domingo, 7 de octubre de 2012

PLAN DE CONTINGENCIA PARA SISTEMAS INFORMATICOS



DEFINICION


Consiste en la identificación de aquellos sistemas de información y/o recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables.

El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, talento humano y soporte logístico; debe ser lo más detallado posible y fácil de comprender.


GUÍA GENERAL PARA ELABORAR UN PLAN DE CONTINGENCIAS



Los conceptos básicos son los siguientes:

Análisis y valoración de riesgos.
Jerarquización de las aplicaciones.
Establecimientos de requerimientos de recuperación.
Ejecución.
Pruebas.
Documentación.
Difusión y mantenimiento.

Análisis y valoración de Riesgos. El proyecto comienza con el análisis del impacto en la organización. Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial.


Se debe evaluar el nivel de riesgo de la información para hacer:

Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad.
Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo.
Cuantificar el impacto en el caso de suspensión del servicio.
Determinar la información que pueda representar cuantiosas pérdidas para la organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.


Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido mediante la evaluación y análisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.

Jerarquización de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organización. Para la determinación de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones.

El plan debe incluir una lista de los sistemas, aplicaciones y prioridades, igualmente debe identificar aquellos elementos o procedimientos informáticos como el hardware, software básico, de telecomunicaciones y el software de aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organización. También se deben incluir en esta categoría los problemas asociados por la carencia de fuentes de energía, utilización indebida de medios magnéticos de resguardo o back up o cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de información.

Establecimientos de requerimientos de recuperación. En esta etapa se procede a determinar lo que se debe hacer para lograr una óptima solución, especificando las funciones con base en el estado actual de la organización. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definición del problema, analizar áreas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido, justificación del costo de implantar las medidas de seguridad, análisis y evaluación del plan actual, determinar los recursos humanos, técnicos y económicos necesarios para desarrollar el plan, definir un tiempo prudente y viable para lograr que el sistema esté nuevamente en operación.

Ejecución . Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas de la empresa.

En la elaboración del plan de contingencias deben de intervenir los niveles ejecutivos de la organización, personal técnico de los procesos y usuarios, para así garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo técnico, económico y organizacional.

Pruebas . Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realización. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversión; en este último caso pasará nuevamente a la fase de conversión para la solución de los problemas detectados. Una correcta documentación ayudará a la hora de realizar las pruebas. La capacitación del equipo de contingencia y su participación en pruebas son fundamentales para poner en evidencia posibles carencias del plan.

Documentación. Esta fase puede implicar un esfuerzo significativo para algunas personas, pero ayudará a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalación y recuperación necesarias, procurando que sean entendibles y fáciles de seguir.

Es importante tener presente que la documentación del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusión.

Difusión y mantenimiento. Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusión y capacitación entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisión del plan existente y se examina en su totalidad realizando los cambios en la información que pudo haber ocasionado una variación en el sistema y realizando los cambios que sean necesarios.



BIBLIOGRAFÍA.



Avoiding Complete Disaster. May, 1995. Open Computing.
Bidot, Peláez. José Un Laboratorio Latinoamericano para la Protección contra los Virus Informáticos.
Cobb Stephen. 1994. Manual de seguridad para Pc y redes locales. Editorial Mc. Graw Hill.
Cook, J.W. Auditoría. 1987. Editorial Interamericana.
Echenique, José Antonio. Auditoría en informática. Editorial Mc. Graw Hill. 2001
Fine, Leonard H. 1990. Seguridad en centros de cómputo. Editorial Trillas.
Fitzgerald, Jerry. 1991. Controles Internos para Sistemas de Computación. Editorial Limusa.
Galvis P. Alvaro. 1993. Planeación estratégica informática. Universidad de los Andes.
Hernández, Hernández Enrique. 2000. Auditoría en informática. Editorial Cecsa.
Normas y procedimientos de auditoría. 1992. SAS (Statements on Auditing Standars) N°s. 41 AU 339.03, 22 AU 311, editado por el Instituto Mexicano de Contadores Públicos. A. C.
Piattini, Mario G. Auditoría Informática. 2001. Un enfoque práctico. Editorial Alfaomega.
Plata Martínez, Jesús Alberto. 1998. Curso de extensión universitaria sobre Auditoría Operacional. Universidad Nacional.
Seminario - taller Auditoría en informática. Enfoque, metodologías, técnicas y herramientas. Audisis. Ltda.
Thomas A. J., I. J. Douglas. 1987. Auditoría Informática. Editorial Paraninfo. S.A.
Ribagorda, Garnacho. Arturo. 1995. Situación Actual y Tendencias de la Seguridad de la Tecnologías de la Información.
Ribagorda, Garnacho. Arturo; J. L. Morant Ramon; J. Sancho Rodríguez. 1994. Seguridad y Protección de la Información.
Tamayo, Alzate Alonso. 2001. Sistemas de Información. Universidad Nacional de Colombia. Sede Manizales.
Tamayo, Alzate Alonso. 2001. Auditoría de Sistemas. Una visión práctica. Universidad Nacional de Colombia. Sede Manizales.