Seguridad Informtica

Plan de Contingencias
Tecnologa de la Informacin
FCE UBA

Lic. Mario A. Pettersen

info@pettersen.com.ar

Las Necesidades
Activo muy importante: La Informacin
Fundamental:

Disponibilidad del Sistema de Informacin

Escencial:

Mantenimiento de la Funcionalidad

Plan de Continuidad de Negocio

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Continuidad de Negocio

Resultado de la aplicacin de una metodologa
interdisciplinaria, usada para crear y validar planes
logsticos para la practica de cmo una organizacin
debe recuperar y restaurar sus funciones crticas parcial
o totalmente interrumpidas dentro de un tiempo
predeterminado despus de una interrupcin o
desastre.

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Continuidad de Negocio

Es el cmo una organizacin se prepara para futuros

incidentes que puedan poner en peligro la organizacin
y su misin bsica a largo plazo.

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Continuidad de Negocio

Plan de Prevencin de Prdidas
Plan de Contingencia
Plan de Recuperacin de Desastres

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Continuidad de Negocio

Anlisis de Riesgos
Anlisis de Impacto
Seleccin de Estrategias
Desarrollo del Plan
Prueba del Plan
Mantenimiento del Plan

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Estrategia de Recuperacin
Es una combinacin de medidas preventivas, detectivas
y correctivas con el objeto de:

Eliminar la amenaza completamente

Minimizar la probabilidad de que ocurra
Mitigar el efecto de las interrupciones

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Objetivo
Garantizar la continuidad de las operaciones de los
elementos considerados crticos que componen los
Sistemas de Informacin.
Definir acciones y procedimientos a ejecutar en caso de
fallas de los elementos que componen un Sistema de
Informacin

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Contingencia

Estrategia planificada con una serie de procedimientos

que nos faciliten o nos orienten a tener una solucin
alternativa que nos permita restituir rpidamente los
servicios de la organizacin ante la eventualidad de
todo lo que lo pueda paralizar, ya sea de forma parcial o
total.

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Contingencia
Es un caso particular plan de continuidad de negocio
aplicado al departamento de informtica o tecnologas
Implica trabajar con hiptesis y desarrollar los
escenarios sobre los que se va a basar la planificacin

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Contingencia
Son los procedimientos alternativos al orden normal de
una empresa, cuyo fin es permitir el normal
funcionamiento de sta, an cuando alguna de sus
funciones se viese daada por un incidente interno o
externo
Es la herramienta que ayudar a que los procesos
crticos de la empresa u organizacin continen
funcionando a pesar de una posible falla

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Contingencia
Contiene las medidas tcnicas, humanas y
organizativas necesarias para garantizar la continuidad
del negocio y las operaciones de una compaa.
Debe:
Ser exhaustivo pero sin entrar en demasiados detalles
Ser de fcil lectura y cmodo de actualizar
Ser eminentemente operativo
Expresar claramente lo que hay que hacer, por quien y
cundo
Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Contenido

Plan de Respaldo

Plan de Emergencia

Contempla las contramedidas preventivas antes de que se

materialice una amenaza. Su finalidad es evitar dicha
materializacin

Contempla las contramedidas necesarias durante la materializacin

de una amenaza, o inmediatamente despus. Su finalidad es paliar
los efectos adversos de la amenaza

Plan de Recuperacin

Contempla las medidas necesarias despus de materializada y

controlada la amenaza. Su finalidad es restaurar el estado de las
cosas tal y como se encontraban antes de la materializacin de la
amenaza

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Plan de Contingencia
Tambin debe expresar claramente:
Qu recursos materiales son necesarios
Qu personas estn implicadas en el cumplimiento del plan
Cuales son las responsabilidades concretas de esas personas y su
rol dentro del plan
Qu protocolos de actuacin deben seguir y cmo son

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Ciclo de Vida
Ciclo de Deming: PDCA
- Plan (Planificar)
- Do
(Hacer)
- Check (Verificar)
- Act
(Actuar).

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Seguridad Informtica
Garantiza la integridad de los activos humanos, lgicos
y materiales de un sistema de informacin

Riesgo de Fallo = Contingencia

Proximidad de Dao

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Medidas a Preparar
De acuerdo a la cronologa del fallo:
ANTES

Evitar el fallo

DURANTE

Afrontar el desastre

DESPUES

Corregir las consecuencias del fallo

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Medidas a Preparar
ANTES:
Ubicacin del edificio.
Ubicacin del Centro de Procesamiento de Datos dentro del edificio.
Compartimentacin.
Elementos de la construccin.
Potencia elctrica.
Sistemas contra Incendios.
Control de accesos.
Seleccin de personal.
Seguridad de los medios de almacenamiento.
Medidas de proteccin.
Duplicacin de medios de almacenamiento.

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Medidas a Preparar
DURANTE:
Perodo crtico de recuperacin
Prioridades de recuperacin de activos crticos
Procedimientos alternativos para la continuidad
Responsabilidades

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Medidas a Preparar
DESPUS:
Dao fsicos
Daos producidos sobre medios de software
Gastos extra
Compensacin de los costos de ejecucin del plan de contingencia
Prdidas de beneficios netos causadas por las cadas de los medios
informticos o por la suspensin de las operaciones
Compensacin real por la prdida o dao fsico sobre documentos y
registros valiosos no amparados por la reconstruccin de medios
Proteccin legal ante la responsabilidad en que pudiera incurrir un
profesional que cometiera un acto, error u omisin que ocasione una
prdida financiera a un cliente
Cubrir las prdidas derivadas de actos deshonestos o fraudulentos
cometidos por empleados

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

10

Plan de Contingencia
El plan debe ser ejecutado independientemente de las
operaciones y procedimientos operativos normales
No habr un plan de respaldo, y tampoco se dar una
reversin ni se podr frenar el avance del plan de
contingencia
Las pruebas para el plan sern parte de (o mantenidas
en conjuncin con) los ejercicios normalmente
programados para la recuperacin de desastres

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Metodologa
Planificacin: Preparacin y aprobacin de esfuerzos y costos
Identificacin de riesgos: Funciones y flujos del proceso de la empresa
Identificacin de soluciones: Evaluacin de riesgos de fallo
Estrategias: Opciones, soluciones alternativas, procedimientos manuales
Documentacin del proceso: Creacin de un manual del proceso
Realizacin de pruebas: Soluciones que probablemente funcionen
Implementacin: Creacin de las soluciones requeridas, documentacin
de los casos
Monitoreo: Probar nuevas soluciones o validar los casos

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

11

Planificacin
Diagnstico:
Organizacin Estructural y Funcional.
Servicios y/o Bienes Producidos.
Servicios y Materiales Utilizados.
Servicios y Materiales Utilizados.
Inventario de Recursos Informticos.

Es necesario siempre la revisin exhaustiva de cada uno de los

componentes que conforman nuestro sistema

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Planificacin
Planificacin:
Definicin explcita del alcance
Definicin de las etapas del plan de eventos
Definicin de una estrategia de planificacin
Identificacin y asignacin de los grupos de trabajo
Definicin de las partes ms importantes de un cronograma
Identificacin de las fuentes de financiamiento
Enfoque y comunicacin de las metas y objetivos
Definicin de estrategias para la integracin
Definicin de los trminos clave
Desarrollo de un plan de alto nivel
Obtencin de la aprobacin y respaldo de la empresa

Se define y prepara el esfuerzo

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

12

Riesgos
Identificacin de riesgos:
Anlisis y evaluacin de riesgos
Identificar los procesos crticos
Anlisis de las operaciones actuales

No existe producto y/o servicio sin un proceso.

De la misma manera, no existe proceso sin un producto o servicio.
Aunque no todos los procesos generan un producto o servicio til
(creando valor agregado) para la organizacin.
Es necesario realizar un anlisis de las operaciones y los
procesos que involucran
Analizar el Impacto
Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Soluciones
Identificacin de soluciones:
Identificacin de alternativas
Identificacin de eventos activadores
Identificacin de soluciones

Busque soluciones creativas

Mitigue el Impacto
Establezca claramente los activadores

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

13

Estrategias
Seleccionar las soluciones:
Revisin de procesos
Definir opciones de contingencia
Consolidacin de soluciones
Identificacin del impacto de la solucin
Costo de crear la solucin
Costo de implementar la solucin
Costo de mantener vigente la solucin
Obtener financiamiento para la solucin
Identificacin de beneficios
Niveles de control

Razonabilidad en las soluciones

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Documentacin
Documentacin del proceso:
Cuadro de descripcin de los equipos y las tareas para solucionar la
contingencia
Riesgos, alternativas y soluciones
Listas de contactos para emergencia

Garantizar la difusin de las acciones a tomar

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

14

Validacin
Pruebas y validacin:
Actividades previas al desastre
Establecer planes de accin
Formacin de equipos operativos
Formacin de equipos de evaluacin
Actividades durante el desastre
Plan de emergencias
Formacin de equipos de accin
Entrenamiento
Actividades despus del desastre
Evaluacin de daos
Priorizacin de actividades
Ejecucin de actividades
Evaluacin de resultados
Retroalimentacin del plan de accin

Las acciones deben ser de ejecucin obligatoria

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Implementacin

Se ejecutan / aplican los planes de accin.

Puede tambin tratarse tambin como una prueba controlada.

Existe cuando ha ocurrido o est por ocurrir el desastre

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

15

Monitoreo
Garantizar que podamos reaccionar en el tiempo preciso y con la
accin correcta
Cada vez que hay un cambio de infraestructura o proceso debe
actualizarse el plan
Cada vez que se identifica un nuevo riesgo o una nueva solucin,
debe actualizarse el plan

Retroalimentacin y reinicio del ciclo completo

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

Seguridad Informtica - Plan de contingencias Tecnologa de la Informacin UBA FCE M.A.Pettersen

16