GRUPO NO.

7
 
Carmen del Cielo Sosa 20191005453
Fatima Melissa Muñoz 20171031517
Keidy Sarai Bustillos 2017200766

PLAN DE
CONTINGENCIAS
Auditoria de Sistemas de Información I
Docente: Lic. Roberto Antonio Martínez
 
DEFINICIÓN PLAN DE CONTINGENCIAS

• El plan de contingencia es
una herramienta que le
ayudará a que los procesos
críticos de su empresa u
organización continúen
funcionando a pesar de una
posible falla en los sistemas
computarizados. Es decir, un
plan que le permite a su
negocio u organización,
seguir operando aunque sea
al mínimo.
DEFINICIÓN PLAN DE CONTINGENCIAS

• Podemos definir a un plan de contingencias; como

una estrategia planificada con una serie de
procedimientos que nos faciliten o nos orienten a
tener una solución alternativa que nos permita
restituir rápidamente los servicios de la
organización ante la eventualidad de todo lo que lo
pueda paralizar, ya sea de forma parcial o total.
OBJETIVOS DE UN PLAN DE CONTINGENCIAS

• Garantizar la continuidad de las operaciones de los elementos considerados críticos

que componen los Sistemas de Información.

• Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que

componen un Sistema de Información.

• Garantizar el Seguimiento y la Continuidad de las operaciones de la empresa.

I. Elaboración de la declaración
de políticas para el plan de
contingencia. • IV. Desarrollo de estrategias
de recuperación. Tener una

II. Realización del análisis de impacto

ESTRUCTURA estrategia integral garantiza
que el sistema se recuperará
sobre el negocio (BIA). El análisis del
impacto sobre el negocio ayuda a DEL PLAN de manera rápida y efectiva
después de una disrupción.
identificar y priorizar los sistemas y
componentes críticos d
• V. Desarrollo de un plan de
contingencia

• III. Identificación de controles

preventivos. Medidas que
reducen los efectos de las
disrupciones al sistema y
pueden aumentar su
disponibilidad y reducir los
costos de contingencia del ciclo
de vida
VI. Prueba, formación y ejecución
del plan. La prueba del plan VII. Mantenimiento del plan. El
identifica lagunas en la plan debería ser un documento
planificación, mientras que la vivo que se actualiza
formación prepara al personal de regularmente para mantenerlo al
recuperación para la activación del día con mejoras al sistema
plan; ambas actividades mejoran la
eficacia del plan y la preparación
general de la entidad.

ESTRUCTURA
DEL PLAN
FASES DE LA METODOLOGÍA PARA EL DESARROLLO DE UN PLAN DE
CONTINGENCIA DE LOS SISTEMAS DE INFORMACIÓN

• Fases de la Metodología Los Planes de Contingencia TI proporcionan unos

procedimientos detallados a seguir, paso a paso, los cuales se basan en recuperar los
sistemas y redes que han sufrido disrupciones y ayudan a resumir la normalidad en las
operaciones. El objetivo principal de estos procesos es minimizar cualquier impacto
negativo en las operaciones de la compañía, el proceso de recuperación de desastres
identifica los sistemas y redes críticos de TI; fija las prioridades para su recuperación
y dibuja los pasos necesarios para reiniciar, reconfigurar y recuperar dichos sistemas y
redes
 FASE 1 : ANÁLISIS Y PLANIFICACIÓN

• Definición explícita del alcance, indicando qué es lo

que se queda y lo que se elimina, y efectuando un
• Durante esta fase recopilamos toda seguimiento de las ambigüedades.
la información necesaria para
establecer los procesos de negocio
• Identificación y asignación de los grupos de trabajo
críticos, los activos que les dan
soporte y cuáles son las iniciales; definición de los roles y responsabilidades.
necesidades temporales y de
recursos. La fase de planificación • Identificación de las fuentes de financiamiento
es la etapa donde se define y
prepara el esfuerzo de planificación • Definición de estrategias para la integración,
de contingencia/continuidad. Las consolidación, rendición de informes y arranque. V.
actividades durante esta fase Desarrollo de un plan de alto nivel, incluyendo los
incluyen: recursos asignados.

• Obtención de la aprobación y respaldo de la empresa

y del personal gerencial de mayor jerarquía.
EJEMPLO DE LA IMPLEMENTACIÓN DE LA FASE 1 PARA UN NEGOCIO
 FASE 2: IDENTIFICACIÓN DE RIESGOS

Busca minimizar las fallas generadas por cualquier caso en contra del normal desempeño de los sistemas
de información de los proyectos en desarrollo, los cuales no van a ser Implementados a tiempo. El
objetivo principal es realizar un análisis de impacto económico y legal, determinar el efecto de fallas de
los principales sistemas de información y producción de la institución o empresa Dentro de esta Fase
Tenemos;

Plan de prevención de riesgos Cuyo objetivo principal es el de evitar o minimizar el impacto de un

desastre en la infraestructura TI. Entre las medidas habituales se encuentran:
• Almacenamiento de datos distribuidos. –
• Sistemas de alimentación eléctrica de soporte.
• Políticas de back-ups. - Duplicación de sistemas críticos.
• Sistemas de seguridad pasivos
EN LA FASE DE RIESGOS, DEBEMOS TENER EN CUENTA:
• Plan de gestión de emergencias
Es Imprescindible que en caso de situación de emergencia estén claramente determinadas las
responsabilidades y funciones del personal así como los protocolos de acción correspondientes, se deben
tomar en cuenta aspectos tales como
• Evaluación del impacto de la contingencia en la infraestructura TI
• Asignación de funciones de emergencia al personal del servicio TI.
• Comunicación a los usuarios y clientes de una grave interrupción o degradación del servicio.
• Protocolos para la puesta en marcha del plan de recuperación correspondiente

• Plan de recuperación
Llega el momento de poner en marcha los procedimientos de recuperación. El plan de recuperación debe
incluir todo lo necesario para:
• Reorganizar al personal involucrado.
• Reestablecer los sistemas de hardware y software necesarios.
• Recuperar los datos y reiniciar el servicio TI.
ILUSTRACIÓN DE LA FASE DE RIESGOS
 FASE 3: ESTRATEGIAS

• DEFINICIÓN: Las estrategias de Los puntos que deben ser cubiertos por
contingencia, continuidad de los todos las áreas informáticas y usuarios
negocios están diseñadas para en general son:
identificar prioridades y
determinar en forma razonable,
eficiente y eficaz las soluciones A • Respaldar toda la información importante en
ser seleccionadas en primera medio magnético Generar discos de
instancia o los riesgos a ser arranque para las máquinas dependiendo de
encarados en primer lugar. Hay su sistema operativo
que tomar la decisión si se • Mantener antivirus actualizado, si aplica
adoptarán las soluciones a gran • Guardar una copia impresa de la
escala, como las opciones. De documentación de los sistemas e interfaces,
recuperación de desastres para un al igual de los planes de contingencia
centro de datos. definidos por el resto de las áreas.
FASE 3: ESTRATEGIAS

• Documentación del Proceso

Como puntos importantes que debe de incluir esta documentación

podemos citar las siguientes:
• Descripción de los equipos y las tareas para ubicar las
soluciones a las contingencias.
• La documentación de los riesgos, opciones y soluciones por
escrito y en detalle.
• La identificación y documentación de listas de contacto de
emergencia, la identificación de responsables de las funciones
con el fin de garantizar que siempre haya alguien a cargo
FASE 4: PRUEBAS Y VALIDACIONES

En esta fase de planteamiento se debe establecer los procedimientos relativos a:

• Sistemas de Información y Cómputo 
• Obtención y almacenamiento de los respaldos de información (Backups) 
• Políticas, normas y procedimientos de backups

Se deberá establecer los procedimientos para la obtención de copias de seguridad de todos los elementos de
software necesarios para asegurar la correcta ejecución de los Sistemas o Aplicativos para lo cuál se debe
contar con:
I. Backups del Sistema Operativo (En caso de tener varios sistemas operativos o varias versiones)
II. Backups de Software (Paquetes o Lenguajes de Operación )
III. Backups del Software Aplicativo ( Considerando tanto los programas fuentes como los programa objeto
• Formación, Entrenamientos y Equipos de
Trabajo
Definir claramente cada equipo (nombres, puestos,
ubicación etc) con funciones claramente definidas, se
deberá establecer un Programa de Practicas periódicas de
todo el personal de acuerdo a los roles que se hayan
asignado para poder llevar a cabo:

Cuándo ocurra una contingencia es esencial que se

conozca al detalle, el motivo que la origino y el daño
producido esto permite recuperar en el menor tiempo
posible el proceso perdido. Después de un siniestro
ocurrido se deberá evaluar la magnitud del daño que se a
producido, que sistemas se están afectando, que equipos
han quedado no operativos cuales se deben recuperar y en
cuanto tiempo etc.
.

Se debe establecer un programa de prácticas periódicas con la

participación de todo el personal en la lucha contra los diferentes
tipos de siniestro, de acuerdo a los roles que se hayan asignado en
los planes de evacuación del personal o equipos, para minimizar
costos se pueden realizar recarga de extintores, charlas de los
proveedores, etc
Una vez concluidas las labores de Recuperación del (los)
Sistemas que fueron afectados por el siniestro se deberá evaluar
objetivamente todas las actividades realizadas; que tan bien se
ejecutaron, cuanto tiempo tomo, que circunstancias se
modificaron, como se comportó el equipo de trabajo etc
 FASE 5: IMPLEMENTACIÓN

La fase de implementación se da cuándo han ocurrido o están por ocurrir

los problemas, para este caso se tiene que tener preparado los Planes de
Contingencia para poder aplicarlos. Puede también tratarse de una etapa
de prueba controlada. Un punto donde se debe actuar por ejemplo cuándo
se a identificado un nuevo riesgo o una nueva solución , en este caso toda
la evaluación de riesgo se cambia y comienza un ciclo nuevo completo el
cual podría ser menos exigente que el primero.
PRIORIDADES DE UN PLAN DE CONTINGENCIA
FASE 6: MONITOREO

• La Fase de monitorio dará la seguridad que podamos

reaccionar en el tiempo preciso y con la acción correcta.
Esta fase es primordialmente de mantenimiento, cada vez
que se Da un cambio en la infraestructura se deberá realizar
un mantenimiento correctivo o de adaptación Un Plan, tiene
como objeto gestionar de la manera óptima en tiempo y
forma una situación de crisis no prevista, reduciendo así los
tiempos de recuperación y vuelta a la normalidad. Por
tanto, es imperativo que lo mantengamos actualizado en
todo momento y que su vigencia sea comprobada
regularmente.
FASE 6: MONITOREO

• Es necesario llevar a cabo diferentes Pruebas sobre los entornos

que hayamos definido en el alcance, con diferentes grados de
complejidad y elaboración. Entre todas las pruebas, debemos
realizar pruebas de todos Los entornos al menos una vez al año
para cubrir el conjunto de amenazas que hemos definido como
potencialmente catastróficas
• El propósito es mantener actualizada toda la documentación cada
vez que se produzca un cambio significativo en la organización, a
nivel de infraestructuras TIC, de personal, o de cualquier otro
aspecto implicado en los procesos críticos.
I. Garantizar que la información
del plan se mantiene
actualizada; 
II. Garantizar que en situación de
LA REALIZACIÓN • Incrementar la confianza de
contingencia, la organización
podrá recuperarse en los
DE ESTA FASE los usuarios en la
organización
tiempos establecidos, aspecto
que puede determinar la
PERMITIRA :
continuidad de la organización

• Incrementar la cohesión del

personal implicado en una
potencial contingencia;

• Mejorar el conocimiento de los

usuarios en relación con las
pruebas de continuidad;
• CONCLUSIONES

• Un plan de contingencia es una estrategia de respaldo para un equipo u organización. Define

cómo responder a eventos imprevistos te hacen desviar de tu plan original

• Los planes de contingencia deberán ser realistas y eficaces

• Es importante considerar la seguridad informática tanto desde el punto de vista físico como
desde el lógico. La seguridad física se refiere a la seguridad de los componentes mismo de un
equipo informático (Hadware), a la seguridad lógica se refiere a la seguridad de la
información y los programas de almacenamiento en un equipo o una red de datos