plan de contingencia ejemplo
TRANSCRIPT
Administración de Centros de Computo Ing. Ana Mercedes Cáceres
UNIVERSIDAD DE SONSONATE
PLAN ELABORADO POR:
Castillo Moscoso, Carlos Israel
Escobar Rodríguez, Nelson Edwin
Tobar Castillo, Saúl Omar
Sonsonate, 18 de Mayo de 2012
FACULTAD DE INGENIERÍA Y CIENCIAS NATURALES
CARRERA: Ingeniería en Sistemas Computacionales.
PLAN DE CONTINGENCIA
ii
INDICE GENERAL
Nº PAG.
INDICE ii
RESUMEN EJECUTIVO iii
INTRODUCCION iv
PARTE I PLANIFICACION DEL PROYECTO 1
1.1 Definición del proyecto 1
1.2 Alcances y Limitantes 1
1.3 Objetivos 2
1.3.1 Objetivo General 2
1.3.2 Objetivos Específicos 2 1.4 Presupuesto 2
1.5 Cronograma de actividades 3 PARTE II EVALUACION DE ASPECTOS QUE PUEDAN
CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS
DATOS
4
2.1 Infraestructura 4
2.2 Documentación 4
2.3 Aplicaciones o Software 5
2.4 Bases de Datos 5
2.5 Área física 5
PARTE III ANALISIS DE RIESGOS Y MEDIDAS 6
3.1 Análisis de riesgos 6
3.1.1 Bienes susceptibles a daños 6
3.2 Clasificación de riesgos que pueden suscitarse 7
3.3 Recursos a utilizar en situaciones criticas 7
3.4 Medidas preventivas y correctivas en caso de siniestro en contra de
los recursos tecnológicos
8
3.5 Instrumentos o herramientas de apoyo 9
3.6 Novedades y aspectos de impacto 10
PARTE IV INNOVACIONES 11
4.1 Propuesta de innovaciones 11
4.2 Importancia de aplicar el estándar ISO 27002 12
PARTE V CONCLUSIONES Y RECOMENDACIONES 13
5.1 Conclusiones 13
5.2 Recomendaciones 14
iii
RESUMEN EJECUTIVO
El presente PLAN DE CONTINGENCIA, muestra una evaluación de los aspectos
que pueden constituirse en amenaza a la seguridad de la información, un análisis
detallado de los riesgos y medidas preventivas y correctivas que deben de
seguirse para mitigarlos en la Universidad de Sonsonate para el año 2012.
Mediante la aplicación de este plan se pretende mitigar los riesgos relacionados
con la seguridad de la información y adicionalmente servir de apoyo en el
desarrollo de procesos y actividades de la institución. El Plan de Seguridad antes
definidos a este plan el presupuesto obedece y es congruente con el contenido de
este, en el cual están debidamente organizadas y fundamentadas las propuestas
de innovación para mantener la integridad en la información de la Universidad.
El Plan de Contingencia incluye los siguientes puntos que son de vital importancia
para desarrollarse exitosamente:
- Planificación del proyecto, para definir puntualmente de lo que se trata y lo
que se pretende alcanzar mediante la aplicación, para ello se fija un
horizonte para saber hacia donde se dirige y una citación de lo que se
invierte para el desarrollo del plan.
- Una evaluación de los aspectos críticos que vulneran la seguridad de los
datos generados en la Universidad tales como de infraestructura, de
documentación, de aplicaciones, de bases de datos en las que se almacena
la información y del área física.
- Análisis de riesgos, que se pueden suscitar con la aplicación las medidas
preventivas y correctivas que propone este plan.
En la documentación se han propuesto medidas e innovaciones que deben de
seguirse para lograr los resultados ofrecidos, las cuales se han analizado y
evaluado para garantizar que los objetivos planteados son alcanzables con el
presupuesto disponible y se reflejara mediante los beneficios adquiridos, de
esta forma se recupera la inversión efectuada en la ejecución de este plan de
contingencia.
iv
INTRODUCCIÓN.
La investigación para la elaboración del plan de contingencia se desarrollo con el
apoyo incondicional de La Universidad de Sonsonate “USO”, Obteniendo como
resultado información veraz en el que se sustenta este plan para proponer
medidas para suscitar los riesgos que amenazan la seguridad de la información.
Es de gran importancia contar con un plan de contingencia que sirva de guía para
reducir los riesgos a gran medida en el centro de trabajo, además para conocer
con precisión y exactitud cuáles son las funciones que deben desempeñar como
colaboradores en cuanto al resguardo y seguridad de la información.
Para estar preparados para solventar problemáticas que existe la posibilidad de
que esto sucedan pero de manera improvista es necesario presentar la
planificación en donde se detalla el propósito o las razones por las que se
requiere mejorar, el resultado esperado de la realización de la misma, así como
los recursos que se van a utilizar como el tiempo la tecnología, el transporte,
disponibilidad financiera, entre otros que son de vital importancia en toda
planeación porque a partir de ello se definen los logros alcanzables. Una
evaluación critica de aquellos aspectos que puedan convertirse en determinado
momento una amenaza para información dela institución. Se describen los riesgos
y medidas que deben de seguirse para solventar o reducir el riesgo.
Es necesario innovar según el aparecimiento de nuevas tecnologías para
mantener y garantizar la seguridad de la información y de esta forma prestar
mejores servicios a la comunidad estudiantil, para esto se puede beneficiar
rigiéndose bajo normas como la ISO 27002 que propone diferentes formas para la
seguridad de la información.
1
PARTE I PLANIFICACION DEL PROYECTO
1.1 DEFINICIÓN DEL PROYECTO
Este plan tiene como finalidad presentar diversos mecanismos para la prevención
de los recursos a través de la identificación de las necesidades como de las
posibilidades de respaldo mediante un conjunto de medidas que están destinadas
a proteger la información contra los diversos daños producidos por sucesos
naturales o por el personal que labora dentro de la institución.
Esto se ejecuta para asegurar la continuidad de las tareas dentro de la institución
y por ende la productividad y eficiencia en los servicios que se ofrecen a pesar que
ciertos procesos pueden estar en un estado crítico mediante un lapso de tiempo
antes de que se efectuara el cambio de algún dispositivo o la reparación de dicho
incidente.
1.2 ALCANCES Y LIMITANTES
1.2.1 ALCANCES
El plan de contingencia cubre los distintos incidentes que pueden llegar a ocurrir
en las actividades de la institución mediante una serie de políticas que ayuden a
reducir el consumo de recursos que son mal empleados en los procesos críticos
que se presentan, así como la protección y el respaldo en la información delicada
que la institución maneja para mantener la eficiencia en cada una de sus tareas.
1.2.2 LIMITANTES
El plan de contingencia cuenta con las siguientes limitantes:
El presupuesto aprobado para el plan puede ser insuficiente para su
realización e implementación.
El tiempo requerido para el desarrollo de cada actividad presentada en el
cronograma puede prolongarse debido a factores externos que no pueden ser
controlados o por falta de equipo a la hora de realizar dicha actividad.
2
1.3 OBJETIVOS
1.3.1 OBJETIVO GENERAL
Fomentar un mecanismo de prevención, inspección y respuesta ante diversos
incidentes que pueden afectar la ejecución de las actividades de la institución con
el propósito de mantener la eficiencia y productividad en los momentos críticos.
1.3.2 OBJETIVOS ESPECÍFICOS
Definir Políticas que promuevan el buen uso de cada herramienta utilizada en
las diversas tareas que realiza la institución.
Minimizar el impacto de los incidentes en la institución impulsando medidas
de prevención y corrección en las actividades que se vean afectadas.
Proteger la Información delicada de cualquier siniestro mediante el uso de
tecnologías adecuadas
Proporcionar al personal reglamentos para asegurar su seguridad como de
los dispositivos de la institución en caso de que surja un siniestro.
1.4 PRESUPUESTO
Nº HERRAMIENTAS PRECIO C/U TOTAL
1 Servidor DELL $ 2,599.00 $ 2,599.00
8 Extintores $ 40.00 $ 320.00
4 Discos Duros Extraíbles de 1 TB $ 270.00 $ 1,080.00
1 Aire Acondicionado LG $ 980.00 $ 980.00
2 Firewall CISCO $ 375.00 $ 750.00
4 Licencia Smart Security $ 50.00 $ 200.00
TOTAL $ 5,929.00
3
Nº SERVICIOS TARIFA TIPO DE
SERVICIO SERVICIO ANUAL
1 Servicio de Cloud Computing $ 45.00 Mensual $ 540.00
1 Servicio de Mantenimiento $ 175.00 Mensual $ 2,100.00
1 Servicio de Análisis de
Riesgos $ 500.00 Trimestral $ 2,000.00
TOTAL $ 4,640.00
1.5 CRONOGRAMA DE ACTIVIDADES
N° ACTIVIDADES TIEMPO
I Trimestre
II Trimestre
III Trimestre
IV trimestre
1 Planificar Medidas Preventivas y Correctivas
2 Definir Posibles Riesgos
3 Análisis y valoración de riesgos.
4 Establecimiento de requerimientos de recuperación
5 Documentación del Plan
6 Ejecución de medidas preventivas y Correctivas
7 Pruebas
8 Mantenimiento
9 Evaluar Resultados
10 Retroalimentación del Plan
DESCRIPCION GENERAL MONTO
Herramientas $ 5,929.00
Servicios $ 4,640.00
TOTAL $ 10,569.00
4
PARTE II EVALUACION DE ASPECTOS QUE PUEDAN
CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS
DATOS
2.1 INFRAESTRUCTURA
En cuanto a la infraestructura se puede contar con la seguridad de los datos
pero también a su vez esta infraestructura puede llegar a constituir una
amenaza ya que dentro de una infraestructura tenemos la información de los
datos con los que cuenta la Universidad de Sonsonate pero esta a su vez se
puede volver una amenaza porque una infraestructura puede contar con:
Incendios, Sismos e Inundaciones que en su momento se mencionaron en el
Plan de Seguridad Informática.
Es bien importante destacar que una infraestructura por muy bien construida
que se encuentre siempre esta propensa a tener cualquier tipo de riesgo o
también propensa a tener amenazas.
2.2 DOCUMENTACIÓN
Si bien es cierto que estos aspectos tienen que tener una gran seguridad
porque es la información con la que cuenta la Universidad también se convierte
en amenaza latente ya que al no contar con la seguridad adecuada cualquier
persona ajena a la Universidad puede adquirir la información o los datos de la
institución e incluso también los mismos alumnos pueden manipular los datos
con el fin de hacer fraude en cuanto a sus notas, para hacerle el mal a otro y
ayudarse el mismo.
5
2.3 APLICACIONES O SOFTWARE
En cuanto a las aplicaciones o software se pueden tener varias amenazas que
siempre están relacionadas con la documentación con el hurto de información
en base a aplicaciones que son utilizados e incluso con los mismos estudiantes
de la Universidad a pesar de contar con programas que sirven como seguridad
que fueron mencionados en el plan de seguridad como antivirus, antispam
entre otros pero siempre los estudiantes esta buscado maneras que puedan
violentar estos programas con los que cuenta la Universidad
2.4 BASES DE DATOS
Como se ha mencionado en los incisos anteriores la seguridad es muy
importante aun mas en las bases de datos que tiene la Universidad pero este
aspecto no esta exento de ser una amenaza este puede ser vulnerable si no se
cuenta con la seguridad adecuada contar con copias de seguridad, respaldo en
otros servidores alojamiento en internet de las bases de datos e incluso en
otros servidores de la Universidad pero que estén en otra ubicación geográfica.
2.5 ÁREA FÍSICA
Es de suma importancia mencionar el área en donde se encuentran los
equipos de computo porque como se mencionaron en el plan de seguridad
cuenta con extintores en cada aula que cuenta con computadoras los
servidores en una altura considerada para que no se puedan mojar pero con
esto no quiere decir que esta exento de algún riesgo es importante tomar
varias medidas mas cuando se trata de la área física porque una mala
ubicación en un servidor puede ser decisivo.
6
PARTE III ANALISIS DE RIESGOS Y MEDIDAS
3.1 ANÁLISIS DE RIESGOS
Si se desea realizar un análisis de los riegos, se debe procede a identificar
cuales pueden ser los equipos o servidores que tienen que tener una gran
importancia para la Universidad de Sonsonate, proteger aquellos equipos que
se consideran que son y tienen los datos mas importantes considerar también
los equipos que sus precios son muy elevados, tomar en cuenta todas las
precauciones y tomar las medida de seguridad empleadas en el plan de
seguridad para poder alunar los daños que puedan sufrir los equipos pero si no
se pueden anular por lo menos es necesario tratar de minimizar los riesgo lo
mas que se pueda. Si en caso de que los riesgo persistan se puede crear un
plan de emergencia para hacer posible que los riesgos se minimicen en gran
medida.
3.1.1 BIENES SUSCEPTIBLES A DAÑOS
Estos bienes ya se tocaron en el plan de seguridad por lo tanto solo se procede
a mencionarlos estos bienes, Se identifican los siguientes bienes propensos a
riesgos:
a) Personal
b) Hardware, Software y utilitarios
d) Datos e información
e) Documentación
f) Suministro de energía eléctrica
g) Suministro de telecomunicaciones
7
3.2 CLASIFICACIÓN DE RIESGOS QUE PUEDEN SUSCITARSE
El objetivo de clasificar los riesgo radicar en las amenazas con las que
contamos en la imagen siguiente muestra un detalle de como se puede
presentar los riegos alto y bajos. Estos riesgos pueden ser bajos si tenemos la
capacidad de contra restarlos y esto pueden ser altos si no contamos con la
capacidad necesaria.
Estos se encuentran en los riesgos altos debido a que son los más comunes y
propensos a que pasen:
Desastres Naturales
Fallas de Hardware
Acceso no Autorizado
El Personal
Incendios
Riegos bajos
Equipo en mal estado
Se daño un proyector
No pueden imprimir
La impresora no funciona
3.3 RECURSOS A UTILIZAR EN SITUACIONES CRÍTICAS
Entre los recursos que se pueden utilizar tenemos:
Extintores
Programas para copias de respaldos de los datos de la Institución
Tener Servidores en otro lugar que estén replicando la información
Utilizar Discos Duros Extraíbles donde se encuentre copias de
Seguridad
Pagar servicios en la nube para tener la información disponible en
cualquier momento
8
3.4 MEDIDAS PREVENTIVAS Y CORRECTIVAS EN CASO DE SINIESTRO
EN CONTRA DE LOS RECURSOS TECNOLÓGICOS
Una de las medidas más importantes el Control de Accesos tiene que haber
medidas efectivas del filtrado de usuarios para el control de acceso de ellos:
Acceso físico a personas ajenas al puesto.
Acceso a la Red de las computadoras y servidores con los que se
cuenta.
Acceso restringido a los archivos de programas e instalación de
programas.
Copias de respaldos son los importantes también con el fin de mantener
la integridad de los datos.
Mantener siempre en lugares seguros los datos haciendo énfasis en la
prevención de los desastres naturales, porque tanto puede entrar una
persona ajena a la institución como un mismo empleado y podría hacer
fraude de lo datos, así como también mantenerlos a salvo contra
incendios, contra la humedad, contra usuarios mal intencionados y
contra virus o programas maliciosos o sospechosos
Crear un Plan de Recuperación
Hacer uso de las políticas de seguridad para poder respaldar las
aplicaciones y datos.
Planificar un plan para aumentar las horas laborares en casos de
emergencias de riesgos, y poner en marcha el plan de emergencia si se
tiene uno de ellos
Poner en ejecución los planes que se han creado tanto los de seguridad,
de contingencia, de emergencia y otros.
Realizar pruebas pilotos de los planes que se esta realizando por lo
menos una vez al año
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido".
9
3.5 INSTRUMENTOS O HERRAMIENTAS DE APOYO
Instrumentos
Firewalls: Permiten bloquear o filtrar el acceso entre 2 redes.
Listas de Accesos: Fomenta la separación de privilegios entre usuarios.
Dispositivos de control de puertos: Autorizan el acceso a un puerto
determinado del computador.
Autentificación basada en Host: Proporciona el acceso según la identificación
del host
Sistemas para la prevención de Incendios e Inundaciones: detectores de
agua, extintores etc.
Herramientas
Wrappers: Sistema que se usa para filtrar el acceso de red al personal.
Detección de Intrusos en Tiempo Real: Consiste en detectar actividades
inapropiadas desde el exterior o interior de un sistema informático.
Cifradores: Permite que la información que se maneja se encripte para
mantener su seguridad.
Red Privada Virtual (VPN): Son utilizadas para el envió de información de una
forma más segura reduciendo así los costos.
Normas de Confidencialidad: Se utilizan para mantener la información segura
mediante una serie de reglas.
Software de análisis de vulnerabilidad: Se utilizan para la realización de
auditorías para la eficiencia de los diversos procesos.
Normas de Asignación de cuentas: Se utilizan para mantener la seguridad y
eficiencia dentro de la institución.
Tunning: finar la configuración de hardware y software para optimizar su
rendimiento.
Sistemas de Antivirus: se encargan de la seguridad contra amenazas que
pueden afectar a la institución seriamente.
10
3.6 NOVEDADES Y ASPECTOS DE IMPACTO
A medida que las empresas se han vuelto cada vez más dependientes de las
computadoras y las redes para manejar sus actividades, la disponibilidad de los
sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las
empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso
de un nivel continuo de disponibilidad ya que les resultaría extremadamente
difícil funcionar sin los recursos informáticos.
Debido a eso ha surgido la necesidad de asegurar dichos dispositivos como la
información que contienen ante desastres naturales como otras amenazas.
Es así que surge como un impacto positivo la seguridad informática viniendo a
suplir las necesidades de protección de los instrumentos y herramientas
necesarias para el funcionamiento de la empresa ante situaciones críticas.
En la actualidad un tema que ha dado mucho que hablar es la computación en
las nubes donde se pretende alojar la información en servidores externos para
protegerlos en caso de cualquier siniestro, aunque es una muy buena opción la
mayoría de empresas desconfían en que otra empresa contenga información
muy delicada de sus actividades.
Otras tecnologías que han venido a facilitar la prevención es la seguridad a
través de huellas dactilares, firmas digitales entre otros. Las políticas y
Reglamentos así como los estándares han venido a proporcionar a las empresas
senderos por donde guiarse uno de los estándares más conocidos son el ISO
27001 y 27002 donde se detalla la forma en que debe de actuar y funcionar las
diferentes empresas para mantener la eficiencia y productividad en sus
actividades diarias.
Se podría decir que la seguridad y prevención de los siniestros siempre ocurrirán
ganando más fuerza día a día es así que toda empresa debe de mantener un
nivel de seguridad como de prevención continua para cualquier amenaza.
11
PARTE IV INNOVACIONES
4.1 PROPUESTA DE INNOVACIONES
Mediante la investigación del plan de contingencia en la Universidad de
Sonsonate se encontraron ciertos aspectos necesarios de innovación en
cuanto a reducir los riesgos en la seguridad de la información. Por esto una
de las innovaciones más importantes que se propone es asignar un
responsable de mitigación de riesgos para mejorar la seguridad y crear
políticas de seguridad entre los usuarios y plantear alternativas novedosas,
que potencien la seguridad en la información.
Es evidente que a pesar de algunos progresos positivos, la relación entre
seguridad e innovación es todavía muy tensa. La realidad es que la
innovación y la seguridad no necesitan competir como prioridades, sino son
complementarias ante un enfoque de gestión de riesgo. Ante esta situación
se deben aplicar los métodos y políticas de evaluación del riesgo en la
seguridad de la información.
En la mayor parte los riesgos a los que se enfrenta la Universidad de
Sonsonate es que se altere la información por ello es necesario tomar en
cuenta los siguientes aspectos de innovación:
1. Utilizar instrumentos o herramientas de apoyo a la seguridad
actualizadas y con el mayor potencial para mitigar riesgos.
2. Atender a una certificación con los estándares de calidad como el 27002
que garanticen la seguridad.
3. Construir un modelo de mitigación de riesgo para delinear donde y en
quien reside la responsabilidad de la toma de decisiones en cuanto al
riesgo.
12
4.2 IMPORTANCIA DE APLICAR EL ESTANDAR ISO 27002
La importancia de aplicar la ISO 27002 es tomar las buenas prácticas de
seguridad de la información que presenta una extensa serie de controles de
seguridad, además aplicar las funcionalidades que ofrece a la institución en
cuanto a la seguridad de la información que maneja así también considera los
riesgos organizacionales, operacionales y físicos, con todo lo que esto implica,
por estas razones se considera de importancia el estándar ISO 27002.
Permite establecer una metodología de gestión de la seguridad clara y
estructurada.
Reduce los riesgos de pérdida, robo o corrupción de información.
El personal administrativo tiene acceso a la información a través
medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistema y las áreas a mejorar.
Permite continuar las operaciones necesarias tras incidentes de
gravedad.
Conformidad con la legislación vigente sobre información personal,
propiedad intelectual y otras.
Mantener o mejorar la imagen de la institución y así mantenerse entre la
competencia
Confianza y reglas claras para las personas de la institución.
Reducción de costos y mejora de los procesos y servicio a la comunidad
estudiantil.
Garantiza que la información se encuentre integra, disponible en
cualquier momento.
13
PARTE V CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Este plan de contingencia ha presentado la importancia que tiene realizar
una evaluación acerca de los aspectos críticos que pueden constituirse en
amenazas a la seguridad de información, desde el ámbito de seguridad
física y la seguridad lógica esto es referente a las aplicaciones que sirven
de herramienta para desarrollar las actividades en la institución, en cuanto a
lo físico se refiere a las instalaciones en las áreas de trabajo e
infraestructura. Se analizaron las condiciones actuales de la institución en
cuanto a la preparación que se tiene para responder ante una problemática
improvista, para proponer mejoras en la mitigación de riesgos en el menor
tiempo posible y sin detener las operaciones y actividades que la
Universidad ejecuta.
Se mencionaron los riesgos a los que se ve expuestos la Universidad de
Sonsonate, los factores, elementos y condiciones que intervienen en la
seguridad informática con el fin de valorarlos y tomarse en cuenta para
prevenirse de sabotajes en la información. Se proponen medidas
preventivas y correctivas en caso de los siniestros en contra de los recursos
de tecnologías para que la Universidad de Sonsonate se apoye de estas
medidas y las aplique en el desarrollo de las actividades. Las políticas de
seguridad ayudan al manejo de situaciones de riesgos, mantiene una
normativa que deben de cumplir los usuarios. Se dio a conocer la
importancia que tiene el estar certificado mediante el estándar ISO 27002.
Aunque al parecer podrían considerar que apegarse a este tipo de
estándares es en cierta forma difícil e incurre inversiones, pero en realidad
resulta mucho más caro sufrir las consecuencias que suele traer la falta de
seguridad en un importante sistema de información como el de los activos
de la institución y el registro académico.
14
5.2 RECOMENDACIONES
Se debe de proporcionar el presupuesto adecuado para la prevención y
seguridad de la infraestructura e información ya que si no se poseen los
instrumentos y herramientas necesarias la pérdidas podrían ser mayores al
presupuesto estipulado.
Se debe de analizar los riesgos de una forma periódica para mejorar o
incorporar nuevas tecnologías si es necesario.
Desarrollar las políticas de prevención y seguridad comunicándolas al
personal involucrado en cada tarea de la institución.
Fortalecer los conocimientos de todo el personal, con cursos de formación y
capacitación en el área de seguridad de la información y de prevención de
riesgos.
Monitorear que el plan de contingencia se desarrolle de la mejor forma
posible respetando los requerimientos y los procesos para su continuidad y
por ende para el mejor desarrollo de la institución en sus diversas
actividades.
Obtener una certificación con el estándar ISO 27002 para mejorar la
seguridad en la información.