• Author / Uploaded
• Xaul Omar Tobar

Citation preview

UNIVERSIDAD DE SONSONATE

FACULTAD DE INGENIERÍA Y CIENCIAS NATURALES CARRERA: Ingeniería en Sistemas Computacionales. PLAN DE CONTINGENCIA

PLAN ELABORADO POR: Castillo Moscoso, Carlos Israel Escobar Rodríguez, Nelson Edwin Tobar Castillo, Saúl Omar

Sonsonate, 18 de Mayo de 2012

Administración de Centros de Computo

Ing. Ana Mercedes Cáceres

INDICE GENERAL Nº PAG. INDICE ii RESUMEN EJECUTIVO iii INTRODUCCION iv PARTE I PLANIFICACION DEL PROYECTO 1 1.1 Definición del proyecto 1 1.2 Alcances y Limitantes 1 1.3 Objetivos 2 1.3.1 Objetivo General 2 1.3.2 Objetivos Específicos 2 1.4 Presupuesto 2 1.5 Cronograma de actividades 3 PARTE II EVALUACION DE ASPECTOS QUE PUEDAN 4 CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS DATOS 2.1 Infraestructura 4 2.2 Documentación 4 2.3 Aplicaciones o Software 5 2.4 Bases de Datos 5 2.5 Área física 5 PARTE III ANALISIS DE RIESGOS Y MEDIDAS 6 3.1 Análisis de riesgos 6 3.1.1 Bienes susceptibles a daños 6 3.2 Clasificación de riesgos que pueden suscitarse 7 3.3 Recursos a utilizar en situaciones criticas 7 3.4 Medidas preventivas y correctivas en caso de siniestro en contra de 8 los recursos tecnológicos 3.5 Instrumentos o herramientas de apoyo 9 3.6 Novedades y aspectos de impacto 10 PARTE IV INNOVACIONES 11 4.1 Propuesta de innovaciones 11 4.2 Importancia de aplicar el estándar ISO 27002 12 PARTE V CONCLUSIONES Y RECOMENDACIONES 13 5.1 Conclusiones 13 5.2 Recomendaciones 14

ii

RESUMEN EJECUTIVO El presente PLAN DE CONTINGENCIA, muestra una evaluación de los aspectos que pueden constituirse en amenaza a la seguridad de la información, un análisis detallado de los riesgos y medidas preventivas y correctivas que deben de seguirse para mitigarlos en la Universidad de Sonsonate para el año 2012. Mediante la aplicación de este plan se pretende mitigar los riesgos relacionados con la seguridad de la información y adicionalmente servir de

apoyo en el

desarrollo de procesos y actividades de la institución. El Plan de Seguridad antes definidos a este plan el presupuesto obedece y es congruente con el contenido de este, en el cual están debidamente organizadas y fundamentadas las propuestas de innovación para mantener la integridad en la información de la Universidad. El Plan de Contingencia incluye los siguientes puntos que son de vital importancia para desarrollarse exitosamente: -

Planificación del proyecto, para definir puntualmente de lo que se trata y lo que se pretende alcanzar mediante la aplicación,

para ello se fija un

horizonte para saber hacia donde se dirige y una citación de lo que se invierte para el desarrollo del plan. -

Una evaluación de los aspectos críticos que vulneran la seguridad de los datos generados en la Universidad

tales como de infraestructura, de

documentación, de aplicaciones, de bases de datos en las que se almacena la información y del área física. -

Análisis de riesgos, que se pueden suscitar con la aplicación las medidas preventivas y correctivas que propone este plan.

En la documentación se han propuesto medidas e innovaciones que deben de seguirse para lograr los resultados ofrecidos, las cuales se han analizado y evaluado para garantizar que los objetivos planteados son alcanzables con el presupuesto disponible y se reflejara mediante los beneficios adquiridos, de esta forma se recupera la inversión efectuada en la ejecución de este plan de contingencia. iii

INTRODUCCIÓN. La investigación para la elaboración del plan de contingencia se desarrollo con el apoyo incondicional de La Universidad de Sonsonate “USO”, Obteniendo como resultado información veraz en el que se sustenta este plan para proponer medidas para suscitar los riesgos que amenazan la seguridad de la información. Es de gran importancia contar con un plan de contingencia que sirva de guía para reducir los riesgos a gran medida en el centro de trabajo, además para conocer con precisión y exactitud cuáles son las funciones que deben desempeñar como colaboradores en cuanto al resguardo y seguridad de la información. Para estar preparados para solventar problemáticas que existe la posibilidad de que esto sucedan pero de manera improvista es necesario presentar la planificación

en donde se detalla el propósito o las razones por las que se

requiere mejorar, el resultado esperado de la realización de la misma, así como los recursos que se van a utilizar como el tiempo la tecnología, el transporte, disponibilidad financiera, entre otros que son de vital importancia en toda planeación porque a partir de ello se definen los logros alcanzables. Una evaluación critica de aquellos aspectos que puedan convertirse en determinado momento una amenaza para información dela institución. Se describen los riesgos y medidas que deben de seguirse para solventar o reducir el riesgo. Es necesario innovar según el aparecimiento de nuevas tecnologías para mantener y garantizar la seguridad de la información y de esta forma prestar mejores servicios a la comunidad estudiantil, para esto se puede beneficiar rigiéndose bajo normas como la ISO 27002 que propone diferentes formas para la seguridad de la información.

iv

PARTE I PLANIFICACION DEL PROYECTO 1.1 DEFINICIÓN DEL PROYECTO Este plan tiene como finalidad presentar diversos mecanismos para la prevención de los recursos a través de la identificación de las necesidades como de las posibilidades de respaldo mediante un conjunto de medidas que están destinadas a proteger la información contra los diversos daños producidos por sucesos naturales o por el personal que labora dentro de la institución. Esto se ejecuta para asegurar la continuidad de las tareas dentro de la institución y por ende la productividad y eficiencia en los servicios que se ofrecen a pesar que ciertos procesos pueden estar en un estado crítico mediante un lapso de tiempo antes de que se efectuara el cambio de algún dispositivo o la reparación de dicho incidente. 1.2 ALCANCES Y LIMITANTES 1.2.1 ALCANCES El plan de contingencia cubre los distintos incidentes que pueden llegar a ocurrir en las actividades de la institución mediante una serie de políticas que ayuden a reducir el consumo de recursos que son mal empleados en los procesos críticos que se presentan, así como la protección y el respaldo en la información delicada que la institución maneja para mantener la eficiencia en cada una de sus tareas. 1.2.2 LIMITANTES El plan de contingencia cuenta con las siguientes limitantes: 

El presupuesto aprobado para el plan puede ser insuficiente para su realización e implementación.



El tiempo requerido para el desarrollo de cada actividad presentada en el cronograma puede prolongarse debido a factores externos que no pueden ser controlados o por falta de equipo a la hora de realizar dicha actividad. 1

1.3 OBJETIVOS 1.3.1 OBJETIVO GENERAL Fomentar un mecanismo de prevención, inspección

y respuesta ante diversos

incidentes que pueden afectar la ejecución de las actividades de la institución con el propósito de mantener la eficiencia y productividad en los momentos críticos. 1.3.2 OBJETIVOS ESPECÍFICOS  Definir Políticas que promuevan el buen uso de cada herramienta utilizada en las diversas tareas que realiza la institución.  Minimizar el impacto de los incidentes en la institución impulsando medidas de prevención y corrección en las actividades que se vean afectadas.  Proteger la Información delicada de cualquier siniestro mediante el uso de tecnologías adecuadas  Proporcionar al personal reglamentos para asegurar su seguridad como de los dispositivos de la institución en caso de que surja un siniestro.

1.4 PRESUPUESTO Nº

HERRAMIENTAS

PRECIO C/U

TOTAL

1

Servidor DELL

$

2,599.00

$

2,599.00

8

Extintores

$

40.00

$

320.00

4

Discos Duros Extraíbles de 1 TB

$

270.00

$

1,080.00

1

Aire Acondicionado LG

$

980.00

$

980.00

2

Firewall CISCO

$

375.00

$

750.00

4

Licencia Smart Security

$

50.00

$

200.00

$

5,929.00

TOTAL

2

TIPO DE

Nº

SERVICIOS

1

Servicio de Cloud Computing

$

45.00

Mensual

$

540.00

1

Servicio de Mantenimiento

$

175.00

Mensual

$

2,100.00

$

500.00

Trimestral

$

2,000.00

$

4,640.00

1

TARIFA

Servicio de Análisis de Riesgos

SERVICIO

TOTAL

DESCRIPCION GENERAL

MONTO

Herramientas

$

5,929.00

Servicios

$

4,640.00

TOTAL

SERVICIO ANUAL

$ 10,569.00

1.5 CRONOGRAMA DE ACTIVIDADES TIEMPO N°

ACTIVIDADES

1

Planificar Medidas Preventivas y Correctivas

2

Definir Posibles Riesgos

3 4

Análisis y valoración de riesgos. Establecimiento de requerimientos de recuperación

5

Documentación del Plan

6

Ejecución de medidas preventivas y Correctivas

7 8

Pruebas Mantenimiento

9

Evaluar Resultados

I Trimestre

II Trimestre

III Trimestre

IV trimestre

10 Retroalimentación del Plan

3

PARTE II EVALUACION DE ASPECTOS QUE PUEDAN CONSTITUIRSE EN AMENAZA CONTRA LA SEGURIDAD DE LOS DATOS 2.1 INFRAESTRUCTURA En cuanto a la infraestructura se puede contar con la seguridad de los datos pero también a su vez esta infraestructura puede llegar a constituir una amenaza ya que dentro de una infraestructura tenemos la información de los datos con los que cuenta la Universidad de Sonsonate pero esta a su vez se puede volver una amenaza porque una infraestructura puede contar con: Incendios, Sismos e Inundaciones que en su momento se mencionaron en el Plan de Seguridad Informática. Es bien importante destacar que una infraestructura por muy bien construida que se encuentre siempre esta propensa a tener cualquier tipo de riesgo o también propensa a tener amenazas. 2.2 DOCUMENTACIÓN Si bien es cierto que estos aspectos tienen que tener una gran seguridad porque es la información con la que cuenta la Universidad también se convierte en amenaza latente ya que al no contar con la seguridad adecuada cualquier persona ajena a la Universidad puede adquirir la información o los datos de la institución e incluso también los mismos alumnos pueden manipular los datos con el fin de hacer fraude en cuanto a sus notas, para hacerle el mal a otro y ayudarse el mismo.

4

2.3 APLICACIONES O SOFTWARE En cuanto a las aplicaciones o software se pueden tener varias amenazas que siempre están relacionadas con la documentación con el hurto de información en base a aplicaciones que son utilizados e incluso con los mismos estudiantes de la Universidad a pesar de contar con programas que sirven como seguridad que fueron mencionados en el plan de seguridad como antivirus, antispam entre otros pero siempre los estudiantes esta buscado maneras que puedan violentar estos programas con los que cuenta la Universidad 2.4 BASES DE DATOS Como se ha mencionado en los incisos anteriores la seguridad es muy importante aun mas en las bases de datos que tiene la Universidad pero este aspecto no esta exento de ser una amenaza este puede ser vulnerable si no se cuenta con la seguridad adecuada contar con copias de seguridad, respaldo en otros servidores alojamiento en internet de las bases de datos e incluso en otros servidores de la Universidad pero que estén en otra ubicación geográfica. 2.5 ÁREA FÍSICA Es de suma importancia mencionar el área en donde se encuentran los equipos de computo porque como se mencionaron en el plan de seguridad cuenta con extintores en cada aula que cuenta con computadoras los servidores en una altura considerada para que no se puedan mojar pero con esto no quiere decir que esta exento de algún riesgo es importante tomar varias medidas mas cuando se trata de la área física porque una mala ubicación en un servidor puede ser decisivo.

5

PARTE III ANALISIS DE RIESGOS Y MEDIDAS 3.1 ANÁLISIS DE RIESGOS Si se desea realizar un análisis de los riegos, se debe procede a identificar cuales pueden ser los equipos o servidores que tienen que tener una gran importancia para la Universidad de Sonsonate, proteger aquellos equipos que se consideran que son y tienen los datos mas importantes considerar también los equipos que sus precios son muy elevados, tomar en cuenta todas las precauciones y tomar las medida de seguridad empleadas en el plan de seguridad para poder alunar los daños que puedan sufrir los equipos pero si no se pueden anular por lo menos es necesario tratar de minimizar los riesgo lo mas que se pueda. Si en caso de que los riesgo persistan se puede crear un plan de emergencia para hacer posible que los riesgos se minimicen en gran medida. 3.1.1 BIENES SUSCEPTIBLES A DAÑOS Estos bienes ya se tocaron en el plan de seguridad por lo tanto solo se procede a mencionarlos estos bienes, Se identifican los siguientes bienes propensos a riesgos: a) Personal b) Hardware, Software y utilitarios d) Datos e información e) Documentación f) Suministro de energía eléctrica g) Suministro de telecomunicaciones

6

3.2 CLASIFICACIÓN DE RIESGOS QUE PUEDEN SUSCITARSE El objetivo de clasificar los riesgo radicar en las amenazas con las que contamos en la imagen siguiente muestra un detalle de como se puede presentar los riegos alto y bajos. Estos riesgos pueden ser bajos si tenemos la capacidad de contra restarlos y esto pueden ser altos si no contamos con la capacidad necesaria. Estos se encuentran en los riesgos altos debido a que son los más comunes y propensos a que pasen:  Desastres Naturales  Fallas de Hardware  Acceso no Autorizado  El Personal  Incendios Riegos bajos  Equipo en mal estado  Se daño un proyector  No pueden imprimir  La impresora no funciona 3.3 RECURSOS A UTILIZAR EN SITUACIONES CRÍTICAS Entre los recursos que se pueden utilizar tenemos:  Extintores  Programas para copias de respaldos de los datos de la Institución  Tener Servidores en otro lugar que estén replicando la información  Utilizar Discos Duros Extraíbles donde se encuentre copias de Seguridad  Pagar servicios en la nube para tener la información disponible en cualquier momento 7

3.4 MEDIDAS PREVENTIVAS Y CORRECTIVAS EN CASO DE SINIESTRO EN CONTRA DE LOS RECURSOS TECNOLÓGICOS Una de las medidas más importantes el Control de Accesos tiene que haber medidas efectivas del filtrado de usuarios para el control de acceso de ellos:  Acceso físico a personas ajenas al puesto.  Acceso a la Red de las computadoras y servidores con los que se cuenta.  Acceso restringido a los archivos de programas e instalación de programas.  Copias de respaldos son los importantes también con el fin de mantener la integridad de los datos.  Mantener siempre en lugares seguros los datos haciendo énfasis en la prevención de los desastres naturales, porque tanto puede entrar una persona ajena a la institución como un mismo empleado y podría hacer fraude de lo datos, así como también mantenerlos a salvo contra incendios, contra la humedad, contra usuarios mal intencionados y contra virus o programas maliciosos o sospechosos  Crear un Plan de Recuperación  Hacer uso de las políticas de seguridad para poder respaldar las aplicaciones y datos.  Planificar un plan para aumentar las horas laborares en casos de emergencias de riesgos, y poner en marcha el plan de emergencia si se tiene uno de ellos  Poner en ejecución los planes que se han creado tanto los de seguridad, de contingencia, de emergencia y otros.  Realizar pruebas pilotos de los planes que se esta realizando por lo menos una vez al año Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido". 8

3.5 INSTRUMENTOS O HERRAMIENTAS DE APOYO Instrumentos  Firewalls: Permiten bloquear o filtrar el acceso entre 2 redes.  Listas de Accesos: Fomenta la separación de privilegios entre usuarios.  Dispositivos de control de puertos: Autorizan el acceso a un puerto determinado del computador.  Autentificación basada en Host: Proporciona el acceso según la identificación del host  Sistemas para la prevención de Incendios e Inundaciones: detectores de agua, extintores etc. Herramientas

 Wrappers: Sistema que se usa para filtrar el acceso de red al personal.  Detección de Intrusos en Tiempo Real: Consiste en detectar actividades inapropiadas desde el exterior o interior de un sistema informático.  Cifradores: Permite que la información que se maneja se encripte para mantener su seguridad.  Red Privada Virtual (VPN): Son utilizadas para el envió de información de una forma más segura reduciendo así los costos.  Normas de Confidencialidad: Se utilizan para mantener la información segura mediante una serie de reglas.  Software de análisis de vulnerabilidad: Se utilizan para la realización de auditorías para la eficiencia de los diversos procesos.  Normas de Asignación de cuentas: Se utilizan para mantener la seguridad y eficiencia dentro de la institución.  Tunning: finar la configuración de hardware y software para optimizar su rendimiento.  Sistemas de Antivirus: se encargan de la seguridad contra amenazas que pueden afectar a la institución seriamente. 9

3.6 NOVEDADES Y ASPECTOS DE IMPACTO A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso de un nivel continuo de disponibilidad ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Debido a eso ha surgido la necesidad de asegurar dichos dispositivos como la información que contienen ante desastres naturales como otras amenazas. Es así que surge como un impacto positivo la seguridad informática viniendo a suplir las necesidades de protección de los instrumentos y herramientas necesarias para el funcionamiento de la empresa ante situaciones críticas. En la actualidad un tema que ha dado mucho que hablar es la computación en las nubes donde se pretende alojar la información en servidores externos para protegerlos en caso de cualquier siniestro, aunque es una muy buena opción la mayoría de empresas desconfían en que otra empresa contenga información muy delicada de sus actividades. Otras tecnologías que han venido a facilitar la prevención es la seguridad a través de huellas dactilares, firmas digitales entre otros. Las políticas

y

Reglamentos así como los estándares han venido a proporcionar a las empresas senderos por donde guiarse uno de los estándares más conocidos son el ISO 27001 y 27002 donde se detalla la forma en que debe de actuar y funcionar las diferentes empresas para mantener la eficiencia y productividad en sus actividades diarias. Se podría decir que la seguridad y prevención de los siniestros siempre ocurrirán ganando más fuerza día a día es así que toda empresa debe de mantener un nivel de seguridad como de prevención continua para cualquier amenaza. 10

PARTE IV INNOVACIONES 4.1 PROPUESTA DE INNOVACIONES

Mediante la investigación del plan de contingencia en la Universidad de Sonsonate se encontraron ciertos aspectos necesarios de innovación en cuanto a reducir los riesgos en la seguridad de la información. Por esto una de las innovaciones más importantes que se propone es asignar un responsable de mitigación de riesgos para mejorar la seguridad y crear políticas de seguridad entre los usuarios y plantear alternativas novedosas, que potencien la seguridad en la información.

Es evidente que a pesar de algunos progresos positivos, la relación entre seguridad e innovación es todavía muy tensa. La realidad es que la innovación y la seguridad no necesitan competir como prioridades, sino son complementarias ante un enfoque de gestión de riesgo. Ante esta situación se deben aplicar los

métodos y políticas de evaluación del riesgo en la

seguridad de la información.

En la mayor parte los riesgos a los que se enfrenta la Universidad de Sonsonate es que se altere la información por ello es necesario tomar en cuenta los siguientes aspectos de innovación:

1.

Utilizar instrumentos o herramientas de apoyo a la seguridad

actualizadas y con el mayor potencial para mitigar riesgos. 2. Atender a una certificación con los estándares de calidad como el 27002 que garanticen la seguridad. 3. Construir un modelo de mitigación de riesgo para delinear donde y en quien reside la responsabilidad de la toma de decisiones en cuanto al riesgo.

11

4.2 IMPORTANCIA DE APLICAR EL ESTANDAR ISO 27002

La importancia de aplicar la ISO 27002 es tomar las buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad, además aplicar las funcionalidades que ofrece a la institución en cuanto a la seguridad de la información que maneja así también considera los riesgos organizacionales, operacionales y físicos, con todo lo que esto implica, por estas razones se considera de importancia el estándar ISO 27002.  Permite establecer una metodología de gestión de la seguridad clara y estructurada.  Reduce los riesgos de pérdida, robo o corrupción de información.  El personal administrativo tiene acceso a la información a través medidas de seguridad.  Los riesgos y sus controles son continuamente revisados.  Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.  Permite continuar

las operaciones necesarias tras incidentes de

gravedad.  Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.  Mantener o mejorar la imagen de la institución y así mantenerse entre la competencia  Confianza y reglas claras para las personas de la institución.  Reducción de costos y mejora de los procesos y servicio a la comunidad estudiantil.  Garantiza que la información se encuentre integra, disponible en cualquier momento.

12

PARTE V CONCLUSIONES Y RECOMENDACIONES 5.1 CONCLUSIONES Este plan de contingencia ha presentado la importancia que tiene realizar una evaluación acerca de los aspectos críticos que pueden constituirse en amenazas a la seguridad de información, desde el ámbito de seguridad física y la seguridad lógica esto es referente a las aplicaciones que sirven de herramienta para desarrollar las actividades en la institución, en cuanto a lo físico se refiere a las instalaciones en las áreas de trabajo e infraestructura. Se analizaron las condiciones actuales de la institución en cuanto a la preparación que se tiene para responder ante una problemática improvista, para proponer mejoras en la mitigación de riesgos en el menor tiempo posible y sin detener las operaciones y actividades que la Universidad ejecuta. Se mencionaron los riesgos a los que se ve expuestos la Universidad de Sonsonate, los factores, elementos y condiciones que intervienen en la seguridad informática con el fin de valorarlos y tomarse en cuenta para prevenirse

de

sabotajes en la información. Se proponen medidas

preventivas y correctivas en caso de los siniestros en contra de los recursos de tecnologías para que la Universidad de Sonsonate se apoye de estas medidas y las aplique en el desarrollo de las actividades. Las políticas de seguridad ayudan al manejo de situaciones de riesgos, mantiene una normativa que deben de cumplir los usuarios. Se dio a conocer la importancia que tiene el estar certificado mediante el estándar ISO 27002. Aunque al parecer podrían considerar que apegarse a este tipo de estándares es en cierta forma difícil e incurre inversiones, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de información como el de los activos de la institución y el registro académico.

13

5.2 RECOMENDACIONES  Se debe de proporcionar el presupuesto adecuado para la prevención y seguridad de la infraestructura e información ya que si no se poseen los instrumentos y herramientas necesarias la pérdidas podrían ser mayores al presupuesto estipulado.  Se debe de analizar los riesgos de una forma periódica para mejorar o incorporar nuevas tecnologías si es necesario.  Desarrollar las políticas de prevención y seguridad comunicándolas al personal involucrado en cada tarea de la institución.  Fortalecer los conocimientos de todo el personal, con cursos de formación y capacitación en el área de seguridad de la información y de prevención de riesgos.  Monitorear que el plan de contingencia se desarrolle de la mejor forma posible respetando los requerimientos y los procesos para su continuidad y por ende para el mejor desarrollo de la institución en sus diversas actividades.  Obtener una certificación con el estándar ISO 27002 para mejorar la seguridad en la información.

14