miércoles, 15 de abril de 2009

5.2. Plan de Emergencia, Plan de Respaldo y plan de Recuperación

PLAN DE EMERGENCIAS

En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro,
así como la difusión de las mismas.




Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
1. Durante el día.
2. Durante la noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo
detallar:
1. Vías de salida o escape.
2. Plan de Evacuación del Personal.
3. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Información) de la
Institución (si las circunstancias del siniestro lo posibilitan)
4. Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores
contra agua, etc.)

5. Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación
(linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su
personal (equipos de seguridad) nombrados para estos casos.

PLAN DE RECUPERACION DE DESASTRES






Es importante definir los procedimientos y planes de acción para el caso de una posible falla,
siniestro o desastre en el área Informática, considerando como tal todas las áreas de los
usuarios que procesan información por medio de la computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la
originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso
perdido.
La elaboración de los procedimientos que se determinen como adecuados para un caso de
emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los
encargados de la realización de los mismos, debiendo haber procesos de verificación de su
cumplimiento. En estos procedimientos estará involucrado todo el personal de la Institución.
Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima
autoridad Institucional, para garantizar su difusión y estricto cumplimiento.

Las actividades a realizar en un Plan de Recuperación de Desastres se pueden clasificar en
tres etapas:
Actividades Previas al Desastre.
Actividades Durante el Desastre.
Actividades Después del Desastre.

PLAN DE RIESGOS (PLAN DE SEGURIDAD)



Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una
lista de todos los riesgos conocidos, para lo cual se deberá realizar un análisis de riesgos.




ANALISIS DE RIESGOS

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas
negativas. Se ha de poder obtener una evaluación económica del impacto de estos sucesos
negativos. Este valor se podrá utilizar para contrastar el costo de la protección de la
Información en análisis, versus el costo de volverla a producir (reproducir).
La evaluación de riesgos y presentación de respuestas debe prepararse de forma
personalizada para cada organización.
La evaluación de riesgos supone imaginarse lo que puede ir ma l y a continuación estimar el
coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de
los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial
desarrollando un plan de acción adecuado.
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como ejemplo
se mencionan algunos factores de riesgo:
1. Factor de riesgo bajo
2. Factor de riesgo muy bajo
3. Factor de riesgo alto
4. Factor de riesgo muy alto
5. Factor de riesgo medio


ANALISIS DE FALLAS EN LA SEGURIDAD



Esto supone estudiar las computadoras, su software, localización y utilización con el objeto
de identificar los resquicios en la seguridad que pudieran suponer un peligro. Por ejemplo, si
se instala una computadora personal nueva, para recibir informes de inventario desde otras
PCUS vía WAN/LAN/Internet situados en lugares remotos, y debido a se configura para que
pueda recibir datos, se ha abierto una vía de acceso al sistema informático. Habrá que tomar
medidas de seguridad para protegerlo, como puede ser la validación de la clave de acceso.

PROTECCIONES ACTUALES

1. Generales, se hace una copia casi diaria de los archivos que son vitales para la Institución.
2. Robo común, se cierran las puertas de entrada y ventanas.
3. Vandalismo, se cierra la puerta de entrada.
4. Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma regular,
no se permite fumar, está previsto el préstamo de otros equipos.
5. Daño por virus, todo el software que llega se analiza en un sistema utilizando software
antivirus. Los programas de dominio público y de uso compartido (Shareware), sólo se usan si
proceden de una fuente fiable.
6. Equivocaciones, los empleados tienen buena formación. Cuando son necesarios, se intenta
conseguir buenos trabajadores temporales.
7. Terremoto, nada. Aparte de la protección contra incendios, la cual es buena.
8. Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de
llave de bloqueo del teclado.
9. Robo de datos, se cierra la puerta principal. Varias computadoras disponen de llave de
bloqueo del teclado
10. Fuego, en la actualidad se encuentra instalado Sistemas contra incendios, extinguidores,
en sitios estratégicos y se brinda entrenamiento en el manejo de los sistemas o extinguidores
al personal, en forma periódica.
En los Capítulos siguientes se brinda información completa y detallada de la Seguridad de
Equipos y de la Información.








No hay comentarios:

Publicar un comentario en la entrada