zuIA PARA LA II#LE]'IEHTACIÍürI D€ I.HII PLAITI DE CfI{TIIiIffiTEIAS
EN Uil A}IBIENTE DE PRÍICESAilIENTO DE DATOS
Jtr,IES DIAZ HIT{CAPIE>)
LUZ AIDEE GARAY VICTORIA
CALI
CÍIRPORACION UNIVERSITARIA tr.JTf]ñf,T,Iñ I'E (ECII'ENTE
FACI-I.TAD IE I]SENIERIAS
PRf}ffiAHA DE IHruATRIAL
1989
:J\ja
I
IJ¡
\I
,q\\f
N
| \)I- -
\
¡..,
.)
.!U)---^
eÑ\:\
III
-)
.t
LA6UIA PffiA
EN
I}E
I}ELf,rl
I}IPLEI.TENTACIÍIIII DE T'N PLAIII
AI.IBIENTE I}E PROCESAI{IENTO
JAI.IES DIAZ HITTICAPIE!l
LUZ AYI}EE G¡ARAY VICTORIA
CONT¡I€EI{CIAE¡
DATfIS
(rí\
:
a'\
l\
,\\
TrabaJo de Grado presentadocoso rcquisitc¡ pare opteral titulo de IngenierosIndustriales-
Director: EDGAR Vfl-DES
f ql e,SiYcillocnrv' ilil[!ililu||llltrllluluullil
trORPORACION TJNIVERSITARIA AIJTOIüT#I DE ÍECIDENTE
FACTJLTAD DE INENIERIAS
PRTERAI.IA DE INDUSTRItr.
1989
J:
Ii_a
I)t
n
" /-¡
,vt,
Nota de aceptación
Aprobado por el conité deTrabajo de Grado en curnplimientode loe requisitt:s exigidos porla Corporación UnivergitarieAlrtónoma dq Occidente para optarpor el ty'ltutp {* _ -.IngenierosIndurstri*/dc. l/ l{-l/ | ,,/ | t,ll /l-Y ll ./vttuI ).14t. lt. .{Y.//./tn tvvv II .,g- llt trr rt\l f q- I
Fresidente
Jurado \+{\u¡r\uDJurado \ \
Cali. Noviernbre 13 de lgBg
ii
DEDICATCIRIA
A mis padres y hermanosr por ru estfmulo y confianza.
Luz Aidee.
Nada más lindo qure agradecer¡ y ante esto: mi madre y minovia gcrn partfcipes de egte logro.
Jameg.
xll'
AERADEC I f'I I ENTOS
AI ingenlero Edgar Valdés¡ For su valiogo aporte en laorientación de este trabajo.
1V
TABLA DE CONTENIDO
INTRCIDUCCION
1. DEFINICION
?. OBJETIVOS
?.1 OBJETIVOS GENERALES
2,? OBJETIVOS ESPECIFICCIS
3. CREACION DEL EGIUIPO DE TRABAJO
3.1 COORDINADOR DEL FROYECTO
5. 2 AUDI TOFIIA INTERNA
3.3 CONSULTOR EXTERNO
3.4 PERSONAL DE SISTEI',IAS
5.5 USUARIOS
3.6 F'ERSONAL DE ADHINISTRACION
4. ANALISIg PRELIHINAR
4.L SE6URIDAD FISICA
4.1,1 Ubicación
4. 1.2 Construcción
páq.
1
.5
4
4
4
7
B
LQ
10
11
L2
12
L4
L4
L4
15
PáS.
4.1.3 Rieagos naturales
4.L.4 PocibilidadeE de incendio
4.1.5 Disturbios pr_'rbl icos
4.1.6 Controleg ffsicos
4.1.6.1 Controles de temperatura y hr-tmedad
4.1.ó,3 Sigtema de aire acondicionado
4.1.ó,3 Sistema de alarma y detección de fuego
4.L.6.4 Controles elÉctricos
4, 1 . ó. 5 Controleg de seguridad y acceso f isico4. 1.6.ó Almacenarniento de rnedios magnÉticos
4 , L .6 .7 Eqr-ri po
4.? AFIBIENTE DEL FERSCINAL
4 .7.1 Aná l isis de carq¡og
4.?.: Polfticas de personal
4,t,3 Ambiente laboral
4.3 REVI5ION DE FLANES. CONTROLÉS Y PROCEDIMIENTOSEX ISTENTES
4.3.1 Frocedimientos operacionales
4.3.1,1 Planificación y orgenización
4.3.1.2 Administrativos
4.3.1.?.1 Acceso
4,f,.? l"lantenimiento
4.3,3 Desarrol 1o de sigternas
15
16
L6
1ó
1ó
L7
L7
18
L9
20
22
23
23
25
25
26
?7
27
28
?B
30
30
v¡-
pá9.
4,4 ANALI5I5 DE LAS APLICACIONES Y CLASIFICACIONSEGUN FACTORES DE CRITICIDAD
4.4.1 Atributos del prc:ceso
4.4,1,1 Nombre del procego
4.4.1.2 Descripción del proce6o
4.4.1,3 Caracterfsticae de las actividades elspe-clficas
4.4,1.3.1 TÍpos de actÍvidad especJ.fica
4.4.1 .1.2 Frecurencia
4.4,1 .3.3 Vollrmen de transacciones
4.4.1.4 Sengibitidad de Ia interrupción
4.4.1.4.1 Oportunidad
4.4 .1 ,4, ? Dnración
4.4.2 Prioridad de Ia información y clasificeciónde Ia situación critica
4.4,2. I Frioridad I
4,4 "?.7 Frioridad 2
4.4.2.3 Prioridad 3
4.4,2.4 Prioridad 4
4.4.2,5 Prioridad 5
4.4.3 Comentarios
4.5 IDENTIFICACION DE LOs RECUR5CI5 REG¡UERIDOS PARAFROCESAR LAS APLICACIONES
4.5, I Instalaciones-Hardware
4.5.? Personal clave
.31
31
52
T.?
32
32
34
34
34
34
s5
'q ¡i
i636
37
38
3B
38
4ü
40
40
VII
trág'
4. 5,3 Calendarios de proc€lsarniento 42
4.5.4 l'laterial requerido por aplicación y r_rbicación 43
4. 5. 5 Docurnentación 43
4.5.5.1 Hanual de la aplicación 45
4. 5.5,2 f"lanual de operación 45
4. 5, 5..5 l"lanual de programación 45
4.5,5.4 Manual del usuario 46
4.6 ANALISIS DE RIE56O5 Y AFIENAZAS 46
4.6.1 Degcripción de riesgos y ernelnazes 4A
4.ó.1.1 Ocasionados por el hombre 48
4,6.1.? Riesgos no ocagionados por el hombre 50
4.6.2 Tipos de contingencias 5l
4,6.2.1 Destrncción total de Ies instalaciones delsisterna de información
4.6.2.2 Falla en eI equripo o hardware (Daffoparcial )
4.6,2,3 Dafio en las unidades de alrnacenarnientopÉrdida o alteración de 1a información
4.6,2.4 Falla técnica goftware operacional
4,6,3 Criticidad y probabilidad de riesgos
4.á,4 Valoración de riesgos
4.7 DEFINIEION DE ESTRATEGIAS PARA INSTALACIONESY I",IEDICIS DE RESPALDO
4.7.1 Instalacioneg de soporte
4.7.2 Contratos con terceros
5?
52
52
53
Ei?
56
5B
5E
5B
vilÍ
4.7 .::, Pó I izas de seguros
4.7.4 Sistemag de backup
4.7 -4. L l'lovi I i¡ación de backurp
4.7,4.2 Hétodos de generación de backup
4.7.4.7,1 l{étodo de generación de archivog(abueIo. padre. hijo)
4,7 .4.7,1 Método descargure de archivos
4.7 .4,2.3 Archivog dupl icados
4,7.3 Procedimientos manuales de soporte
5. PLAN DE EHERGENCIA
5,1 DEFINItrION Y RECONOCIMIENTO DE UN CASO DEEMERGENCIA
5 . 2 ACC I ONES DE ET4ERGENC I A
5. ?.1 Procedirnientos durante 1a emergencia
5.?.2 Procedirnientcrs posteriores e Ia emergencia
5,2.?,1 Reporte de 1a emergencia
5.2.2.1,1 Degcripción de la emergencia
5.2.2.f.2 Efectog de Ia contingencia
5.2.3 Cornunicación
ó. PLAN DE RESPALDO
6.1 REC¡UERIMIENTOS FARA OFERAR EN HODO DE
pá9.
5?
ó1
62
é3
ó3
ó3pá9.
63
64
ó5
66
67
67
áa
69
é9
6?
7A
73
RESPALDO 74
6.? PROCEDIMIENTOS DE SEGURIDAD AL OPERAR EN HCIDODE RESFALDO 7*5
Univcrsídod Aufongmg de 0ccidcnt¡
ix
pá9.
7. PLAN DE RECUPERACICIN
7.L APLICACION DEL FLAN DE RECUPERACION
7.2 COHITE DE RECUPERACION
7.3 PROCHDIMIENTOS DE RECUPERACION
A. EJECUCION Y F'RUEBAS DEL PLAN
8.1 RECOMENDACIONES
9. ACTUALIZACION Y AUDITORIA AL PLAN
9.1 RECCIMENDACIONES
10. coNcLUsIoN
B I BL I O6RAF IA
ANEXOS
76
76
77
77
79
7q
83
B3
86
B€l
89
TABLA
TABLA
TABLA
TABLA
TABLA
TABLA
].
3,
3
4.
5,
á.
LISTA DE TABLAS
Listado de aplicacisneg criticas
Atributoe de loe procesos
Clasificación de lae aplicaciones
Necegidadee de eqr-ripo pera cadaproceco crftico
Fersonal de sistemae y nivel deconocimiento pc:r aplicación
llateria 1 requerido por ap I icación yubicación
Estado de rnanuales por aplicación
Amenazas strbre los recurÉos y s;usconsecuencias potenciales segúnhleights & Asociados
criticidad ,/ probabi I idad deriesgos
Matrí¡ de riesgo-irnpacto
pá9.
31
53
39
4L
42
44
44TAzuA 7 .
TABLA €I.
TABLA 9.
TABLA 1C}.
los
4B
55
37
XI
F I6URA
FI6URA
F I GURA
FIGURA
1.
n
3.
4.
LISTA DE F I 6URAS
Estructura equipo de trabajo
Organigrama departamento de Sisternas
Vulnerabilidad en recursos del pED
Diagrama de utn plan de acción
tráq.
?
74
4S
7L
x ]-t-
RESUMEN
Un plan pÁra contingencias en el área de gigternas suFon€r
la ocurrencia de un desastre o una situación que conlleve
e una parálisis parcial o total de Ia compafrla" ctrn bage
en egte supuesto se deben presentar prograrnas de acciones
a desarrol lar por Lrn gelecto grupo de personas
pertenecienteg a la crrganiración; se determina quté
recursos son neceEarios para afrontar 1a contingencia e
inforrna 1a ubicación de dichos rect.rrsos.
El planeamíento pere contingencia se reÉurne en tres
planesl básicamente ellos son el plan de emergencia. plan
de respaldo y plan de recLrpereción. Fara elaborar egtos
planes ,/ Iograr que funcionen eficazmente el6 neceeario
realizar urn anáIisis preliminar y elaborar urn diagnóstico
e la empresa Grn la cutal se va a implermentar, evalltando
diferentes aepectoe¡ importantÍsimos pare conocer Iagi tlraciÉn actua 1 y vu I nerabi I idad .
XII. I
Es por esta razón qLre se ha dividido el. presente trabajo
€rn I capf turlog curbriendo los aspectos más relevantes para
brindar e ustedes trna herrernienta que los gufe en lapreparación del pIan, enriqueciéndolos con lag
experiencias y recomendaciones de empreeas corno carvajal.
Gutil lete" hlarner Lambert. f irmas de ar-rditoreg. Étc.
Capftulnsl"?y3:
En egttrg tres primeros capftulos se estabrecen Ios
pilare* para el planeamÍento de contingencias en cuento adefinición de contingenclasr objetivog generales y
especfficos y Ia creación del equipo de trabajo.
Es necesario conocer qué E!É lo que re pretende
(objetivos) y seleccionar al personal adecuado para ellogro de loe mismclg. Se degcribe un perfil pare cada
integrante' se definen furnciones y regponsabilidades aligual que una estructurra jerárqr-rica, se espera qLre cada
miembro aporte un aspecto especffico de conocimiento y
experiencia.
Capltr-rlo 4=
corresponde alEgte capl tur I o
xiv
análisis preliminar
indispengable para la elaboración del plan. Eategoriza
este análisis en giete gubternas en los cuales 6e cubre
toda 1a información necesaria pere emitir un diagnóstico
y proceder a la preparaclón de los tres planes básicog.
Egte aná I isis pre I irninar comprende I
Seguridad ffsica
Ambiente del personal
Revisión de planes, controles y procedimientos
existentes.
AnáIisis de las apl icacioneg y clasif icación segrln
factores de criticidad.
Identificación de Ios re'cursos requeridos Fere
procesar las aplicaciones.
Analizar los riesgos y amenezag
Definición de estrategÍas para ingtalacionee y medidas
de respaldo.
Capitr-rlos 5, 6 y 7=
Egtos tres capf tlrLc:g corresponden al desarrol lo del nlan
XV
de contingenciat plan de resFaldo y pran de recupereción.
Se def inen Ias accioneg de ernergencia" los procedimientos
dnrante y posteriores a la migrna, log procedirnientog pare
op€lrar en modo de respaldo. 10s procedimientos de
segutridad al operer de este modo, Ios procedimientos de
recupÉración.
En cada plan se definen procedimientos, normag de
segurÍdad. perÉonal involucrador comunicación y
recomendacioneg,
Capftr-tlos B y ?l
Estos capftuLos se refieren a lae actividades a
desarrollar posteriores e la elaboración e implementa.ción
de log planes. ccrrresponde a la ejecución y pruebas delrnismor a su actual ización y altditorf e.
Se destaca 1a Ímportancia de egtt:s
desarrol lan formatog pere facilitar
evaluación de estos planes,
procedimientos
la ejecuciónv
Y
xvl
I NTRODUCü I ON
EI cornFLrtador es uno de lag avances tecnológicos mág
tragcendentales de egte siglo; sLrs multiples usos y
posibilidade= han sido descritos en tantas publicaciones
qLte hacen casi innecesario reiterarlo. pero considerando
e1 propósito de esta tesis r €s conveniente darle
relevancia una ve¡ más Dor eI recurrso de Ia información
¡-rti I i eado por 1a organ i ¡ación en 1a toma de decisiones
tá cti cas
precisas.
aún e,stratégicasr confiables. oportnnas y
Siends el departamento de sistemas el núcleo de
centralizaciún donde confluye gran cantidad de
inf ormación " se hace vurlnerable a cnalqurier eventural idad
intencional o accidental qLrE interrlrmtra la continuidad en
el proc€rso de la inf srmación. Si los sistemas
computarizados lrsadog para proceser y almacenar
inforrnación vital de un negocio se vieran afectados pnr
una continqencia. seria relativarnente f áci I vislr-tmbrar
lag cclnsecLrenc.ias adversas pera Ia orqanización.
T
tonscienteg de Ins costos y perjuricios qlre acarrea Lrná
interrurpción abrurpta de estos servicios y 1a pérdida de
informaciÉn. se ha desarrtrlladc: este trabajo ccrrnc: guÍa en
1a implernentación de un plan de contingencias orientads
a identificar anticipadamente log eventos que árnenazan la
continuridad deI corntrlrtador
desarrollar palttas de seguridad qLre permitan ejercer un
erst-rictcl control a 1os equipos r inf ormación y prclc€lscls
qLre en este departamento se rnanejan, disminuryendo los
márqenes de riesgo y restableciendo el servicio en eI
menor tíempo pasible. definiendo medidag aplicables pera
corregir Ia sitltación gi los cc:ntrc:les de típo preventivs
resLrltaran deficientes o inguficientes.
1. DEFINICION
Un plan de contingencias putede def inirge cc:rno Lrna serie
der planes elaborados con anticipación por Lrn grr-tpo de
personas pertenecientes a Ia organi¡aciónr péFa sLtperar
Lrna interrutpción no planeada en Iog recursos de
cornputación, ocasionada intencional o accidentalrnentei
incluye un aná l isis prel irninar o una evalnación de
rnedidas de seguridad qr-re minirnicen Ia probabi l idad de
ocrrrrencia de utna continqencia y/o de los defios que égta
plteda desencadenar.
Lag accioneg t: medidas de segutridad a desarrol lar pará
afrontar con éxito las sitlraciones de contingencia" están
agrupadas en tres planes básicamente,
Flan de ernercencia
Plan de respaldo
F I an de recLrpereción .
2. OBJET I VOS
Log objetivos deben ser clartrs y acogidos por todos los
miembros de I corni té de traba j o; todag sLts actividades
deben estar encaminadas e la obtención y el
fortalecirniento de éstos pera lograr un rnayor desempeño
en Ia preparación del plan.
? . I. OBJET I VOS GENERALES
Elaborar los planes a urtili¿ar en cago de contÍngencia
en un arnbiente de F'ED' eu€ brinden soporte y geranticen
qLre Ia organización sobreviva" minimirando costos y redur-
ciendo el tíempo necesario para obtener 1a recLlpereción.
Garantizar nn alta grado de continutidad operacional en
organiración,
T.2 OBJETIVOS ESFECIFICOS
Ia
Emi ti r Lrn diagnóstico sobre eI nivel de segurridad,
5
controles :/ procedÍmientog e>tigtentes.
Definir
apI icaciones
rnatrices.
factores de
de acuerdo
criticidad
á éstos,'/ clasificar
haciendo Lrso
Ias
de
lasIdentificar los reclrrsos reqneridos para procesar
ap 1i ca.cioneg.
Real i=ar Ltn anál igis de riesgos ,/ amenazes r ápl icando
técnicas de evaluación y valoración.
Evalltar dif erentes al ternativas y def inir lag
estrategias. cararteristicas de Ias instalaciones.
eqlripos y medios pare operar en modo de respaldo.
Establecer procedimientog de control para proteger 1a
inforrnación almacenada o procesada. definiendo pollticas
de bac[,;.utp.
IJocnrnentar los planes y preparar a1 Fersonal para qlre
ejecute los procedimientos necesarios de acuerdo a Ia
envergadltra de 1a contingencia. asignando responsábiIi-
dades a los flrncionarios involucrados.
Dutran te ésta ( p l an de emergen cia )
6
F ara Ia csrrección de 1a g j. turación ( p I an de respa I do )
. Fara Ia recLtperación del nivel
recuper-ación ) ,
Real izar'
aprobeción f
las prltebas y
inal del p1an.
simur I aciones
geren ti rando
norrnel ( plan de
nec€lserJ.as pare
su efectividad.
la
f,. CREATION DEL ECIUIFO DE TRABAJO
t,n Ia elabaración de Lrn adecuado y eficaz plan para
contingenciag se requriere de una considerable cantidad de
tiempo. esfner:c y recursos. Deben existir planes
escritos que cubran Iag responsabiiiOa¿es y actividadeg
encaminadas a rninimirar riesgos y el irnpacto de Ltna
contingencia i de igual rnanera debe e>ristir documentación
sobre actividades a desarrol lar en el mornento de Ltna
crisis.
"LclE llarnados a conformar este equripo de trabajo deben
Eer elegidog sobre Ia bage de Eus responsabilidades
estratégicas en relación con Iag operaciones de
cornputador en su carácter tanto de proveedores cclrnt: de
utguarios de gervicios" ( 1).
F a.ra la creación de eEte eqltipo 5e requrere de Ia
I{YERS. l.ennethData Sistemas
N. Cómo evitar Lrne(jr-t1./aga. 1986) i p.
crisig, E¡:34.
(1)
e
párticipacrón activa del personal del departamento de
sigtemas y de sus r-tsuarios entre otros, Se espera qLre
cada miernbro aporte al eqlripo Lrn aspecto especlfico de
conscimiento y experiencia. valit:gas Fara el desarrollo
d*1 pIan.
Este eqlripo debe asurrnir sLrpLregtos de contingencías.
frecuencia, severidad, pérdida parcial de equripo, pérdida
total o mútl tiple r dr-rración de f uera de servicio i serán
las encargados de realizar 1a preparación del plan.
estutdiar las normag de segutridad actuales. anal izar lag
ar¡l icaciones v egtablecer prioridades, identificar
amenazas YrecLtrsog necesariog "
definir riesgos,
estrategias para instalacioneg r/ medj-og de respaldo.
En eI organigrarna (Figlrra 1) podemos apreciar e1 equipo
de traba j o f orrna,ndo parte de I a estructurra para e I
desarrcrllo del pIan.
.].1 COÜRDINADOR DEL F.RüYECTü
La persona más apropiada para desempeñar esta función e5
eI gerente del departamento de sigtemas. Es ét quien
conclce 1a Iógica o filosoffa de los gistemas de
apl icación, conoce el equipo en cLlanto a capacidades 'l
limitaciones y será Ia persona encargada de brindar Lrn
9
Eopc:rte tÉcnico al plan. Debe ser €11 medio más confiable
e inmediato de comLrnicación entre la alta gerencia y los
de,más integrantes del equtipo de trabajo. debe velar
porque exista nna correlación en los dife,renteg planes
desa.rrollados por los r-rsltarisg¡ e1 f racaso de Égtss puede
ser ocasionado por estrategias incompatibleg. rttucha
dernanda de Lrn rnÍsmo Fecurso. etc. EI coordinador de1
proyecto debe estar forrnado para prtrgramar, dirigir.
coordinarr e,.jeclttarr controlar y evaluar Ias acf-ividades
técnicas y/o administratives qLre deben contemplarse en 1a
preparación del pIan.
/ - -- -- - - ---*---------\i GERENCIA GENERAL I
\**------ - - --- - ------ /
/ --*------*-------\i AUDITORIA INTERHA i ---_**-*--**\-*---- -- ----**--- /
i ---------------\IOÜRDINADOR
DELF'RÜYECTÜ
\-------- -------/II
I í -*----*- ---------\
Unircr¡idod ^ut0n0m0
de 0ccidcnta
Sccción liblioleco
FIGUftA 1. Estructltra equipo de trabajo
to
3.2 AUDITÜRIA INTERNA
Se recomienda que el integrante de egte grupo de trabejo
sea eI jefe deI departamento. Entre otrag de Éus
f urn ciones qLre verernos más ede I an te en Actuta I i zación y
auditorla deI pIan. Sn sbjetivo consiste en verificar el
cr.rrnplimiento de estándares, norrnesr Folfticas Y/a
procedimientag institucionales c: Iegales de Ia entidad'
EI tiene corno respc:nsabil idad medir y evaluar el blten
furncionarniento de los controles previstos para el
adeclrado desarrol lo de los dif erentes gigtemas de 1e.
orqanisaciÉn r V€1ará para que al uti 1 izar los
procedirnientos de ernergencia no Ee pierda eI control
sobre las operacionesr qarantizands su correcta ejecución
'./ se cumplan los requterimientos de la gerencia en cuanto
a controles internog mfnimog requeridos en Lrn caso de
contingencia,
3.f, CONSULTOR EXTERNO
Este eF un campo donde Ia experiencia y el conocimiento
de cclnsLrl tores e¡rternos puede ser vel ioso r especialmente
en ernpregas de mediano tamaño" dnnde nt¡ tienen en ELt
estructura organizacional definida la posición deI
aurditor interna o eI aurditor en sisternas.
11
Los consLtl tores podrf an contribuir cc:n los ltsutarios en la
definición de sLrE requerimientos de respaldo. elaborar
presLrpuestos qute incluyan r-ect-trsos necesarÍos'. asesorer e
la administreción de sistemas en la preparación y
revigión de ltrs planes de acción para contingenciag ,/
elabc¡rar pruebas qLre permitan esegL(rar gue Ios planes
para 1a recuperación están debidamente coordinados y
f lrncionan.
f,.4 PERSONAL DE SISTEMAS
Este grupo involucra aI -iefe del departamentor supervisor
de rrperaciones! prograrnadores, analistas de sisternas.
métodos y pracedirnientos, etc.
E1 jefe del departamento debe dirigir ,/ asescrrer al
personal a su cargo para clrmplir ccrn los objetivos del
plan en fr:rma efectiva y eficiente. Egtas perscrnas son
las Ilamadas e conforrnar los comités de emergencia con
sus respectivas suplentes r párá t:perar durante la
ernergencia 'r' en rnodo de respaldo, Farti ci parán
activamente en 1a preparación del plan" identificación de
recur-sos raqueridos para procesar Ias apI icacicrnes.
Hstc:s recibirán el entrenarniento y las capacitaciones
necesarias para el cElrnpleto dorninio del plan y poder
rea I i ¡ar I as prrtebas y simu I acioneg requreridas .
1?
f,.5 USUARIü5
Los r-rsurariog deben tener en cLtenta que tienen }a más
importante responsabilidad en las fltnciones deI negocio
en caso de verse afectada Ia capacidad del centro de
Frotresarnientn de datos.
EI r-rgurario dehe tener disponibi l idad y las herrarnientas
necesarias Fara desempeñar lag fltnciones por las cuale=
é1 es respclnsáble. en caso que eI tiempo de cafda enceda
1o permisible para eI negocio. Se trata de aumentar la
respc:nsab¡i l idad directa de los t-tsutarit:s en ceso de
desastre y no dtnicamente deI departamento de gistemas.
Se enfatiza asi: " la importancia de 1o qtte se necesita
es rnantener el neqocio en funcionamiento v no eI
compntador" (2). Desde égte purnto de vigta los usnariog
tienen 1a oportutnidad de demostrar sLt ingenio innovador.
sLr creatividad. su capacidad reclrrsivá" con la cual
pureden obtener reconocimiento, aplicable cuando el tiempo
de calda flrera rnayt:r aI tiempo de calda tolerable y ésto
varLa en dias. segútn 1a actividad deI negocio,
f,.6 FERSONAL DE ADI'IINISTRACION
5e debe invo 1r-tcrer iqua l rnen te
(I) Ibid..r F.34.
al jefe de seguridad
1.1
indrtstrial. al personal de ingenierla. a lt:s jefes de
rnantenirniento '/ a cualquier otro grupo o futnclonario
aiglado qr-(e de una u otra manera pueda contriburir al
logro de, los objetivos propuestos al iniciar este
proyectt:.
4. ANALISIS FRELII'1INAR
4" 1 SEGURIDAD FISICA
4.1.1 Ubicación
Lag instalaciones del FED no deben e,star urbicadag en
só tanos . n i prirner piso .
El curarto debe local izarse en pisos surperiores pert:
debe ser aseglti.ble a las unidades de bomberos.
Furede ser necesario utbicar el centro en Lrn área
separada teniendo en clrenta el material de congtrucción
del edif icio ,/ el tipo de actividad gLr€r desarrol la la
efnpresa,
Las válvur1ag para la provisión de agua del edificio
deben egtar €rn un sitio de fáciI acceso v dernarcado,
15
4. L.2 üonstrucción
tlrandc: 1og recursos Io perrnitan. el centro de córnpltto
ge debe Ínstalar en csnstruccitrneg antigfsmicag.
5e debe escogelr Lrn material no combltstible pára el
tapete del piso y debe egtar diseñado para prevenir la
f orrnación de electricidad estática.
Verificar que 1os accesorios fluoregcentes (balastos)
egtén Euficientemente altos trara no desmaqnetizar las
cintag o los di.scog.
Deben Lrsarse paredes protegidas del f urego r ccrn
cielorasos '/ pisos estrlrctr-trales y falgos para evitar
cantacto con It:s cables" estos espacios deben
inspeccionarEe,
Alrededor. incluyendo el techor ño deben paser canales
c: trtberf as de condurcción de ague r pdrá proteger I o de
inundacioneg y daños en Iag tuberLas.
4. I.;1 Riesqos naturales
5e debe anali¡ar Ia lrbicación geográfica del edificio.
hidrográfica deI sectcrrr contemplar 1as posibitidades de
inundacioneg
actividad
e1éctricas.
por desbordamientos"
sf smi ca " erurpciones
movimien tos
volcánicas.
1ó
teIútricos o
tormentag
4 . I .4 Pogi bi I idades de incendio
El centro de cómputo debe estar alejado de fuentes
patenciales de incendios com6 calderas, hornog, depósitos
de, combugtible, rnateriales inflamables, etc.
4.1.5 Disturbiog prltblicoe. Este putnto tiene sLr
irnportancia según el tipo de empresa en la clral se egtÉn
degarrollando los planesr /á rEá pt:r su actividad o
sector a que pertenezca. Io cural puede hacerlas rnás o
rnenos vu I nerab I es .
Fara evitar los riesgos ptrr agonadas " vandal isrnos "
manifestaciones públicag, gabotajes o terrorigrno. se
recomienda ugo de cltartog de adentrcr t: áreas cc:n
espacios de ventanas limitadas. puertas y ventanas con
vid rios de segurridad '¡ / a rej as .
4.L.á Contrt:les fiEicos
4. 1. ó. I Cc:ntrt:les
controlar el arnbiente
de ternperatura '/ hutrnedad, 5e debe
del cornputador¡ Éste debe c:perer en
L7
el rango de temperatLrra qLre aconseja el f abricante.
Los instrnmentos urtiIieados para controlar 1a temperatura
'/ hurrnedad de la sala deben estar urbicados en un sÍtio
vigible y bajo Lrna responsabilidad,
4.I.6.2 Sistema de aire acondicionado
Deben separarse los ctlrnponentes del siste'ma de aire
acondÍcionado de los tubos de aire para el fuego. y Eus
contrcrleg deben funcj.onar en forma independiente a Ios
del resto del edificio.
5i el centro de cómputo uti l iea eI sisterna de' aire
acondicionado dei edificior sE debe equipar todos los
durctos con compuertas que plredan cerrarse en caso de
futego o presencía de hurno en otrag áreas,
Ubicar la torna exterior de aire, de I aire
acondicionada. bien arriba del nivel de Ia tierra pera
prevenir la glrcción de hnmor polvo. gases c: vepc:res
corrosivos y pere protegerlos contre vandaligmog.
4.l.á.f, Sistema de alarma y detección de furego
Deben instalarse sistemas de detección temprana
1S
alarma de hutmo y calor, usando sistemas de extinción qLte
hagan jurego cc:n eI tipo de actividad en el árear ct:mÉ
ti.oo HaI Ionn.
Debe instalarse e:+tintores portáti les manuales '/'
aurtomáticos y deben revisarse periódicamentei estog
gistemas pueden egtar conectados a la estación de
bornberos mág pró¡rima.
Log sisternas de a l arma autd i b l eg deben tener 1a
posibi l idad de activarse y desactiverse automática ,./
manL(áImente. para permitir controlar falsag alarmag.
Debe ex isti r f aci I idades y proced irnien tt:s de
evacuación, Las pnertas de sal ida deben mantenerse
libres de obEtácr-r1os.
4"1.ó.4 Controles e1éctricos
Instalar Lrn generador
fallas Fn 1a energLai el
para reconncer L(na cafda
encender eI generador.
corno soporte para los cásos de
cornputtador debe egtar capacitado
de voltaje y dar Ia seña1 para
Ia
Lag instalaciones eléctricag deben ser aprobadas
tl ivisión de computad c:res y clrmp I i r :
L
por
1?
, Llnea de poder ,/ comL(nicación con conexión a tierra.
. Lfnea de corriente egtabili:ada.
. Ereal,;er independiente del restc¡ de lineag y ctrn
capacidad adecuada para el centro de cómputo que arnpere
todos gus componentes.
, Los breakers y puertog deben egtar organizadog e
iden ti f i cados .
4.1.ó.5 Controles de seguridad y accestr flsico
Debe limÍtarse el acceso de personal cuyo trabajo
necesite hacerse en el cuarto de córnputo.
Restringir el acceso de pasil los pútrlicss.
Limitar el ndrme'ro de entradas y el acceso al prlblico.
Debe d isponerse de Lrn sigterna adecuado Fara Ia
recepción ,/ entreqa de docurmentog.
tontrolar el accesc: aI saIón dltrante horas nc:
l aborab l es rned ian te gurardas de seguridad o a l arrnas
audibles"
Univcridod aulonomo da Occidcrlr
Secrión Bibliototo
¡: l-,
Nr¡ debe iden ti f i carse e I cen tro de cómputto r debe
indicerge "FERSONAL AUTORIZADO UNICAI'4ENTE".
4. 1.6.6 Almacenamiento cie, medias magnétj.cos
Los rnedioE maqnéticos se deben almacenar- en dos sitios
a I ternos i uncl derr tro de I as ingta I aciones " otro f utera de
ellas.
Cada sitio, tanto interno corno externo " debe clrrnFl ir
csn las norrnas de seguridad en cLranto a instalaciones y
atrceso que hemos descrj.to en el nLrrneral anterior.
Les cintotecag deben egtar dotadas de equipo de
limpiera y rebobinado de cintas.
l"lantener un registro de prograrnas y archívo de datos
(inventaric:g) de librerlas o cintotecag,
Instruir aI bibt iotecario pare qLre entregue los
prc¡grarnás y archivos aurtorizados a perst:nas auttorizadasi
se deben establecer procedimientos especiales pera Ia
obtención de archivos delicados.
Ejercer un control sobre la devolución de progrernas y
archivog después de los Frclcescls.
31
Delegar respc:nsabilidad para enviar lsg duplicados
correctos a1 sitio de alrnacenamiento exterior. de aclterdo
con e1 calendario de retención.
Cada medio magnético debe roturlarse con:
. Código del media
. Nombre de I utsltario
. Fecha: di.a r rnes. año de creación de Ia apl icación,
degcripción abreviada del contenido,
. Dengidad de Ia grabación
. Nombre de la ruttina ernpleada en Ia producción '¡ /a
ctrpia.
. Identificeción aparte para los de prioridad A de
evaclración.
Las cintas y los discos deben protegerse con tapas qure
tengan buenas propiedades de aislamiento.
l-as úr I tirnas copias deben congiderarse de a I te
prinridad de evacuacÍóno se deben marcar '/ urbi.car en Lrn
22
mismositio claramente
debe aplicarse en
identificable en Ia
eI almacenarniento
cintoteca, lo
externo.
Lag copias deben
modificaciones de su
tener protección
con ten ido.
contra accidentes
apagar el eqnipo en caso de tormenta
4,L.6"7 Equr i pc:
Las ürnicag pergonag auttorizades pare rnanej ar
complrtador EEn ELrs operariog habituales.
5e debe especifj.car crtales son las úrnicas personas
alttorizadas pará ingtalar. destapar y reparar el equtipo.
Las imprescras de urtiliraciún permanente de Ios
rtsrrariog deben estar en salón aparte del CPU '/ sLrs
drives; Ésttrs deben egtar prote,gidos de vibraciones.
el
5e recomienda
eléctrica.
Tarrttr el cornputador ctrrno
estar arnparados pclr pólizas
ttrdos sLrs peri f éri cos r deben
de segLrro ,/ rnantenimiento.
Se debe contar con un inventar.io
f lsicclst especif icacioneg técnicas,
activo, etc,
de todos los recurgo:;
ubicación, número de
?:;
Es importante el usü de cobertores p1ásticos pera
cutbrir los equipos y protegerlog del polvo durante la
rea. Ij.uación de algúrn trabajc:. Iahor de limpieza! agLra
proveniente de aspersoreg ugados pera 1a extinción de
incendios. etc.
Revisar Ia canfiglrración de
Ienglrajes y sisternas operativos.
equiFosr hardware.
4,7 AMFIENTE DEL PERSONAL
4. t. I Aná I isis de cerqos
Deben eiristir descripciones
responsabilidadeg para cada cargo.
de funciones
En la organizaciÉn del PHD se define Lrna estrlrctlrra
j erá rqlri ca " genere I men te con cebida ctrrncr I o podernoa
apreciar en Ia Figura ?.
Esto permite establecer una segregación de ft-rnciones
entre anal istas de sisternas r progra,madoreg r j ef e de
operacionesr operadcres" cintotecario. etc.. paFe que
nad.ie tenga con trtl I comp l eto de I as partes de I as
opelraciones de procedimientos.
:4
/ -----*--*--\i GERENTE DE i
i sIsTEtfAs i
\*---*----** /:
/ *______ _____i.__ _____ _____ \
/-*--*------\ /****-*-----\ /*--*-*-----\ i--*-----.---\SUPERViSÜR i iJEFE ANALI_ i iSUF'ERVISüR i iANALiSTA DE,
F'RÜCEsAI'I. i i5]5YF'Fü_ Ii DE i iI'IETODÜSY i
DE FALAFRA i i LJRAMACION i IOPERACIONESi i PROCEDIf'I. i
sHüFIETARIASI i ANALISTAS i i OF.IfIADI]R I
LiILINGUHIJ DEICO14F.UTADTiR i
\*-*--------/ \---*-----.-*.-/ \**----*'-*--/
/ --*-*-*----\ i *--*-------\ / -------*---\iSECRETAÑiASi i PROGfIAI"IA* i i AUXILIARi ESiF.,Aí.1üLII
i DÜRES DEüüNTRNL
\--*-----*^* / \*---------- i \-*-------*- /¡tl¡.1
I¡¡t
i*-*---*-**-\ i**---*-----\ /-----------\iÜÜC]RI]iNADÜfTi i F,ROüFAI'IA* i I DIGITADOR i
iDEiiDoñEsliii Ahiür'.rrvüs i i Ir i i i
\----*------/ \--**--*--*-/ \-----------/
FI6URA I. ürganigrama Departarnento de Sistemas
A1 dividir las funciones se deterrnina una equilibrada
combinaciún de regponsebilidedes" para que cada persone
tenga dentro de sus funcíones la verificacián y
aprobación de la conducta '/ trabajo de otras persones,
Debe e¡r istir
asignaciones de
sutpervisiún
trabaj o.
planificación de
25
Ias
vacacloneg
4,2,2 F'o1lticas de trergonaI
EI departamento de relacioneg induetriales debe
determinar procedimientos de engánche.. retiro.
capacitación y evaluación del personal.
Debe prograrnar
obI igatorias.
rotación de f ltnciones
Debe asegurarse que log controles sean aprendidos
manejados por eI personal.
Debe asignarse respc:n6abitidad pará asegLrrer qLre 1a
infarmación nece=arj.a Fara reconstruir Ios registros,
siernpre esté actutalizada y disponÍble fácilrnente.
4,?.f, Ambiente laboral. Eg necesario evaluar
permánentemente lag actitudes agurni-das " tantcl del
personái del centro corno de log usuarios. eI grado de
aEirnilación'/ aceptación de controles. eI inconforrnigmc:.
1a situación laboraI. e1 manejo de sindicatos, si
existieran" estos son factoree que podrlan afecter 1a
continltidad En los gervicic:s del centro.
4.3 REVrsIOll DH
EX I STENTES
FLANES. CÜNTROLES
;:6
F.ROCEDIf"IIENTOS
Es necesario proteger los recLtrsos del FED cenlas mág exigentes medidas de segLrridad ¡ cüFlcontroles y procedirnientos organizacionales yadministrativos qt-re gerenticen plenamente que lt:sdatos de entrada y galida, asl como suprocesarniento son confiables y sLr verificaciónpor medio de controles incluldos en los prograrnasde cornputador o por mediog rnanuales. sonapropiados con alto grado de seguridad (3).
Los c¡bjetivos de Ios controleg
establecidog deben egtar encaminados a:
proced irnien tos
Froteger los bienes e intereses de 1a organi¡ación
Obtener inforrnación confiable y oportuna
Impulsar 1a eficiencÍa en las operaciones
Los contrsles en eI FED deben proporcionaF Lrna seguridad
confiable de que el procesamiento ser está ejecutando
correctamentei egtas controles deben detectar errcrres e
irregularidadeE ,/ desarrol lar las accioneg correctívas
pertinentes.
debe asegLrrar qt.re solamente log datos váIidos
(;i) CARftIüN. Edifberto,cómpurto. En I19t5) I p. 34.
Frotección en losOficina eficiente.
centros de(sep,/act.
77
at-rtenticadog sean
realice en todas
permitiendo que s€?
aceptados para el prclceso y éste
sLrE f ages. sin omitir prograrnag
pasen errores sin detectarlos.
5e
ni
Se deben elegir Ia= rnedidas de seguridad y control hasta
alcanzar eI nivel de expctsición aI riesgo aceptable" parÁ
la ernpresa en Ia cual ge está implernentando el plan de
cantingencieE.
Iguralrnente se debe tener en ctrenta las diferentes formag
operativas o rnodalidades de trabajo en batch o lotes.
Frocesos en llnear pr-ocesos distribuf dos. etc, y Iog
diferenteg eqlripos. Fara cada sistema operativo se
reqlriere de diferentes elementss para la realización del
control.
Egtcrs planesr controles y procedirnientog deben existir en
manltales o guLas. deben estar claramente definidos y
deben ser revisados y evaluados periódicamenter páFá
garantirar que los recursc:g del FED sean operados en
f c¡rrna ef j-ciente y ef icau.
4.;,1 Frocedimientos operacionales.
4.f,.1.1 Flanificación
existencia de elernenttrs
organi¡ación. Verificar
con tro I corno :
'/
de
1a
?E
Cronograrna de actividades
Entrega oportutna á procesarniento de datos de losprclgramas qlre se encLrentran en mantenimiento.
Información individr-taI de las actividades
Dernostrar la uti I í ¿ación de l os recLlrsos v sucesos
operaciona I eE .
Inforrne rnensLraI sobre e1 curnpIimiento de Io
planificado.
Hacer Lrso v actlralización de instrurctivos o ,.:ranual.es
aperativos para cada ap I icación . f I ur j ogr-arnas de prcrcesos i
frecuencia, archivos r-rtiIi¡adc:s" etc.
4. f,.1. ? Administrativos
4'f,.1.2.1 Acceso. se cebe evalurar Ei se han establecido
y se curmplen algurnos controleg básicos sobre accesc: en
gene;-a I , como son i
Verificar la existencia de procedirnientc¡s qLre
requrieran 1a debida organiración para el urgcr del eqr-ripo,
proqramast cintas y di=cng tanto en horas extrag ccrmo en
1a j nrnada norrna I .
29
Se debe restringir eI acceso a los archivos E
prograrnas proteqidosr EeeLln el usurario alttorizado y el
terminal establecido.
utili¡ación de niveleg de autoridad del acceso Fare
lectura. adicisnar e rnodificar datos.
Establecer periodos de tiempo pera los LrsLrarros en lc:s
termina 1 eg.
Asignación de ngttarios por terrninal,
HEtablecer y controlar la identificación deI personal
usendo el sisterna del compurtador. l imitando el n(rmero de
tentativas pare la verificaciún deI lrsuario.
Egtablecer Lrn tiempo de valide¡ de las contraseñas s
password y sLr Lrsc: correcto (préstarnos).
6enerar pistas de auditorra o Iogs de transaccic:nes
qLte puedan ser uti I izad(]s pera evallrar cada Lrso delsistema e identificar e1 ltsuta,rio.
Ej ecución de po 1 l ti cas de generaci.ón de bacl.;urp .
f reclten cias egtab lecidas . etc .
Unlwmidod tulonomo dc 0ccidcnlr
Sctción libliotcm
4.3,2 Mantenimiento, Verificar lapolfticas de mantenimiento" definiendo
f recuencia.
participación de auditorfa y
sisternas; éstos deben junto
y aprobar ceda modificación
ser diseñadog pensando en
controleg en lag csrrÍdas
entradas y salidas.
;jfJ
existencia de
responsabilidad y
4.3.3 Desarrol lo de sistemas. Verificar la
4.4. ANALISIS
FACTORES
DE
DE
usuarios en el desarrol lo de
con Iog pro€ramadores evaluar
o Frográma nuevo, éstog deben
facilitar 1a auditorlar coñ
pera conciliar datos de
LAS APLICACIONES Y CLASIFICACION SE6UN
CRITICIDAD
El objetivo de este análisis es definir los parámetros o
factores de criticidad gobre los cuales ser debe reallEarla clagificación de las aplicaciones. a fin de establecerprioridades e lag rnismas pare gue en egte orden tenganprelaciÓn de procesamiento en e1 rnornento de una
recuperación o utili¡ación de sitios alternos,
El rnenual de contingencias debe incluLr lrn ristadootras aplicacionesr €r'rcontradas corno crÍticas y
recursos necesariss peFa sLr procesafniento. A tLtr_rto
ejernplo se cita Ia Tabla l.
de
los
de
f,1
IABLA l. Listado de aplicaciones crltices
/ - -------- --- __--__--__-______ \iPRI0RImDIAPLICRII0XES CRII¡CASiRRCH¡VttS REeffiR¡o0sicApActDf,Di ñáHHLES DtSportBtES illI t i iREHtrRIDI|PR|}ERáISC. trERACItlT I'SUARI|] Ii ---------t-'- -----+----- +___-_j._ ___-__-__-__-
Ii I iFñCTURACI0il FTCI{it'Et0fi iCL¡EiT lJ000BL00l x I x i x ;t,| , i------+-------i-------t------,r--------t------ ii 2 iltrtrtlARlm IÍ{IRIVEXT lBnC( ió0008L0gi x I x i irl, , l---__-__{______l-.___-__+__-__-_t__--__-+:-:____ ii 2 ilñtUfACTtf,A lltFAiABD¡ IFCEA lJOOOBLmi i r i x ill, , i__-___+-___:__+______-__+--:_.-_l._____+_-__-__ ii 2 iCllElTRsXc0mARCpCtCUEil iCCTS iZ000Bt0gi x I i Ill¡ , l-------+--______t__-_____+_____:+_-__-_-t__-__-- ii 2 |CIEIIASIPABAf, CPPiPR0v íBRilC i20mBL00i x I i i
\ -- ---------- -__--___---_---__ /
5e debe contar con la objetividad de lo.= miembros delcornitÉ en el análisis de la información slrministrada E,'rloE usuarios det sistemai se debe tener claro que se
blrsca evalnar ra importancia de la informaciónguministrada p'r er FED sobre toda la organlzación y no
en particurlar en un área c: departarnento.
EI cornitÉ perá Ia elaboración del plan de centinqenciagen Ia definición de 1os factore,s crfticos debe enalizarsu negocio particularmente y a1 identificar los procesos
crf tic(f,s i tener en cuenta cual *,5 el impacto en raorqani.zación al versel afectado el pED.
4.4-1 Atributos de1 pr.'ces.,. Fara el análigis de lagapricaciones debe considerarse las siguiente información
32
en cada procesclt rá cual se verá recopilada en raTabla 2.
4'4'1'1 Nombre der proceso. Flrnción que desempefia laaplicación o protreso. Ejemplo: Facturación.
4.4-1.2 Descripción der proceso. se debe descrlbir cadaactividad especlfica del prt:cegcl, los archivog requeridogy Ia pepeleria necesaria pera ejecutarlo,
Ejemplo de, actividad especffica: Brabar pedido qenererf acturra.
4.4-1.3 carecterlsticas de las actividades especfficas
4.4.1.3,1 Tipos de actividad especlfica
Capturar información ( I ). Se identiflca con I y serefiere aI ingreso de 1og datos al sistema,
Frocesar informeción (F ). Se identifÍca con p y s¡e
ref iere a la rnodif icación que puede suf rir Lrn archivo ¡ o
cuando la información cambia de medio. combinación de
archivos.
Froducir inforrnación (O). Se identif ica con O y hacereferencia a le producción de información de salida.
TABLA 2. Atributos del proceso
Elrborrdo por: llLl{ Ene, 87llIVISI0il : Fin¡nz¡s|}EPAfiTAIEI¡T0 ¡ Sister¡s
¡Lsr¿u¿Lssut Eil r¿[EÉ pdt I i ;l¡- -L--..--- -t -- -ira chequerr el cupo deli i I I
iclimte, l¡existenci¡l I i I
ldel producto, el preciol i i i
ldevent¡. I 1 | IIriiiiiSe prepara une l¡ctur¡ i 0 i0.¡.¡i500 I
lpor crda pedido aprob¡-i I
ido, que es envi¿de el i i
icliente. Se cre¡ un ¡rl p 10.C. ili chivo de frcturu que i
i¡ctu¡li¡¡ e¡ llne¡ de I
is¡ldos de clientes y I
ls¡ldos de invent¡rio. i
llos archivos blsicos dellesta rplicación son: I
I to¡üre ¡rch: i
iArchivo mestro CilEllIEiide clientes I
iArchivo r¡estro PREC¡|}Si
ide precios i
lArchivo ¡¡estro PR0DUCTi
lde exi¡tmcr¿s :
ide productos
!L¡ p¿pelerl¡ neces¡ri¿lson l¡s f¡ctur¡g refe-irencie: S{¡R
-----------_-_--_:-_--__-__-_ ;
f,3
c0üPAitA XYt S.A. Revis¡do por! Cm Ene. 87
Aprobado por¡ AtL Enr. 87
II iCARACTERISTICASi SETSIB¡LIDRO : ltlt
lHliBftE pR0cEsoiDEscfitpcr0t DEL PR0CES0i___--_____-___+_- -____ipRr0RI000i iC{H€ffiARI{1Si
I
lF¡ctur¿citur ilos pedidos el¡bor¡dos I I 10.¡r.ij00 lprirer¡ se-i 3 di¡s i I ipor J dies iI ipor vendedores Es in - I i i l¡en¡ de c¡-i I ipodrl ¡ctu¡iigresrn el ¡iste¡¡. i i ,, I id¡ ¡es, i I iliz¡ree re_lI i i iprincip¡l-l i lnuel¡ente iI i I lrente de i I is¡los de iI -q.s¡ uE ti i I lJun-Sept. I I lctientesyi¡ | r rucr-oEl¡t. r i iCl¡€fltggy Ittttr¡rri;rtlexistenci¡sl
rtttrlr | ¡ i r r linvent¿rioiArchivos higtóricos sonl I l0.ConiJ00 I
lcon¡ult¡dos en ltne¡ pel I : :
FUEI{TE: PEAT ñARftc( iltTcHEL. tnfonation syster practice 6uide. vol. v. (Ad¡pt¡do).
34
4.4.1.3. I
ej ecuciún
FrecurencÍa. 5e
de cada actividad
refiere a 1a frecuencia
especffica asl:
de
Diaria (D)
Semanal (5)
Gr-rintrenaI (G)
Mensual (M)
Annal (A)
Especificar si ésta actividad se hace en:
Mañana (a.m. i
Tarde ( t )
Noche (p.m. )
tontinnarnente ( C )
4.4,1.f,.f,. Volutmen
volumen estirnado de
actividad especLfica.
de* tran=accisnes, 5e registra el
trangacciones agociados con cada
teniendo en cuenta la frecuencia.
4.4.1.4 Sensibilidad de Ia interrupción
4.4.1.4.1 üportunidad. 5e ref iere al rnomento en eltiempo en el cural el negocio se ve mág afectado ar no
d isponer de I a in f orrnación ¡ puede especi f i carse por flles r
semana. d1a.
f,5
4.4.1.4.2 Duración. Hasta cnánto tiernpo esta actividad
especf f ica plrede set. surspendida sin que tenga
consecuenctag para 1a orqanización.
4,4.? Prioridad de Ia información y clagificación de Ia
situación crftica. Las prioridades de 1a inforrnación y
el qrado de criticidad se purede clasificar corno se
murestra a cc:ntinnación, Es de considerar gLre lssprt:cesos crfticos norrnelmente representan una pequreña
parte de Ia labor desarrol lada en los centros de cómtrlrto
'/ su criticidad purede variar con eI calendario. las
Iabores crlticas del primer dia de urn periodo pneden ser
díf erentes de aqurel las qure son crltices en log rhltimc:s
dlas.
Egta clasificación perrnite a los ursurarios y al comité de
emerqencia y recLrperación tene,r utna visión general de sus
diferentes opciones y prioridades de procesemiento. esta
categorización es fle>libIe. el usuario puede ampliarla o
modificarla contribuyende con una solución viable en la
recuperación en caso de desastre a bajo costo.
l*ag prioridades sEl pueden fijar de 1a 5 o de 1a 1{) corno
se considere rnás eficiente. teniendo encuenta los costos
en caso de pérd ida de I procesernien to . I c:s tiernpos
crf ticos qt.re pueden estar f lrera de servicio. Ia
36
naturalera y e)ítensión deI desastre, eI tiempo esperado
pera resteurar 1a operación norrnal. el potencial de
pÉrdida de Ia organización y eI punto en el cural eI ciclo
normal de procesarniento es interrurnpida.
4,4.2.1 Frioridad 1. Sitr-ración crf tica ( procesar en
otro computador) incluye actividades inaplazables de la
orgenisación tromcl por ejernplo: expedir certifÍcados de
retención en la furente antes del tfmite fíjado por Ia
ley, procesos corncr nómina. producto terrninado,
5e ha determinado
lo que en condicioneg
cabe dentro de esta
f actutración, inventarios.
estadlsticamente qLle el L97. de
normaIeg Fe consÍdera, critico
categorfa.
4.4.2.2 Frioridad
procesÁmien tcr '/
requiriendo de una
I. Sitnación crltica (suspender el
r-tti l izar procedimientos
recuperación posterior.
a I ternog
Aquf se categorizan los procesos qLre se cumplen o
destiempo perjudicando considerablemente a la
organización. Ejernplol saldog de cartera con retraso
i.mportante. pérdidas en descuentog por pronto pego.
El 157. de los sistemas de inforrnación EEr clasifican en
egta categorÍa aunque normalmente considerados crlticos.
37
F6drf an Eübrevivir de .io a 45 dias uti l izando
procedirnientog al ternos sin L{n irnpacto adverso
significativo sobre 1a participacrón deI mercado.
Log datos vitales de las trangaccr-ones s€r retienen trare
actura I i ¡ar I os archivos de I cornpurtador una vez se
restaura Ia capa.cidad deI procesarniento.
4.4.2.3 F'rioridad f,. Situación critica slrspender
procesafniento,/ uttili¡ar procedimientos alternos,necesidad de recuperación posterior.
puede curnplir eI proceso a degtiempo sin perjuicio de
oFgániración.
En esta categorfa se considera qlre er procesamíento trt:r
computador putede I imitarse gin ningrln problerna durante lrn
periodo de 3t-¡ a 45 df as sin pérdida considerable en laparticipaciÉn del mercado,
se puede vivir gin acturalización en log archivos del
cornputador de Ias transaccioneg qLre 5e realizaran en elperiodo de inactividad del centro de cómputo. Ejemplol
manejc: de efectivo. anditoria de cLrentas.
e1
51n
SF
Ia
3A
4.4,7.4 Frioridad 4. Situación no crÍtica (suepender el
proceserniento con necesidad de Fecuperación posterlor).
En esta categorlá no se curnple el proceso sin perjuticio
de la orgenización aquf se inclutye el j6T. de las
aplicaciones. Ejemplo: Recursos humanoe listado de
Fersonal activor ventas (proyeccionee),
4.4.2.5 Prioridad 5. Situaclón ntl crftica (suspender elprocelsamiento sin necesidad de recuperación posterior).
E I 157, de l as ap I i cacioneg
en cuten tra e 1 con tro I de
desechos, etc.
inctr-ryen r Eil este grupo
calidad, el control
5e
de
5€!
la
En la Tabla 3 se puede apreciar Ia forma cofno se podrtan
clasif icar lag apI icaciones y f ue tomada de: ,,Data
sigtemag Jurlio-Agosto de 1986 corno evitar Lrna crisis
Fíenneth Myers & C. Firma cclnsu I tora de gistemas
especial izada en planes de r€lcLrpereción en ceso de
desastre y en manejo de riesgog".
4.4..1 Comentarios. Se debe registrar cualqltier
información adicional que se considere importante en el
análisig del prcrceso para asi ger más eficaces en laclasificación de prioridad.
ulzC3
c(JJo-
mcJtrlÉzr-l
(JHt!l{
J
ulü
.|{
.6U
.d
a4ultú
(uE
€IJrlU
+'dltl.ú
Q
t'?
cJ!qF
totIUrúUIEO I .'{.'{ OTt c +d $ c
o r¡rú or tÉ€cttu.r{r.Hoüorrú.UE Fttl E ¡. ¡rfrÍrúO +JOCE'tl 0¡rr O ú¡+,
' .f.'{ E O E .d UtL LtJO LL L.ÉüO C¡|f.Fr . O+ ' g $.'{ =.Ft O 9.=i Ot E.o9- O E aL L 6'{'.1 C O,f C€'O E
f! lJt! Ll-lLJEF. U<.r{¡t
lltrlc=orfüuoottt c o+
OUIO Lr¡CJUÉ Ott¡ O.'{ O O-C L T'IEgrrÉ.C
.Fl |Ú '.:O €
U Ud O tf ?rrf .H ú+rE uJ+ C.r{ rü+Jt{ L 0¡ Uf L.'{ L fU .d 0¡ O¡(') uE e u alrf
lltlrF1
ü',r o u oaÍt c E, {JOr¡O LUCJUC Ourooüo.É I UTtü.rcl-c.É{ 'f ¡E €lJ Ud O {.¡l'f .d O{JE U
=+¿ c:.r{ rü{Jr.{ L O r¡ L.t{ L o.H $ OÜf UE E U A
Iq, 0¡E'Utgro
üc'fLü€Fr r g-L.d úou{urúÉ1f rú11 .¡{ Ü0¡}{urt.H |tr c oÉ-r o o.-,E, rÉ .r{ -P .ú> f u ut¡l
+r O .F{ tlOULxLO!<o-oFü
clqO 'Fl
Ü.fo =+! EÉoc o>
€ lf É.ri .Fl
¡U '-turu ooOOJ L!# >\ t+/uoucrúJLrúoL.¡fL{r(J+
¡r
.'.1 I Io c r¡! rÚ 0L€ U g¡ d E L.úL'r{C.6O0rg¡. gr ú E .úrt- r,t Eeo E € € Co ft¡o'F. c c 3 o t[r-{ cEU U ¡ l¡ O 4! €''{ Ut 4 U C 0¡ '.¡ tl'lx > o ¡Jr o Ü ¡ rt rt €rt ul u oL+, (U ü Or O ü ..í fU 'Í.F.rüfuu 1'o#urEcuo'{LU+r r¡t J o rú¡E o L Lg rü.t{ rú
=.FrCE#UtlH5O.Fl.lU.r{#>OLO ü!E U}.ULOLU¡tJOL OO'fOOc'frÚLOrrf(UCJAE (JEFTOdHU>A{JlrÚr¡
tllJo.úüool-d ltE+-Lo, oÉ.tt Ü utt
E'ArlxlJúl-{cuo¡-€ ttt3+tO.'{ OE U.PIJEOJ
'.F|,! ,.d L'lfItE L grro# c|o=3Í!otrL.tlC+J+¿ü_H E
¡
--;1- l-.,{ o .'.1+.d !UE| fUÜstFc{u€ tu..{ EOUEU6
=Eo€.É'F|o5EI LT¡E .tJ +arfÉLEH+,
-v.-...lFr'dúlü¡¡,d 0, \E o E g
.P(¡,EB?.LOUL. TL 0r# o o 'f cuE C L+.Ct€
tr O O-d.d.,{É ü."{ rú ur ut¡o.Él 0¡rt.F{úrÚrfUULUJÚINOOÜL¡ú ú lU,F{+ É cLO5 U'{g J'A+Jrre.rrfUcUL'"4 tü L{J'F{.rr O Üfn u cLi É ¡t L{J
Lo.AL
?-
o:o
c€IJ.ú
t¡6rú 16 ¡úLL('Ie¡¡oE OEoLoL)ú.¡
ld.,{outo..r O \E| O tú O ¡ +J+ &cce uu-rLouL:Jll5L O# O O c U rrl.ou'rt tr L# o€ ot oÉ0rAtE'd'ñLC ü.F{ .f E u E.Ft q, O.€ cLE L ü 'f rúl-!.r{ u '! G ul .'{ L . .lt ¡U
= tJl h¡ O L O L .rr UtF{¡¡tú t,l O".{+.d eO U O O..r
3 U-rCi5='A '¡¡>LL+J rr Q.r O cFU L d.H.P4J.Fr 6 L{J.,{ ü 0¡ lU -C¡{J g ulül U B:l e L L{J J U O.Fro-<(JaFJ¡.¡.
L É LOo ú L ftr 5-n urL I rú > +J.,{ q¡I 5 tfl C Utl+JO Ott ''{ '¡O¡cu ÉL *- o.o
cctOÜ'{€ 4 Ol L x x >-€ XO'-..r..€OrúttuLr u L! ¡¡ ¡n É,{ uú.e rú.f .! 'f (] rf o o úl
=+) ú{J +#OLC.¡{.F,O#ht l¡t= ÉCL+,F{UO'{'¡{ ! U a O 0r-(l C E O ÉOIU OE JJ.-t O€L'úfU
L O (JCJJ(J:¿ü.E'OF{O..U¡.
Uniwrsidod úuronomo de ftcidcnl¡
Selción üibliotcto
40
4.5 IDENTIFICACION DE LOS RECURSOS REEUERIDOg PARA
FROCESAR LAS APLICACIONES
El ÉqLripo de trabajo debe deterrninar las necesidades de
eguipo para el proceso de cada una de lae aplicacionsls
consideradas corno crfticas para eI negocior pare ubicar
el equipo de respaldo y eepecificar Ias unidades de
equtípo que se urtilizaran de acuerdo con la prioridad de
cada aplicación.
4.5.1 Instalacioneg Hardware. Se refiere a
descripción de Ias instalaciones necesarias pare
procesamiento adecuado de las aplicacioneE.
En la Tabla 4 puede resurmirse la información donde se
listará cada proceso importante; pare cada protreso €ts
necegario saber el medio de soporte requerido incluÍdo e1
Hardware, sisterna operativo y de cornunicación.
Log r-tguariog deben identificar log cornponente6. retrLrrÉog
y procedirnientos en su departarnentor EFI el centro de
cÉrnputo '/ en cuelqurier otro lugar qure seen necesarios
para ¡nantener el sigtema.
4.5.2. Fersc:nal clave. Debe existir Lrna relación det
personal con habilidades especiales requeridas para
mantener y recuperar el sisterna.
la
el
41
Tf,BLA 4. llecesidedes de equipo pera cada proceso crttico
CfItPñf,IA TY¡ S.A
0ivisih : Fin¡n¡¡slh¡rrtarento: Sister¡sFech¡ : Enero/87
Ehborrdo por : llLH
Re¡iv¡do For : HIR
Aprobrdo por : ALL
---;;;;il ññ--;-- ffi;-----)I X{HIm I I
I II{XI8RE DE LÍ¡S PRÍEESOS i FñCTURACIO¡,,lt
x
Permnente
i I Procesador¡ Centr¡li :
I il. C.P.U ll0D.7 S/3ó i x I x
iE i2. Iierpo de CPU 8¡tchl 3 hor¡¡ I t lpr¡i0 iJ. l{or¡rio i ¡.r, I ¡.r.
-l----------------------- ¡ll
ill Disco I
iP ll. Tipo: J370 - 570 llEl
l0 if. Iierpo I
ill Cint¡s i
ll ló. llodelo Slll-003 I
iS 17. tlhero r¡x de llnid,i
III¡
II
iA i hpresoras: i
iL i8. Iipo: 32ó2-ó30 LPlli IlA i9. Tipo: 5221-lf0 LPlli
l0 i Tenin¡les:i i10. Tipo: 3251
i lll. C¡ntid¡d\----------
FtEllTE: Herren, lhrtn. 1987,
Fara cada proceso se detalla perscrnel clave asf: Titulary suplente. ubicación. teléfono. €tc. En la
determinación de este pelrsonal clave eg de valiogo a.porte
el uso de la matriz de Ia Tabla S.
x
I
4?
TABLñ 5. Person¡l de sister¡s y nivel de conoci¡iento por rplicaci&r
II
iRPLICffiIOT¡I
itAcruRA[¡ox i
I IflVETTARI{}S I
lfioüiltA i
:CUEITAS PM PRE{f, i
ic06T0s EsTtfl|}AR I
iiNYffi 8EtrRAT I
iCUEXTAS P{N COBRf,R i
IESTAoIST¡CA i
i flo|lBRE DEL ñXALISTA pRfFRnmD0* i
i------------------ii JIILIO L{¡TAM J(lftEE IfRftERA JAII€ PEREI áI.FRED{¡ HNALES i
| -----------------______l_¡l¡lII
IIt
lll¡sllalLlt4,,¡s¿llll
Irrrr&¡t?tl9¿t'rrrA¡I
lll¡91
II
------ I
I3
t2
t2
2
3
2
I2
I3
I3
II
\----
FUEITE: lhrrerr, ll¡rfn. 1987.
Lo¡ nú¡eros ¡l frente de c¡d¡ rplicrcién indic¡n el nivel rel¡tivo dr conocidcnto d¡t¡ll¡do del¡ eplic¡cibr.
El 1lo. l indice l¡ Fr¡m¡ que rls conoce l¡ rplicrción, los n(mros siguientes indicrn un lenorgrado de conociriento de l¡ aplic¡cihr,
4.5.3 calendarios de procesarniento. El pED debe contarcon un caLendario de prsceserniento fechas de corte.reporte de nt:vedades. emisión de informes elaborado de
acuerdo con las necesidades de 1os usuariog y
d ispon i bi I idad de eqlti po y FecLrrso hurmano . Egtos
calendarios son f lexibles en el monento de Lrne
contingencia dando prioridad de procesarniento
aplicaciones definidas ccrmo critices.
aque 1 I as
43
4.5,4 F{aterial requerido por aplicación y ubicación.
Esta información se pltede extraer del forrnato atributos
del prc:cesc: de Ia Tabla 2 donde se han enumerado los
docurnentog involucrados en cade proceÉo corno st:n
facturas, recibos, notag" formas continuag y otros
materialeg" corno diskettes, rnanuales.
5e debe registrar el sitio donde
dichog materialeg. Ejemplo: Tabla
5E!
6.
pueden localizar
4.5.5 Documentación. La doclrmentación de sistemag y
proqramasr girve de medio de cornunicación entre los
miernbros del equipo de trabajo. facilita Ia gestiÉn de
desarrollo y gurninistra Ia información necesaría pera el
uso efectivo del gistema.
5e ane'>ra ctlrno herramienta la Tabla 7 matriz de estado la
documentación para cada aplicación.
La docurnentación es un respeldo de las aplicaciones y son
indispensableg pera efectuar labores de rnantenimiento a
prograrnast entrenarniento de personal tanto de sietemas
corno de uguarios o si se preselnte eI caso pera recLrperer
1a información en ceÉo de urna contingencia.
La documentación debe ser de fáci I permanente
44
TAELA ó. l'lateriel requerido por aplicación y ubicación
iNOMERE DE i FIATERIALES i UBICACICIN I
|PROCESO I i ir ------------I-- J________________ |rttl
i FACTURACION DPTO VENTAS i
ARCHIVO :
CREDITOS I
iNOI"IINAII
II
II
iAPLICACIONII
TABLA 7. Egtado de rnanuales por aplicación.
REMISIONESFACTURAS Y COPIASNOTAS DEBITO Y CREDITO
TARJETAS DE RELOJREPORTE DE NOVEDADESFORMAS CONTINUAS REF 2O5
I',IANUAL i HANUALDEiDE
AFLICACION i OPERACICIN
SE6URIDAD i
DPTO NOHINA I
ARCHIVB i
I'{ANUALDEL
I'{ANUALDE
PROERAMA : USUARIO
I FACTURACIONI MERCADEOi CONTABILIDAD
ADD
AAD
AAA
:D
D
:N.N
Desactua I i zadoActna I i zadoNo existeNo se necesita
actutalización. adernás debe archivarse adecuadarnente y sLr
ecceso restringido debe dar infc:rrnación acerca de:
45
4.5.5.1 Manural de Ia aplicación, Fregenta Lrna
degcripciún qeneral de 1a aplicaciónr con st-rs objetivos.
alcances" frecuencia de procesor F€!Iación con otros
procesos,' inforrnes a ernitir. archivt:s a utilizar,
fIt-tjograrne de proceson flujograma lógico, digeño de
informes, docurnentos de entrada. control de códigos
utilízados en la aplicación, códigos de archivog. €tc.
4. 5.5.I Planual de operación . Contiene 1a docurnentación
requterida Fara quiar aI personal de sisternas en Ia
c:peración de Ia apl icación o incluye f lr_rjogrerna de
Frocpso" instrutcciones de operación de cada prclgrarnár
condiciones de validación deI proceso para informar a
control. ingtrucciones de transcripción de datos pare
cada documento flrente qure se procese en la aplicación.
4,5.5.f, l'lanura I de prograrnación , Contiene Ia
docutmen tación bási ca de cada progrerna inclr-rye une
descripcÍón del prograrne r propósitcl" inclLlye el segrnento
del flujograma del procestr a qLle corresponde et prograrna
en cuestión, definición de entradas y gel idas del
procesarniento a ser efectuado dividido en slrbrutinag con
sLr cürrespondiente nornenclatura " descripción de cada
subrlttina '/ curando sr-r cornplej idad 1o exije debe incluir
e1 flt-rjograrna Ióqico de 1a misrnar resLrltados de prueba,
etc.
4, 5, 5. 4 Manure l de l urslrario .
46
Contiene toda Ia
inf orrnación requterida For Ios ugurarios del sigtema para
f aci I i tar I a asimi I ación de I rnisrno . Abarca una
descripción general de la aplicación" flutjograma de
actividadeg y distribución de forrnag y flujc:grarna de
prclceso. descripción de docutrnentos de entrada, cif ras de
con tro I regLrerloaE t procedimientos fnanua l e5 r
j-nstrlrccioneg de control de la información qLre produce eI
sisterna r € losario de responsabi I idades deI usurario "
instrucciones de mantenimientcr a Ia apliceción.
4.6 ANALISIS DE RIESGÜS Y AMENAZAS
Riesgo . EE Lrna con tingen cia o I a posi bi I idad de
daño o pérdida (real academia española). EI riesgo
el ef ecto de una causa. el cual Ee puede digrninutir
ccrn tro l es .
Amena¡a. Son las eventos naturales, accidentes o
intencionales a qure están expuestos los recurrssg del FEII .
Son Ia causa potencial de un riesgo.
E1 anáIigis de riesgos no proporciona exactiturd er1
valoración de Iag pérdidas qLre pLreden ser- ocasÍonadas
entre glrs objetivos se purede citar:
L(n
e5
cEn
1a
. Identificar Iag exposiciones
sornetidos los recutrsog del F'ED.
l as clra l es están
47
Evaluar y clasificar las e>lposiciones
. Cuantificer las exposiciones existentes para
establecer une base €rn Ia gelección de controles de
seguridad de acuerdo a une relación beneficio/costo,
Determina un nivel aceptabte de riesgo y eI costo tror
aI can=ar aquel nivel basado €!n la probabi I idad de
ocuFrencia y en el impacto del negocio si ocurriera,
El análisig de riesgos se puede aplicar a todo elemento.
arneneua '/ cc:ntrol que involutcra eI pED y s€l pueden
clagificar etendiendo diferenteg puntos de vistas,
Accidentales o intencionales
Ocasionadog o no por eI hombre
Por sus efectos catastróficos o leves
Por su prohabilidad de ocurrencia
Internos y externos
En la Tabla I
efectos ( riesgog)
de FED.
se cíta un ejemplo de los posibles
de algunas arnenezas sobre los rcrcursos
48
TABLA 8. Arenezes sobre los recursos y sus consecuencias gotencirlesesoci¡dos.
seg{n leights y
i Hlt¡AtA¡ -----------_--_¡
- AICESI IIf] AUTÍ}RIIáD{I
- S{IBf,E V{ILIAJE
- ERR0RES Y 0iltsr|llts- TfiATSf,ICItlXES FICTICIAS- HELM- REEISTR(I DE ñCTIVIDADES OEFICIETTES
- tr-iActtñ|ltEtTf} nHltEcuf,D0- ItcErDt0
¡I
. Dffi|l DESTRUCCI|IX
- FRHIIE
- DESFATC{¡
. ETARVIO
- R080 - HnI0- fl.IERtrIIil- IffEnruPcilil. IIEFICTETIIR
los
RIESM
- C{ilruTáDIR CENRtt- stsTEiA tPERñC¡t¡XAt
- TERIIIHLES
- PmGRAif,S APLTCáTM¡S
- O{EI'IIEñTOS FIEflIES- t|Ffffi€s- f,ftrfrr|rfts ñá6HTIc0s- ARCII¡V{F IxtrüEXTñf,Tf¡S. CITTAS I}T LIBR€RITS
Gráficamente
recursog del
podemos observar
procetsernienttr de
1a vulnerabilidad
datos en la Figura 3.
4.6.1 Descripción de riesgos y amenazas. Se hará Lrná
descripción de riesgos clasificados de acuerdo a la
intervención del hornbre ya sea intencional o accidental.
4.ó.1.1 Ocasionados por el hombre
Sabotaj e
Robo de Hardware
Fralrde
fl[8ignB,
#üitl:lgru$inn,"
f$f;¡r':,lm,
FIGIIRR 3. Uulnrr¡lilid¡d dr los rGcu¡ros del pED
50
Degconocimiento v f al ta de entrenarniento
Errc:res y/o omisiones en la operación
Alteraciones en el hardware y goftware
Negligencia por inclumplimj.ento de procedimientos
Accesos no autorizados
Docurmentación inEuficiente o inexistente
FaI ta de rnantenirniento preventivo
Riesgo ffsico en áreas adyacentes
Intercepción en eI sigtema de cornl(nicación
Falta de coordinación Ern 1a implementación de nuevag
ap1 icacioneg.
FaI Ias del sof tware de gequtridad
Dificultad de acceso y evacuración de las Ínstalaciones.
Férdidas de 1es soportes
Falta de orden y aseo
4. á, 1 , ? Riesgos no scasionados por e I hornbre
I nutndaciones
51
T'errernotos
I n cend ios
Tormentas e1éctricas
Otros naturraleg
Fluctuaciones de voltaje
Interrupción deI f lurl-do e1Éctrico
Fal leg en las comLrnicaciones telefónicas
Temperaturas er:cesivas
Falles en eI aire acondicionado
Fallas del Herdware
Fo I ución
Fal laE en Ios rnedias rnagnéticos
Fal las en eI sÍsterna operacional
Fal las egtrurctlrrales de construcción
FaI las en Ios gurninistros
4,6,7 Tipos de contingencias, En la elaboración deI
rnanuel a urti l izar en caÉo de continqencia 6e deben
agrt-rper los riesgos o amenaieÉ y establecer tipos de
52
contingenciaEr analizar los posibles efectos y establecer
Iog controles de Frevención y definir planes de acción.
4.á.1, I Destrucción tstal de lag instalaciones del
gigterna de inf ormación. Fuede ser ocasionado por
incendio. e:<pIogión o terrernoto egtá caracterizado Por Ia
imposi bi I idad de r-rti I i zación de I cen tro de cómpltto por Ltn
periodo prolongado de tiempo y Para esta contingencia si
Ers eI caso las compañLas deben atender a las reglas
que esteblece eI gobierno en cascl de ernergencia o bien
recurrrir at plan de recuperación en caSo de desagtre
establecido ct:n anterioridad.
4.ó,:,? FeIla en el equipo o Hardware (Daño parcial).
Es 1a contíngencia ocasionada por cualqutier f al la qLte
inhabi t Íta las operaciones deI computador. fal laE
ocurrridag á cualquier elemento del equipo utnidades de
discog. impresoresi en este tipo de contingencia 1a
inf srrnaciÉn no ha surf rido pÉrdidas pero eI daño en eI
equipo purede ocasionar retragos significativos debiéndoge
anali:ar Ia gravedad del daño y contactar el equipo de
rÉEpaldo de ser necesario.
4.ó.?,f, Daño en las utnidades de almacenamiento pérdida o
alteración de la información. Esta contingencia cobija
la degtrurcción o dañt: de Ia base de datos E archivos
53
principales por faIIas técnicas, hltrto' gabotaje. acceso
no antorizado. En esta situación ge debe recurrir aI
p I an de Bacl,;up Fara recltperar ,/ actua 1 i zar 1a
inf orrnación.
4.á,7,4 Fal la técnica sof tware operacional. Se
congídera aquf clralquier ma1 fltncionamiento en e1 gigtema
operacional. compiladorr proeramas t: cornponente de
hardware de1 computador central " ocagionados por falta de
rnantenimiento perventivo f al lag hurnanas. intencic:nal o
accidental c: interrupciones accidentales por pérdida del
gutrninistro eléctrico, f aI las en e1 aire acondicionado.
4.6.7, Criticidad v probabilidad de riesgos. Los ríesgos
en los sisternag de computtación varfan en probabilidad ,/
criticidedi los riesgos de alte probabilidad y baja
criticidad son ntrrrnalmente inevitables v tolerableg.
LoE riesgos de baja probabilidad pero alta criticidad son
improbables,
Las clases de accidentes para los cltaleg se debe planear
depe'nderá de 1a importancia de los sigternas relacianados
Fero normelmente Ee deben inclulr incendios,
inundaciones. terrorisrno. desagtFes nucleareg. huelgas.
e¡r torsión . etc .
54
La criticidad y el irnpacto están afectados por Iss costog
en que se puede incurrir según las contingencia:
Pérdida o daños de activos
Lesiones personales
Férdida de ganancias Lr oportunidades de negocios
Costos de Fecupereción y arreglos
Férdida de tiempo de 1a adminigtración
Producción de articulos y/o prestación de eervicios
E1 curnplimiento de requerimientos legales
El incrernento en los costos
Este anáIisis de criticidad y probabilidad de riesgos
debe realizarge pera cada uno de los recurstrs del pED
considerando Iag poeibles emenazes y riesgos. Esta
información se puede registrar en un formato alusivo en
la Tabla 9.
55
TABLA 9. Criticid¡d y probrbilidad de los riesgos
REIURS0r C0lfUTnlEf, CEITRAL
RtESS0S
FALLAS I PERDIDR i Dnf,{l iOESTRSCIÍT|TECTICAS I DE IF i PTRCIAL i T|]IAL I
----¿-----------l-----_----- |¡t¡
iAlrEltzRsttt¡
Pf,{¡ i CRI i PRO I CRI I PT{l i CNI ! PRO i CRI i! ---------------------¡----_t_-___.r--_-_l___-J-_---t-____¡__-_t_---- r¡ttltttttliAcc¡0Er{TALESlitiiilt¡ttttrtttttl
llnterrup (volt¡je) i tf, i llAtll
0tBiEtB! -------------------_.1_---t-----¡-_--r-----¡ _____t___--.t___-l-____ rI t | | | | t r t-- |
iAh¡cenin¡decuado lm lm iñ In iXá illA im:fl¡ i! ---------------------¡-----t-----¡ -----l-----¡-----¡--_-_¡----_¡_____ |rrlltliiali Inundacifur IiIiliilIAiilIAIiiii! ---------------------l-----t-----¡-_---¡___--t----_¡_-__-l--___l---_- |rltltttttlilncmdio i i illiAllliAiiltri! ---------------------¡ -----t-----t_-_-_l_-_--¡ --_-_¡_--_.¡-_-__l-____ || | | t I I I r a ---tII
ilrTtrflftxAtEstI
llr¡n¡¡cc.Fictici¡s i B i ll I B I ll im im lH:Xf,| --------------,------t---__.t---__¿-__-_¡____-¿--__¡____-¡-___¡_____ trlrlttt¡ili9ebot¡je i8iAi i tBtAiBiAt! ---------------------¡-----r-----¿-----r-----.1----r-----¡----¡----- I| | | t | | a -i----F--- r
I Terrorigro i I i I iBiAtEiAl| -----------------_-__¡____¡_____¿_____l-___¿____l-_---¿_____t_--_ tlrrttti¡t---lI
iI{ATUfiRLESII
i IerrerotoIt
llo aplicrAl taItedi¡B¡je
Pro: Prob¡bilid¡d de ocurrenci¡Cri: Criticid¡d. Estl en rel¿ciün direct¡ con el recurso y h
irportrncia de égte dentro drl EDf.
IA:A:ñ:8¡
IABLÁ 10. ñetri¡ de rurgo-i¡o¡cto
l--_.--- %: RIES60S I P0SIBLES EFECT0S I pREVE[Crf¡i i pLRi DE ACCIf¡il iRtsp{nsáBt-t DE pll1il 0ESERVnC!$ES ipRoB.ffiufl.:;-*-i-__-i- --
-'.. .¿
i- 0lltrüscihr tot¡li- Accrio rr¡trrnqidi- Ev¡cu¡ción i- Seq. Indu¡trr¡l l- lt ¡., pl¡n rv¡_SAB0T|'IE i loc¡li¡¡d¡ yurbo.l- ldmtific¡ciür del- lrforre Sen. lnd,i- p?in!. gorll.* I .ü¿.ión.i- P¡r¡ dur¡drr¡ i plr¡on¡¡. i- coritó urqlnct¡i- Jrfu dr oprr¡cioni
R|¡BO
DE
HflROÍARE
Rf¡BfI
nr
s{FIIARE
FRAUIIT
Pf¡R Us(¡
APUCAC¡0X
ERMf,$EII LA
tmRAct0H
i- 0¡ño p¡rci¡l del
i cqu¡po
i- Parr tergoral
i- S¡lid¡ inforr¡- I
i ciü¡ conlidenci¡l i
i- Propirdrd intrlrci
i- 0rño prrcirl del
i equipo.
i- Prn terponl
FALTN DE
i¡xTEilItIErf0PREIETIIUfI
' --li- 0rño tn rl h¡rd- i- P0li¡¡.rnttnir. i- Inl. Jefu oprrrc.i- 09.rrdor cquigo i- Lor ¡odr¡¡ ro Ii r¡rr. i- ñrchivo dr rrpor-l- lnl. tÉcnico i- Ilc¡ico oqrtrd.i tiriü r¡ntari.. ii- Su¡Prn¡. terporrll te d¡lo¡. i corgrtrdorts i i- RrriHr control. i
i- Fr¡u¿r¡ i- Soltr¡rr dr ¡r{uri- Inf. Jcfr oprrrc.i- 0pcrrdor lqü¡Do i- hcri¡¡r control ii- Robo iniorr¡ción i- Adrurl¡ contrrto i- Inl. ¡uditort¡ i- Auditorl¡ dc ¡ii-i dr¡no dr ¡cc¡ro i
AUT0RIIAI}0S i- S¡ht¡jr ¡plrc¡c.i
I[ÍERcEPcl0fl i- Acc¡o¡ no ¡utor.i- softr¡rr regurrd.i- lnforrc ¡ererÍdrdi- 0prndor
ACC8S0S
ilo
S¡SIE|iA DE i - Fr¡udr¡ i
[tlllUtlCACl(]lt l- Bloquto coruaic¡ci
i- H¡t qr¡ve rir¡go i
I s¡iqe conoc¡rim-i¡ l¡I lV.
-i_-_-__ I _ --_Á*-rI ACTMDAIIES i- 0¡ño rn I periferi- flo fu¡¡r ¡itio¡ i- Ll¡t¡r l¡ ¡ten - i- u¡u¡rio dutf,o drti- Coloc¡r tetrrr* i iI tbomt^o ?ui tlfR0?¡AS Ell i- lnc¡ndio i cerc¡no¡ rquiF i ción. i lrc¡. i- Drr in¡trucc¡o_ ii USft ESUIP0 i- Corto crrcüito i- t{o corrr.ni b.lrri i i n¡¡. :
_-._-J_ _ -- + --__ -FAI-IA Cf¡{nD¡mC. i- 0¡ño¡ rn rquigo i- lnlor¡¡r cofi ¡n- l- Su¡¡rnder l¡ oor-i- f,rm qur ru¡li¡¡ i- Se dtbr cmunrc¡ri IE[ f,REA SERUICI0SI- Cortes dr energtri ticiF¡tión dt tr¡i r¡c¡ün drl co¡pr¡-i el tr¡ü¡io I por r¡crrto !¡t¡ i IPARá REPAR$!0il i i b¡jo¡ ¡ ro¡¡i¡¡r i trdor. i- El oprrrdor i grucruc¡al. i i---i----------'----i---- J--.--._--r----------,A$ac¡A Il€ i- Prrr rglicrcionr¡i- Re¡l¡ldo h¡r¡oo i- Drlinir reerglu.i- llsurrio rplicr - i- t¡port¡ntr qu¡ v¡i ifpERAlX¡ftEs DE i r crrgo. i- tlanurlu oprrrc. i- hlinir ¡ctivid¡di ción i rir¡ mr¡m¡¡ co-i iAnl0e[lm i ' i- Entrrn¡r i i norcm ot?o¡ tr¡bl I
-
*i lllEI¡SfEl|C¡n 0 i- Oiftcil ¡¡ntrnit.i- ll¡nu¡¡G¡ i- Rri¡¡rr¡iün i- Enc¡rorúo de ¡¡¡-i- F.lt¡ drfinir I iPERoIDA 0E i- Diflci¡ ¡ntrmr..i- Rtrp¡trlo rn rrdioi- Edición ¡t¡ docu- i te¡r¡. i procütirtmtor r i i0f[U|GnACl0ll i- Itoo¡iblr recüglri r¡qnltico docr¡mti ¡rnt¡cibr. i I e¡Hnd¡rr¡. i I
4,6,4 Valoración de riesaos.
5ó
En la valoración de
rlesgos no es nurestro objetivo desarrollar una gula pues
e1 anál isis de las arnenau eE Lr expoeiciones de los
recursos del FED pueden representar mág o melnor riesqog
según I a actividad de I negocio' su grado de
vulnerabilidad o sL( posibilidad de ocurrencia.
Eg por estor eLt€ los rernitirfa al egtudio de tÉ,cnicas de
valoración de riesgos de George Hertiberg de donde pureden
seleccionar con criteriog 1a técnica adecuada atendiendo
e los recursos o información disponible pare dicha
valoración,
Fara lag técnicas qute re,qlrieren el urao de probabilidadeg
de ocurrencia de riesgosr €rs rnuy dif lcil e'ncontrar una
efnprera que cuente con Ia información necesaria. es decirreportes de anornellas. f recuencia de daños, rtc. para eI
cálculo de estas probabilidadesr pero en la actualidad se
cuente con unas tablas o tasag de ocurrencia definidag de
resul tadog de estudiog estadf sticos que Eie podrf.an
ana I i zar corno ú I timo recLrrso . Ver Anexo I .
Esta información de probabitidad puede formar parte de lamatriz de riesgo impacto (Ver Tabla 1t]) donde jutnto con
posibleg efectos orie,ntarían la valoración de riesgos.
58
4,7 DEFINICION DE H5TRATE6IAS F.ARA
]"IEDIOs DE RESF.ALDO
INSTALAEIONES
Este capfturlo se refiere a 1a verificación y evaluación
de polfticas. procedimiento o estrategias de respaldo.
4.7,L Instalaciones de soporte. 5i existe una
instalación de soporte dentro de la misrna compañ1a se
debe verificar gue cutmpla con los requerimientos de
eqnipt: de soporte encontradog en 1a sección 4,5
( identificación de los recurscrs requeridos pera Froceser
las aplicaciones).
Estas instalaciones de sopc:rte deben curmplir con norfllas
mlnirnas de segurridad pára operaF en rnodo de respaldo ,/
estar preparados para recibir los equipos necesarios que
pureden ser snministrados ptrr log rnismoE proveedores de
si-stemas uti Iizados usualrnenter scrbFe esto deben existir
convenios de soporte con anterioridad por tal rnotivo se
recomienda mantenerlog vigentes. Estas instalaciones
deben tener lugar Fere ubicar snministrosr rrpdios',
archivos de datosr muebles. etc,
4.7.7 Contratos con terceros. Deben existir acurerdos de
instalacioneg de soporte y respaldo y deben ester
claramente egcritos" aprobados For ambas partes y
59
registrados legalmente.
EI objetivo de este contratu es legalizar ltn pacto entre
lag ernpresas pare prestarse un soporte mutuc en cascr de
ser requerido pclr uná de, el las al pregentarse Lrna
contingencia. 5e deben definir les normas a que Ee
comprometen cada una aI prestar el servicio de soporte y
recibirlo. igualrnente se deben definir los procedimientog
a segutir pará prestar y recibir Lrn servicio efectivo
( capapacidad de rnernoria disponible en prÉstarno. horarios
de Frocesarniento. tiernpo máximo '/ mlnimo de resFaldo.
etc).
El contrato se debe revigar y actualiuar de acurerdo e las
modificaciones que se hagan al hardware y al software
operacional.
En este anál Ísis prel irninar ge debe deterrninar gi eI
respaldo de hardware y servicios es guficiente y
reevaluar los resLrltados de las trrnebas en eI sitio
alterno de procesa'miento, En el Anexo 2 se presenta un
modelo de contrato,
4.7.3 Pólizas de segLrro. Las póIizas de seguro sirven
cornc: medida de protección r/ Ee requrieren perá redurcir eI
irnpacto f inan ciero de utna pérd ida . se debe veri f i car 1a
UniwsiJod lutonomo de Occidcnl¡
Sctdón Bibliolaco
ó(]
eií rstencia '/ vigÉncia de egtas
evalutar Eu cobertura sobrer
Reposi ción
para reponsr
degtrrtidos en
pólizas de segL(r'o
equtipos, Este segLrro prt:vee los fondog
cornputador,/ 1og periféricog dañadog cl
degastre.
cnmplir ct:n sus obligaciones por Ia
ELr sisterna de prücesarniento de datog.
de
el
Ltn
Es importante revisar los contratos de alquilerpara determinar 1a responsabiIidad en caso dedaños en transporte de equipcls. Es responsableeI vendedor, el transportador o e1 urgnaric¡; quienes responsable por los daños al eqlripo cuandoáste es lrsado pclr terce'ros ( 4 ) ,
Segnro para la recLtperación de medios. Abarca Ia
repo=ición de log cc:stog incurridos en la recuperación cl
reconstrucción de rnediog magnéticos tromo tiempo de
prograrnación. captLrre '/ tiempo de computador rn otras
instalaciones.
Segutro por la interrnpción de operaciones. Estos
fondr:s reernplazan las pÉrdidas de ingresos curando Ltn
negocio no puede I levar a cabo ELrs operaciones
cornercia. I es
in terrupción'/
de
(4) hJEIüHST Er ASOCIADüS DE COLüMBIA LTDA.
¿x1
Sequro por gaEtos ext-ras. IncILrye qastog corno
transpt:rte" la ingtalaciún de respaldo. segLrros
adicionaleg" tiernpo extra, a.nurncios de radio ,/
televisión, servicios de vigi lancia './ otros costos
extraordinarios como consecuencias deI desastre.
4 ,7 .4 Sigtemas de Etacl.;*Up . 5e debe revisar 1a
docurmen tación qLle soporta I as po I f ti cas
egte caso la creación o generación
de
de
soporte en
bacl,;up de
alrnacenamienta de prograrnas" archivos, aplicaciones"
documentog de entrada y salida. mánueles, listados y
cutalqlrier docurmentación requerida ptrr el centro. Este eE
el respaldo mág importante Fara la inforrnación dado el
valor operativo ,/ estratÉgico corncl rercLrrso.
Es necesario establecer rurtinas de bachup qlre garanti.cen
Lrna recLrperación pr(]nta de Ia operativÍdad con bage en la
d i.spt:n i bi I idad de 1a in f c:rrnación .
Todos los medios de backr-rp deben EÉr retenidos €rn un
a I macenarnien to rernato ,/ segurcl r pFoteger l os en Ltn
ambiente entre l{r"C ,/ 3r:¡"C y hr-tmedad entre B y B(lZ.
clrmpl iendo con las norrnas de alrnacenarniento vistas en el
nllrneral 4. 1 . á. ó. La ubicación de estog respald(rs debe
ser conocida For brigadas de bomberos. vigilantes, cornitÉ
de emergencia y en caso de evacuación Ee deben tratar de
62
r€¡scatar con prioridad,
El plan de backltp debe ger desarrol lado pare cada una de
las apl icaciones, 1a periodicidad o frecuencia de
genera,ción de cada aplicación 1a purede planear eI uÉLtario
ctrn eI encargado de sisternas de 1a apl icación, el usuaris
ÉrE el responsabler de su ct:nservacÍón r Büneue se
recomienda qLre el departarnento de sisternas y aurditorla
interna establezcan un estándar de Frclcesarniento pera
estas aplicaciones.
Las pollticag de bactlup deben s;er incorporadag al mannal
de instrucciones de cont.i.ngencia. Log audj.tores deben
verificar los sitios de almacenamiento y deben cornprobar
que los archivos retenidog están en óptimas condicic:nes,
4.7.4.L l"lovilización de bacl,r.-r-tp, E1 control gobre 1a
transfere'ncia a '/ degde log alma'cenes de bacl,;-up debe
cumplir con algunas norrnas de seglrridad:
Restringir
sutpervisión.
el accescr a los mediog de backup gin
El rnovimiento de
alrnacenamiento debe
I a en trada cclrnc:
los rnedios de
ser registrada
en 1a sal ida
Ias ingtalaciones de
v docr-rmentada tanto en
por L(na p€lrsona
ó.1
independiente al correo y a1 grLrpo responsable por
centro operacional.
5e deben verificar la identidad v antecedenteg de
tercaras personas qLre puedan resgutardar y moviliuar
bacl,;.utp,
Se recomienda aleatt¡riamente leer y verificar'
exactitr-rd de las bachr-rp pc:r elgurien independiente a
persona norrna I rnen te a cárgo .
4.7.4.2 l"létodos de generación de backltp
4.7.4.?.1 MétodCI de generación de archivt:g (abuelo.
padre, hi j o ) . 5e recorni-enda Eu uso en gistemas
secuencÍaleg, en lotes o batch. Al ocurrir Lrn daño en la
t-'t l tima copia de la inf ormación v En sLr dupl icado se
plrede tomar Ia anterior cl Eea la del padrer 6E actueliza
y se purede operar normalmente c: en cagcl extremo de
dafiarse l as dos ür I timas copias r E€ t--¡rnará I a copia de
abuela y se parte de ellf.
4.7.4.2.2 Método clascargue de archivos. El usado cada
vez que s?é lleva a cabo urna actuali¡ación, donde el
ragistro antigr-ro es reernplazado por Lrn nLrevo registro.'
el
las
los
la
Ia
4.7.4.?.f, Archivas dutplicadog. Son ursadss cltando
64
rÉqr-riere cc:ntinLridad in=tantánea en el evento de que uno
de los archivog se dañe o se haga inaccesible. EE trata
de tener dos archivos gimilareg, Los dos archivos
residen en dos rnedios de almacenamiento separados, En
caso de falIa" Ia operación eg desviada a la copia de
trabajo y Ee reanuda eI Froceserniento.
4.7.5 Procedimientog rnanurales de soporte, Se debe
verificar Ia exígtencia v furncionamiento de
procedimientos rnanlrales de soporte a urti I izar en caso de
presentarse una contingencia en un centro córnputo.
E1 personal (uslrarios) debe tener conocirniento y manejc:
de estos pracedirnientos manuales que pueden ser
real irados rnientras durre la interrnpción.
Hsttrs procedimientos scrn 1a solución efectiva en relación
costo efecto y resulten atractivos a los ursuarios ya que'
están dentro de sur control.
5. PLAN DE EHERGENCIA
EI plan de contingencias incluye manltal de procedimientos
de ernergencia qLre cubren Ia segtrridad del personal,
prográmasr archivos, guministros, y equriposr def iniendo
los pesos a segutir ante un riesgo inminente o ltn desagtre
en eI centro de cúmputto. evitando o rninimizando las
falIas o daños que puredan ser ocesionados.
HI objetivo deI plan de emergencia o csnocido iguralmente
por plan de acción es indicar a lag personas
fiornprcrrnetidas las principales accicrnes que deben seguir
según responsabilidades asignadas facilitando Ia toma de
decigione= para une labor e>ritosa.
En eI plan de ernergencj-a se recornienda contemplar los
desagtres naturrales v eve,ntos mal intencionadog como
asonadag. ataqLres armadog " etc, Estas e,mergencias son
caracteri:adas For ba_las tasag de ocurrencias y altos
niveles incertidlrrnbrei Iog errores por feIlas hurnanas
(operaciona1eg) o daños en cornponentes deI equipc¡
66
cáracteri:ados por rnoderadas tasas de ocurrencia deben
ser contemplados en ltlg procedirnientas operacionaleg.
En eI caso de los degagtres naturrales gu adecnado rnanejo
depende de una de¡tección temprana y une planeación de su
ref renamientc r EE Espera qLre I a in f orrnación de
advertencie parta de los medios de cornLrnicac j-ón y /a de
las autoridades localeg. La responsabilidad para recibir
de los rnedios de comLrnicación y mantener enlace con 1ag
aurtoridades es astgnada al departarnento de segr-rridad '/ la
gerencia del centro de procesarniento debe esteblecer
enlace ct:n egte departarnento.
La mayorfa. de lag egtrategias pera Iimitar el daño
ernergen cias se en ctren tra en l og proced irnien tos
evacutación, protección, ref renarniento y extincián.
La efectividad de los planes de ernergencia depende del
adiestrarniento y preparación de Ios empleados¡ s€ deben
proqramar sifiLr lacros con algltna periodicidad para elpersonáI de al ta rotación r Entrenemiento de nLreves
destrezas. mt:dificaciones al plan anterior" rtc.
5.1 DEFINICION Y RECONOCIPIIENTO DÉ UN CASÜ DE EÍ'IERGENCiA
en
de
Hay dos tipos de ernergencia nna qLre eiíige acción directa
inmediata y otra
dnrante eI riesqo.
qLrs perrnr te Lrna
d i recta nc] permi te
porqure eI riesgo es
de incendío.
67
acción coordineda
coordinar
inminente
La emergencia de acción
nlnqLrna acciún de grupo
como por ejemplo urn conato
La Ernergentria de
varias pergonas r
y discusión sobre
acción coordinada perrniten qLre actuen
el tiempo disponible admite evaluaciones
las medidas a tomar,
5 . : ACT I ONES DE EI"IEREENC I A
5.:.1 Frocedirnientog durrante la emergencia. Una vez se
dete'cta el riesgo se actúra de aclrerdo a la preparación
qLrE Ee tenga pare solucionar la emergencia. Se
recomienda instalar en L(n lugar de f áci1 acceso aylrdas
pera rrtilizar en egte caso¡ sE recomienda:
Apagar eI compurtader interrumpiendo 1a energla.
Activar los sisternas de alarma
Ile ser necesario
por la persone sobre
p l an debe curbri r
se debe dar la orden de evacuación
qLrren recae egta resFonsabilidad, eI
los procedimientcrs de cómo serán
óB
notificadog los ernpleadss y cómo conducir log
procedirnientos de evacuación tanto deI fersonal comc las
rnediog magnéticost estog procedirnientos deben ejecutarse
en la pruteba de I p l an .
5e deben identificar procedirnientos de seguridad
ffgica tanto para los recursos del FED y empleadog en
general qlre gárenticen protección '¡ /o digminución deI
efecto o impacto de la contingencia.
Elloqurear el acceso a las apl icaciones y avisaF a los
ltglrarios pera que Ee reti ren de I sistema , cornun i car a I
j ef e de operacic:nes y a I tÉcn i co de rnan ten irnien to ,
Se debe tratar de salvar Io qlre qureda del degastrei
establec€rr procedimientog adicionales gue minirnicen
dañr:sr ÉE debe refor¡ar la seguridad del edificio o de
lag ingtalaciones '/ regtaurar los cc:ntroleg existentes.
5.2.2 F rocedimientos posteriores a la emergencia.
Slrperada la emergencia el comité realiza un reporte de 1o
sncedido. que le permitirá hacer una evaluración del daño"
egtab l ecer tiempo má >l irno '/ mf n irno probab l e de I a
recLrperación de FED pera seleccionar Ias estrategias y
procedimientos a seguir que fueron definidos clrando se
elaboró eI plan:, sE revigarán los re,qurerimientos de
69
recuperaciónr dF seF nEcesáriü sÉ reúne eI cornité de esta
etapa pere hacer los arreglos pera lag instalaciones v
rnediog de soporte. o bien la ejecurción de procedimientos
manua l es pera l os prog ramas de menor g rado de
cornplej idad " los clrales f ueron detectadgs en el anáI isis
de lag aplicaciones y definición de prioridad.
5.?,2.1 Reporte de la emergencia
5.2.2. 1. I Descripción de 1a ernergencia
flurá slrced ió
Hora de inicio y fin
Cómo ge atendió
Fosibles causas
5.:.I.1.: Efectos de 1a contingencia
Inventario del hardwere
Reporte de 1as instalaciones
Estado de las cornLrnicaciones
Informe acerca de las aplicaciones
Univcmidod ftrfonomo de 0ccid¡nlr
Serrión fibliotcco
Estado de log respaldc:s rnagnÉticos
7A
En Ia Figurra 4 se ilustra un diagrama de flujo sobre etplan de acción en caso de presentarge una interrupción en
eI cural sel involucra los tres procedimientos básicos:
emergencia. rrspaldo y recuperación.
5.2.3 Comlrnicación . EI plan debe definir losprocedimientos para notif icar a Ios ernpleados, al grupo
de reÉpaIdo y recLrpereción, a lag autoridades locales,entidades de emergencia '/ clientes de ser necegario. todo
según 1a envergadlrra de 1a contingencia.
La inforrnacÍón que se difunda a través de los medios de
cornLrnicación debe ser clara y precisa pera evitar rurnores
e inforrnaciones inexactas que puedan afectar la irnagen de
la orqanización.
5e debe recurrrir a la lista del personal que conforman eIcomité de emergencia con sus respectivos suplentes(nombre, dirección y teléfono) los clrales deben coordinarune reunión y establecer las respt]nsebilidades de ceda
pers(]na quienes tornarán la decisión de declaraF y
comunicar la emergencia.
Et plan debe indicar la pergone responsable dentro delcomitá encargada de establecer contacto con proveedores
de forrnas o snministros urtilizados por el FED, 6e debe
OPERf,. REtr I C¡ 0
RRC I {¡II
BEPABAC¡O
D0cunEit0sBESPilDO
l}PEBAC If|IIñAiUEL DE
USUEB¡tl
F¡GURA ¿, Di¡grr¡rr de un pl¡n dr ¡ccion
72
ctrntar con L(na lista de proveedoresr incluir en 1o
posible negoriacioneg e identifi.car la persona a 1a cural
Ee debe contactar.
Se debe cornLtnicar con log
clrales se tienen conveniog
procesamiento de backups.
lrtgares o elrnpresas con 1og
recfprocos o contratog de
á. FLAN DE RESF'ALDO
EI objetivo del plan de, respalcJo es poder reiniciar las
operaciones del departarnento de sistemas cuando se haya
pre=entado Lrne interrupción. en eI rnenor tiempo posible y
con Lrn costo ra¡onable definiendo con anticipación las
estrategias ,/ procedimientos necesarios pare opelrar en
rnodo de respaldo.
For taI motivo. €s necesario identificar los recurst:g
claves del sistema. Ios efectog de log riesgos y la
dificr-tltad que significa no contar con el recurso de
soporte curando se presente una contingencia.
Este plan sÉ refiere a log procedimientos como s€r ven a
r-rtiliaar. Los recurrgos de soporte qure flteron definidos
en eI nltmeral 4.7 ( instalación de soporte I contratos con
tercer(]s, pó l iias de segLrro. log bacl.:-up o mediog de
respaldo y procedirnientos rnanuales ) y deben Eer
dscnrnentados Fara operar en ceso de una fal la importante
en eI hardware o Eoftware o la destrucción temporal o
perrnanen te de 1as insta I aciones .
74
ó.1 REIIUERIIIIENTOS FARA OPHRAFI EN HODO DE RESF'ALDO
EI plan de soporte debe inclutÍr Lrna Iista de las
aplicaciones crLticas y definidag con prioridad de
procesamienta ,/ facilitar el acceso a ellas docutrnentando
los gitiog de almacenarniento de egtos rnediog magnéticos.
5e debe dar alcance a los calendarios de procesemÍento
y notificar al personal requrerido para la recuFereción de
las aplicaciones crfticas.
Este plan debe inclnlr los procedirnientos qLre
f aci I iten 1a capturra de la inf orrnación medios de
transporte o desplazarnientos tanto para bac[,;r-rp, equiposr
personal, manuaIeE" sumÍnistros a los sitios alternos.
Ident-if icación de 1os carnbios que deberán real izarge
en Ios prclgrernes apl icativos pere que puedan ser
procesados,
Frocedirnientos pera degviar las cornLrnicacioneg hacra
las instalaciones de respaldo.
Coordinar procedirnientos adicionaleg para Ia entrada
de datos y distribuciÉn de repartes de salidar cooFdinar
itinerarios de entrada y salida de datos.
73
á.? F,ROCEDIMIENTOS
RESPALDO
DE SETJURIDAD AL ÜPERAR EN f{ADCI DE
Tornar las medidas necesariag para qLre Ias actividades
de respaldo sean I levadas a cabo eficientemente y cc:n los
controles que garanticen seguridad En el manejo y Lrso de
la información en loE sitios alternos.
Realizar copias de log bachups recurperados para
correr riesgos de pérdida adicional de inforrnación
sof tware" y gurardarlos en sitios Eeguros.
l'lantener controleg sobre los materialeg hardware y
t;oftware distribr-ridcis en log sitit:s de respaldo para
evitar f raudeg cl pérdidas,
Deterrninar les procedirnientos para poder ingresar a
Ias ingtalaciones de respaldo n cada ernprese trene
estab I ecidas d i f eren tes rned idas de segurri-dad para
restringir eI acceso só1o a1 personel aurtorizado,
Bt:rrar toda información que qureda en la memoria o
disco deI compntador despurés del proceserniento y degtruir
aqute I I a generada en f orrnas irnpresas .
no
Y
EI
'./
en
7. F.LAN DE RECUFERACION
plen de r-ÉcLrperación corresponde a lc:s procedimientos
actividades a desarrol lar antes de continuar operando
rnodo de respaldo lutego de surperada urna emergencia,
Los procedimientos para la recuprración del nivel normal
de Lrn PED depende de rnuchos factoreg entre otros eI
irnpacto sr-tf rido pclr el centro" equripog de soporte y otrosrEcursos y plreden ir desde la reposición de urno o varios
equripos hasta la reconstrucción de una nueva ingtalación.
A demás las ingtrucciones que deben segnirse para lareinstalación de los sigternag apI icativos y archivos de
datos curando se dispnnga del centro de córnputo
restaurrado.
7.L APLICATINN DEL PLAN DE RECUF,ERATION
Al presentarse urna contingencia el l lamamj.ento aI plan de
recLrperación y Ic¡s procedimientos a seguir dependen de Fu
migrna natlrraleza ,/ los dife,renteg escenarioE qLre se
77
pLredán encontrar: pérdida parcial o total de lasj-nstalaciones" pérdida de j-nforrnación crftica, pérdida de
I a docurnen tación " etc .
7.? COI"IITE DE RECUF'ERACION
En 1a definición de los inteqrantes dei comité de
recuperación se debe tener en curenta pclr eI tipo de
actividades a degarrollarr eua e6 neceserio vinclrlar a
este dos tipos de personasi Lrna con doteg de llder pera
implementarles y desarrollarlas y stra con habilidades
técnicas pára las labores de rnantenirniento.
5e recomienda que el llder debe iguralmente ser
experimentado csn sistemas grandes de aplicación igutal
que en lt:s planes anteriores debe documentarse este plan
ccln los nornbres y dirección de titulares y sLrplentes y
funcioneg y responsabilidades de cada uncr de los miembros.
7.3 PRüCEDII"IIENTOS DE RECUFERACION
Se deben
regreser de
recurperada,
definir la
Ios gitios
securencia de operaciones para
de soporte a Ia instalación
Una veE restauradas las instaleciones iniciales
7A
deben coordinar las actividedes de retorns a esta v al
regtaurrar lss archivos Ee recornienda creer nuevarnente los
bacl,:.-t-rp para estar preparadns para Lrna nLreva
con tingencia.
Es necesario rediseñar controles '/ poI lticas de
operación ,/ rea I i ¡ar prlrebas que garan ti cen que I a
retroalimentación de 1a información en la recLrpeFación eg
correcta y corresponden a las trasacciones efectuadag pt:r
1a compañJ.a. pera esto es necegario recurrir a los
clocurrnentos f urente " l igtados de gieternas trere tratar de
detectar errüres ut omisiones.
Igualrnente Ee deben recLrperar lc:g datos s archivos qure
no se hayan acturalisado en Ia aperación en modo de
respaldo por no considerarse crLticos.
Egte comité debe estimar eI tiempo que ser requerirá
para la normali¡ación. además debe asignar recursos
adicionales. corno trabajo extra y debe prograrnar la
revisión de lag Iabores ejecutadag dlrrante los
procedimientos de ernergencia,
Deterrninar '/ evelurar lt:g daños. urti I irando eI reporte
de la emergencia. analizar Ia situtación que caurgó el
prohlemar registrer Ios factores que pltdieron influfr y
elaborar las recomendacicrnes necesarias.
8. EJECUCION Y F,RUEBAS DEL F,LAN
El objeto de reali¡ar prnebas es evaluar la efectividadde los diferentes planes elabsradog pera utitizar en
casos de contingencias ( plan de emergencj"a" plan de
respalda " '/ plan de recLrperación ) .
cuando se acaba de implementar lrn pl.an Fara contingencias
es necesarin similar diferentes casos de interrupción que
l leve a Ia ernpresa a recurrrir a los dif erentes planes
permitiendo comprobar su efectividad" adicional a estaprueba generá1 es conveniente realizar prutebas parciales
'/ periódicag para detectar posibles omiEioneg o puntos
dábi I es .
8.1 RECOI{ENDACIONES
La efectividad de los planes para contingencia depende
del nivel de adiestramiento y preparación gLre tengan sus
r-esponEablesr €stas capacitaciones deben hacerse en
flrnciones norrnales de trabajo. se deberán visitar las
Univcridod lutonomo dc ftcidrnlr
i,nsta l acÍones de soporte
I oca I i zación de I eqr-ri po
recomendación EE válida para
en modo de respaldo.
BO
para familiarizarse con 1a
y sLr operacién. esta
el personal clave aI operar
Estas prurebas deben estar debidamente planeadas y
docurnentadas corno Ee putede apreciar en eI forrnato No. L y
deben cLrrnpl irse Ios itinerarÍos de simulaciones.
5e debe definir Lrn grupo pera Ia evaluación y el
control de las prlrebas entre otros es conveniente
vincltlar aI auditor interno y al coordinador del proyecto.
EIlns llevarán Lrn registro de log pasos ejecutados hasta
que finalicen las prutebas y harAn log ajustes necesarios,
5e puede simular el evento de di"ferentes riesgos sin
aviso al perscrnal de sisternasr EE pueden esccrger estos
riesgos en forma aleatoria o con base en Ia probabilidad
de ocurrencia.
Estae pruebas y simulaciones deben prograrnarse
sernegtralrnente y para el personel de alta rotación deben
hacerse con rnayor f recuencia.
Las prt-tebas para probar los planes de contingencias
s1
deben abarcar clratro faseg.
F'laneamiento de las prurebas
Ejecución de las prltebas
Definir criterios de evalnación
Evaluación de los rest-rltados de las prurebas
Estab I ecer un prog rarna
teniendo en cnenta lag fechas
de man ten imien to . 1as nLleves
prograrnas de entrenarniento ,/
o croncgrarna de trabaj o
picos" las fiegtas. fechag
vers j.ones de I sof tware , I o5
trtrag consideracic:nes.
Considerar el personal y equripo que egtará disponible
para eI grLrpo de recLrperación pLres la prueba pnede
incluf r ,/ exclr-rÍr personal y equipo clave.
Debe aseglrrerse qt-re la prueba abarca urn tiernpo llmitepara verificar 1a recupereción en un periodo razonable
evitando interferencias con el trabajo normal de centro.
Se debe evallrar e1 impacto potenciel de ta prneba.
controlar que sean adecuados log nivel.es de servicfo.
Log archivos usados en las prurebas de respaldo deben
cclnfLrEiones con
a:
los archivosser renornbredos pera evitar
de trabajo norrnal.
Los archivos de recLrperación produrcidos durante la
prueba deben ser borrados y se deben eliminar cualqnier
rnaterial impreso en Ios sitios alternos.
E I curestionario para eva llración de pruebas debe
inclurLr las burenas ideas o tÉcnicas encontradas que gerán
t-ltti les en recLrperaciones f ltturas y ge deben identif icar
los purntos dÉbiIes Fara posteriores modificaciones.
Sie deben definir la resptrnsabilided de las accioneg
correctivas y deben quedar por escrito en el reporte
final de la pruteba.
9. ACTUALIZACION Y AUDITORIA AL F'LAN
EI objetivo de este ejercicio es rnantener perrnanenternente
actual izado los procedirnientos e inf orrnaci_ón del plan de
conti"ngenciag, al igtral que log cclnvenios o contratos con
tercerc= qute cleben egtar Lrrqentes.
La actural izeción del plan es Lrno de lc¡s elementos más
importantes Fara sLr furncisnamÍento adecuado clrando se
Fresente Lrná efnergencia n pera lograr que ge encurentre
adaptado a, las necesidades de la empresa.
Es i6ltalmente importante Ia intervención del auditor yd
que puedg advertir a 1a qerencia ecerca de cualqurer
deficiencia que encutentre en ltls procedirnientog de
efnerqenciB. respa I do . recuperación. prografnas r
instalaciones y equripo.
9.1 RECOMENDACIONES
Debe asignarse responsábi 1 idad para monitorear
84
ct-ralquier cambio planeado en las instalaciones de
prclcesarniento de datos o cambiog en 1a disponibi I idad o
hebi I idad de los empleados reÉFonÉableg de tareas
especfficag en el plan de contingencias.
5e recornienda imp I emen tar Lrn p l an periód i co de
revisiones al contenido de 1os bacl.tup de medios
rnagnÉticos para asegurar ELr conf iabi l idad.
E1 plan debe revisarse cornpletamente mLnimo Ltna velz
por año pero debe actltalizarse cada vez que se haga
netre5ár]-o por:
Cambios en los eqnipos
Incluf r nuevas apl icacisnes
Modificaciones en las aplicaciones
Actual irar red de cornLrnicaciones
Cambiog en 1a= instalaciones de soporte
Carnbios de personal
Actnalizar log convenios de soporte cc:n la ernpresa qLre
fl5
propt:rciona el eqLripo de respaldo,
Hacer mantenimiento aI plan, cápitali¡ando las
e>lperiencias encontradas en lag diferenteg prurebas.
Curando se I I eve a cabo Lrna actura I i zación o
mante'nimiento al plan se deben acturaliear lag copias del
misrno qt-re están en poder de log diferenteE comités o
personal clave.
1(]. CONCLUSION
El objetivo de este trabajc: fr-ré elaborar lrna herramienta
Crti I corno gnla en la implementación de un plan de
contingencia en Lrn ambiente de procesarniento de datosi he
aqurf log aspectos rnás importantes a cubrir en eI
desarrol lt: de este objetivo gin establecer enfoques o
enrnarcarlo de acuerdo a necesídades particr-tlaree o a
tipos de ernpresa por su función o tamaño.
Eg labor del uguario de
procedimientos que él
organización, atendiendo
recurscrs disponibleE,
éste Fettrmer y aplicar los
considere propios a sL(
e su actividad eepecffica y
At planeamiento de contingencias generelmente parte de 1a
situación de contingencia y presenta las diferentes
planes e desarrol lar para disminuir los efectos y
recllperar el gervicio del centro de cómpltto en el menor
tiempo posible. Nuestra gula considera particularmente
importante vincular a este plantearniento un análigis
prelirninar cuyc: objetivo eg detectar 1a
lss procedirnientos e>ristenteg y
pFeventivag que disminuyan los márgenes
recursos del PED.
a7
vulnerabilidad en
definir medidas
de riesgo en los
E(IEILIÜERATIA
fjARTON DE CULü|{FIA 5.4. Diseñc: deI plan pararecLrperaciún de desastres.
TARVAJAL 5.A. AuditorLa de sigtemas a centroE decómpurto.
üornplrter Fraurd and Secnrity Fr-rl letin. Vol. f,. No. 4(abr. l?üt) ; Vol. I. No. 7.
CüÍTFORACION UNIVÉRSITARIA AUTONOI{A DE OCCIDENTE, SegundoSerninario de Auditoria en Frocesarniento de datos.Frograrna de educación continurada. (oct. 19€lE}),
CUARTO SIf'IF.OSIO CÜLOMBIANO DE AUDITORIA DE SISTEMAS.l"lernsriag.
HERTZBERE. Eeorge, TÉcnicas modernas de análisis deriesgc:s.
INGESCO. Uontrt:les y procedirnientos.
INTERNATIONAL BUSSINES MACHINES CORPORATION. IEMSystem/36. System Security Gr-tide,
l'lYERS. FiENNETH N. Córno evitar Lrna crisis. En ¡ Datagisternas. ( jr-rl . /ago. 198á) .
SEGURI DAD EN I as redes . En : Data sistemas . ( mer . ,/abr .1987).
TERCER CüNGRES0 LATINOAÍ"|ERItANü DE üüNTROLEST SEEURIDAD yAUDITORIA DE SISTEMAS COHFUTARIZADOS. Cómodesa,rrol lar e implernentar urn plan de contingencias.Bogotá : s.n.r 1946.
tJEIGHST" F'hilip y RAMIREZ. Manurel H. Flaneamiento paracon tinqencias.
ANEXÜ5
aa
ANEXO I. TASAS ESTIIÍADAS DE OCURRENCIA
Caursas de riesclo Tasa estirnada de c¡cltrrencÍa
Errores hurnanos
Entrada de datosInstruccioneg por terminalArchivo o prograrna indebidoArchivo dañado al manejarls
Fal las del eqnipo de trompu-tación/prográmas de operación
Interrurpción de operacíonesFérdida de informaciónError en la lógica
Abr-rso deI computador
RoboDesf a I coFralrdeEspionaj eInvasión de 1a privaclal'1ala féAsturcia
Catástrofe
FlregoAguaVientoDisturrbios civi les
1{l veces aI dfaUna ve¡ cada 1ü dlasUna vez cada 4 añssUna vez cada 4 afios
Una ve¡ cadaUna vez cadaUna vez cada
d lasd lasd fag
cada 4 añoscada 1t-rt-¡ dLagcada 4 añoscada 4 añoscada 1t)(¡ dlascada 4 añogcada ltX¡ dfas
1(]1ü1(J
Una vezUna vezUna vezUna vezUna vezUna vezUna vez
Una vez cada 4Q añosUna vez cada 4O añosUna vez cada 4O añosUna vez cada 4(l eñog
89
ANEXü 2. CÜNTRATO DE SOF'ORTH
f- or e I presen te docurnen to hacernss constar nosotros
Hurnberto Parra q rnayor de edad '/ vecino de Cal i r tron
cÉduIa de ciutdadanf a No. éltJ{ls0t) de CaI i " euien contrata
en nombre '/ representación de Ia Compañla XYZ S,A. como
tierente Gene,ral del rnisrno. Jacinto Jirnenezr mayor de
edad y vecino de CaI i , portador de 1a cédr-rla de
ciudadanf a Na. 6!ü(J. c-)r) e>rpedida en Cal i r et-rien contrata
en nombre de la Compañf.a ABC 5.4. rnanifestarnas qLre hernos
celebrada Lrn contrato de equripo de soporte sujeto a las
condiciones qlre se consignan en las siguienteE cIáusuIag.
CLAUSULA PftIMERA: OBJETO DEL CüNVENIO.- Establecer un
pacto entre leg ernpreses Ltsurarias deI 5/3S IElf .. para
prestarse murtuto soporte en el rnornentt: en que por causa de
Lrna contingenciar EEá requerido por cnalquiera de Ias
empresas qlre f igurran Eln ese ccnvenio. Def inir las normaÉ
sobre las cuales cada efnpresa s€' comprornete a prestar eI
gervicio dando soporte a otra, y el procedimiento que se
debe seglrir Fara lograr efectividad en el Eervicio.
{:LAUSULA SEGUNDA: CúNSlDERAüIONES BASICAS. 5e egtablece
claramente para la ntiIi:ación de 1o= recLlrsos de Ia
É*rnFresa otorgan te , pre l ación para e I I a rnisma corno dureña
del equipo. pare 1o cual resta los recursos que sLr
necesidad inrninente le impida otorgarn tratande en todo
l.t: posible de reservar log recursos minimog para eI
?ü
solicitante. La primera opción para 1a prestación det
soporte Én hardware y softwere estará a favor de Ia
prirnera empresa solicitante que haya firmado convenio con
la aportante. y asf sucesivarnente para otras. Esto segútn
Ias fechas en caso de que ocLrrran más empresas tanto en
convenios vigentes corno En tiempo de contingencia
sirnultánearnente. Los recursos de máqtrina y sof tware qu€:
podrá suministrar 1a Ernpresa aportante a Ia ( s ) qLre
soliciten (n) por ercrito el soporte, gerán cuando más
igurales './ no superj-ores a los qute tenga (n) ésta (s) a
disposicidn de sur (s) propia (s) ingtalación (es), Estss
convenicrs se fj.rmarán y serán revisadog pcrr las partes
para vigencia rnáxima de 1? meses y cltandcr más, en ese
Iapso Ee acturalízarán loE datos de hardware- software
disponibles En cada ingtelaciÉn. tada ernpresa f irrnante y
sólo pára fineg de autto*control llevará registros de la
uttili¡ación de sus equipos por parte de otra ur otras ye
qlre este convenio no aspira, por consj-deraciones Iegales.
a llevar cLtentas de cobro o cuentas corrientes que los
ceusen. Las empresas qLre guscriban estos convenÍos
tratarán de adeclrarse para lograr cornLrnicaci_ón de datos
entre eIlas posibititando con eI1o 1a transmisión en
condiciones er:cepcionales que entrarÍan a reglementarse.
üLAUSULA TERCERA: FROCEDINIENTü GENERAL.* El presente
convenio murtr-ro es efectivo desde Ia fecha de Ia f irrna de
Ias participantes y estará regido pcrr lag ncrrrnas aqlti
?1
relatrionadas, lag clraleg log participantes se obligan a
cumplir en forrna de igual responsabitidad. CLAUSULA
üUARTA; cENTRüs DE tioFoRTE. - Log centros de soporte
serÁn los siguierntes: I. üompañla XyZ, dirección del
tentro de cómputo Avenida del Rlo Teléfono 7üaoóo
contactar a Ricardo Éialdarriága¡ cargo Gerente de
Sistemas " Lr_ris Hdnardo l'laya r cáFeo Jef e Sección
F rocesamienta rje Datos i conf iguración actural ; IBpl S/Sg "
l'lodelo 7r{)481.; ( 1. ) i IFM .:Í;i7(l unidad de disco, iz ot'tB ( j) ¡
IFM f,411 Unidad de cinta rnodelo BC¡O/1ór)ü BF I ( t ) i IEIM
f,2ó? áStl LFM ( 1) i IBt',t SZZ4 t4r) LFM ( 1) ¡ IBM SZSI
Estaciones de trabajo (1r:r¡, II. CompañJ.a ABC S.A.
Dirección del centro de cómpltto: Edificio Estatalteléf ono ór-)5()4{j contactar a Fedrs perez 6erente de
sistemas t Jr-r l io Yaner supervisor de operaciones !
conf iguración actnal i tEt"l s/3S rnodelo 7Ze4A hlB ( 1) i IBH
:f 37r) Un idad de disco, 57 0MB ( 1 ) i I FH .3411 unidad de
cinta modelo 5 E(lültóeü BFI (1) ¡ IFM saóz áso LFt't (1) ¡
I EM 5Zt4 t4() LF,pt ( I ) i I BH SZ$t Egtaciones de trabaj o(15). CLAUSULA QUINTA; NORI'IAS GENERALES. _ La
aprobación a este convenio debe hacerla el Gerente de
Sistemas de cada ernpresa o el que haga EuE veces y el
superr(]r al cural representa eI Gerente de sistemas o eI
qLte haga EiuÉ vecest asl cc:rno los furncionarÍos de f iscalia
o auditorfa qt.re convengan en cada ceE(l . La duración de
este convenio será de un año contado a partir de la fecha
97
de su f irma y se renova.rá salvo qLre algurna de las partes
rnanif iegte a las stras. con Jt-¡ dÍas de anticipación y pgr
egcrit(] Ia no renovación deI rnisrno. La cornLrnicación
escrita de que habla eI párrafo anteriorr sÉ debe hacer
llegar a cada rtna de las ernpresas pertenecientes aI grLrpo
de soporte. El gerente de sigternag de cada una de lasernpresas (] el gLre haga sLrs vÉces debe poner al tanto a
cada Lrno de Iog jefes de departamento uguarigs de
sistemag en st-r ernpresa de lo egcrito en este
procedimiento" para lograr una integración de todas lasá reas imp I i cadas en e I caEo de con tingen ci.a . cua I qltiera
de las ernpresas qt.te conforman este grLrpo" podrá solicitar
soporte único y exclusivamente cuando se presente una
contingencia. Los daños ffsicos ocurridcrs en el equripo
de I a ernrpesa gue está prestando soporte !, son
responsabilidad de qlrien recibe el servicio. siempre y
clrendo sea demostrado qLre el los fueron caugados por
neg I igen cia o descuidc: de I urslrario transi torio , E I
horario Fare urgcr del eqr-ripo de soporte, será a conve'nir
por las partes, La empresa usuraria debe solicitar y
confirmar por escrito cc¡n antÍcipación e1 tiempo
requerido en núrnero de horas y eI rnomento de usarlag. se
debe conocer con anticÍpacién eI nornbre de las perst:nes
qLre tendrán acc€lscl e la instalación que brinda el soporteE3n ca50 de Lrne contingencia r páFá aternperarse a lasnormas de seguridad de cada una. En el mornento de
J-ng rescl e
?.1
la instalación qt-re brinda eI soporte. It:s
rtsuarÍos deberán acreditarse debidernente corno
funcionarios de la ernpresa uslraria. La ernpresa qt.re haga
lrgo del e'qlripo de soparte, debe acc]gerse a lag normas de
control interno de la que presta el servicio de soporte.La ernpresa gue da soporte se regerva el derecho de enviarLrn representante sL(yo a Ia hora de dar el servicio y a 10
Iargo de sLt dutración. Este acornpañante " gerá
preferiblernente qurien opera el equipo para el proceso de
datoe. La papelerfa y otros surninigtros utilizados serán
pclr clrenta y rresgo de cada efnpresa usuaria del soporte.se deberán relacionar It:g materiales entrados por elusuario a la instalación que brinda el soporte. Reporte
de entrada y salida, El manejo de formas especiales será
responrabi I idad de cada €lrnpresa r y Grn n inguno de I os
casos quien esté prestando el servicio de soporter s€
comprofneterá a cugtodiar formas especiales. La empresa
usuaria debe surrninistrar e la que brinda el soporte, Lrna
relación del nornbre de las bibl iotecas a instalar, Al
finalizar los trabajos dÍariosr sr debe realizar Lrn
bacl";.r-rp de archivc:s y bibtiotecas borrando Ia informaciónpera dejar libre nuevarnente el espacia en disco. La
efnpresa qLre presta el servicio debe geranti=ar a laursuraria Lrn mlnirno de dos egtaciones de trabajo, 20() F:E
de mernoria principal y lC¡u l',lE en disco. (Estos topes logestablece cada empresar aeui ee mencionan corno ejemplo).
94
Los recLrrsos adicionaleg gue se pureden suministrardependen de las posibilidadeg de 1a empresa aportante ,/
egtarán registrados por 1o e:<puesto en congideraciones
básicag. CLAUSULA SEXTA: RESFÚNSABILIDADES._ A1
aceptar 1o escrito en este convenio. cada empresa se
cornpromete a cr-rmplir con las norrnes dadas y a of recer cf,
recibir el soporte en el mornento en que Eee requerido.galvo condiciones de f uerza mayc:r qLr€r lo impidan. El
gerente de sistemaE o el que haga sus veces de cada
clmpresa debe inforrnar por egcrito al gerente de sistemas
n al qLle haga sus veces de las demás firrnantes ssbre
curalqnier cambio que se deba realizar a1 convenio, bien
sea de 1a organización. cambios en 1a configuración del
sistema. adqutisicién de nurevos equripos pare eI proceso
electrónico de datog o cambios ocurridos en la dirección
donde opera el centro de cómputo¡ €specialmente ct:n
respecto a los equipos y confÍguraciones compatibles.
Egtor con eI fin de centralizar toda la inforrnación
pertinente '/ mantener e1 grupc: de soporte con Ia
inf ormación actual izada, El gerente de sisternas o el que
haga surs vecers de cada urna de las empresas que figurran en
este convenio. debe garantizer qute rlnica y exclugivarnente
'/ rnediante log password de segurridad, el perst:nel qlre
estÉ antorizado tendrá accescl a las bibliotecas
convenidas para prestar eI soporte. A cada efnFresa se leasignará un password! BLr nombre de usurario será eI nombre
?5
de Ia empresa y sLr perf i 1 de seguridad tendrá como
referencia al ccrrespondiente (clave en letras que se da
por cornúrn acuerdo entre quienes f irman e1 contrato ) .Fagswcrrds adicionales serán convenidos al mt¡mento de
solicitar e,I servicio y sóIo en caso de ser necesarios.
EI r-tsurario es responsable de todos Iss daños qL(e
ocasione aI equripo a aqLrellos bienes de propiedad de la
ernpresa gue brinda el soporte. La culpa se presL{fne en elusurario del equripo,! en consecuencia debe Él desvirtutarlo
plenamente Fára liberarse de las consecuencías de e1la,
La ernpresa usLraria será resFonsable de los perjuicios que
se le generen a Ia propietaria del equÍpo por la
utilización de informa,ción confidencial que contega eI
eqLr:"po, Fara los efectos de esta estipr_rlación se
entiende que toda información qLre tenga eI equipo es de
carácter confidencial '/ por tanto, eetá expresamente
prohibido ELr uscr. Aürn en el caso de no presentarse
perj lrici"r:s concretos por esa posible violación. áldernsstrarge sLr ocurrencia. se irnpondrán une ganción
interna al respc:nsable, sin perjuicit: de Ias acciones
penales a qr-té gometerge por dernanda de Ia empresa burlada
con taI (es) violación (es). El conveni_o de soporte debe
darse por terrninado si no existe compatibilidad en elsistema operacional que perrnita un soporte efectivo entreras respectiva,s ernpresaÉ. E1 soporte en astrectcrs de
cEfnLrrlrcaciÓn remota se dará en los térmrnos en que lag
9¿j
partes dispongan de hardware y demág infraestrlrcturaspera ccmlln i cación rernota .
AprobacioneE i
CIA. XYZ 5.A.
GERENTE DÉ 5ISTEI',IAs GERENTE GENERAL
JEFE DEFTÜ. JURIDICT] AUDITOR FISCAL
CIA AEC S.A.
GERENTE DE SiSTEI"IAS REF'RESENTANTE LE6AL
97
ANEXO .f . FORI"IATü SIPIULATJftü DE CONTINGENCIA
Fecha de realización
f-ipo de simltlacro: Tota1 ------ Farcial ------
ApI icaciones consideradas
Lngar donde se efectuó:
Horag asi.gnadas
Tiempo total quetornó el girnulacrc:
Fergc:nag encarqadasde efecturarlo
En la ernpresa
Én el sitia alterno
Dificutltadeg encontradas en e1 sitio alterno:
Csmentar-ios genera I es :
Recornendacioneg :
Dadag pclr:
?B
ANEXO 4. FORMATO DE FRCICESO EN SITIO ALTERNÜ
Nombre del sitio
f-'ersona encarqada
Hora inicio
Total tiempo asiqnado
Ap I i caciones qLre se procesarán :
F'ergonag asignadag a egte sitic:¡
Hora fin
cargo
carg0
cargo
Responsat¡ I e :
F i rrna