes hay? Fallas en los equipos, que daen los archivos Los equipos tienen mantenimiento continuo por parte de personal calificado? Cules son las condiciones actuales de Hardware? Es posible predecir las fallas a que estn expuestos los equipos? Errores de los usuarios que daen los archivos Cunto saben los empleados de computadoras o redes? Los que no conocen de manejo de computadoras, Saben a quin pedir ayuda? Durante el tiempo de vacaciones o cambio de guardias de los empleados, Qu tipo de personal los sustituye y que tanto saben del manejo de computadoras? La accin de virus que daen los archivos Se prueba software sin hacer un examen previo? Est permitido el uso de dispositivo de almacenamiento externo en la oficina? Todas las mquinas tienen dispositivo de almacenamiento? Se cuenta con procedimientos contra virus? Terremotos que destruyan los equipos y archivos La institucin se encuentra en zona ssmica? El local cumple con las normas antissmicas?

RESPUESTA

No No 2 horas Max.

Si No Si Si Si

Centro Empresarial No No Si 2+2

Si Nuevos No

Lo esencial Si Lo esencial

No No Si Si

Si Si

Un terremoto, Cunto dao podra causar? Accesos no autorizados, filtrando datos importantes Cunta competencia hay para la empresa? Qu probabilidad hay que un competidor intente hacer un acceso no autorizado? El mdem se usa para llamar fuera y tambin se puede utilizar para comunicarse hacia dentro? Contamos con sistema de seguridad en el servidor? Contamos con seguridad en internet? Robo de Datos: difundindose los datos Cunto valor tiene actualmente la Base de Datos? Cunta prdida podra causar en caso de que se hicieran pblicas? Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el robo?

75%

1 0 No Si Si
Muy importante

Alta No