Universidad Catlica de Salta Materia: Seguridad Informatica Unidad: 3 Docente: Alumno: Ferrari, Valeria Lazzarini, Nahuel Fraco, Jose

Ruszel, Daniel Leguizamon, Matias Fecha de entrega: 19 de Octubre de 2013 Versin del Documento: 1

INDICE
1. INTRODUCCION .................................................................................. 4 2. POLITICAS DE SEGURIDAD ................................................................... 5
2.1 2.2 Definiciones Generales ............................................................................... 5 Caracterisiticas ......................................................................................... 6

2.3 Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI) ............................................................................................... 6 2.4 2.5 2.6 2.7 Elementos de una Poltica de Seguridad Informtica ......................................... 7 Parmetros para Establecer Polticas de Seguridad .......................................... 8 Problemas de Implementacion ...................................................................... 9 Base de la Administracin de la Seguridad Integral ......................................... 10 Medios Humanos ..................................................................................... 12 MediosTecnicos de Seguridad .................................................................... 12
De Proteccion Fisica ......................................................................................... 12 Tecnicas o Logicas ........................................................................................... 13 De Recuperacion ante Contingencias ..................................................................... 13

3. PROCEDIMIENTOS DE SEGURIDAD ....................................................... 11

3.1 3.2

3.2.1 3.2.2 3.2.3

4. SEGURIDAD FISICA Y AMBIENTAL ........................................................ 13

4.1 4.2 4.3 4.4 4.5 SEGURIDAD FISICA ................................................................................. 13 Proteccion del Hardware ........................................................................... 14
Problemas a los que nos enfrentamos .................................................................... 14

4.2.1

Acceso Fisico ......................................................................................... 14 Desastres Naturales ................................................................................. 15 Alteraciones del Entorno ........................................................................... 17
Electricidad .................................................................................................... 17 Ruido Electrico ................................................................................................ 18 Temperaturas Extremas ..................................................................................... 18 Proteccion de los Datos...................................................................................... 18 Eavescropping ................................................................................................ 19 Copias de Seguridad ......................................................................................... 19 Soportes no Electricos ....................................................................................... 20

4.5.1 4.5.2 4.5.3 4.5.4 4.5.5 4.5.6 4.5.7

5. MANTENIMIENTO DE SISTEMAS ........................................................... 20

5.1 Tipos de Mantenimiento ............................................................................ 21
Correctivo ...................................................................................................... 21 Adaptativo ...................................................................................................... 21 Evolutivo o Perfectivo ........................................................................................ 21 5.1.1 5.1.2 5.1.3

5.2 5.3

Costos .................................................................................................. 22 Optimizacion de Mantenimiento .................................................................. 22

2

5.4

Terminos del Mantenimiento ...................................................................... 22 Que es Gestionar la Comunicacin? ............................................................ 24 Participacion .......................................................................................... 25
Informacion .................................................................................................... 25 Opinion ......................................................................................................... 26 Toma de Desiciones.......................................................................................... 26

6. GESTION DE COMUNICACION .............................................................. 24

6.1 6.2

6.2.1 6.2.2 6.2.3

7. PLANIFICACION DE CONTINGENCIA ..................................................... 26

7.1 7.2 Actividades Asociadas.............................................................................. 26 Analisis de Riesgo ................................................................................... 27
Bienes susceptibles de un dao ............................................................................ 27 Daos ........................................................................................................... 27 Prioridades ..................................................................................................... 28 Fuentes de Daos ............................................................................................ 28 Expectativa Anual de Daos ................................................................................ 29 Control de Accesos ........................................................................................... 30 Prevision de Desastres Naturales .......................................................................... 30 Adecuado Soporte de Utilitarios ............................................................................ 30 Seguridad Fisica del Personal .............................................................................. 31 Seguridad de la Informacion ................................................................................ 31 Plan de Respaldo ............................................................................................. 31 Respaldo de Datos Vitales .................................................................................. 31 Plan de Recuperacion Objetivos del Plan de Recuperacion ........................................... 31 Alcance del Plan de Recuperacion ........................................................................ 32

7.2.1 7.2.2 7.2.3 7.2.4 7.2.5

7.3

Medidas Preventivas ................................................................................ 30

7.3.1 7.3.2 7.3.3 7.3.4 7.3.5 7.3.6 7.3.7 7.3.8 7.3.9

8. Bibliografa ....................................................................................... 33

1.

INTRODUCCION

Actualmente la seguridad informtica ha tomado gran auge, dadas las cambiantes condiciones y nuevas plataformas de computacin disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes para explorar ms all de las fronteras nacionales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados. Esto ha llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales hayan desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las polticas de seguridad informtica (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la compaa desarrollarse y mantenerse en su sector de negocios. De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.

2. POLITICAS DE SEGURIDAD Definiciones Generales

2.1

El trmino poltica de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en trminos generales qu est y qu no est permitido en el rea de seguridad durante la operacin general de dicho sistema. Al tratarse de `trminos generales, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la poltica para convertirlos en indicaciones precisas de qu es lo permitido y qu lo denegado en cierta parte de la operacin del sistema, lo que se denomina poltica de aplicacin especfica. Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y el por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos. Surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.

2.2

Caracterisiticas

La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe: Ser holstica (cubrir todos los aspectos relacionados con la misma). Adecuarse a las necesidades y recursos. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc.

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.

2.3 Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI)

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del

personal, en relacin con los recursos y servicios informticos importantes de la organizacin. No es una descripcin tcnica de mecanismos de seguridad, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y el por qu de ello. Cada PSI es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa.

2.4

Elementos de una Poltica de Seguridad Informtica

Como hablamos en la seccin anterior, una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere una disposicin de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que l o ella tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones, transmitir por qu son importantes stos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organizacin en relacin con la seguridad y lo que ella puede esperar de las acciones que la
7

materializan en la compaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos legales que impidan una comprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa. Por otro lado, la poltica de debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qu pasar cuando algo suceda; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios entre otros.

2.5

Parmetros para Establecer Polticas de Seguridad

Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulacin de estas directrices, revisemos algunos aspectos generales recomendados para la formulacin de las mismas. Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore sus activos, el cual le permitir afinar las PSI de su organizacin. Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues son ellos los interesados en salvaguardar los activos crticos de la funcionalidad de su rea u organizacin. Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la organizacin, que permita una actualizacin oportuna de las mismas Un consejo ms, no d por hecho algo que es obvio. Haga explcito y concreto los alcances y propuestas de seguridad, con el propsito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.
8

2.6

Problemas de Implementacion

Muchas veces las organizaciones realizan grandes esfuerzos para definir sus directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo xito. Segn algunos estudios resulta una labor ardua el convencer a los altos ejecutivos de la necesidad de buenas polticas y prcticas de seguridad informtica. Muchos de los inconvenientes se inician por los tecnicismos informticos y la falta de una estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: ms dinero para los juguetes de los ingenieros. Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad, que en muchos de los casos lleva a comprometer su informacin sensitiva y por ende su imagen corporativa. Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podra ocurrir. Una buena intrusin o una travesura puede convertir a las personas que no entendieron, en blanco de las polticas o en seuelos de los verdaderos vndalos. Luego, para que las PSI logren abrirse espacio al interior de una organizacin deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. De igual forma, las PSI deben ir acompaadas de una visin de negocio que promueva actividades que involucren a las personas en su diario hacer, donde se identifiquen las necesidades y acciones que materializan las polticas. En este contexto, el entender la organizacin, sus elementos culturales y comportamientos nos deben llevar a reconocer las pautas de seguridad necesaria y suficiente que aseguren confiabilidad en las operaciones y funcionalidad de la compaa.

A continuacin algunas recomendaciones para vender las preocupaciones sobre la seguridad informtica: Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atencin de sus interlocutores. Asocie el punto anterior a las estrategias de negocio y la imagen de la empresa en el desarrollo de sus actividades. Articule las estrategias de seguridad informtica con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la informacin. Muestre una valoracin costo-beneficio, ante una falla de seguridad. Desarrolle las justificaciones de la importancia de la seguridad informtica en funcin de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organizacin Un consejo ms, sea oportuno y sagaz para presentar su producto, procurando tener la mayor informacin del negocio y los riesgos asociados con los activos crticos de la organizacin.

2.7

Base de la Administracin de la Seguridad Integral

Las polticas de seguridad informtica conforman el conjunto de lineamientos que una organizacin debe seguir para asegurar la confiabilidad de sus sistemas. En razn a lo anterior, son parte del engranaje del sistema de seguridad que la organizacin posee para salvaguardar sus activos. Las PSI constituyen las alarmas y compromisos compartidos en la organizacin, que le permiten actuar proactivamente ante situaciones que comprometan su integridad. Por tanto, deben constituir un proceso continuo y retroalimentado que observe la concientizacin, mtodos de acceso a la informacin, monitoreo de cumplimiento y renovacin, aceptacin de las directrices y estrategia de implantacin, que lleven a una formulacin de directivas institucionales que logren aceptacin general. Las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin.

10

3. PROCEDIMIENTOS DE SEGURIDAD
A partir de las polticas de seguridad se podr comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que sern la definicin detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido aprobadas por la organizacin. Se describe cmo se implementan, en las reas a proteger, las polticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de proteccin en cada una de ellas, atendiendo a sus formas de ejecucin, periodicidad, personal participante y medios. Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborar un Programa de Seguridad Informtica, que incluya las acciones a realizar por etapas para lograr niveles superiores. Algunos procedimientos a considerar son los siguientes: Otorgar (retirar) el acceso de personas a las tecnologas de informacin y como se controla el mismo. Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios. Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrnico, Internet) Definir perfiles de trabajo. Autorizacin y control de la entrada/salida de las tecnologas de informacin. Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composicin, la frecuencia de actualizacin, quin debe cambiarla, su custodia, etc. Realizacin de salva de respaldo, segn el rgimen de trabajo de las reas, de forma que las salvas se mantengan actualizadas, y las acciones que se adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentacin de la informacin segn su nivel de confidencialidad. Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisin de personal responsable y
11

que en caso del traslado del equipo fuera de la entidad la informacin clasificada o limitada sea borrada fsicamente o protegida su divulgacin. Salva y anlisis de registros o trazas de auditoria, especificando quien lo realiza y con qu frecuencia.

Se describirn por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios tcnicos o de las medidas y procedimientos que debe cumplir el personal.

3.1

Medios Humanos

Aqu se har referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseo, establecimiento, control, ejecucin y actualizacin del mismo.

3.2

MediosTecnicos de Seguridad

Se describirn los medios tcnicos utilizados en funcin de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, as como la configuracin de los mismos. Para lo cual se tendr en cuenta:

3.2.1 De Proteccion Fisica

A las reas con tecnologas instaladas: Se precisarn, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informtica, las reas que se consideran vitales y reservadas en correspondencia con el tipo de informacin que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectacin de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos especficos que se apliquen en cada una. (Ejemplo: limitar el acceso a diferentes oficinas a persona autorizada, custodiar con personal de seguridad habitaciones que contengan equipos e informacin de gran importancia) A las Tecnologas de Informacin: Se especificarn las medidas y procedimientos de empleo de medios tcnicos de proteccin fsica
12

directamente aplicados a las tecnologas de informacin. Posicin de las tecnologas de informacin destinadas al procesamiento de informacin con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la informacin a distancia, minimice la posibilidad de captacin de las emisiones electromagnticas y garantice un mejor cuidado y conservacin de las mismas. Medidas y procedimientos para garantizar el control de las tecnologas de informacin existentes, durante su explotacin, conservacin, mantenimiento y traslado. A los soportes de informacin: Se describir el rgimen de control establecido sobre los soportes magnticos de informacin

3.2.2 Tecnicas o Logicas Se especificarn las medidas y procedimientos de seguridad que se establezcan, cuya implementacin se realice a travs de software, hardware o ambas: Identificacin de usuarios- Autenticacin de usuarios.- Control de acceso a los activos y recursos- Integridad de los ficheros y datos- Auditora y Alarmas

3.2.3 De Recuperacion ante Contingencias

Se describirn las medidas y procedimientos de neutralizacin y recuperacin ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informtica o degraden su funcionamiento, minimizando el impacto negativo de stas sobre la entidad.

4. SEGURIDAD FISICA Y AMBIENTAL

4.1

SEGURIDAD FISICA

Cuando hablamos de seguridad fsica nos referimos a todos aquellos mecanismos (generalmente de prevencin y deteccin) destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple
13

teclado hasta una cinta de backup con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina. Dependiendo del entorno y los sistemas a proteger esta seguridad ser ms o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuacin mencionaremos algunos de los problemas de seguridad fsica con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.

4.2

Proteccion del Hardware

El hardware es frecuentemente el elemento ms caro de todo sistema informtico y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad fsica de cualquier organizacin.

4.2.1 Problemas a los que nos enfrentamos

Acceso fsico Desastres naturales Alteraciones del entorno

4.3

Acceso Fisico

Si alguien que desee atacar un sistema tiene acceso fsico al mismo todo el resto de medidas de seguridad implantadas se convierten en intiles. De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegacin de servicio; si apagamos una mquina que proporciona un servicio es evidente que nadie podr utilizarlo. Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reinicindolo con un disco de recuperacin que nos permita cambiar las claves de los usuarios.
14

Este ltimo tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho ms sencillo atacar otros equipos de la misma. Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevencin (control de acceso a los recursos) y de deteccin (si un mecanismo de prevencin falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes). Para la prevencin hay soluciones para todos los gustos y de todos los precios: - analizadores de retina, - tarjetas inteligentes, - videocmaras, - vigilantes jurados, En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informticos y no tener cableadas las tomas de red que estn accesibles. Para la deteccin de accesos se emplean medios tcnicos, como cmaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qu las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.

4.4

Desastres Naturales

Adems de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que tambin los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra poltica de seguridad y su implantacin.

Algunos desastres naturales a tener en cuenta: Terremotos y vibraciones Tormentas elctricas Inundaciones y humedad
15

Incendios y humos Los terremotos son el desastre natural menos probable en la mayora de organismos ubicados en Espaa, por lo que no se harn grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y que son tiles para prevenir problemas causados por pequeas vibraciones: No situar equipos en sitios altos para evitar cadas, No colocar elementos mviles sobre los equipos para evitar que caigan sobre ellos, Separar los equipos de las ventanas para evitar que caigan por ellas o qu objetos lanzados desde el exterior los daen, Utilizar fijaciones para elementos crticos, Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,

Otro desastre natural importante son las tormentas con aparato elctrico, especialmente frecuentes en verano, que generan subidas sbitas de tensin muy superiores a las que pueda generar un problema en la red elctrica. A parte de la proteccin mediante el uso de pararrayos, la nica solucin a este tipo de problemas es desconectar los equipos antes de una tormenta (qu por fortuna suelen ser fcilmente predecibles). En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad esttica. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensacin en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningn tipo de aparato para controlar la humedad, pero no est de ms disponer de alarmas que nos avisen cuando haya niveles anmalos. Otro tema distinto son las inundaciones, ya que casi cualquier medio (mquinas, cintas, routers, etc.) que entre en contacto con el agua queda automticamente inutilizado, bien por el propio lquido o bien por los cortocircuitos que genera en los sistemas electrnicos. Contra ellas podemos instalar sistemas de deteccin que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estn apagados. Hay que indicar que los equipos deben estar por encima del sistema de deteccin de agua, sino cuando se intente parar ya estar mojado. Por ltimo el fuego y los humos, que en general provendrn del incendio de equipos por sobrecarga elctrica. Contra ellos emplearemos sistemas de
16

extincin, que aunque pueden daar los equipos que apaguemos (aunque actualmente son ms o menos inocuos), nos evitarn males mayores. Adems del fuego, tambin el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo ms alejado posible de los equipos.

4.5

Alteraciones del Entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que pueden afectar el rgimen de funcionamiento habitual de las mquinas como la alimentacin elctrica, el ruido elctrico producido por los equipos o los cambios bruscos de temperatura.

4.5.1 Electricidad

Quizs los problemas derivados del entorno de trabajo ms frecuentes son los relacionados con el sistema elctrico que alimenta nuestros equipos; cortocircuitos, picos de tensin, cortes de flujo ... Para corregir los problemas con las subidas de tensin podremos instalar tomas de tierra o filtros reguladores de tensin. Para los cortes podemos emplear Sistemas de Alimentacin Ininterrumpida (SAI), que adems de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensin. Estos equipos disponen de baterias que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algn mecansmo para comunicarse con los servidores y avisarlos de que ha caido la lnea o de que se ha restaurado despus de una caida). Por ltimo indicar que adems de los problemas del sistema elctrico tambin debemos preocuparnos de la corriente esttica, que puede daar los equipos. Para evitar problemas se pueden emplear esprais antiestticos o ionizadores y

17

tener cuidado de no tocar componentes metlicos, evitar que el ambiente est excesivamente seco, etc.

4.5.2 Ruido Electrico

El ruido elctrico suele ser generado por motores o por maquinaria pesada, pero tambin puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a travs del espacio o de lneas elctricas cercanas a nuestra instalacin. Para prevenir los problemas que puede causar el ruido elctrico lo ms barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.

4.5.3 Temperaturas Extremas

No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.

4.5.4 Proteccion de los Datos

Adems proteger el hardware nuestra poltica de seguridad debe incluir medidas de proteccin de los datos, ya que en realidad la mayora de ataques tienen como objetivo la obtencin de informacin, no la destruccin del medio fsico que la contiene. En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisin y almacenamiento de datos, proponiendo medidas para reducir el riesgo.

18

4.5.5 Eavescropping

La interceptacin o eavesdropping, tambin conocida por ''passive wiretapping'' es un proceso mediante el cual un agente capta informacin que va dirigida a l; esta captacin puede realizarse por muchsimos medios: sniffing en redes ethernet o inalmbricas (un dispositivo se pone en modo promiscuo y analiza todo el trfico que pasa por la red), capturando radiaciones electromagnticas (muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...), etc. El problema de este tipo de ataque es que en principio es completamente pasivo y en general difcil de detectar mientras se produce, de forma que un atacante puede capturar informacin privilegiada y claves que puede emplear para atacar de modo activo. Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la nica realmente til es cifrar toda la informacin que viaja por la red (sea a travs de cables o por el aire). En principio para conseguir esto se deberan emplear versiones seguras de los protocolos de uso comn, siempre y cuando queramos proteger la informacin. Hoy en da casi todos los protocolos basados en TCP permiten usar una versin cifrada mendiante el uso del TLS.

4.5.6 Copias de Seguridad

Es evidente que es necesario establecer una poltica adecuada de copias de seguridad en cualquier organizacin; al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrn que estar protegidos fsicamente; de hecho quizs deberamos de emplear medidas ms fuertes, ya que en realidad es fcil que en una sola cinta haya copias de la informacin contenida en varios servidores. Lo primero que debemos pensar es dnde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y cmodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general el hardware se puede volver a comprar, pero una prdida de informacin puede ser ireemplazable.
19

As pues, lo ms recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares ms prximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados). Para proteger ms aun la informacin copiada se pueden emplear mecansmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.

4.5.7 Soportes no Electricos

Otro elemento importante en la proteccin de la informacin son los elementos no electrnicos que se emplean para transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje informacin confidencial se controlen los sistemas que permiten exportarla tanto en formato electrnico como en no electrnico (impresoras, plotters, faxes, teletipos, ...). Cualquier dispositivo por el que pueda salir informacin de nuestro sistema ha de estar situado en un lugar de acceso restringido; tambin es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que lanzan a estos dispositivos.

Adems de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener informacin rebuscando en nuestra basura.

5. MANTENIMIENTO DE SISTEMAS

El mantenimiento es un aspecto ms del desarrollo de sistemas de informacin. Sin embargo, efectuar cambios y ajustes no necesariamente indica la correccin de errores o la ocurrencia de problemas.
20

Entre los cambios ms frecuentes solicitados por los usuarios finales se encuentra el agregado de informacin al formato de un reporte (listado). Se pueden revisar los requerimientos del sistema como consecuencia de su uso o del cambio de las necesidades de operacin. Quizs sea necesario corregir algn descuido que ocurri durante el proceso de desarrollo. A menudo, surge la necesidad de capturar ms datos y almacenarlos en la base de datos, o quizs sea necesario aadir caractersticas para la deteccin de errores con la finalidad de evitar que los usuarios del sistema emprendan por equivocacin una accin no deseada. Tambin existe el agregado de nuevas funciones, como mejoras en la seguridad.

5.1

Tipos de Mantenimiento

5.1.1 Correctivo Es cuando se debe corregir errores de funcionamiento del sistema , pulgas, o cuando aparecen situaciones que no se tuvieron en cuenta o se mal interpretaron en el relevamiento. Ejemplos: totaliza mal un listado, no filtra un informe por zona, no redondea un total. 5.1.2 Adaptativo Cuando el objetivo es adaptar el sistema o partes de l a nuevas situaciones que generan nuevos requerimientos, por la dinmica evolucin de las empresas y los negocios. Ejemplos: se comienza a consignar mercadera, se abre un punto de venta, se vende en el interior, se aplica un nuevo impuesto, se define una nueva poltica de descuentos.

5.1.3 Evolutivo o Perfectivo

Cuandoel sistema est estable y es utilizado por la empresa en su plenitud, pueden surgir requerimientos de perfeccionamiento en algunas de sus funciones, mejorar la performance, reducir los procesos o aumentar su complejidad por razones de seguridad, etc. Ejemplos: envo de respaldos de punto de venta a casa central por mail, agregar seguridad por opciones de men.

21

5.2

Costos

El mantenimiento de sistemas siempre tiene un costo, sea el desarrollo interno (empresas con centro de cmputos) o externo (desarrollado por una empresa proveedora). Este costo juega para ambos lados, ya que si el sistema no est bien diseado, la empresa proveedora puede perder dinero al invertir tiempos no previstos en correcciones importantes, incluso estructurales, que lleven a redisear el sistema.

5.3

Optimizacion de Mantenimiento

PASOS PARA REDUCIR TIEMPOS DE MANTENIMIENTO: Tiempos que cuestan a la empresa y al desarrollista.

- Relevamiento correcto de los requerimientos del usuario - Participacin de usuarios calificados - Definicin clara de objetivos - Utilizacin de todas las herramientas de anlisis disponibles (DFD,MER) - Documentacin apropiada del sistema - Pruebas en la etapa de testeo

5.4

Terminos del Mantenimiento

Una vez que el sistema ha sido entregado, instalado y dictados los cursos de operacin, existe un perodo de garanta durante el cual el proveedor es responsable del mantenimiento. Usualmente dicho perodo es de 90 das, pasados los cuales la empresa proveedora del software presenta un contrato de mantenimiento.

22

Al formular dicho contrato los trminos son tan importantes como el costo. Se fija el tipo de servicio, das que cubre, horarios normales y extendidos, feriados, etc., as como el tipo y tiempo de respuesta (telefnica, en casa del cliente, va comunicaciones, etc.) dentro de las 24 o 48 horas de efectuado el reclamo, o dentro del da (respuesta inmediata).

Asimismo, se fija el alcance de tipo de modificaciones o correcciones que se incluyen dentro del mantenimiento. Usualmente, un nuevo sistema o mdulo a desarrollar no est cubierto, se cotiza como corresponde a un sistema nuevo, y por lo general se acuerda que los clientes en rgimen de mantenimiento, gozan de precios diferenciales de quienes no participan de dicho rgimen. Tambin estn excluidas las modificaciones estructurales, que afectan la base de datos de forma muy significativa. Dichas modificaciones as como la salvaguarda de los datos histricos del cliente se cotizan aparte.

El costo del mantenimiento (pago mensual, trimestral, semestral) se acuerda en el contrato as como los parmetros de ajuste de dicho costo. La empresa u organizacin usuaria debe tener especial cuidado en estos trminos de reajuste y deben figurar en el contrato. Este tipo de proteccin asegura que el proveedor de software no pueda aprovecharse del usuario, que depende totalmente de dicho proveedor. La mayora de las compaas de software tienen buena reputacin, pero la prctica dicta que la proteccin adecuada siempre debe buscarse al contratar servicios

La experiencia generalizada es que no se hacen contratos. En el mejor de los casos, las condiciones en que se brinda el mantenimiento figuran en la cotizacin de la empresa desarrollista como un tem ms. Otras empresas entregan, al momento de la cotizacin, un documento aparte donde se fijan las condiciones y precios de mantenimiento. Si esta documentacin existe (debiera existir siempre) es un elemento de consulta fundamental al momento de zanjar una situacin referente al buen o mal servicio que se est brindando, qu cosas comprende y cules no.

Pero sin duda, esta documentacin no sustituye al contrato, donde se pueden fijar multas o sanciones por incumplimiento de ambas partes.
23

6. GESTION DE COMUNICACION
Comunicar puertas adentro es desarrollar en las relaciones de trabajo un ambiente de sinceridad, de escucha y de circulacin de la informacin. Para ello, primeramente, resulta importante implementar diagnsticos y planificaciones participativas. Si no se estimula la habilidad de la escucha al otro, no hay feedback y se pierde el sentido. Si no se sabe escuchar, se corre el riesgo de comunicar muy bien la informacin que no le interesa a nadie y adems se trunca otra va de intercambio para generar creatividad y espritu de equipo. La comunicacin sirve a que la misin y la historia de la organizacin sean compartidas por todos. En las corrientes vinculadas al managment esto se lo vincula con la motivacin personal. Ignorar los planes generales de trabajo suele conducir a la fragmentacin y al desconocimiento del sentido de las propias acciones en una organizacin. Antes de implementar un plan hay que conocer la organizacin, realizar un diagnstico: Realizar un relevamiento y anlisis de las ofertas y demandas de comunicacin Entrevistas a integrantes Anlisis de documentos: por documentos definimos todo material normativo o de difusin que utiliza la organizacin en sus diversos formatos y soportes. Observacin Diagramar un FODA (Analisis de Fortalezas, Oportunidades, Debilidades y Amenazas)

Una vez concluida esta etapa, se analizara el material procesado. De la interpretacin de los datos se identificarn cules son los actores generadores y receptores de informacin, los flujos informativos, el volumen y tipo de informacin que reciben y generan, demandas potenciales

6.1

Que es Gestionar la Comunicacin?

Gestionar la comunicacin implica definir un conjunto de acciones y procedimientos mediante los cuales se despliegan una variedad de recursos de comunicacin para apoyar la labor de las organizaciones.
24

A travs de la Gestin en la Comunicacin se facilita el despliegue de todo el aparato comunicacional destinado al personal con el objeto de: Promover la comunicacin entre los miembros Facilitar la integracin entre las realizaciones personales y las institucionales Reducir los focos de conflicto interno a partir del fortalecimiento de la cohesin de losmiembros Contribuir a la creacin de espacios de informacin, participacin y opinin

No hay que olvidar que la Comunicacin de toda organizacin esta inmersa en la Cultura Organizacional. Es decir, por el conjunto de valores, referencias, hbitos, ritos, signos etc. Que fundamentan la concepcin que la organizacin tiene de s misma. Esta cultura se debe tomar como punto de partida y marco para la implementacin de una gestin ya que condiciona la comunicacin.

6.2

Participacion

La participacin, tan temida por algunas organizaciones, resulta fundamental y no se reduce solamente a saber lo que ocurre. Es necesario la previsin de espacios emergentes de comunicacin que faciliten formar, tener y tomar parte en los procesos orientados a la creacin de valores en las organizaciones, sentimientos de pertenencia y valoracin del integrante como recurso humano. En otras palabras, se trata de involucrar en lugar de convencer e imponer , de fomentar la toma de decisiones a partir de la experiencia de sus propios integrantes, de favorecer la integracin entre los objetivos institucionales y los individuales, de contar con el personal como recurso estratgico, como Cliente Interno (como les gusta diferenciar en el marketing institucional de vanguardia) y no solamente como un eslabn en la cadena de montaje.

Las instancias de participacin se distinguen en tres niveles que suponen grados distintos de compromisos:
6.2.1 Informacion

Contar con informacin sobre la organizacin permite a cada integrante saber dnde esta parado.
25

6.2.2 Opinion

Para facilitar la incorporacin de la experiencia de los integrantes de la organizacin. A esto algunos autores lo denominan activo intangible. Todo ello en pos del desarrollo institucional. La opinin presupone el conocimiento de la informacin. Se trata de sumar puntos de vistas, de identificar problemas que otros no observaron.
6.2.3 Toma de Desiciones

Vinculada con el desarrollo de la autonoma necesaria en cada rea. Es el nivel superior de la participacin y presupone los dos niveles anteriores.

7. PLANIFICACION DE CONTINGENCIA
El Plan est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres. Se define la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. Se ha considerado que para el Plan Nacer, la seguridad es un elemento bsico para garantizar su continuidad y entregar el mejor Servicio, y por lo tanto, considera a la Informacin como uno de los activos ms importantes, lo cual hace que la proteccin de esta sea el fundamento ms importante de este Plan de Contingencia. En este documento se resalta la necesidad de contar con estrategias que permitan realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua para la definicin de los procedimientos de seguridad de la Informacin que cada rea debe definir.

7.1

Actividades Asociadas

Las actividades consideradas en este documento son: Anlisis de Riesgos Medidas Preventivas
26

Previsin de Desastres Naturales Plan de Respaldo Plan de Recuperacin

7.2

Analisis de Riesgo

Para realizar un anlisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la compaa, y su importancia dentro del mecanismo de funcionamiento. Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de ocurrencia de estos, se procede a fijar un plan de emergencia para su recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o mejora.

7.2.1 Bienes susceptibles de un dao

Se puede identificar los siguientes bienes afectos a riesgos: Personal Hardware Software y utilitarios Datos e informacin Documentacin Suministro de energa elctrica Suministro de telecomunicaciones

7.2.2 Daos

Los posibles daos pueden referirse a: Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.
27

Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. Divulgacin de informacin a instancias fuera del Plan Nacer y que afecte su patrimonio estratgico y/o Institucional, sea mediante Robo o Infidencia.

7.2.3 Prioridades

La estimacin de los daos en los bienes y su impacto, fija una prioridad en relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de los Servicios que se pierden en el acontecimiento. Por lo tanto, los bienes de ms alta prioridad sern los primeros a considerarse en el procedimiento de recuperacin ante un evento de desastre.

7.2.4 Fuentes de Daos

Las posibles fuentes de dao que pueden causar la no operacin normal del Plan Nacer asociadas al Centro de operaciones Computacionales son: Acceso no autorizado Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Ruptura de las claves de acceso a los sistemas computacionales. Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas computacionales en uso (Virus, sabotaje). Intromisin no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intensiones. Desastres Naturales Movimientos telricos que afecten directa o indirectamente a las instalaciones fsicas de soporte (edificios) y/o de operacin (equipos computacionales). Inundaciones causados por falla en los suministros de agua.
28

Fallas en los equipos de soporte: - Por fallas causadas por la agresividad del ambiente - Por fallas de la red de energa elctrica pblica por diferentes razones ajenas. - Por fallas de los equipos de acondicionamiento atmosfricos necesarios para una adecuada operacin de los equipos computacionales ms sensibles. - Por fallas de la comunicacin. - Por fallas en el tendido fsico de la red local. - Fallas en las telecomunicaciones con instalaciones externas. - Por fallas de Central Telefnica. - Por fallas de lneas de fax. - Fallas de Personal Clave - Se considera personal clave aquel que cumple una funcin vital en el flujo de procesamiento de datos u operacin de los Sistemas de Informacin:

a) b) c) d) e) f) g) h) i) j) k)

l) m) n)

Personal de Informtica. Gerencia, supervisores de Red. Pudiendo existir los siguientes inconvenientes: Enfermedad. Accidentes. Renuncias. Abandono de sus puestos de trabajo. Otros imponderables. Fallas de Hardware Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en el procesador central. Falla en el hardware de Red: a. Falla en los Switches. b. Falla en el cableado de la Red. Falla en el Router. Falla en el FireWall. Incendios.

7.2.5 Expectativa Anual de Daos

29

Para las prdidas de informacin, se deben tomar las medidas precautorias necesarias para que el tiempo de recuperacin y puesta en marcha sea menor o igual al necesario para la reposicin del equipamiento que lo soporta.

7.3

Medidas Preventivas

7.3.1 Control de Accesos

Se debe definir medidas efectivas para controlar los diferentes accesos a los activos computacionales: a) Acceso fsico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor. c) Acceso restringuido a las libreras, programas, y datos.

7.3.2 Prevision de Desastres Naturales

La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin Central, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal. Adems, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, CD, discos con informacin vital de respaldo de aquellos que se encuentren aun en las instalaciones. 7.3.3 Adecuado Soporte de Utilitarios

Las fallas de los equipos de procesamiento de informacin pueden minimizarse mediante el uso de otros equipos, a los cuales tambin se les debe controlar peridicamente su buen funcionamiento, nos referimos a: UPS de respaldo de actual servidor de Red o de estaciones crticas UPS de respaldo switches y/o HUB's
30

7.3.4 Seguridad Fisica del Personal

Se deber tomar las medidas para recomendar, incentivar y lograr que el personal comparta sus conocimientos con sus colegas dentro de cada rea, en lo referente a la utilizacin de los software y elementos de soporte relevantes. Estas acciones permitirn mejorar los niveles de seguridad, permitiendo los reemplazos en caso de desastres, emergencias o perodos de ausencia ya sea por vacaciones o enfermedades.

7.3.5 Seguridad de la Informacion

La informacin y programas de los Sistemas de Informacin que se encuentran en el Servidor, o de otras estaciones de trabajo crticas deben protegerse mediante claves de acceso y a travs de un plan de respaldo adecuado.

7.3.6 Plan de Respaldo

El Plan de Respaldo trata de cmo se llevan a cabo las acciones crticas entre la prdida de un servicio o recurso, y su recuperacin o reestablecimiento. Todos los nuevos diseos de Sistemas, Proyectos o ambientes, tendrn sus propios Planes de Respaldo.

7.3.7 Respaldo de Datos Vitales Identificar las reas para realizar respaldos: Sistemas en Red. Sistemas no conectados a Red. Sitio WEB.

7.3.8 Plan de Recuperacion Objetivos del Plan de Recuperacion

Los objetivos del plan de Recuperacin son:

31

Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. Planificar la reactivacin dentro de las 12 horas de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas. Permanente mantenimiento y supervisin de los sistemas y aplicaciones. Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre.

7.3.9 Alcance del Plan de Recuperacion

El objetivo es restablecer en el menor tiempo posible el nivel de operacin normal del centro de procesamiento de la informacin, basndose en los planes de emergencia y de respaldo a los niveles del Centro de Cmputos y de los dems niveles. La responsabilidad sobre el Plan de Recuperacin es de la Administracin, la cual debe considerar la combinacin de todo su personal, equipos, datos, sistemas, comunicaciones y suministros.

1. Todos los miembros de las reas de recuperacin deben estar informados y entrenados, as como poseer una copia del Plan de Contingencia. 2. Una copia del plan debera mantenerse almacenado off-site, junto con los respaldos. 3. Iniciacin del Plan - Gerencia de Administracin y Finazas contactar los equipos de recuperacin - Cuartel General de Recuperacin in-site a definir - Cuartel General de Recuperacin Off-site a definir

32

8. Bibliografa
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politic as_de_seguridad_informtica.pdf

http://www.monografias.com/trabajos-pdf/procedimiento-seguridad-informatica-backupinformacion/procedimiento-seguridad-informatica-backup-informacion.shtml http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Procedimientos.php http://www.slideshare.net/andynovillo/gestion-de-comunicacion http://www.rrppnet.com.ar/gestiondelacomunicacion.htm http://www.buenastareas.com/ensayos/Mantenimiento-De-Los-Sistemas-DeInformacion/221646.html http://www.monografias.com/trabajos94/sistemas-de-informacionmantenimiento/sistemas-de-informacion-mantenimiento.shtml http://www.slideshare.net/andynovillo/gestion-de-comunicacion http://www.ecured.cu/index.php/Gesti%C3%B3n_de_la_comunicaci%C3%B3n_interna http://www.tecno-portal.com/front_content.php?idcat=1831&idart=7880 http://auditoriasistemas.com/plan-de-continuidad-de-negocio/ http://es.wikipedia.org/wiki/Plan_de_contingencias http://www.segu-info.com.ar/politicas/contingencia.htm http://es.scribd.com/doc/58580697/PLAN-DE-CONTINGENCIA-INFORMATICO

33