Monday, March 27, 2006

PLAN DE CONTINGENCIA EN LOS CENTROS DE CÓMPUTO

INTRODUCCION


El presente trabajo, hace una breve introducción a la metodología práctica para el desarrollo de planes de contingencia en los centros de cómputo que comprende: la identificación de riesgos, Calificación de la probabilidad de que ocurra un riesgo, Evaluación del impacto en los procesos críticos y la creación de estrategias de contingencias.

Los Planes de Contingencias le permitirán mantener la continuidad de sus sistemas de información frente a eventos críticos, de su entidad y minimizar el impacto negativo sobre la misma, sus empleados y usuarios. Deben ser parte integral de su organización y servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una solución.

¿Qué es un Plan de Contingencia?

Podríamos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo.

Objetivos del Plan de Contingencia

• Garantizar la continuidad de las operaciones de los elementos críticos que componen los Sistemas de Información.

• Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un Sistema de Información.

Aspectos Generales de la Seguridad de la Información

La Seguridad Física

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un sistema de información de datos. Si se entiende la contingencia o proximidad de un daño como la definición de Riesgo de Fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación a la cronología del fallo.

Antes
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de el se puedan derivar. Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las personas hagan uso particular o profesional de entornos físicos.

• Ubicación del Centro de Procesamiento de Datos dentro del edificio.
• Sistemas contra Incendios.
• Control de accesos.
• Selección de personal.
• Seguridad de los medios.
• Medidas de protección.

Durante

Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperación del mismo.

Son puntos imprescindibles del plan de contingencia:

• Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas
• Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
• Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso.

Después

Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y corregido el fallo.

De la gama de seguros existentes, se pueden indicar los siguientes:

• Centros de proceso y equipamiento: se contrata la cobertura sobre el daño físico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en el.
• Reconstrucción de medios de software: cubre el daño producido sobre medios software tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad.
• Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente para compensar los costos de ejecución del plan de contingencia.
• Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las caídas de los medios informáticos o por la suspensión de las operaciones.
• Documentos y registros valiosos: Se contrata para obtener una compensación en el valor metálico real por la perdida o daño físico sobre documentos y registros valiosos no amparados por el seguro de reconstrucción de medios software.
• Errores y omisiones: proporciona protección legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione una pérdida
financiera a un cliente.
• Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o fraudulentos cometidos por empleados.
• Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados.
• Contratos con proveedores y de mantenimiento: proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, así como garantías de fabricación.


Fases de la Metodología para el Desarrollo de un Plan de Contingencia de los Centros de Computo

Debemos de tener presente que mucho dependerá de la infraestructura de la empresa y de los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, no existe un modelo único para todos, lo que se intenta es dar los puntos más importantes a tener en cuenta.

La metodología empleada para el desarrollo y aplicación del plan de contingencias de los sistemas de información, ha sido desarrollada por el INEI, en base a la experiencia lograda en el desarrollo de planes de contingencia para el problema del año 2000.

La presente metodología se podría resumir en ocho fases de la siguiente manera:

Planificación: preparación y aprobación de esfuerzos y costos.
• Identificación de riesgos: funciones y flujos del proceso de la empresa.
• Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.
• Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
• Documentación del proceso: Creación de un manual del proceso.
• Realización de pruebas: selección de casos soluciones que probablemente funcionen.
• Implementación: creación de las soluciones requeridas, documentación de los casos.
• Monitoreo: Probar nuevas soluciones o validar los casos.

Visión Práctica para realizar un Plan de Contingencia de los Sistemas de Información


PASOS PARA DESARROLLAR EL PLAN DE CONTINGENCIA DE LOS
CENTROS DE CÓMPUTO

ETAPA I: Análisis y Selección de las Operaciones Críticas

En esta etapa hay que definir cuales serán nuestras operaciones críticas y tienen que ser definidas en función a los componentes de los sistemas de información los cuales son: Datos, Aplicaciones, Tecnología Hardware y Software, instalaciones y personal.

ETAPA 2. Identificación de Procesos en Cada Operación

Para cada una de las operaciones críticas en la Etapa 1, se debe enumerar los procesos que tienen. Los responsables de desarrollar los planes de contingencia deben de coordinar en cooperación con el personal a cargo de las operaciones de los Sistemas Analizados, los cuales son conocedores de dichos procesos críticos. Se debe de investigar que recursos administrativos (equipamiento, herramientas, sistemas, etc.) son usados en cada proceso, se ha descrito y codificado cada recurso, como: sistema eléctrico, tarjetas, transporte, red de datos, PC's. A su vez también se ha determinado su nivel de riesgo, como críticos y no críticos.

ETAPA 3. Listar los Recursos Utilizados por las Operaciones

En esta etapa se identifica a los proveedores de los servicios y recursos usados, considerados críticos, para los procesos de cada operación en la Etapa 2.

ETAPA 4. Especificación de Escenarios en los Cuales Pueden Ocurrir los Problemas

En consideración de la condición de preparar medidas preventivas para cada recurso, se ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana, pequeña).

Se calculará y describirá el período que se pasará hasta la recuperación en caso de problemas, basados en información confirmada relacionada con los Sistemas de Información.

ETAPA 5 Determinar y Detallar las Medidas Preventivas

Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el uso y mantenimiento de los Sistemas de Información, cuando los problemas ocurran, considerando el entorno de problemas que suceden y el período de interrupción aceptable que se estima en la etapa 4. Si hay más de un conjunto de medidas preventivas para un recurso, se ha determinado cual se empleara, para tomar en consideración sus costos y efectos.

ETAPA 6. Formación y Funciones de los Grupos de Trabajo

Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde las acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de administración. Los Grupos de Trabajo permanecerán en operación cuando los problemas ocurran, para tratar de solucionarlos. Se elaborará un Organigrama de la estructura funcional de los Grupos de Trabajo.

ETAPA 7. Desarrollo de los Planes de Acción

Se estableció los días en los cuales los problemas son mas probables a ocurrir, incluyendo los sistemas de la institución, clientes, proveedores e infraestructura de la organización. Se señala los días anunciados, cuando los problemas pueden ocurrir y otros temas.

ETAPA 8. Preparación de la Lista de Personas y Organizaciones para Comunicarse en
Caso de Emergencia

Se creará un directorio telefónico del personal considerado esencial para la organización en esas fechas críticas, incluyendo el personal encargado de realizar medidas preventivas y los responsables para las acciones de la recuperación y preparación de medios alternativos.
A su vez también se creará un listado telefónico de todos los proveedores de servicio del recurso. Este directorio se usa para realizar comunicaciones rápidas con los proveedores de servicio del recurso, incluso con los fabricantes, vendedores o abastecedores de servicio contraídos, si ocurren los problemas, para hacer que investiguen y que identifiquen las causas de los problemas y que comiencen la recuperación de los sistemas

ETAPA 9. Pruebas y Monitoreo

En esta etapa hay que desarrollar la estrategia seleccionada, implantándose con todas las acciones previstas, sus procedimientos y generando una documentación del plan. Hay que tener en claro como pasamos de una situación normal a una alternativa, y de que forma retornamos a la situación normal. Hay situaciones en que debemos de contemplar la reconstrucción de un proceso determinado. Antes de realizar las pruebas, los planes deberían ser revisados y juzgados independientemente en lo que respecta a su eficacia y razonabilidad.

Prueba de Plan de Contingencia

Todos los planes de contingencia deben ser probados para demostrar su habilidad de mantener la continuidad de los procesos críticos de la empresa. Las pruebas se efectúan simultáneamente a través de múltiples departamentos, incluyendo entidades comerciales externas. Realizando pruebas se descubrirán elementos operacionales que requieren ajustes para asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes perfeccionen los planes preestablecidos.

Objetivos

El objetivo principal, es determinar si los planes de contingencia individuales son capaces de proporcionar el nivel deseado de apoyo a la sección o a los procesos críticos de la empresa, probando la efectividad de los procedimientos expuestos en el plan de contingencias.
• Las pruebas permiten efectuar una valoración detallada de los costos de operación en el momento de ocurrencia de una contingencia.


Procedimientos Recomendados para las Pruebas del Plan de Contingencias, Niveles de Prueba

Se recomiendan tres niveles de prueba:

• Pruebas en pequeñas unidades funcionales o divisiones.
• Pruebas en unidades departamentales
• Pruebas inter-departamentales o con otras instituciones externas.

La premisa es comenzar la prueba en las unidades funcionales más pequeñas, extendiendo el alcance a las unidades departamentales más grandes, para finalmente realizar las pruebas entre unidades inter-departamentales o con otras instituciones externas.

Métodos para Realizar Pruebas de Planes de Contingencia

Prueba Específica

Consiste en probar una sola actividad, entrenando al personal en una función especifica, basándose en los procedimientos estándar definidos en el Plan de Contingencias. De esta manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla.

Prueba de Escritorio

Implica el desarrollo de un plan de pruebas a través de un conjunto de preguntas típicas (ejercicios).

Características:

La discusión se basa en un formato preestablecido.
• Esta dirigido al equipo de recuperación de contingencias.
• Permite probar las habilidades gerenciales del personal que tiene una mayor responsabilidad

Simulación en Tiempo Real

Las pruebas de simulación real, en un departamento, una división, o una unidad funcional de la empresa esta dirigido una situación de contingencia por un período de tiempo definido.

• Las pruebas se hacen en tiempo real
• Es usado para probar partes específicas del plan
• Permite probar las habilidades coordinativas y de trabajo en equipo de los grupos asignados para afrontar contingencias.

Preparaciones Pre Prueba

Repasar los planes de contingencia seleccionados para probar.
• Verificar si se han asignado las respectivas responsabilidades.
• Verificar que el plan este aprobado por la alta dirección de la institución.
• Entrenar a todo el personal involucrado, incluyendo orientación completa de los objetivos del plan, roles, responsabilidades y la apreciación global del proceso.
• Establecer la fecha y la hora para la ejecución de la prueba.
• Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y distribuirlo antes de su ejecución.
• Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal esencial en los días de ejecución de dichas pruebas.

Comprobación de Plan de Contingencias

La prueba final debe ser una prueba integrada que involucre secciones múltiples e instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho, de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El siguiente diagrama de bloques representa los pasos necesarios, para la ejecución de las pruebas del plan de contingencias. La figura adjunta muestra los pasos necesarios para hacer la comprobación del Plan de Contingencias.

Mantenimiento de Plan de Contingencias y Revisiones

Las limitaciones y problemas observados durante las pruebas deben analizarse planteando alternativas y soluciones, las cuales serán actualizadas en el Plan de Contingencias.

CONCLUSION

Dependiendo del tamaño de la institución u organización se tendrá que realizar paralelamente un plan de contingencia por cada módulo del sistema de Información.

Adicionalmente al plan de contingencias se debe desarrollar pruebas para verificar la efectividad de las acciones en caso de la ocurrencia de los problemas y tener la seguridad de que se cuenta con un método seguro.No existe un plan único para todas las organizaciones, esto depende mucho de la capacidad de la infraestructura física como de las funciones que realiza en CPD (Centro de Procesamiento de Datos) mas conocido como Centro de Cómputo.