La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los
PLAN DE CONTINGENCIA
Es un programa de procedimientos alternativos a la forma de operar normal de su empresa. Esta herramienta le ayudará a que los procesos críticos de su empresa y organización continúen funcionando a pesar de una posible falla en los sistemas computarizados derivados del problema informático .
El plan de contingencia es parte integral de un proyecto de convención año 2000, no lo sustituye. La contingencia sólo es aplicable, por su propia naturaleza, por un período de tiempo corto y bajo condiciones de emergencia.
El que en su organización tenga un plan de contingencia no afecta su reputación o la de su equipo de trabajo abocado a las tareas de conversión con miras al año 2000. al contrario, la adopción de un plan de contingencia significa que su organización es provisora y que está cubriendo ante cualquier eventualidad informática.
El plan de contingencia es, por tanto, parte integral de un proyecto
La decisión de elaborar un plan de contingencia debe partir de este nivel directivo ya que está en juego la supervisión de la propia empresa u organización.
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.
El plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.
El plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. También debe expresar claramente:
Qué recursos materiales son necesarios.
Qué personas están implicadas en el cumplimiento del plan.
Cuales son las responsabilidades concretas de esas personas y su rol dentro del plan.
Qué protocolos de actuación deben seguir y cómo son.
¿POR QUÉ ES NECESARIO DESARROLLAR UN PLAN DE CONTINGENCIA?
Un proyecto de conversión informático le ayuda administrar el riesgo a la llegada del año 2000. en la medida que tenga un mejor proyecto Y2K, Usted minimiza el riesgo. Sin embargo ni aún el mejor proyecto Y2K posible, elimina totalmente el riesgo relacionado con la llegada del año 2000 debido a que el problema informático implica:
•Un gran número de impacto que no puede ser conocidos con anticipación.
•Muchos de esos impactos caen del control en su empresa u organización.
¿EN QUE CASO SE REQUIERE APLICAR UN PLAN DE CONTINGENCIA?
•Si falla alguno de sus sistemas críticos y/o si se contamina alguno de sus sistemas críticos con información no compatible proveniente del exterior.
- Si falla algún sistema de telecomunicaciones o enlace.
•Si falla alguno de sus proveedores informáticos clave.
•Si falla alguno de sus otros proveedores clave.
•Si falla algún servicio básico.
•Si se presentan fallas encadenadas y generalizadas
ETAPAS DE UN PLAN DE CONTINGENCIA
•Identificar las situaciones para las cuales es necesario planificar y priorizar de ser necesario.
•Considerar la posibilidad de agrupar dichas situaciones de modo de reducir el tiempo de planificación.
•Considerar los cursos de accion de factibles.
•Seleccionar el curso de acción más apropiado.
•Decidir el criterio a utilizar para determinar cuales acciones se tendrán en cuenta.
•Dividir las acciones en grupos.
•Acciones de prevención deben tener prioridad.
•Acciones de contingencia se ejecutan sólo si el evento ocurre.
•Acciones complementarias se ejecutan si no ocurren el evento.
•Si las situaciones de posibles causas de fallas son identificables, documentarlas. Puede ser mucho más difícil identificar cuando la crisis ocurre.
•En caso de identificar causas posibles de falla (Por ejemplo: el fenómeno del año 2000), considerar métodos para la identificación exacta del problema y las maneras de solucionarlo.
•Crear documentación para el personal que se responsabilizará
límites de su autorización.
FORMACIÓN DEL EQUIPO.
•Plan de Contigencia
•Director del área de informática
•Sub-director de procesamiento electrónicos de datos.
•Gerente de departamento
•Gerente de centro de cómputo
•Gerente de administración de información
•Gerente de programación
•Gerente de Cementación
•Auditores internos y externos de informática
•Gerente Soporte Técnico
•Operadores
PLAN DE CONTINGENCIA
Es un programa de procedimientos alternativos a la forma de operar normal de su empresa. Esta herramienta le ayudará a que los procesos críticos de su empresa y organización continúen funcionando a pesar de una posible falla en los sistemas computarizados derivados del problema informático .
El plan de contingencia es parte integral de un proyecto de convención año 2000, no lo sustituye. La contingencia sólo es aplicable, por su propia naturaleza, por un período de tiempo corto y bajo condiciones de emergencia.
El que en su organización tenga un plan de contingencia no afecta su reputación o la de su equipo de trabajo abocado a las tareas de conversión con miras al año 2000. al contrario, la adopción de un plan de contingencia significa que su organización es provisora y que está cubriendo ante cualquier eventualidad informática.
El plan de contingencia es, por tanto, parte integral de un proyecto
La decisión de elaborar un plan de contingencia debe partir de este nivel directivo ya que está en juego la supervisión de la propia empresa u organización.
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.
El plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.
El plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. También debe expresar claramente:
Qué recursos materiales son necesarios.
Qué personas están implicadas en el cumplimiento del plan.
Cuales son las responsabilidades concretas de esas personas y su rol dentro del plan.
Qué protocolos de actuación deben seguir y cómo son.
¿POR QUÉ ES NECESARIO DESARROLLAR UN PLAN DE CONTINGENCIA?
Un proyecto de conversión informático le ayuda administrar el riesgo a la llegada del año 2000. en la medida que tenga un mejor proyecto Y2K, Usted minimiza el riesgo. Sin embargo ni aún el mejor proyecto Y2K posible, elimina totalmente el riesgo relacionado con la llegada del año 2000 debido a que el problema informático implica:
•Un gran número de impacto que no puede ser conocidos con anticipación.
•Muchos de esos impactos caen del control en su empresa u organización.
¿EN QUE CASO SE REQUIERE APLICAR UN PLAN DE CONTINGENCIA?
•Si falla alguno de sus sistemas críticos y/o si se contamina alguno de sus sistemas críticos con información no compatible proveniente del exterior.
- Si falla algún sistema de telecomunicaciones o enlace.
•Si falla alguno de sus proveedores informáticos clave.
•Si falla alguno de sus otros proveedores clave.
•Si falla algún servicio básico.
•Si se presentan fallas encadenadas y generalizadas
ETAPAS DE UN PLAN DE CONTINGENCIA
•Identificar las situaciones para las cuales es necesario planificar y priorizar de ser necesario.
•Considerar la posibilidad de agrupar dichas situaciones de modo de reducir el tiempo de planificación.
•Considerar los cursos de accion de factibles.
•Seleccionar el curso de acción más apropiado.
•Decidir el criterio a utilizar para determinar cuales acciones se tendrán en cuenta.
•Dividir las acciones en grupos.
•Acciones de prevención deben tener prioridad.
•Acciones de contingencia se ejecutan sólo si el evento ocurre.
•Acciones complementarias se ejecutan si no ocurren el evento.
•Si las situaciones de posibles causas de fallas son identificables, documentarlas. Puede ser mucho más difícil identificar cuando la crisis ocurre.
•En caso de identificar causas posibles de falla (Por ejemplo: el fenómeno del año 2000), considerar métodos para la identificación exacta del problema y las maneras de solucionarlo.
•Crear documentación para el personal que se responsabilizará
límites de su autorización.
FORMACIÓN DEL EQUIPO.
•Plan de Contigencia
•Director del área de informática
•Sub-director de procesamiento electrónicos de datos.
•Gerente de departamento
•Gerente de centro de cómputo
•Gerente de administración de información
•Gerente de programación
•Gerente de Cementación
•Auditores internos y externos de informática
•Gerente Soporte Técnico
•Operadores
ELABORACIÓN DE UN PLAN DE CONTINGENCIA:
La orientación principal de un plan de contingencia es la continuidad de las operaciones de la empresa, no sólo de sus sistemas de información.
Su elaboración la podemos dividir en cuatro etapas:
1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.
5. Recuperación.
Las tres primeras hacen referencia al componente preventivo y las últimas a la ejecución del plan una vez ocurrido el siniestro.
Cada etapa esta dividida a su vez en subetapas que se detallan y explican en siguientes entregas.
HISPASECURITY
http://hispasecurity.com/
http://www.rediris.es/cert/doc/docu_rediris/recomendaciones/html/recomendaciones.html
No hay comentarios:
Publicar un comentario