-

Alvaro: Hardware<perdidas de datos, seguridad lgica, seguridad fsica

informtica,

Perdida de datos
El Plan de Contingencia en la perdida de datos, implica un anlisis de los posibles
riesgos a cuales pueden estar expuestos nuestros equipos de cmputo y sistemas de
informacin. Corresponde aplicar a la Asociacin gape de El Salvador, aplicar
medidas de seguridad para proteger y estar preparados para afrontar
contingencias y desastres de diversos tipos. El alcance de este plan guarda
relacin con la infraestructura informtica, as como los procedimientos relevantes
asociados con la plataforma tecnolgica
.
La infraestructura informtica est conformada por el hardware, software y
elementos complementarios que soportan la informacin o datos crticos para la
funcin del negocio.
Los procedimientos relevantes a la infraestructura informtica, son aquellas tareas
que el personal realiza frecuentemente al interactuar con la plataforma informtica
(entrada de datos, generacin de reportes, consultas, etc.).

Objetivos del plan de contingencia:

Nuestro objetivo a travs de este plan de contingencia, es asegurar la capacidad

de supervivencia de la Asociacin gape de El Salvador, ante eventos que pongan
en peligro su existencia.
As como tambin reducir la probabilidad de las perdidas, a un mnimo de nivel
aceptable, a un costo razonable y asegurar la adecuada recuperacin.
Queremos asegurar que existan controles adecuados para reducir el riesgo por
fallas o mal funcionamiento tanto del equipo, como de los datos, y de
los medios de almacenamiento.

Nuestra funcin es comunicar a todo el personal activo de la Asociacin los pasos

a seguir en caso de cualquier riesgo.
La vigencia de este plan est sujeto a cambios tecnolgicos, de equipamiento y de
los sistemas informticos relacionados con la empresa.

Anlisis de Riesgos:
Se tienen en cuenta dos factores:

Los que afectan a la seguridad dela infraestructura.

Los que afectan la integridad de los datos.

Los que afectan a la seguridad del edificio:

Inundacin: poco probable, debido a que la Asociacin gape de El

Salvador, se encuentran ubicadas en lugares geogrficamente poco
inundables.

Incendio: poco probable, se cuentan con extinguidores y sistemas de

irrigacin (con detectores de humo).

Corte de energa elctrica: probables, se cuenta con generadores elctricos

Cortes prolongados (ms de 1 hora): poco probables.

Robo: poco probable, se cuenta con vigilancia las 24 horas del dia.

Los que afectan la integridad de los datos:

Problemas de comunicacin del cliente con los servidores: probable.

Problemas en el cableado elctrico de las estaciones de trabajo: poco

probable.

Problemas con los recursos compartidos de la red: poco probable.

Cada de la base de datos: poco probable.

Cada temporal del o los servidor/es por falla mecnica: poco probable.

Prdida total de un servidor: poco probable.

Falla total o parcial del cableado: poco probable.

Prdida total o parcial de las estaciones de trabajo: probable.

Afectan la integridad de los datos:

Los problemas de comunicacin del cliente con los servidores, los

problemas en el cableado elctrico de las estaciones de trabajo, los problemas
con los recursos compartidos de la red y la cada de la base de datos:
ocasionaran prdidas totales o parciales, por lo tanto, se produce una
interrupcin en las actividades, hasta solucionar el problema.

Cada temporal del o los servidor/es por falla mecnica: ocasionaran

prdidas totales o parciales, por lo tanto, se produce una interrupcin en las
actividades, hasta solucionar el problema. Evaluar costo de reparacin del
desperfecto mecnico.

Prdida total de un servidor: ocasionara prdidas totales o parciales, por lo

tanto, hay una interrupcin en las actividades, hasta solucionar el problema,
adems evaluar costo de reparacin o de reposicin.

Falla total o parcial del cableado: ocasionara prdidas totales o parciales,

por lo tanto, las actividades se encuentran interrumpidas hasta solucionar el
problema.

Prdida total o parcial de las estaciones de trabajo: ocasionara prdidas

totales o parciales, por lo tanto, las actividades se encuentran interrumpidas
hasta solucionar el problema, en caso de prdida total, evaluar costos.

Mantenimiento del plan de contingencia:

Una vez por semana realizar un informe sobre el plan de contingencia, teniendo
en cuenta las posibles modificaciones que se pudieran hacer.
Algunas de las cosas en las que habitualmente no se piensa a la hora de
comprobar, pueden ahorrar mucho tiempo posteriormente. Por eso peridicamente
hacer lo siguiente:

a.

Llamar a los telfonos de los colaboradores incluidos en la lista del plan de

contingencia.

b.

Verificar los procedimientos que se emplearan para almacenar y recuperar

los datos.

c.

Realizar simulacros de incendio, capacitando al personal en el uso de los

extinguidores; cada de sistemas o fallas de servidores, para la medicin de la
efectividad del plan de contingencia.

Copias de Seguridad: se realizarn de la siguiente manera:

Al final de cada da la informacin, es decir la base de datos de la empresa, es
copia en un disco extrable. Esto permite salvar la informacin, en caso de ruptura
parcial o total, de uno o ambos servidores, o de la propia base de datos. Adems,
existe una copia mensual, desde ese disco extrable a CD-ROM, para archivar
definitivamente.
Esta ltima copia, que se realiza en forma mensual, podra ser emitida por
duplicado, para que de esta manera, se pueda archivar una dentro de la compaa
y otra fuera de la misma. De este modo la Asociacin gape de El Salvador se
asegura de que en caso de robo dentro del edificio, se cuente con otra copia de la
informacin de la empresa.

La restauracin de la informacin, disminuye los tiempos de inactividad, en caso

de rupturas parciales o totales de uno o ambos servidores o de las bases de
datos, dado a que se cargara el CD-ROM con el backup del da, o del mes (segn

corresponda) y se instalaran nuevamente los sistemas, para levantar la

contingencia.

Las caractersticas que se debe considerar en la infraestructura de la Asociacin

gape de El Salvador son las siguientes:

En su infraestructura:

Diseo de los espacios que permita mxima eficiencia y productividad.

Control automatizado en las reas crticas (cpus, discos y

telecomunicaciones)

Diseo que facilite la integracin de los sistemas de suministros y

seguridad.

Disponer de reas separadas para: procesadores y discos, impresoras y

telecomunicaciones.

Considerar un rea destinada para la consola central para monitoreo y

operacin de los sistemas de cmputo.

PROTECCION CONTRA FUEGO

Sistema automtico de deteccin y extincin contra fuego en todo el

complejo que reduzca al mnimo el dao a instalaciones, equipos, personal
y medio ambiente.

Contar con el agente extintor adecuado a cada rea segn el tipo de fuego
y riesgo garantizando su vigencia.

Instalacin de extintores porttiles e hidrantes dependiendo de las

caractersticas especficas de cada rea.

Seguridad lgica, seguridad fsica.

El Plan de Contingencia est orientado a establecer un adecuado sistema de

seguridad fsica y lgica en previsin de desastres, de tal manera de establecer
medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos
naturales o por el hombre.
La informacin como uno de los activos ms importantes de la Organizacin, es el
fundamento ms importante de este Plan de Contingencia.
Al existir siempre la posibilidad de desastre, pese a todas nuestras medidas de
seguridad, es necesario que El Plan de Contingencia Informtico incluya el Plan
de Recuperacin de Desastres con el nico objetivo de restaurar el Servicio
Informtico en forma rpida, eficiente ,con el menor costo y perdidas posibles. El
Centro de Procesamiento de Datos o rea de Informtica, de la Asociacin gape
de El Salvador.

Seguridad fsica:

1: en forma diminuta documentar los componentes de la seguridad fsica, as

mismo de la seguridad ambiental.
Cuando hablamos de seguridad fsica nos referimos a todos aquellos mecanismos
generalmente de prevencin y deteccin, destinados a proteger fsicamente
cualquier recurso del sistema; estos recursos son desde un simple teclado hasta
una cinta de backup con toda la informacin que hay en el sistema, pasando por la
propia CPU de la mquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad ser ms o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

Componentes o acciones de la seguridad fsica:

Mantener las reas seguras permetro de seguridad fsica controles de

acceso fsico proteccin de oficinas, recintos e instalaciones trabajo en
reas seguras acceso a las reas de distribucin y recepcin de carga.

Seguridad del equipo proteccin del equipo y copias de seguridad

proteccin contra fallas de energa seguridad del cableado mantenimiento
de equipo, seguridad de equipos fuera de instalaciones controles al
desechar o rehusar equipo.

Mantener el rea segura permetro fsico como establecer el permetro

fsico creacin de diversas barreras o medidas de control fsico como:

Ubicar reas dentro rea de construccin fsicamente slida con mecanismos de

control, vallas, alarmas, cerraduras. Un rea de recepcin atendida por personal o
controles de acceso fsico. Incluir barreras fsicas adicionales desde el piso (real)
hasta el techo (real) para contaminacin ambiental.

Mantener el rea segura permetro fsico alrededor de: instalaciones de

procesamiento de informacin de suministro de energa elctrica de aire
acondicionado, y cualquier otra rea considerada crtica para el correcto
funcionamiento de los sistemas de informacin.

Mantener el rea segura controles de acceso fsico supervisar o

inspeccionar a los visitantes a reas protegidas y registrar la fecha y horario
de su ingreso y egreso.
Controles de autenticacin para autorizar y validar todos los accesos.
Ejemplos: personal de guardia con listado de personas habilitadas o por
tarjeta magntica o inteligente y nmero de identificacin personal (pin), etc.

Mantener el rea segura controles de acceso fsico identificacin unvoca

visible para todo el personal del rea protegida y no permitir la presencia de
desconocidos no escoltados. Revisar y actualizar en forma peridica los
derechos de acceso a las reas protegidas, documentados y firmados por
el responsable de la unidad organizativa. Revisar los registros de acceso a
las reas protegidas y revisar derechos en forma peridica.

Mantener el rea segura proteccin de oficinas, recintos e instalaciones

ubicar las instalaciones crticas en lugares a los cuales no pueda acceder
personal no autorizado.

Mantener un sealamiento mnimo, sin signos obvios, exteriores o

interiores en instalaciones crticas. Ubicar el equipamiento de soporte, por
ejemplo: impresoras, fotocopiadoras, mquinas de fax, dentro del rea

protegida. Las puertas y ventanas cerradas cuando no haya vigilancia, con

proteccin externa a las ventanas si amerita.

Mantener el rea segura proteccin de oficinas, recintos e instalaciones

implementar los siguientes mecanismos de control para la deteccin de
intrusos: separar las instalaciones de procesamiento de informacin de
aquellas administradas por terceros. Restringir el acceso pblico a las guas
telefnicas y listados de telfonos internos.
Almacenar los materiales peligrosos o combustibles en lugares seguros.
Almacenar los equipos redundantes y la informacin de resguardo (back
up) en un sitio seguro y distante del lugar de procesamiento.

Mantener el rea segura trabajo en reas seguras dar a conocer al

personal las reas protegidas slo si es necesario para el desarrollo de sus
funciones. Evitar la ejecucin de trabajos por parte de terceros sin
supervisin. Bloquear fsicamente e inspeccionar peridicamente las reas
protegidas desocupadas. Limitar el acceso al personal del servicio de
soporte externo a las reas protegidas se mantendr un registro de todos
los accesos de personas ajenas.
Mantener el rea segura trabajo en reas seguras pueden requerirse
barreras y permetros adicionales para controlar el acceso fsico entre reas
con diferentes requerimientos de seguridad. Impedir el ingreso de equipos
de computacin mvil, fotogrficos, de vdeo, audio o cualquier otro tipo de
equipamiento que registre informacin sin autorizacin. Prohibir comer,
beber y fumar dentro de las instalaciones de procesamiento de la
informacin.
Mantener el rea segura acceso a las reas de distribucin y recepcin de
carga limitar el acceso a las reas de depsito slo al personal autorizado.
La descarga de suministros se hace sin que el personal que realiza la
entrega acceda a otros sectores del edificio. Proteger todas las puertas
exteriores del depsito cuando se abre la puerta interna. Inspeccionar el
material entrante. Registrar el material entrante.
Componentes o acciones de la seguridad ambiental.
Seguridad ambiental: se refiere a los procedimientos existentes para
controlar que efectos ambientales perjudiquen el procesamiento, los
equipamientos y el personal.

Seguridad lgica:
Identificacin y autenticacin
Los sistemas de informacin (y software de base) dispondrn de mecanismos de
identificacin y autenticacin que prevengan los accesos no autorizados basados
en la existencia de un identificador relacionado de usuario y contrasea, o
mediante la utilizacin de certificado digital o algn otro mecanismo de proteccin
suficientemente probado, dado el estado de la tecnologa en cada momento y las
caractersticas de la informacin a proteger.
En el caso de sistemas de identificacin basados en usuario y contrasea,
la creacin de un nuevo usuario se realizar atendiendo al procedimiento
establecido y previa autorizacin del responsable competente. La
asignacin de contrasea inicial ser aleatoria y, en cualquier caso, preexpirada. Los sistemas permitirn asociar perodos de validez a los
identificadores de usuario de forma que fuera de ese rango de fechas el
sistema prevenga la autenticacin a travs de dicho identificador. Criterios
generales de seguridad del sistema.

Las contraseas de los usuarios generales (es decir, sin privilegios

especiales asociados a tareas de administracin) debern satisfacer, al
menos, los siguientes criterios:

* Calidad. La contrasea tendr, al menos, una longitud mnima. Adicionalmente,

deber evaluarse la posibilidad de exigir reglas adicionales de complejidad en
base al grado de madurez de los controles de seguridad implantados.

* Cambio peridico. Los usuarios debern cambiar peridicamente sus

contraseas (por ejemplo, cada tres meses). Existir un histrico de contraseas
que prevenga la re-utilizacin de la contrasea anterior.
En cualquier caso, los sistemas permitirn el cambio autnomo de contrasea por
parte de los usuarios aun cuando no sea como consecuencia del cambio peridico
previsto.
En cualquier caso, las contraseas se almacenarn en las aplicaciones y
sistemas, de forma encriptada.
Los usuarios con privilegios de administracin considerarn mecanismos
adicionales de seguridad y proteccin, en relacin a las claves, para prevenir
accesos no autorizados a travs de sus identificadores.
El sistema y su infraestructura tecnolgica soporte dispondrn de mecanismos
de bloqueo de los usuarios. En particular, considerando al menos lo siguiente:
* Bloqueo automtico por intentos reiterados de acceso fallidos.

* Bloqueo automtico asociado a intentos de acceso fuera del intervalo de

fechas de validez de un identificador de usuario.

* Bloqueo manual por parte del Administrador.

Control de acceso
Perfiles y roles. El acceso al sistema estar basado, habitualmente, en perfiles y
roles. Estos mecanismos determinarn, en base a las necesidades autorizadas de
los usuarios, dos aspectos fundamentales:

Las funcionalidades (de las previstas por el sistema de informacin) a las

que podrn acceder (con frecuencia basado en puntos de men)
Los datos a los que debern tener acceso. Para ello permitir, sin perjuicio
de las capacidades de bsqueda y explotacin de la informacin,
segmentar los usuarios secciones, etc. a las que estn adscritos.

Con relacin a las sustituciones, los sistemas de informacin tendern a

considerar el principio de herencia. En particular, se pretende que sea Criterios

generales de seguridad posible asociar (y revocar) a un sustituto los asuntos en

los que participara el sustituido.
Bloqueo por inactividad. Tras un perodo de inactividad (por ejemplo: 30 minutos)
se activar un mecanismo de bloqueo que evite la suplantacin del usuario en
momentos en los que su equipo no est atendido.
Con carcter general, los privilegios de administracin en los propios equipos de
los usuarios estarn restringidos. Es decir, se prevendr la instalacin de software
no autorizado en los equipos de los usuarios por parte de los mismos.
Registro de accesos
Los accesos a los expedientes o asuntos mantendrn un registro que incluya, al
menos, la identificacin del usuario, la fecha y hora en la que se realiz el, el tipo
de acceso y si ha sido autorizado o denegado.
Se definirn pistas de auditora y seguimiento de actividad en los sistemas
operativos y gestores de bases de datos. El seguimiento estar, especialmente,
orientado a las tareas de administracin del sistema. La configuracin del sistema
prevendr la eliminacin y/o desactivacin de estos
Redes y comunicaciones
La red en la que se ubiquen sistemas y a la que accedan los usuarios de los
sistemas de informacin al servicio de la Asociacin gape de El Salvador estar
protegida de accesos no autorizados.
El acceso a otras redes estar protegido a travs de cortafuegos (firewalls) u otro
tipo de mecanismos que aseguren en las comunicaciones a travs de las redes
locales un nivel de proteccin suficiente frente a las amenazas de terceros. Este
apartado tambin incluye la existencia y actualizacin peridica de mecanismos de
proteccin frente a virus u otros cdigos maliciosos. Los dispositivos de red (como
encaminadores routers -) tambin estarn adecuadamente protegidos. Criterios
generales de seguridad en el sistema.
La conectividad remota a travs de redes pblicas de datos estar
adecuadamente protegida, en lnea con las soluciones tecnolgicas de seguridad
existentes en cada momento.
Igualmente, la conectividad a travs de redes inalmbricas requerir la
configuracin (con los mecanismos actualmente disponibles o los que puedan
existir en el futuro) segura de la misma.

 La administracin de forma remota de los equipos y servidores, en caso de ser

necesaria, se realizar mediante canales seguros.
Ubicacin fsica de los servidores y equipos
La ubicacin fsica de los servidores y dispositivos de comunicaciones
(electrnica de red, firewalls,) prevendr el acceso no autorizado y se Criterios
generales de seguridad en el sistema, realizar atendiendo a un anlisis de
riesgos.
Formacin y concienciacin de usuarios
* Conocimiento del marco normativo en lo que sea relevante a la operativa
de los diferentes usuarios.

* Funciones y responsabilidades de los usuarios.

* Confidencialidad y privacidad de las contraseas (u otros mecanismos de

autenticacin) Criterios generales de seguridad.

* Criterios de conservacin y almacenamiento de los ficheros generados por

los usuarios (incluyendo la eliminacin de los ficheros temporales)

* Polticas de bloqueo de pantalla y puesto de trabajo despejado de papeles

y soportes con informacin sensible.

* Condiciones de trabajo fuera de las oficinas habituales.