Seguridad en los Centros de Cmputo

Gestin de Recursos Informticos

SEGURIDAD EN LOS CENTROS DE CM UTO No existe una definicin estricta de lo que se entiende por seguridad, puesto que sta abarca mltiples y muy diversas reas relacionadas con los SI, reas que van desde la proteccin fsica de una computadora como componentes ard!are, asta la proteccin de la informacin que contiene o de las redes que lo comunican con el exterior" #ampoco es nico el ob$etivo de la seguridad" Son muy diversos los tipos de amena%as contra los que debemos protegernos" &esde amena%as fsicas, como los cortes elctricos, asta errores no intencionados de los usuarios, pasando por los virus informticos o el robo, destruccin o modificacin de la informacin" No obstante s ay tres aspectos fundamentales que definen la seguridad informtica' la confidencialidad, la integridad y la disponibilidad" &ependiendo del tipo de sistema informtico con el que tratemos (militar, comercial, bancario,""") el orden de importancia de estos tres factores es diferente, e incluso entran en $uego otros elementos como la autenticidad o el no repudio" *l enfoque de la poltica de seguridad y de los mecanismos utili%ados para su implementacin est influido por el ms importante de los tres aspectos" *stos aspectos tambin pueden entenderse como metas u ob$etivos" !"# Seguridad $%si&a +a seguridad fsica es una de los aspectos ms olvidados a la ora del dise,o de un sistema informtico" *sto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de bac-up de la sala de cmputo, que intentar acceder va lgica a la misma" .s, la Seguridad /sica consiste en la 0aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amena%as a los recursos e informacin confidencial1" Se refiere a los controles y mecanismos de seguridad dentro y alrededor del 2entro de 2mputo, as como los medios de acceso remoto al y desde el mismo3 implementados para proteger el ard!are y medios de almacenamiento de datos" +as principales amena%as que se prevn en Seguridad /sica son' 4" &esastres naturales, incendios accidentales, tormentas e inundaciones 5" .mena%as ocasionadas por el ombre 6" &isturbios, sabota$es internos y externos deliberados *valuar y controlar permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio, es la base para comen%ar a integrar la seguridad como una funcin primordial dentro de cualquier 2entro de 2mputo" #ener controlado el ambiente y acceso fsico permite' &isminuir siniestros #raba$ar me$or manteniendo la sensacin de seguridad &escartar falsas iptesis si se produ$eran incidentes #ener los medios para luc ar contra accidentes"
Pg. 1

Gestin de Recursos Informticos

!"#"# Seguridad $%si&a de los E'uipos ( del Usuario *l solo contar con buenos programas de mantenimiento preventivo de los equipos de computacin, no garanti%an totalmente su operacin satisfactoria, ni eliminan los riesgos de desperfecto que como cualquier elemento electrnico puede presentar" 7ero si este equipo cuenta adems con los cuidados de instalacin, limpie%a, temperatura, umedad, elctricos, se estar brindando un estado ptimo de traba$o con un mnimo de revisiones y reparaciones" +as siguientes recomendaciones, acogidas por los usuarios de computadores, prolongarn la vida de los equipos' 4" 8bique el equipo en un rea donde no exista muc o movimiento de personal" 5" No traslade la computadora sin la autori%acin y asesora del rea de soporte tcnico" 6" Instale el computador sobre escritorios o muebles estables o especialmente dise,ados para ello" 9" 8bique el equipo le$os de la lu% del sol y de ventanas abiertas" :" +a energa elctrica debe ser regulada a 44; voltios y con polo a tierra" .sesrese debidamente para garanti%ar una buena toma elctrica" <" No conecte otros aparatos (=adios, maquinas de escribir, calculadoras, etc") en la misma toma del computador" >" 2ada usuario, al momento de terminar las labores diarias, deber apagar los equipos (2omputadora , Impresoras, *scanners)" ?" *vite colocar encima o cerca de la computadora ganc os, clips, bebidas y comidas que se pueden caer accidentalmente dentro del equipo" @" No fume cerca del equipo, el alquitrn se ad iere a las pie%as y circuitos internos del equipo" 4;" Aantenga libre de polvo las partes externas del computador y de las impresoras" 8tilice un pa,o suave y seco" Bams use agua y $abn" Solicite al tcnico de mantenimiento una tarea total de limpie%a de estos equipos" 44" Aantenga la pantalla y el teclado cubiertos con fundas plsticas cuando no aga uso de ellos por el tiempo considerable o si planea el aseo o reparaciones de las reas aleda,as al computador" 45" 8tilice en la impresora el anc o del papel adecuado" *l contacto directo de la cabe%a de impresin sobre el rodillo puede estropear ambas parte (usuarios con impresoras de matri% de punto)" 46" *sta pro ibido destapar y tratar de arreglar los equipos por su cuenta" *n todos los casos asesrese del rea de soporte tcnico o del encargado de esta operacin" 49" No preste los equipos o asegrese que la persona que lo utili%ara conoce su correcta operacin" 4:" #odas las pantallas de los equipos debern contar con filtros antirreflectivos, los cuales deben ser solicitados por cada usuario" !"#"#"# Ergonom%a 2omprende, ante todo, una serie de acciones o previsiones que tienden a adaptar el traba$o a las

Pg. 2

Gestin de Recursos Informticos

dimensiones y capacidades fisiolgicas del ombre" +a *rgonoma es una ciencia aplicada que se basa, a la ve%, en la medicina y la Ingeniera" Su finalidad es la adaptacin de los mtodos de traba$o, las erramientas y las condiciones del medio a la anatoma, la fisiologa y las aptitudes del ombre , con la finalidad de reducir esfuer%o innecesarios y, por consiguiente la fatiga y el desgaste prematuro del organismo" +a *rgonoma no trata de modificar al ombre sino sus condiciones de traba$o y se orienta principalmente a la proteccin del traba$ador, no al aumento de la produccin" +a aplicacin de los principios de la *rgonoma puede acer que un traba$o difcil de$e de serlo y que su aprendi%a$e resulte ms sencillo" +a venta$a secundaria de un traba$o ms fcil es, por lo comn, un aumento de productividad" 7roteger a los traba$adores contra el agotamiento, las sobrecargas y el enve$ecimiento prematuro, es una empresa en extremo difcil que a generado numerosa controversias" *l creciente nmero de traba$os efectuados en postura sentada, a incrementado el inters concedido a las 0posturas sentadas, malsanas1" Son numerosos los que se que$an de dolores lumbares, que abitualmente traba$an en esa postura" *n definitiva, la *rgonoma es el estudio de la relacin existente entre el ombre, su traba$o y las posiciones resultantes" +a *rgonoma, trata de establecer el confort idneo en el puesto de traba$o" &entro de ste, tienen que concurrir varios factores y entre ellos, se puede citar' que exista una buena iluminacin3 presencia de colores naturales3 niveles sonoros idealesCetc" *l tema que nos ocupa, o me$or, que nos preocupa, es la *rgonoma en puestos informticos y es precisamente el cometido en esta parte del texto gua" +as personas que traba$an con pantallas de computador, al sentarse, adoptan posturas for%adas, de manera voluntaria o involuntaria" *l for%ar la postura conlleva el riesgo de presin de la columna vertebral, adems de producir molestos dolores de cuello" +as variantes que se pueden introducir en las pantallas no son muc as" *n la mayora de los casos, slo es posible una ligera regulacin de su intensidad y brillo" !"#"#") Ergonom%a de un puesto de Tra*a+o In,orm-ti&o +a ergonoma no se a concebido para me$orar la felicidad del empleado" Su finalidad es reducir su fatiga posibilitando el aumento de la productividad" Interesa a las empresas ms que a los empleados" *n un puesto de traba$o informtico ay dos aspectos' 4" 7antalla 5" 7ostura relacionada con el espacio de traba$o +a pantalla' &eber estar situada de forma que reciba la menor cantidad de lu% posible para evitar dos efectos muy per$udiciales" *l primero es los refle$os, que producen fatiga en el usuario" *l segundo es que la superficie de la pantalla debe aparecer lo ms negra posible para obtener una buena relacin de contraste" Si la superficie est iluminada, el negro de$a de ser negro y del contraste ni ablar" +a superficie de la pantalla debe limpiarse frecuentemente con un trapo umedecido en limpiacristales ( ay pantallas que llevan un recubrimiento especial antiDrefle$os3 seguir las instrucciones del fabricante)" +os filtros de pantalla tienen poca utilidad" Se a difundido una gran cantidad de aseveraciones sobre radiaciones nocivas que prcticamente te de$an ciego y que, de momento, producen grandes dolores de cabe%a y otros" +o nico que cuenta son las

Pg. 3

Gestin de Recursos Informticos

condiciones de visuali%acin y la postura" . lo nico que contribuyen los filtros es a mitigar los dos defectos de iluminacin comentados anteriormente, introduciendo un nuevo defecto que es la disminucin de definicin de lo que se ve" *s preferible actuar sobre los problemas en origen, todo lo dems son 0parc es1 encima de los defectos" 2ansa la vista y produce dolor de cabe%a todo lo siguiente' Reflejos en la pantalla' .pguela y mire qu ve, a lo me$or se ve a s mismo o algn ob$eto de la abitacin, no debera ver nada" Pantalla iluminada con la luz de ambiente ' .pguela y deber verla prcticamente negra" No se site con una ventana delante o detrs de la pantalla" Si traba$a muc o con el ordenador es recomendable tener la iluminacin de ambiente ba$a y usar una lmpara individual orientable acia la superficie de la mesa" No descansar la vista' 7ruebe una cosa' co$a un libro pesado y su$telo un buen rato con el bra%o extendido Ecansa, verdadF 7ues lo mismo le estn pidiendo sus o$os" . ora extienda de nuevo el bra%o con el libro, pero al cabo de un momento retraiga el bra%o para volverlo a extender enseguida, sigua movindose as un rato Everdad que casi no se cansa tantoF .plique la istoria a sus o$os" 2ada corto tiempo deber pasear la mirada por la abitacin un instante y luego siga traba$ando" #ambin ayuda, pero un poco menos, mirar alternativamente la pantalla y el papel o el teclado" Se cansar menos" El tamao de la pantalla' +os mayores tama,os disponibles a precios cada ve% ms asequibles deben ser tenidos en cuenta ya que se puede cambiar de ordenador cada dos o tres a,os pero no ace falta cambiar tanto la pantalla" +os tama,os ms recomendables son los de 4>1 y 4@1 en la mayor parte de los casos" +os tama,os de 491 y 4:1 resultan demasiado peque,os, vlidos tan solo para un uso ocasional del ordenador" La postura y el espacio de trabajo ' .qu nos enfrentamos con la causa de dolores de espalda, fatiga corporal y otros males fsicos diversos" *l malestar con la oficina no proviene de a " Giene de un mal ambiente de traba$o, polticas de pasillo y otras situaciones que acen perder entusiasmo" La mesa' +a superficie de traba$o debe tener una altura de >: cm sobre el suelo" *l anc o mnimo debera ser de 4,>: m y la profundidad debera ser unos ?: cm", suficiente para poder poner la pantalla enfrente del usuario y que sobren 6; cm" para poner los papeles" No se debe poner la pantalla a un lado y tener luego dolores en el cuello" +a pantalla debe estar lo ms ba$a posible, directamente sobre la mesa" +as pantallas +2& son muc o menos profundas lo cual facilita el uso de una mesa de profundidad estndar" Hay muc as calidades de pantallas +2&3 interesa tenerlas en cuenta por el detalle anterior y porque representan un a orro de consumo elctrico por s mismas y en aire acondicionado, ya que generan menos calor" Archivo:La mesa. P! El teclado y el rat"n' &eben estar a la altura de los codos, es decir, por deba$o del nivel de la superficie de la mesa y enfrente del usuario" 8na solucin muy cmoda consiste en colocarlos en una superficie de madera con unas guas telescpicas deba$o de la mesa" +as dimensiones mnimas de la madera (aglomerado de 4< mm

Pg. 4

Gestin de Recursos Informticos

de grueso) son 6; x >: cm y debe quedar una olgura de >,: cm entre la parte inferior de la mesa y la superior de esta madera para que quepa el teclado y ratn" No la ponga ms separada porque le molestar en las rodillas" &olores en las mu,ecas (sndrome del tnel metacarpiano)" Hay personas que son muy buenas mecangrafas y escriben 0al tacto1, es decir, sin mirar al teclado" &e esta forma pasan muc o rato con las extremidades anteriores en tensin y se produce fatiga en las mu,ecas, llegando a tener unos dolores muy molestos" +es sucede algo parecido a lo dic o sobre los o$os, cuando ablaba de su$etar un libro pesado" #ambin pueden ser propensas a dolores en varias partes del cuerpo, fatiga ocular, etc" #odo ello proviene de pasar muc o rato en la misma postura, en tensin" 7ara las mu,ecas les puede resultar til un reposamu,ecas3 los ay a la venta en muc os comercios de informtica" &e todas formas, lo primero que an de acer es asegurarse de tener el teclado a la altura de los codos y tener una silla adecuada" Archivo:El teclado y el rat"n. P! La silla' No debe tener apoyaDbra%os y debe tener ruedas que faciliten los cambios de postura" &ebe estar tapi%ado con tela (transpirable) y su respaldo debe for%ar una posicin erguida, apoyndose $usto entre los omoplatos y la cintura" Se abr dado cuenta de que se a descrito la tpica silla de secretaria" +a altura debe ser regulable para que, tocando con los pies en el suelo, descansen las asentaderas por igual" *s ms cmoda si el asiento se encuentra un poco inclinado acia atrs" Hay quien defiende la conveniencia de un reposaDpies" Soy contrario a todo lo que fuerce a mantener continuamente la misma posicin, sin posibilidad de cambios"

Archivo:#$%$. P! !") Seguridad Lgi&a +uego de ver como nuestro sistema puede verse afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los da,os que puede sufrir un 2entro de 2mputo no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada" .s, la seguridad fsica slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad" 2omo ya se a mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica que la aseguren" *stas tcnicas las brinda la Seguridad +gica" +a Seguridad +gica consiste en la 0aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autori%adas para acerlo1" +os ob$etivos que se plantean sern' =estringir el acceso a los programas y arc ivos .segurar que los operadores puedan traba$ar sin una supervisin minuciosa y no puedan modificar los programas ni los arc ivos que no correspondan .segurar que se estn utili%ando los datos, arc ivos y programas correctos en y por
Pg. 5

Gestin de Recursos Informticos

el procedimiento correcto Iue la informacin transmitida sea recibida por el destinatario al cual a sido enviada y no a otro Iue la informacin recibida sea la misma que a sido transmitida Iue existan sistemas alternativos secundarios de transmisin entre diferentes puntos Iue se disponga de pasos alternativos de emergencia para la transmisin de informacin

+a informacin, como recurso valioso de una organi%acin, esta expuesta a actos tantos intencionales como accidentales de violacin de su confidencialidad, alteracin, borrado y copia, por lo que se ace necesario que el usuario, propietario de esa informacin, adopte medidas de proteccin contra accesos no autori%ados" +as siguientes pautas o recomendaciones, ofrecen la posibilidad de abilitar cierto grado de proteccin con los medios actualmente disponibles en la compa,a' 2lave de autori%acin de encendido 2opias yJo bac-ups de respaldo 7roteccin contra virus !")"# Cla.e de Autori/a&in de En&endido *ste es un recurso de proteccin disponible en todos los computadores, se abilita al momento de configurar el equipo y es una clave que ser solicitada como primer paso de iniciali%acin despus de encendido el computador" #odo computador, ser entregado por el rea de soporte tcnico con este medio de proteccin activado, previa autori%acin del usuario" 2uando se activa esta proteccin se debe tener presente las siguientes consideraciones' No olvide su clave" Su desactivacin puede gastar tiempo valioso durante el cual el computador no puede ser utili%ado & a conocer la clave slo a aquellas personas que realmente deben encender y acer uso del equipo *l sistema exigir la modificacin peridica de su clave !")") Copias (0o 1a&2ups de Respaldo .s como se protege la informacin contra accesos no autori%ados y como complemento a las copias peridicas que cada usuario obtiene de su propia informacin, es tambin importante mantener en lugar seguro y externo al sitio de traba$o, copias actuali%adas de la informacin GI#.+ de cada dependencia, con el fin de garanti%ar la oportuna recuperacin de datos y programas en caso de perdidas o da,os en el computador" +as siguientes pautas determinan una buena poltica de Kac-ups aplicable en cada dependencia de la compa,a' &etermine el grado de importancia de la informacin que amerite copias de

Pg. 6

Gestin de Recursos Informticos

seguridad 2omunique al rea de soporte tcnico para que este elabore copias peridicas a travs de la red Indique cuanto tiempo se debe conservar esta informacin

!")"3 rote&&in &ontra 4irus *l Girus por computadora puede definirse como un' 0programa con capacidad de reproducir un error (infeccin) e insertarlo en las reas de datos, de programas y en otras del mismo sistema y alterar su normal funcionamiento1" *stos, atacan destruyendo la integridad de la informacin contenida en los medios de almacenamiento magntico llegando incluso a da,ar partes fsicas de la mquina" &entro de la infinidad de virus detectados en el mundo entero y fcilmente reproducidos por el uso y copia de soft!are 0pirata1, utili%acin de disquetes ya 0infectados1, o Ga *DAail, podramos destacar las siguientes categoras' Girus L7uroM 2aballo de #roya Komba +gica Nusano o Oord" #odos estos programas tienen en comn la creacin de efectos perniciosos3 sin embargo, no todos pueden ser considerados como virus propiamente dic os" 4irus uro 8n verdadero virus tiene como caracterstica importante la capacidad de copiarse a s mismo en soportes diferentes al que se encontraba originalmente, y por supuesto acerlo con el mayor sigilo posible y de forma transparente al usuario3 a este proceso de autocopia se le conoce como 0infeccin1, de a que en adelante utili%aremos la terminologa propia de medicina como son' 0vacuna1, 0tiempo de incubacin1, etc" .dems conoceremos el lugar donde el virus se oculta, ya sea fic ero, sector de arranque, particin, etc" 8n virus puro tambin modifica el cdigo original del programa o soporte ob$eto de la infeccin, para poder activarse durante la e$ecucin de dic o cdigo3 al mismo tiempo, una ve% activado, el virus suele quedar residente en memoria para poder infectar as de forma transparente al usuario" Ca*allo de Tro(a .l contrario que el virus puro, un 2aballo de #roya es un programa maligno que se oculta en otro programa legtimo, y que produce sus efectos perniciosos al e$ecutarse este ltimo" *n este caso, no es capa% de infectar otros arc ivos o soportes, y slo se e$ecuta una ve%"

Pg. 7

Gestin de Recursos Informticos

1om*a Lgi&a Se trata simplemente de un programa maligno que permanece oculto en memoria y que solo se activa cuando se produce una accin concreta, predeterminada por su creador' por e$emplo cuando llega una fec a en concreto, cuando se e$ecuta cierto programa o cierta combinacin de teclas, etc" Gusano o 5ord *s un programa cuya nica finalidad es la de ir consumiendo la memoria del sistema, mediante la reali%acin de copias sucesivas de s mismo, asta desbordar la memoria =.A, siendo sta su nica accin maligna" +a barrera entre los virus puros y el resto de programas malignos es muy difusa, prcticamente invisible, puesto que ya casi todos los virus incorporan caractersticas propias de uno o de varios de estos programas' por e$emplo, los virus como el Giernes 46 son capaces de infectar otros arc ivos, siendo as virus puro, pero tambin reali%an su efecto destructivo cuando se da una condicin concreta, la fec a Giernes 46, otra caracterstica propia de una bomba lgica3 es que se oculta en programas e$ecutables teniendo as una cualidad de 2aballo de #roya" &e a la gran confusin existente a este respecto" +os componentes que comnmente son afectados por los virus son los siguientes' 4" +as tablas de locali%acin de arc ivos (/.#) que al modificarse ocasiona la perdida total del contenido del disco duro" 5" +a asignacin de discos, que al ser modificadas graba la informacin en el volumen equivocado" 6" 7rogramas y arc ivos de datos que son removidos (borrados) del disco duro o del dis-ette" 9" .rc ivos de datos a los cuales se les altera su longitud y contenido" :" *spacios libres de almacenamiento que se ven reducidos por la duplicacin de programas yJo de arc ivos de datos" <" 7rogramas del sistema operacional residentes en memoria que son eliminados o modificados" >" Sectores del disco duro o de disquete que son declarados como defectuosos" ?" 7artes lgicas de tar$etas inteligentes las cuales pueden verse afectadas en sus funciones preDprogramadas" .unque existen tratamientos 0vacunas1, lo primordial es prevenir el contagio mediante la adopcin de una poltica de 0sano1 procesamiento que el usuario debe seguir' 4" 8tili%ar nicamente soft!are original legalmente adquirido y autori%ado e instalado por el rea de soporte tcnico" 5" No debe instalar en la computadora soft!are 0pirata1 ni de 0$uegos1" 6" No debe instalar 0vacunas1 sin la autori%acin de soporte tcnico" *stas aunque pare%ca irnico, pueden estar infectadas" 9" *star atentos a los mensa$es de alerta emitidos por el computador" *l rea de soporte tcnico aplicar el detector de virus peridicamente"

Pg. 8

Gestin de Recursos Informticos

*s por esto que como administradores del 2entro de 2mputo debemos buscar una solucin integral a este problema con la efectiva evaluacin de erramientas antivirales que abarquen las siguientes consideraciones' =espuesta efectiva a los ltimos virus Animo peso en recursos del Sistema Soporte las 59 oras al da los 6<: das del a,o +a erramienta tiene que ser proactiva y reactiva #iene que considerar redundancia en la bsqueda de los virus #iene que ser transparente al usuario #iene que incluir erramientas de administracin centrali%ada Soporte para los diferentes sistemas operativos (Oindo!s, +inux, etc) *vitar la e$ecucin de cdigo remoto en el Sistema Pperativo 2ontrolar el flu$o de informacin y la propagacin de los virus a travs de los puerto abiertos &ebe evitar la propagacin de virus por correo &ebe evitar la propagacin de virus por ttp *n el mercado existen un sinnmero de soluciones antivirales que ofrecen un con$unto de soluciones para plataformas 72" #odas las erramientas antivirales tienen motores de bsqueda efectivos, no existe en ningn caso alguna diferencia respecto a la desinfeccin de los virus, pero, ningn antivirus, puede evitar que los gusanos o troyanos ingresen al sistema operativo por las fallas de seguridad de los sistemas operativos, por tal ra%n para una proteccin efectiva se debe llegar a proponer una SP+82IQN IN#*N=.+ &* S*N8=I&.& &* SIS#*A.S que involucra los siguientes niveles' &orta 'ue(os o P$)' 2on un equipo que no permita la entrada de intrusos desde el Internet Antivirus de &orreo' 2on un equipo que permita el escner de los virus en el servicio 7P7 y S#A7, tanto para la entrada y la salida de los datos Antivirus de http' 2on un equipo que realice el filtro a nivel de O*K &orta 'ue(os Nivel de *LAN ' 7ara segmentar los sistemas y las subredes, protegiendo las stas a nivel pblico y privado +ervidor de Actualizaciones &r,ticas' 8n servidor que monitorea cual de los equipos que estn conectados a la red necesitan actuali%aciones crticas &orta 'ue(os a Nivel de P&' Iue permita el control de los puertos para la salida de informacin de programas no autori%ados Antivirus a Nivel de Estaci"n de trabajo ' 7ara el control de los virus que no se filtran por los niveles anteriores +ervidor de Administraci"n Remota' 7ara el control y la administracin de cada uno de los antivirus a nivel de estacin de traba$o" +ervidor de -ase de Actualizaciones' &ebe contener las ltimas actuali%aciones de las definiciones de los virus" 2ada uno de los puntos que se an mencionado, cubren la parte tecnolgica del 2entro de 2mputo dependiendo de la estructura montada, pero como todo sistema, este debe llevar de la

Pg. 9

Gestin de Recursos Informticos

mano con un con$unto de acciones' 8n equipo de investigacin para las soluciones de infecciones virales 7olticas de uso de programas y de informacin compartida 7olticas de administracin del sistema de seguridad 7olticas para el control de +.N pblicas y privadas 7olticas para la utili%acin de puertos &efinicin de planes de respaldo y contingencia &efinicin de Seguridad a nivel de /irmas &igitales para la validacin de los &atos 7lanificacin de 2apacitacin a los usuarios finales !"3 Gu%a de Control de Riesgos #odo 2entro de 2mputo debe tener una gua de referencia para control de riesgos, que permita evitar problemas de seguridad, por esta ra%n la elaboracin de esta debe empe%ar por' .signacin de personal responsable &efinir estndares y procedimientos Pb$etivo de cada paso &ise,o de formas de evaluacin *stablecer restricciones &efinicin de guas (conse$os y tips) prcticas para facilitar la implementacin, confiabilidad e identificacin de limitantes de tiempo" !"6 An-lisis de Riesgos Nos permitir identificar, evaluar y seleccionar los riesgos a ser controlados, con la finalidad de minimi%ar su ocurrencia" !"6"# Categor%as de Riesgos &*S.S#=*S N.#8=.+*S Inundaciones #emblores =ayos *rupciones .22I&*N#*S &escuidos /alta de prevencin /alta de 7recaucin G.N&.+ISAP &estruccin en contra del 2entro de 2mputo afectando' Instalaciones *quipos

Pg. 10

Gestin de Recursos Informticos

=PKP

7rogramas &atos &ocumentacin &e informacin /raude monetario (c eques, cuentas por pagar o por cobrar) .lteraciones en nminas

!"7 Cuanti,i&a&in de Riesgos G8+N*=.KI+I&.& Iue tan probable es que se presente el evento por no estar protegidos
CALI$ICACIN 1 2 3 4 5 E8UI4ALENCIAS u! im"ro#$#%e Im"ro#$#%e &'iste "osi#i%id$d Pro#$#%e u! "ro#$#%e

S*G*=I&.& Iue tan problemtico puede ser, que tanto puede da,ar

CALI$ICACIN 2 4 6 8 10

E8UI4ALENCIAS u! #$($ )$($ edi$ *%t$ u! $%t$

=I*SNP =iesgo R Gulnerabilidad x Severidad (2uantificacin sub$etiva) !"9 rograma de Control de Riesgos 7ara enfrentar los distintos riesgos se puede elegir entre' =etencin del =iesgo

Pg. 11

Gestin de Recursos Informticos

#ransferencia del =iesgo 7revencin de Pcurrencia &eteccin de Pcurrencia =educcin del *fecto Aatri% de .plicacin

!"9"# Reten&in del Riesgo *s acer frente a los efectos del evento, con recursos propios" .plicable a riesgos con severidad muy ba$a y vulnerabilidad muy poca y para disminuir costos" !"9") Trans,eren&ia del Riesgo *s acer recaer la responsabilidad de recuperacin del siniestro en un tercero" *legible cuando la prevencin es cara y el riesgo es improbable" *n esta categora se engloban los contratos de mantenimiento y de seguros !"9"3 re.en&in de O&urren&ia Son las acciones que anticipan la ocurrencia del evento, no de$ando motivo para que ste suceda" Se da desde la seleccin del 0site1, controles de acceso, restriccin de actividades riesgosas, medidas de seguridad" !"9"6 Dete&&in de O&urren&ia Son las medidas que permiten identificar que est ocurriendo el siniestro" 2omnmente usados contra incendio o robo, como pueden ser los circuitos cerrados de televisin, las alarmas de robo o incendio y los detectores de umo" !"9"7 Redu&&in del E,e&to *s disminuir los da,os causados por el evento" /undamentalmente dispositivos contra incendios, extinguidores y rociadores de agua (problemas por oxidacin, inundacin y cortos circuitos), de espuma (puede afectar al equipo), de dixido de carbono (afecta a las personas)"

Pg. 12

Gestin de Recursos Informticos

!"9"9 Matri/ de Apli&a&in

RESUMEN DESCRI TI4O +#(eti,o gener$% -re$cin de% P%$n INDICADORES 4ERI$ICA1LES P%$n escrito $UENTES DE 4ERI$ICACIN *"ro#$cin de %os contenidos en e% "%$n. .ot$cin de recursos "$r$ %$ $"%ic$cin de% "%$n :I TESIS DE RIESGO /$%t$ de inter0s "or "$rte de %$ institucin. /$%t$ de recursos econmicos. /$%t$ de "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de inter0s "or "$rte de %$ institucin. /$%t$ de recursos econmicos. /$%t$ de "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de recursos econmicos "$r$ e% m$ntenimiento. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de recursos econmicos. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de inter0s "or "$rte de %$ institucin. /$%t$ de recursos econmicos. /$%t$ de "erson$%. /$%t$ de moti,$cin de% "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de recursos econmicos. /$%t$ de recursos econmicos. /$%t$ de "erson$%. /$%t$ de moti,$cin de% "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de coordin$cin en %$ e%$#or$cin de %os in,ent$rios. /$%t$ de recursos econmicos. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de "erson$%. /$%t$ de moti,$cin de% "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de "erson$%. /$%t$ de moti,$cin de% "erson$%. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. *usenci$ de instituciones en %$ 1on$. /$%t$ de inter0s. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto. /$%t$ de recursos econmicos. /$%t$ de continuid$d un$ ,e1 e%$#or$do e% "ro!ecto.

+#(eti,os es"ec2ficos

Inund$cin. Incendio. 3$nd$%ismo.

Perfect$ coordin$cin de %os gru"os de tr$#$(o dur$nte simu%$cros o en c$sos re$%es.

Re$%i1$cin de simu%$cros. -$%ific$cin de% "erson$%. -ontro% de %$s inst$%$ciones. &,$%u$cin de riesgos.

Resu%t$dos

Inst$%$cin de $%$rm$s ! sistem$s de e'tincin. -re$cin de un$ c$den$ de cmunic$ciones .ot$cin de recursos. /orm$cin de% "erson$%. /orm$%i1$cin de un$ "%i1$ de seguros.

/uncion$miento $decu$do de %$s inst$%$ciones. P%$no de %oc$%i1$cin o centr$% de contro% de %os nue,os com"onentes. 4ist2n te%efnico de emergenci$s. &5ui"os $d5uiridos. 6ustitucin de m$teri$%es c$duc$dos. P%$nti%%$ c$"$cit$d$. P%i1$ ,igente.

-ontro% "eridico de %os com"onentes inst$%$dos ! de su correcto funcion$miento. -ontro% "eridico de n7meros ! "erson$s de cont$cto. -ontro% "eridico de% funcion$miento. Re$%i1$cin de simu%$cros. -ursos "eridicos. Reuniones de tr$#$(o. .ocumento "or escrito 5ue cu#re d$8os "or $gu$9 fuego ! $ctos ,$nd%icos.

*cti,id$des

-re$cin de% comit0 de des$stres. &st$#%ecimiento de "riorid$des en %$ co%eccin. &,$%u$cin de riesgos. -ursos de form$cin de "erson$%. -$m"$8$ de sensi#i%i1$cin. 4oc$%i1$cin de recursos e'ternos. *d5uisicin de m$teri$%es.

P%i1$ ,igente. +rg$nigr$m$ con %$s "erson$s de% comit0 ! sus funciones. -$t%ogo de #ienes "riorit$rios en c$so de des$stre. $"$ de riesgos. :$#u%$cin de resu%t$dos. -$"$cit$cin de% "erson$%. Inter0s creciente de %$ comunid$d en %$ "roteccin de %$ institucin. &'istenci$ de un$ red de tr$#$(o entre %$s org$ni1$ciones. *%m$c0n con e5ui"os ! suministros suficientes "$r$ enfrent$rse $ %os diferentes des$stres.

.ocumento "or escrito 5ue cu#re d$8os "or $gu$9 fuego ! $ctos ,$nd%icos. -ontro% "eridico de %$ org$ni1$cin ! "erson$s de cont$cto. -ontro% "eridico de %os in,ent$rios. Re,isin $tendiendo $ nue,os fenmenos. -ontro% "eridico de %$s inst$%$ciones. Re$%i1$cin de simu%$cros. -ursos "eridicos. Reuniones de tr$#$(o. -$m"$8$s de educ$cin. -ursos "eridicos. Reuniones de tr$#$(o. -on,enios de coo"er$cin en c$so des$stre. -ontro% "eridico de %os suministros ! de su correcto funcion$miento.

!"; Seguros +os seguros existen desde ace muc o tiempo, provistos de criterios y prcticas bien definidas" Sin embargo, cualquier institucin que busque asesoramiento y orientacin sobre cobertura de riesgos de computacin, corre el riesgo de enfrentar dificultades considerables" *xisten dos problemas principales' +a existencia de un gran vaco en la comunicacin' en general, los aseguradores

Pg. 13

Gestin de Recursos Informticos

saben muc o sobre riesgos comerciales pero muy poco acerca de computadoras, mientras que el personal de cmputo conoce poco acerca de seguros y muc o sobre computadoras" No ay un entendimiento cabal respecto a los riesgos y sus consecuencias, debido a que la profesin computacional es reciente y a que los antecedentes en relacin con las reclamaciones sobre seguros son pocos" *l resultado de lo anterior es que muy pocos usuarios de computadoras go%an de una cobertura adecuada para todos los riesgos" +a tendencia es cubrir una o dos reas de riesgo evidente, como la reposicin del equipo o contra los incendios" Ptro costo como la recaptura o el lmite de responsabilidad ante esta prdida, casi siempre se pasan por alto"

*xisten tres aspectos en particular' +as reas de riesgo asegurables" +os servicios de seguros especiali%ados" *l cambio del tipo de riesgo" A" <rea de riesgo asegura*le .mbiente *quipo 7rogramas y datos Interrupcin comercial y su recuperacin 7ersonal =esponsabilidades a terceras personas

*stas reas de riesgo fueron publicadas por el National 2omputing 2entre (N22)" 1" Ser.i&ios de seguro espe&iali/ados *n la actualidad, ciertas instituciones ofrecen servicios especiali%ados para usuarios de computadoras" *stos servicios incluyen la adopcin del personal altamente capacitado en el mane$o de las computadoras y, en consecuencia de los riesgos in erentes" .dems, varias compa,as internacionales de seguros cuentan con pli%as especiali%adas para usuarios de computadoras" Normalmente una pli%a de seguros de equipo de cmputo cubre' #" Da=os materiales al e'uipo .mpara cualquier prdida o da,o fsico, sbito e imprevisto, que requiera de reparacin o reempla%o" *xcluye' 7rdidas o da,os causadas por terremoto, temblor, maremoto, erupcin volcnica, cicln, tifn o uracn" 7rdidas o da,os causados por urto o robo sin violencia"

Pg. 14

Gestin de Recursos Informticos

7rdidas o da,os causados por fallo e interrupcin en el suministro de corriente elctrica, de gas o de agua" 7rdidas o da,os que sean consecuencia del uso continuo o deterioro gradual debido a condiciones atmosfricas"

Sin embargo este tipo de exclusiones se pueden prever mediante la contratacin expresa de otra pli%a" )" ortadores e>ternos de datos 2ubre la indemni%acin sobre da,os causados a dispositivos de almacenamiento de datos as como la informacin contenida en stos" *xcluye cualquier gasto resultante de la incorrecta programacin, clasificacin, insercin, anulacin accidental de informaciones, prdidas de informacin causadas por campos magnticos y virus informticos" 3" In&remento en el &osto de opera&in *sta cobertura se aplica si un da,o material indemni%able diera lugar a una interrupcin parcial o total de la operacin, lo que causara un desembolso adicional al usar un 2entro de 2mputo a$eno yJo suplente" +os seguros a los equipos de cmputo se aplican a los bienes que se estn operando o que se encuentren en reposo, desmontados para propsitos de limpie%a o reparacin o durante su traslado dentro del perodo establecido en la pli%a" Neneralmente excluyen los da,os causados por' Nuerra, invasin, actividades de enemigos extran$eros, ostilidades (con o sin declaracin de guerra, guerra civil, rebelin, revolucin, insurreccin, motn, tumulto, uelga, paro decretado por el patrn, conmocin civil, poder militar o usurpado, conspiracin, etc) =eacciones nucleares, radiacin nuclear o contaminacin radiactiva .cto internacional o negligencia manifiesta del seguro o de sus representantes" Sin embargo existen algunas pli%as adicionales que pueden contratarse y que cubren lo siguiente' Huelgas, alborotos populares y conmocin civil" Nastos extraordinarios y fletes expresos" Nastos por flete areo" &a,os por fallo de la instalacin de climati%acin" =obo sin violencia ( urto)" *quipos mviles y porttiles fuera de los predios se,alados" 2lusula de uracn, cicln, tifn" &a,os mecnicos y elctricos internos" *quipos de climati%acin"
Pg. 15

Gestin de Recursos Informticos

Se deben revisar y evaluar las diferentes alternativas de seguro que ofrecen las compa,as dedicadas a este rubro" C" Seguimiento de los &am*ios en los riesgos +os riesgos asegurables cambian en forma progresiva dentro de la institucin como un todo y en el interior de sus actividades de cmputo" *s importante garanti%ar que los nuevos riesgos se encuentren cubiertos y que las pli%as estn actuali%adas" 8n mtodo valioso es la formacin de un comit de seguridad de cmputo" Sus ob$etivos seran' Identificar y cuantificar los riesgos directos y consecuentes de la instalacin de cmputo en la empresa" Naranti%ar que la cobertura se revise para tomar nota de los incrementos de los costos en los precios de reproduccin" Naranti%ar la existencia de los planes de contingencia adecuada, en especial cuando no se puede obtener la cobertura del seguro" .segurar que la prdida consecuente se excluya de las responsabilidades de la institucin acia terceras personas" Pbtener asesora y orientacin especiali%adas cuando se requiera"

.dems, el comit debe contar con representantes de las siguientes dependencias' +a direccin de procedimientos de datos +a compa,a de seguros +os gestores de seguros *l departamento de control secretarial o financiero +a auditora interna o la externa 7or medio de las reuniones peridicas, cuatrimestrales o anuales segn el tama,o de la institucin, es posible asegurar que la cobertura de riesgos est claramente identificada y actuali%ada" !"! lan de Continuidad del Nego&io *l 7lan de 2ontinuidad de Negocios (72N) tiene como finalidad garanti%ar la restauracin de los servicios, identificando proactivamente los riesgos y el impacto tanto en los elementos crticos como en los activos de informacin, para determinar la me$or manera de proteccin, proporcionando soporte en el desarrollo, implantacin, prueba y mantenimiento de un proceso formal de continuidad, evaluando los da,os, controlando los servicios, equipos, instalaciones, infraestructura, tecnologas de informacin (#I) y procesos para que la organi%acin pueda continuar con sus operaciones" Krinda productividad, credibilidad, buena imagen, satisfaccin a los clientes tanto internos como externos ya que determina los niveles ptimos de proteccin y aseguramiento que deben tener los

Pg. 16

Gestin de Recursos Informticos

servicios crticos, para mantener sin alteraciones las operaciones normales, cuando se presenten condiciones de desastre o emergencia, de tal forma que permita estar alerta ante cualquier incidente minimi%ando los riesgos y maximi%ando la disponibilidad3 para que los servicios puedan recuperarse rpida y efica%mente" 8na prioridad de este plan es asegurar la integridad de los empleados y las personas afectadas por el desastre, seguido de otros ob$etivos tales como' proteger la propiedad y ganar el control en forma rpida para precisar prioridades de la organi%acin y mantenerla funcional3 administrar eficientemente el impacto negativo y por ende su imagen y, comunicar de manera efica% la informacin que se requiere interna y externamente" 7ara ello se cuenta con el apoyo del equipo de recuperacin del desastre (&#=) y el equipo de recuperacin de la organi%acin (K#=) que tambin permiten organi%ar e involucrar a todo el personal inmerso y mantener este plan viviente" *ste plan permite minimi%ar las fallas que puedan interrumpir los servicios ya que ofrece el soporte necesario para cubrir los requisitos tecnolgicos" Kasado en un anlisis costo J beneficio, el 72N $ustifica la prdida de ingresos minimi%ando el impacto financiero originado en una interrupcin del servicio, ya que se e$ecuta permanentemente a travs de la administracin de riesgos tanto en la informacin como en la operacin de los servicios" +a garanta de que el plan funcione en la vida real, es que ser probado peridicamente en diferentes escenarios en un ambiente simulado de emergencia verdadera a fin de garanti%ar que tanto la organi%acin, el personal, las instalaciones, el equipo y los servicios puedan acer frente a cualquier incidente" *s importante tener en cuenta que los escenarios en los cuales debe desarrollarse la administracin de la crisis, no se limitan a los problemas fsicos ni a los ocasionados por desastres naturales" #ambin son todos aquellos donde la empresa tiene problemas de tipo financiero, imagen o calidad en la prestacin de los servicios y productos que ofrece" *l 72N provee alternativas que garanti%an la administracin eficiente de siniestros y situaciones en las que el normal desempe,o de las organi%aciones se ve afectado por interrupciones o fallas inesperadas" .dems para la efectividad de este proyecto se incluyen metodologas, prioridades, orientacin estratgica, mantenimiento y verificacin3 valorando los factores internos y externos de sus procesos comerciales, y estableciendo un paralelismo entre las #I y los ob$etivos estratgicos organi%acionales" Krinda soluciones integradas para garanti%ar la disponibilidad de los recursos de los servicios que no se basan en datos (redes, enlaces, aulas virtuales, rea de traba$o de los usuarios finales y telefona) ya que contiene planes documentados para las reas involucradas que integren todas las estrategias de continuidad y recuperacin de negocio" *l 72N involucra los siguientes planes' 4" 7lan de contingencia 5" 7lan de recuperacin del desastre 6" 7lan de recuperacin de la organi%acin" !"!"# lan de Contingen&ia 7or todo esto es que es tan importante implementar un plan de contingencia, mantenerlo activo y actuali%ado"

Pg. 17

Gestin de Recursos Informticos

*l 7lan de contingencia es el con$unto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de sta, an cuando alguna de sus funciones de$e de acerlo por culpa de algn incidente tanto interno como a$eno a la organi%acin" +as causas pueden ser variadas y pasan por un problema informtico, un fallo en la correcta circulacin de informacin o la falta de provisin de servicios bsicos tales como energa elctrica, gas, agua y telecomunicaciones" *l ec o de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestin de la empresa, sino todo lo contrario, supone un importante avance a la ora de superar todas aquellas situaciones descritas con anterioridad y que pueden provocar importantes prdidas, no solo materiales sino aquellas derivadas de la parali%acin del negocio durante un perodo ms o menos largo" +a orientacin principal de un plan de contingencia es la continuidad de las operaciones no slo de sus sistemas de informacin" Su elaboracin la podemos dividir en las siguientes etapas' 4" *valuacin 5" 7lanificacin 6" 7ruebas de viabilidad 9" *$ecucin :" =ecuperacin +as tres primeras acen referencia al componente preventivo y las ltimas a la e$ecucin del plan una ve% ocurrido el siniestro" !"!") lan de Re&upera&in del Desastre 8n componente crtico en el mane$o de situaciones de emergencia es la administracin del 7lan de recuperacin del desastre, el cual incluye los lineamientos que indican la manera de identificarlos y enfrentarlos incorporando la participacin coordinada de recursos y servicios tanto internos como externos" *n este plan se debe tener claro conocimiento sobre la manera de notificar a los diferentes grupos de accin que intervendrn durante la emergencia a fin de que la informacin proporcionada sea precisa y oportuna" 7osteriormente se pone a consideracin los lineamientos bsicos que deben e$ecutarse durante la ocurrencia de un desastre3 identificando las rutas de evacuacin del edificio y el lugar para el posterior reencuentro de las personas afectadas" #ambin se anali%a el impacto que ocasionaran los diferentes desastres a la organi%acin y los especialistas que deben intervenir en el proceso de recuperacin" .simismo, se plantean estrategias para el mane$o de los medios de comunicacin y tratamiento de la informacin" Se incluye una plantilla para el registro de eventos o acontecimientos acaecidos durante la emergencia, para finalmente presentar los lineamientos bsicos necesarios para la redaccin del reporte que registre el desastre ocurrido" *s necesario destacar que existe una estrec a interdependencia entre las actividades de los planes que conforman el 72N, ra%n por la cual no se puede delimitar con exactitud cada uno de ellos3 y an sido divididos solamente para efectos de estudio y anlisis"

Pg. 18

Gestin de Recursos Informticos

!"!"3 lan de Re&upera&in de la Organi/a&in *l 7lan de recuperacin de la organi%acin implica la restauracin de las operaciones a su estado normal despus de que un acontecimiento inesperado el cual a complicado todos o parte de los procesos en cada servicio" 7rimero se debe conocer la manera en que debe reportarse los acontecimientos al equipo de recuperacin del negocio, luego de que se aya superado la fase del desastre, lo cual permite una me$or organi%acin y agilidad en este proceso de reestablecimiento" 7ara ello es necesario contar con una lista actuali%ada de las personas que deben ser reportadas as como un registro para describir las actividades desarrolladas" .dems es necesario preparar un plan especfico de recuperacin en el que se detalle el orden de restauracin de los servicios incluyendo sus requerimientos mnimos y los procedimientos que deben reali%arse para la restauracin de la organi%acin" +a eficiencia y eficacia de los procedimientos desarrollados dentro de esta fase tienen un impacto directo en la organi%acin ya que proveen la abilidad para sobrevivir y superar la emergencia" .simismo es importante controlar el progreso de la recuperacin, en el que se verifique que los recursos sean los apropiados y no estn subestimados los esfuer%os para restaurar las actividades normales" #ambin se requiere contar con un registro de las actividades e$ecutadas por los proveedores y aseguradoras asociadas ya que son entidades con las que se puede coordinar y planificar la restauracin de la organi%acin" &el mismo modo el proceso de retorno a las operaciones abituales debe quedar registrado para que a travs de un proceso formal se aga la entrega de las operaciones a su estado normal en cada servicio involucrado y queden ba$o la responsabilidad del rea de operaciones acostumbrada" 7or ltimo se presenta una plantilla base para la preparacin del informe que abarcar las todas las actividades emprendidas durante el proceso de recuperacin de la organi%acin"

Pg. 19