ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

PLAN DE CONTINGENCIA EN LOS CENTROS DE CMPUTO.

Los Planes de Contingencias le permitirn mantener la continuidad de sus sistemas de
informacin frente a eventos crticos, de su entidad y minimizar el impacto negativo sobre
la misma, sus empleados y usuarios. Deben ser parte integral de su organizacin y servir
para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una
solucin. La proteccin de la informacin vital de una entidad ante la posible prdida,
destruccin, robo y otras amenazas, es abarcar la preparacin e implementacin de un
completo Plan de Contingencia Informtico.
Cualquier Sistema de Redes de Computadoras (ordenadores, perifricos y accesorios)
Estn expuestos a riesgo y puede ser fuente de problemas. El Hardware, el Software
estn expuestos a diversos Factores de Riesgo Humano y Fsicos. Estos problemas
menores y mayores sirven para retroalimentar nuestros procedimientos y planes de
seguridad en la informacin. Pueden originarse prdidas catastrficas a partir de fallos de
componentes crticos (el disco duro), bien por grandes desastres (incendios, terremotos,
sabotaje, etc.) o por fallas tcnicas (errores humanos, virus informtico, etc.) que
producen dao fsico irreparable. Por lo anterior es importante contar con un Plan de
contingencia adecuado de forma que ayude a la Entidad a recobrar rpidamente el control
y capacidades para procesar la informacin y restablecer la marcha normal del negocio.

Qu es un Plan de Contingencia?

Podramos definir a un plan de contingencias como una estrategia planificada con una
serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita
restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que
lo pueda paralizar, ya sea de forma parcial o total.
El plan de contingencia es una herramienta que ayudar a que los procesos crticos de una
empresa u organizacin continen funcionando a pesar de una posible falla en los
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

sistemas computarizados. Es decir, un plan que permite a un negocio u organizacin,
seguir operando aunque sea al mnimo.

Objetivos del Plan de Contingencia

Garantizar la continuidad de las operaciones de los elementos crticos que componen los
Sistemas de Informacin.

Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que
componen un Sistema de Informacin.

AspectosGeneralesdelaSeguridaddelaInformacin

La Seguridad Fsica

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales de
un sistema de informacin de datos. Si se entiende la contingencia o proximidad de un
dao como la definicin de Riesgo de Fallo, local o general, tres seran las medidas a
preparar para ser utilizadas en relacin a la cronologa del fallo.

Antes
El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que d l se
puedan derivar. Es un concepto aplicable a cualquier actividad, no slo a la informtica, en
la que las personas hagan uso particular o profesional de entornos fsicos.

Ubicacin del Centro de Procesamiento de Datos dentro del edificio.
Sistemas contra Incendios.
Control de accesos.
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.

Durante

Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es
cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso
de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera,
el impacto podra ser tan grande que resultara fatal para la organizacin. Por otra parte,
no es corriente que un negocio responda por s mismo ante un acontecimiento como el
que se comenta, se deduce la necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres que
junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia
que coordina las necesidades del negocio y las operaciones de recuperacin del mismo.

Son puntos imprescindibles del plan de contingencia:

Realizar un anlisis de riesgos de sistemas crticos que determine la tolerancia de los
sistemas
Establecer un periodo crtico de recuperacin, en la cual los procesos debe de ser
reanudados antes de sufrir prdidas significativas o irrecuperables.
Realizar un Anlisis de Aplicaciones Crticas por que se establecern las prioridades del
proceso.

Despus
Los contratos de seguros vienen a compensar, en mayor o menor medida las prdidas,
gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una
vez detectado y corregido el fallo.
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014


De la gama de seguros existentes, se pueden indicar los siguientes:

Centros de proceso y equipamiento: se contrata la cobertura sobre el dao fsico en el
CPD (Centro de Procesamiento de Datos) y el equipo contenido en l.
Reconstruccin de medios de software: cubre el dao producido sobre medio software
tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su
responsabilidad.
Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones
tras un desastre o dao en el centro de proceso de datos. Es suficiente para compensar los
costos de ejecucin del plan de contingencia.
Interrupcin del negocio: cubre las prdidas de beneficios netos causadas por las cadas
de los medios informticos o por la suspensin de las operaciones.
Documentos y registros valiosos: Se contrata para obtener una compensacin en el
valor metlico real por la perdida o dao fsico sobre documentos y registros valiosos no
amparados por el seguro de reconstruccin de medios software.
Errores y omisiones: proporciona proteccin legal ante la responsabilidad en que
pudiera incurrir un profesional que cometiera un acto, error u omisin que ocasione una
prdida financiera a un cliente.
Cobertura de fidelidad: cubre las prdidas derivadas de actos deshonestos o
fraudulentos cometidos por empleados.
Transporte de medios: proporciona cobertura ante prdidas o daos a los medios
transportados.
Contratos con proveedores y de mantenimiento: proveedores o fabricantes que
aseguren la existencia de repuestos y consumibles, as como garantas de fabricacin.




ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

Fases de la Metodologa para el Desarrollo de un Plan de Contingencia de los Centros de
Cmputo.
Debemos de tener presente que mucho depender de la infraestructura de la empresa y
de los servicios que sta ofrezca para determinar un modelo de desarrollo de plan, no
existe un modelo nico para todos, lo que se intenta es dar los puntos ms importantes a
tener en cuenta.

La presente metodologa se podra resumir en ocho fases de la siguiente manera:

Planificacin: preparacin y aprobacin de esfuerzos y costos.
Identificacin de riesgos: funciones y flujos del proceso de la empresa.
Identificacin de soluciones: Evaluacin de Riesgos de fallas o interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
Documentacin del proceso: Creacin de un manual del proceso.
Realizacin de pruebas: seleccin de casos soluciones que probablemente funcionen.
Implementacin: creacin de las soluciones requeridas, documentacin de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.

Visin Prctica para realizar un Plan de Contingencia de los Sistemas de Informacin

PASOS PARA DESARROLLAR EL PLAN DE CONTINGENCIA EN LOS CENTROS DE CMPUTO

ETAPA I: Anlisis y Seleccin de las Operaciones Crticas

En esta etapa hay que definir cules sern nuestras operaciones crticas y tienen que ser
definidas en funcin a los componentes de los sistemas de informacin los cuales son:
Datos, Aplicaciones, Tecnologa Hardware y Software, instalaciones y personal.


ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

ETAPA 2. Identificacin de Procesos en Cada Operacin

Para cada una de las operaciones crticas en la Etapa 1, se debe enumerar los procesos
que tienen. Los responsables de desarrollar los planes de contingencia deben de coordinar
en cooperacin con el personal a cargo de las operaciones de los Sistemas Analizados, los
cuales son conocedores de dichos procesos crticos. Se debe de investigar que recursos
administrativos (equipamiento, herramientas, sistemas, etc.) son usados en cada proceso,
se ha descrito y codificado cada recurso, como: sistema elctrico, tarjetas, transporte, red
de datos, PC's. A su vez tambin se ha determinado su nivel de riesgo, como crticos y no
crticos.

ETAPA 3. Listar los Recursos Utilizados por las Operaciones

En esta etapa se identifica a los proveedores de los servicios y recursos usados,
considerados crticos, para los procesos de cada operacin en la Etapa 2.

ETAPA 4. Especificacin de Escenarios en los Cuales Pueden Ocurrir los Problemas

En consideracin de la condicin de preparar medidas preventivas para cada recurso, se
ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana, pequea).

Se calcular y describir el perodo que se pasar hasta la recuperacin en caso de
problemas, basados en informacin confirmada relacionada con los Sistemas de
Informacin.

ETAPA 5 Determinar y Detallar las Medidas Preventivas

Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en el
uso y mantenimiento de los Sistemas de Informacin, cuando los problemas ocurran,
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

considerando el entorno de problemas que suceden y el perodo de interrupcin
aceptable que se estima en la etapa 4. Si hay ms de un conjunto de medidas preventivas
para un recurso, se ha determinado cual se empleara, para tomar en consideracin sus
costos y efectos.

ETAPA 6. Formacin y Funciones de los Grupos de Trabajo

Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desde las
acciones en la fase inicial, las cuales son importantes para el manejo de la crisis de
administracin. Los Grupos de Trabajo permanecern en operacin cuando los problemas
ocurran, para tratar de solucionarlos. Se elaborar un Organigrama de la estructura
funcional de los Grupos de Trabajo.

ETAPA 7. Desarrollo de los Planes de Accin

Se estableci los das en los cuales los problemas son ms probables a ocurrir, incluyendo
los sistemas de la institucin, clientes, proveedores e infraestructura de la organizacin.
Se seala los das anunciados, cuando los problemas pueden ocurrir y otros temas.

ETAPA 8. Preparacin de la Lista de Personas y Organizaciones para Comunicarse en
Caso de Emergencia

Se crear un directorio telefnico del personal considerado esencial para la organizacin
en esas fechas crticas, incluyendo el personal encargado de realizar medidas preventivas
y los responsables para las acciones de la recuperacin y preparacin de medios
alternativos.
A su vez tambin se crear un listado telefnico de todos los proveedores de servicio del
recurso. Este directorio se usa para realizar comunicaciones rpidas con los proveedores
de servicio del recurso, incluso con los fabricantes, vendedores o abastecedores de
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

servicio contrados, si ocurren los problemas, para hacer que investiguen y que
identifiquen las causas de los problemas y que comiencen la recuperacin de los sistemas

ETAPA 9. Pruebas y Monitoreo

En esta etapa hay que desarrollar la estrategia seleccionada, implantndose con todas las
acciones previstas, sus procedimientos y generando una documentacin del plan. Hay que
tener en claro como pasamos de una situacin normal a una alternativa, y de qu forma
retornamos a la situacin normal. Hay situaciones en que debemos de contemplar la
reconstruccin de un proceso determinado. Antes de realizar las pruebas, los planes
deberan ser revisados y juzgados independientemente en lo que respecta a su eficacia y
razonabilidad.

Prueba de Plan de Contingencia.

Todos los planes de contingencia deben ser probados para demostrar su habilidad de
mantener la continuidad de los procesos crticos de la empresa. Las pruebas se efectan
simultneamente a travs de mltiples departamentos, incluyendo entidades comerciales
externas. Realizando pruebas se descubrirn elementos operacionales que requieren
ajustes para asegurar el xito en la ejecucin del plan, de tal forma que dichos ajustes
perfeccionen los planes preestablecidos.

Objetivos
El objetivo principal, es determinar si los planes de contingencia individuales son
capaces de proporcionar el nivel deseado de apoyo a la seccin o a los procesos crticos de
la empresa, probando la efectividad de los procedimientos expuestos en el plan de
contingencias.
Las pruebas permiten efectuar una valoracin detallada de los costos de operacin en el
momento de ocurrencia de una contingencia.
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014


Procedimientos Recomendados para las Pruebas del Plan de Contingencias, Niveles de
Prueba

Se recomiendan tres niveles de prueba:

Pruebas en pequeas unidades funcionales o divisiones.
Pruebas en unidades departamentales
Pruebas inter-departamentales o con otras instituciones externas.

La premisa es comenzar la prueba en las unidades funcionales ms pequeas,
extendiendo el alcance a las unidades departamentales ms grandes, para finalmente
realizar las pruebas entre unidades inter-departamentales o con otras instituciones
externas.

Mtodos para Realizar Pruebas de Planes de Contingencia

Prueba Especfica

Consiste en probar una sola actividad, entrenando al personal en una funcin especifica,
basndose en los procedimientos estndar definidos en el Plan de Contingencias. De esta
manera el personal tendr una tarea bien definida y desarrollar la habilidad para
cumplirla.

Prueba de Escritorio

Implica el desarrollo de un plan de pruebas a travs de un conjunto de preguntas tpicas
(ejercicios).

ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

Caractersticas:

La discusin se basa en un formato preestablecido.
Esta dirigido al equipo de recuperacin de contingencias.
Permite probar las habilidades gerenciales del personal que tiene una mayor
responsabilidad

Simulacin en Tiempo Real

Las pruebas de simulacin real, en un departamento, una divisin, o una unidad funcional
de la empresa esta dirigido una situacin de contingencia por un perodo de tiempo
definido.

Las pruebas se hacen en tiempo real
Es usado para probar partes especficas del plan
Permite probar las habilidades coordinativas y de trabajo en equipo de los grupos
asignados para afrontar contingencias.

Preparaciones Pre Prueba

Repasar los planes de contingencia seleccionados para probar.
Verificar si se han asignado las respectivas responsabilidades.
Verificar que el plan este aprobado por la alta direccin de la institucin.
Entrenar a todo el personal involucrado, incluyendo orientacin completa de los
objetivos del plan, roles, responsabilidades y la apreciacin global del proceso.
Establecer la fecha y la hora para la ejecucin de la prueba.
Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y
distribuirlo antes de su ejecucin.
Asegurar la disponibilidad del ambiente donde se har la prueba y del personal esencial
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

en los das de ejecucin de dichas pruebas.

Comprobacin de Plan de Contingencias

La prueba final debe ser una prueba integrada que involucre secciones mltiples e
instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho,
de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El
siguiente diagrama de bloques representa los pasos necesarios, para la ejecucin de las
pruebas del plan de contingencias. La figura adjunta muestra los pasos necesarios para
hacer la comprobacin del Plan de Contingencias.

Mantenimiento de Plan de Contingencias y Revisiones

Las limitaciones y problemas observados durante las pruebas deben analizarse planteando
alternativas y soluciones, las cuales sern actualizadas en el Plan de Contingencias.



Adicionalmente al plan de contingencias se debe desarrollar pruebas para verificar la
efectividad de las acciones en caso de la ocurrencia de los problemas y tener la seguridad
de que se cuenta con un mtodo seguro. No existe un plan nico para todas las
organizaciones, esto depende mucho de la capacidad de la infraestructura fsica como de
las funciones que realiza en CPD (Centro de Procesamiento de Datos) mas conocido como
Centro de Cmputo



ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014


PROCESO DE RESTRUCTURACIN DEL NEGOCIO (VUELTA A LA NORMALIDAD)
Actividad Despus del Desastre
Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se
detallan, las cuales deben estar especificadas en el Plan de Accin elaborado
anteriormente
1. Evaluacin de Daos.
2. Priorizacin de Actividades del Plan de Accin.
3. Ejecucin de Actividades.
4. Evaluacin de Resultados.
5. Retroalimentacin del Plan de Accin.

2. Evaluacin de Daos.
Inmediatamente despus que el siniestro ha concluido, se deber evaluar la
magnitud del dao que se ha producido, que sistemas se estn afectando, que
equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto
tiempo, etc.
Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual tenemos
el convenio de respaldo, para ir avanzando en las labores de preparacin de
entrega de los equipos por dicha Institucin.

3. Priorizacin de actividades del Plan de Accin.
Toda vez que el Plan de accin es general y contempla una prdida total, la
evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

actividades que debemos realizar, siempre priorizndola en vista a las actividades
estratgicas y urgentes de nuestra Institucin.
Es importante evaluar la dedicacin del personal a actividades que puedan no
haberse afectado, para ver su asigna miento temporal a las actividades afectadas,
en apoyo al personal de los sistemas afectados y soporte tcnico.
4. Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de equipos de trabajo para realizar
las actividades previamente planificadas en el Plan de accin. Cada uno de estos
equipos deber contar con un coordinador que deber reportar diariamente el
avance de los trabajos de recuperacin y, en caso de producirse algn problema,
reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del
servicio usando los recursos de la Institucin o local de respaldo, y la segunda
etapa es volver a contar con los recursos en las cantidades y lugares propios del
Sistema de Informacin, debiendo ser esta ltima etapa lo suficientemente rpida
y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen
Institucional, como para no perjudicar la operatividad de la Institucin o local de
respaldo.
5. Evaluacin de Resultados.
Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron
afectados por el siniestro, debemos de evaluar objetivamente, todas las
actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de
accin, como se comportaron los equipos de trabajo, etc.
De la Evaluacin de resultados y del siniestro en si, deberan de salir dos tipos de
recomendaciones, una la retroalimentacin del plan de Contingencias y otra una
ADMINISTRACION DE CENTRO DE COMPUTO CICLO I - 2014

lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el
siniestro.
6. Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, debemos de optimizar el plan de accin original,
mejorando las actividades que tuvieron algun tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra
Institucin el plan de contingencias llevado a cabo.