Administracion Y Seguridad De Un Cdp

PROCESOADMINISTRATIVO El proceso administrativo se define como el proceso metodológico que implica una serie de actividades que llevará a una mejor consecución de los objetivos, en un periodo más corto y con una mayor productividad. Proceso administrativo se divide en tres niveles:

Planeación: Proceso que permite la identificación de oportunidades de mejoramiento en la operación de la organización con base en la técnica, así como el establecimiento formal de planes o proyectos

Organización: Forma de operar un centro de cómputo. Un Centro de Procesamiento de Datos (CPD) o Centro de cómputo, es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa.

Dirección y control. PLANEACION: La planificación es un proceso que facilita la formulación de ideas rectoras de la institución; visión, valores y misión; evalúa su situación interna y externa El plan estratégico, como la resultante del proceso de reflexión estratégica, ¿Para qué se desarrolla la planeación? •

Ayuda a la búsqueda, detección y aprovechamiento sistemático de oportunidades.

•

Orienta la gestión hacia el logro de objetivos estratégicos conjuntos, facilitando los procesos de coordinación. Orienta el proceso de asignación de recursos. Facilita el control y la implementación del Sistema de Información Gerencial. Realizar los análisis y proyecciones pertinentes a las cuentas del Departamento, con el fin de ser utilizadas en la ejecución del Plan de Desarrollo con sus respectivos programas y proyectos. Identificar las necesidades de información en el área informática, de acuerdo con el proceso de elaboración del Plan de Desarrollo Departamental.

• • • •

TIPOS DE PLANEACION: Planeación Estratégica: Se refiere a las estrategias a seguir en la construcción del Centro de Cómputo. ¿Porqué construirlo? La planeación estratégica es sistemática en el sentido que es organizada y conducida con base a una realidad entendida.

Planeación de Recursos: deben considerarse los recursos económicos que va a requerir la construcción del Centro de Cómputo. ¿Cuánto dinero se va a ocupar? También es un proceso para decidir de antemano que tipo de esfuerzos de planeación deben de hacerse, cuándo, cómo y quién los llevará a cabo, y qué se hará con los resultados.

Planeación Operativa: ¿Cómo va a funcionar el Centro de Cómputo?, ¿Que Software será necesario?, ¿Que Hardware se requerirá?, ¿Que servicios va a prestar?, etc. Local físico. Donde se analizará el espacio disponible, el acceso de equipos y personal, instalaciones de suministro eléctrico, acondicionamiento térmico y elementos de seguridad disponibles. Espacio y movilidad. Características de las salas, altura, anchura, posición de las columnas, posibilidades de movilidad de los equipos, suelo móvil o falso suelo, etc. Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipo

1

JERARQUIA ORGANIZACIONAL DEL AREA DE SISTEMAS Concepto: Jerarquía se denomina la cadena de mando, en la cual se incluyen los niveles de comunicación y autoridad que deben respetarse (conducto regular) para evitar conflictos e ineficiencias. La jerarquía cuando se individualiza podría definirse como el status o rango que posee un trabajador dentro de una empresa, así el individuo que desempeña como gerente goza indudablemente de un respetable status dentro de la misma, pero la diferencia de este individuo en su cargo también condicionará su mayor o menor jerarquía dentro de una empresa. La jerarquía cuando se usa como instrumento para ejecutar la autoridad posee una mayor formalidad y es conocida como jerarquía estructural de la organización. Según el criterio de dos autores, se pueden definir cuatro tipos de jerarquías en las organizaciones: 1. La jerarquía dada por el cargo. 2. La jerarquía del rango. 3. La jerarquía dada por la capacidad. 4. La jerarquía dada por la remuneración.

La jerarquía dada por el cargo Este tipo de jerarquía es la que constituye los diferentes niveles estructurales de la organización, se expone por medio de organigramas y se describe en los manuales de organización. Toma como base las actividades laborales y deberes inherentes a un cargo o posición determinada.

La jerarquía del rango Este tipo de jerarquía no se establece sobre el fundamento de las actividades ni se liga a labores determinadas. Se basa en las condiciones personales no en las obligaciones que se tengan, sino en algunos requisitos que hay que llenar. Es utilizada en las organizaciones militares para establecer los distintos grados por los que se van a regir.

La jerarquía dada por la capacidad Este tipo de jerarquía es limitativa y acorde con cada individuo. Las personas están previamente clasificadas de acuerdo con sus capacidades, independientemente de su condición de clase en la sociedad, es decir, el individuo asciende en la organización de acuerdo a su capacidad.

La jerarquía dada por la remuneración Este tipo de jerarquía está determinada por la complejidad del trabajo (a mayor complejidad mayor salario), la antigüedad en la empresa o porque se es empleado de confianza y, en gran sumo, por el rendimiento del individuo.

NIVEL JERARQUICO DE LA FUNCION DE INFORMATICA EN UNA ORGANIZACIÓN. La organización en un centro de cómputo es la creación de una estructura, la cual determina las jerarquías necesarias y agrupación de actividades, con el fin de simplificar las mismas y sus funciones dentro del grupo social. En un centro de cómputo la organización debe existir de parte del administrador hacia sus subordinados de manera imparcial. La operación de un centro de cómputo se debe llevar a cabo de acuerdo a las funciones que a cada departamento ó área correspondan y estas a su vez deben ser delegadas por el administrador de centro de cómputo ó sistemas. Por ejemplo el administrador tiene la obligación de realizar en su centro de computo funciones como la de llevar un control de los empleados para cual requerirán una base de datos misma

2

que se deberá plantear al analista, a su vez el analista deberá entregar un reporte al programador, mismo que tendrá que entregar el esqueleto de la base de datos.

Descripción de los puestos y funciones Gerente de proceso Este puede ocupar puestos tales como supervisor de red, o jefe de alguna área del centro de sistemas. Es el encargado de revisar y controlar las operaciones que se desarrollan dentro del proceso operativo, sus funciones varían de acuerdo a las actividades que realiza cada empresa de manera particular.

Analista El analista de acuerdo a su perfil profesional puede desempeñar sus funciones dentro del departamento de análisis de sistemas ó programación según lo maneja cada empresa de forma particular y de acuerdo a sus necesidades. Si este se desempeña en el área de análisis de sistemas sus funciones serán las de detectar los problemas o carencias de la empresa, analizarlos y proponer soluciones para los mismos, su colaboración con el programador podrá ser apoyada en material tal como diagramas, algoritmos y otros.

Programador de sistemas Éste de acuerdo a sus capacidades podrá ocupar un puesto dentro del departamento de programación, ya sea como jefe del mismo ó como programador. Si se desempeña como jefe sus funciones serán, entre otras: supervisar a los programadores, analizar los programas antes de ponerlos en uso dentro de la empresa. Si colabora como programador sus funciones serán entre otras: codificar, capturar y diseñar los programas ó sistemas que le sean asignados para su desarrollo.

LA RELACION CON LAS DEMAS AREAS DE LA ORGANIZACION La relación de sistemas de información con otras áreas pueden quedar englobadas en los siguientes grupos: usuarios/cliente, organización y producción.

Usuario/Desarrollo El usuario desempeña el papel de cliente. Y desarrollo el de proveedor de servicios. La responsabilidad del área de Desarrollo queda limitada a prestar servicios de acuerdo con las características de contratación o acuerdo (plazos de entrega. Documentación a aportar la formación)

Organización /Desarrollo Estas aéreas presentan una forma de relación muy variable, según la instalación de que se trate. En general, organización es el interlocutor de los diferentes departamentos usuarios de la organización, frente al área de sistemas de información, y en particular al de desarrollo. Suele participar comúnmente en las primeras etapas del desarrollo del proyecto: Identificación de necesidades y análisis de requerimientos.

Desarrollo/Producción La relación mantenida entre estas áreas tiene características más variables que las anteriores. Dada la doble faceta que presenta cada una. Desarrollo actúa frente a producción, como cliente en cuanto a la demanda de máquina y en general de recursos hardware y software, que precisa para la construcción e implantación de los sistemas en su segunda faceta. Producción actúa como administración de recursos

3

(sistemas en producción) mientras que desarrollo le corresponde el papel de servicio técnico, debiendo encargarse de la solución de las incidencias que puedan presentarse en esos sistemas.

ORGANIGRAMA

Áreasde Áreasde un CPD

Área Directiva:  Planeación, organización, administración de personal y control.

4

 Coordinar las actividades de las áreas.  Aplicaciones son factibles de realizar.

Área Técnica:  Brindar el soporte técnico que se requiere en las actividades de cómputo.

Área Operativa:  Brindar los servicios requeridos para el proceso de datos.

 Se encarga de alimentar datos a la computadora.

ÁREA ADMINISTRATIVA: Encargada de controlar los recursos económicos para el abastecimiento de materiales.

ÁREA DE SOPORTE:  Encargada de verificar que el software y hardware funcione correctamente.

Clasificación de un CDP CENTRALIZADA: •

Los programas de aplicación y la presentación se encuentran en el servidor.

•

Al referirnos a un Centro de Cómputo Centralizado estamos en presencia de una estructura que concentra su personal en un solo sector dentro de la Organización.

VENTAJAS • •

Permite un control más sencillo. Evita inconsistencia o redundancia de las aplicaciones.

DESVENTAJAS •

Generan retrasos y pérdidas de tiempo.

DECENTRALIZADA  Las bases de datos están repartidas en distintos servidores o incluso clientes.

5

 La Descentralización del CPD, cuenta con una estructura distribuida en cuanto al personal afectado y ubicación física.

VENTAJAS  Permite adoptar las necesidades del usuario.  Facilita el reparto de las tareas.

DESVENTAJAS  Mayor control.  Mayor costo.

MIXTA  Dando como resultado una red de computadoras con datos que se encuentran tanto internamente como en el servidor, ya que este respalda la información en cada una de las estaciones de trabajo.  Una solución intermedia entre descentralización y centralización es la llamada informática distribuida o mixta.

Análisis Y Función De Los Puestos De Trabajo: Directivo Funciones: •

Planeación, organización, administración.

•

Coordinar las actividades de las áreas.

•

Planear y controlar los recursos de información.

•

Enlace principal entre las otras áreas y el CPD.

Requisitos: •

Conocimientos técnicos.

•

Capacidad gerencial.

•

Habilidad administrativa.

•

Debe entender los propósitos, metas, necesidades de cómputo la empresa.

•

Capacidad para supervisar personal altamente calificado.

Analista Funciones: •

Establecer un flujo de información eficiente.

•

Estudio y proposición de soluciones.

6

•

Plantear diferentes alternativas.

•

Diseño de reportes.

•

Supervisión de cambios de equipo.

•

Preparación de presupuesto en el área de cómputo.

Requisitos: •

Educación profesional formal y experiencia practica.

•

Capacidad de síntesis

•

Capacidad comunicativa

•

Capacidad de abstracción

•

Capacidad de conceptualizar

Clasificación: •

Analista junior

•

Aprendiz de sistemas

•

Analista sénior

•

Analistas programadores que realizan

•

Estar agrupados en equipos.

Programadores: Funciones: •

Desarrollar aplicaciones.

•

Modificar los existentes y vigilar que todos los procesos se ejecuten correctamente.

•

Usan especificaciones realizadas por los analistas.

•

Documentan aplicaciones.

•

Pueden organizarse en grupos.

Clasificación: •

Programadores junior

•

Aprendices de Programación

•

Programadores Sénior

7

Programadores De Sistemas: Funciones: •

Optimizar los recursos de hardware y ambientes de red.

•

Seleccionar, modificar y mantener el software del sistema operativo.

•

Verifican programas eficientes y bien documentados.

Programadores De Sistemas: Requisitos: •

Razonamiento analítico.

•

Realizar programas sin supervisión directa.

•

Búsqueda de errores en los programas y precisión para reducir su cantidad.

•

Desarrollar nuevas técnicas para la solución de problemas Administradores De Base De Datos:

Funciones: •

Establece y controla las definiciones y estándares de los datos.

•

Coordina la recopilación de los datos y las necesidades de almacenamiento.

•

Asesora en el diseño de la base de datos.

•

Proyecta e implanta sistemas de seguridad.

Operadores: Funciones: •

Preparan y limpian todo el equipo.

•

Se encargan del mantenimiento, cambio de los componentes de los equipos usados.

•

Documentan las actividades diarias, los suministros empleados.

•

Se conoce como Hardware.

Formas de Operar un CPD  Departamentos y sus funciones  Importante  Encargado del CPD

 Organice Información y Accesos 8

Funciones Principales:  Operar el sistema de computación central.  Ejecutar los procesos asignados.  Revisar los resultados.

 Realizar las copias de respaldo  Marcar y/o señalizar.  Llevar registros.  Sistema Funcionando.

 Mantenimiento y Limpieza  Seguridad y Control.  Información

 Cumplir normas, reglamentos y procedimientos.

ELEMENTOS DE UN CPD: Para la implementación de un CPD, se requerirá una certificación emitida por una entidad certificadora independiente, que demuestre que se cumplen las normas expuestas para todos y cada uno de los elementos que conforman el Centro de Proceso de Datos.

SISTEMAS DE CONTROL Instalaciones Eléctricas:  Para la alimentación de todos los componentes, tanto hardware y sistemas de comunicación.

Instalaciones de Climatización:  El CPD estará dotado de un sistema de climatización que permita mantener las condiciones requeridas de temperatura, y humedad donde se alberguen equipos informáticos y técnicos.

Sistema de Alimentación Ininterrumpida (SAI)  Es un dispositivo que gracias a sus baterías, puede proporcionar energía eléctrica tras un apagón a todos los dispositivos que tenga conectados.  Otra de las funciones de los SAI es la de mejorar la calidad de la energía eléctrica que llega a los aparatos

Sistema de Detección y Extinción de Incendios  Son los dispositivos que permiten monitorear en el caso de que haya un incendio.

9

 También los que se utiliza para extinguir el posible Incendio

Sistema Detección de Intrusión  En materia de seguridad se requerirá la instalación de cámaras con IR para visualizar en total oscuridad, lector de huellas digitales, etc.

TECNOLOGIA IMPLEMENTADA SNMP  Protocolo Simple de Administración de Red es un protocolo de la capa de aplicación que facilita el intercambio de información.  permite a los administradores supervisar el desempeño de la red, buscar y resolver sus problemas, y planear su crecimiento.

Servidores  Es una máquina o programa cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar esos datos. ➢

Servidores de Aplicaciones

➢

FTP

➢

Servidores Groupware

➢

Servidores Proxy

➢

Servidores Web

De los Usuarios y el Cableado • • • • •

PC Proyectores Cables Cte.5 Fibra Óptica Racks

DIRECCION DE UN CPD EL DIRECTIVO ACTITUDES Y APTITUDES NECESARIAS Bajo precio del hardware lo convierte en un medio atractivo para incrementar la productividad de la fuerza del trabajo.

 Problema para el directivo del CPD, el cual elegir.  Otros problemas por parte del personal y de los medios financieros  CPD necesita una preparación específica en una gran diversidad de materias.

APTITUDES: 10

•

Experiencia de línea y de staff.

 Habilidad para tratar asuntos complejos

 Experiencia en diferentes ámbitos territoriales: trabajo en compañías nacionales o multinacionales y conocimiento de los problemas de comunicación y logísticos propios de las empresas de ámbito nacional.

ACTITUDES:  Capacidad de desarrollar una política de empresa.  Preparado para dirigir e implantar proyectos.  Preparación intelectual.  Un activo para la empresa.  Trabajar siempre para la promoción

ADQUISICION DE HARDWARE Y SOFTWARAE PROCEDIMIENTO DE ADQUISICION Consideraciones generales: Para realizar cualquier adquisición de Software o Hardware, se deberán considerar los siguientes puntos:

•

Solicitud de propuesta: Todo sistema se origina en base a una solicitud que hace el usuario al centro de cómputo, intentando satisfacer una necesidad específica. Los parámetros sobre los cuales debe medirse dicha solicitud son los objetivos y las políticas, los cuales debe fijar el usuario, aunque puede ser que el departamento de análisis le brinde ayuda en su clarificación. Ambos parámetros deben quedar establecidos por escrito.

11

•

Evaluación de propuesta: Previamente debe llevarse a cabo una investigación con el propósito de establecer con seguridad el tipo de Software y Hardware requerido para su implementación, posteriormente se integra toda la información obtenida de dicha investigación y así poder establecer la operatividad de los sistemas a adquirirse.

•

Financiamiento: Las fuentes de financiamiento pueden ser principalmente instituciones bancarias a través de créditos. Para el caso de centros de cómputo destinados a la educación pública no existen fuentes de financiamiento, a menos que la institución educativa cuente con un área destinada a la producción de software para empresas privadas, entonces la misma empresa puede ser el origen del financiamiento.

•

Negociación de Contrato: La negociación de contrato debe incluir todos los aspectos de operación del Software y del Hardware a implementarse. Aspectos tales como: Actualizaciones, innovaciones, capacitación, asesoría técnica.

ADQUISICION DE SOFTWARE Selección de Software: Los criterios para seleccionar software son:

Software: Conjunto de programas o listas de instrucciones codificadas los cuales le permiten a la computadora realizar una o varias funciones.

Varía de acuerdo al nivel: •

Básico. Sistema Operativo (Seleccionar por Standard Mundial).

•

Soporte: Base de datos (Seleccionar por Standard Mundial).

a. Proveedor: Las características que debe tener el proveedor de informática son: • • • •

Reconocido prestigio mundial y nacional. Soporte técnico en instalación. Ayuda en problemas. Personal especializado.

•

Tiempo de atención.

•

Comunicación rápida.

• •

Servicios de capacitación: cursos, material, expositor, costos.

•

Documentación: Facilidad de uso.

Cartera de clientes de software iguales al adquirido.

b. Costos: Se considerará lo siguiente: • •

Condición de pago. Local.

•

Inclusión de entrenamiento.

•

Costos de mantenimiento.

Software: El software para Computadores se puede clasificar en los siguientes tipos: •

Sistema operacional: Es el conjunto de programas que controla las actividades operativas de cada Computadora y de la Red.

12

•

Paquete de Usuario Final: Mediante los cuales el usuario de un manera sencilla elabora sus procesos, por ejemplo, hojas de cálculo, manejadores de bases de datos, procesadores de palabras, etc.

•

Paquete de Sistemas Aplicativos: En los que a diferencia de los anteriores, el usuario es simplemente quien los usa. La programación y el desarrollo es compleja, realizada por el Departamento de Sistemas o adquiridos a proveedores externos, por ejemplo, sistema de nomina, sistema de Contabilidad, sistemas de Inventarios, etc.

•

Software Autorizado: Se considera como Software autorizado, tanto los sistemas operacionales como aquellos paquetes de usuario final y de sistemas aplicativos, que el departamento de sistemas ha instalado, previo visto bueno para su adquisición y con la Autorización legal del proveedor para su uso.

ADQUISICION DE HARDWARE Selección de Hardware: Los criterios para seleccionar hardware son:

a. Equipos: •

La configuración debe estar acorde a las necesidades de la carga del procesamiento de datos.

•

Debe tener una capacidad de crecimiento vertical (en el mismo equipo), horizontal (con otros equipos). Fabricante de calidad (muy bueno), reconocido prestigio mundial. Tiempo de garantía. Tecnología de "punta" (Alta).

• • •

b. Proveedor: Debe tener las siguientes características: • •

Reconocido prestigio local. Soporte de mantenimiento: personal especializado, stock de repuestos.

• •

Tiempo de atención, local apropiado, comunicación rápida. Cartera de clientes con equipos equivalentes a los adquiridos. Tiempo de entrega oportuno.

c. Precios: Se debe considerar lo siguiente: • •

Condiciones de pago. Detallado por componentes de la configuración.

•

Descuentos por volumen.

•

Costo de mantenimiento.

Hardware La selección del modelo y capacidades del hardware requerido por determinada dependencia, debe ir de acuerdo con el plan estratégico de sistemas y sustentado por un estudio elaborado por el departamento de sistemas, en el cual se enfatizan las características y volumen de información que ameritan sistematización y diferencian los tipos de equipos que se adjudican a las diversas áreas usuarias. Todo estudio determina una configuración mínima para el Computador y los aditamentos o dispositivos electrónicos anexos como unidades externas, impresoras, tarjetas y módems para comunicaciones, elementos para backups en cintas magnéticas, etc.; de acuerdo con las necesidades del usuario, así como una evaluación del costo aproximado de la inversión.

13

METODOLOGIAS PARA LA DECISIÓN DEL HARDWARE Y SOFTWARE El proceso administrativo se define como el proceso metodológico que implica una serie de actividades que llevará a una mejor consecución de los objetivos, en un periodo más corto y con una mayor productividad. El proceso administrativo se dice que es tridimensional, porque sus elementos son aplicables a todas las funciones del organismo en todos sus niveles: • •

Planeación. Organización.

•

Dirección y control.

Planeación: Proceso por el cual se obtiene una visión del futuro, en donde es posible determinar y lograr los objetivos, mediante la elección de un curso de acción.

Organización: La creación de una estructura, la cual determine las jerarquías necesarias y agrupación de actividades, con el fin de simplificar las mismas y sus funciones dentro del grupo social.

Dirección: Comprende la influencia del administrador en la realización de los planes, obteniendo una respuesta positiva de sus empleados mediante la comunicación, la supervisión y la motivación

Control: El proceso de determinar lo que se está llevando a cabo, a fin de establecer las medidas correctivas necesarias y así evitar desviaciones en la ejecución de los planes.

Definición de Planeación Proceso por el cual se obtiene una visión del futuro, en donde es posible determinar y lograr los objetivos, mediante la elección de un curso de acción Niveles de planeación Hay 6 niveles de planeación que se presentan a continuación: • • • •

Planeación estratégica Planeación de recursos Planeación operativa Planeación de personal

•

Planeación de instalación física

•

Ubicación física

Planeación estratégica En todo centro de cómputo existen variables para su planeación estratégica y es que en todo centro de cómputo debe haber áreas de trabajo para cada una de las funciones que se realizan de entre las cuales podemos mencionar: Supervisor de red: Puesto más nuevo dentro del área que se trata de administrar, ejecutar y desarrollar las funciones que tiene que ver con las instalaciones de la red. Área de análisis: Aquí se analizan los problemas de la empresa para dale una solución sistematizada.

14

Área de programación: Recibe información del área de análisis para codificar los programas que se van a suministrar al sistema de computo. Área de captura: Lugar en e cual se almacena la información en la computadora para su procesamiento. Operadores de cómputo: es donde se encuentra el responsable de administrar la consola de sistemas.

Planeación de recursos En esta etapa de la planeación el jefe, encargado ó administrador del centro de cómputo, organiza los recursos económicos con que se cuenta, es decir, destina la cantidad de recursos necesarios para la subsistencia de cada departamento.

Planeación operativa Es la manera de organizar al personal de acuerdo a sus capacidades y funciones que se le asignan dentro de su departamento, como se muestra a continuación: Ingeniero en sistemas de cómputo: Persona con los conocimientos más profundos en el campo de la informática, por lo general es el encargado de administrar los centros de cómputo. Lic. En sistemas de computo: Persona con conocimientos informáticos enfocados al área de la administración. Supervisor de red: Persona capaz de administrar, supervisar y desarrollar las aplicaciones y el mantenimiento de la red. Analista de sistemas: Persona capacitada para analizar y solucionar los problemas o percances que surjan dentro de la empresa, elaborando para su desempeño (algoritmos, diagramas de flujo) y otros recursos del analista. Programador: Persona con amplios criterios y conocimientos en programación, con los cuales desarrolla y programa las computadoras del centro de computo. Capturita de datos: responsable de alimentar la información al sistema de computo, sus capacidades deben ser (velocidad en el uso del teclado, uso de procesador de texto, hojas de cálculo, bases de datos y paquetería en general. Operador de computadora: Persona con amplios criterios que usa el sistema operativo y opera todos sus sistemas.

Planeación de personal En esta etapa de la planeación, el administrador de centros de cómputo debe seleccionar al personal que se requiere para la operación del centro de sistemas de acuerdo con su perfil profesional, su preparación y su experiencia en el ámbito laboral. Planeación de instalaciones físicas Esta etapa de la planeación se refiere a todo lo que tiene que ver con el equipo que se debe de utilizar y debe de estar contenido en el centro de cómputo. Los principales requisitos de un centro de sistemas son:

• •

Conexión a tierra física

•

Reguladores

No break (baterías ó pilas)

15

• •

Aire acondicionado

•

Y otros

Extinguidores (por lo menos 1 por cada 6 computadoras)

Ubicación física El lugar donde debe estar ubicado el centro de computo debe de cumplir una serie de requisitos de entre los cuales podemos mencionar a los siguientes: •

Estar situado en un lugar donde no pueda acceder personal no autorizado.

• • •

Que no entre mucha luz natural.

• • •

Extinguidores. Ruta de evacuación Otros.

Debe haber aire acondicionado. No debe haber entradas de aire natural.

Organización Es la creación de una estructura, la cual determine las jerarquías necesarias y agrupación de actividades, con el fin de simplificar las mismas y sus funciones dentro del grupo social. En un centro de cómputo la organización debe existir de parte del administrador hacia sus subordinados de manera imparcial.

PERMISOS Y LICENCIAS El uso de Software no autorizado o adquirido ilegalmente, se considera como PIRATA y una violación a los derechos de autor. El uso de Hardware y de Software autorizado está regulado por las siguientes normas:

•

Toda dependencia podrá utilizar únicamente el hardware y el software que el departamento de sistemas le haya instalado y oficializado mediante el "Acta de entrega de equipos y/o software".

•

Tanto el hardware y software, como los datos, son propiedad de la empresa. su copia o sustracción o daño intencional o utilización para fines distintos a las labores propias de la compañía, será sancionada de acuerdo con las normas y reglamento interno de la empresa. El departamento de sistemas llevara el control del hardware y el software instalado, basándose en el número de serie que contiene cada uno. Periódicamente, el departamento de sistemas efectuará visitas para verificar el software utilizado en cada dependencia. Por lo tanto, el detectar software no instalado por esta dependencia, será considerado como una violación a las normas internas de la empresa. Toda necesidad de hardware y/o software adicional debe ser solicitada por escrito al departamento de sistemas, quien justificará o no dicho requerimiento, mediante un estudio evaluativo.

• •

•

•

El departamento de sistemas instalará el software en cada computador y entregará al área usuaria los manuales pertinentes los cuales quedaran bajo la responsabilidad del Jefe del departamento respectivo.

16

• • •

•

•

•

•

Los diskettes que contienen el software original de cada paquete serán administrados y almacenados por el departamento de sistemas. El departamento de sistemas proveerá el personal y una copia del software original en caso de requerirse la reinstalación de un paquete determinado. Los trámites para la compra de los equipos aprobados por el departamento de sistemas, así como la adecuación física de las instalaciones serán realizadas por la dependencia respectiva. La prueba, instalación y puesta en marcha de los equipos y/o dispositivos, serán realizada por el departamento de sistemas, quien una vez compruebe el correcto funcionamiento, oficializara su entrega al área respectiva mediante el "Acta de Entrega de Equipos y/o Software". Una vez entregados los equipos de computación y/o el software por el departamento de sistemas, estos serán cargados a la cuenta de activos fijos del área respectiva y por lo tanto, quedaran bajo su responsabilidad. Así mismo, el departamento de sistemas mantendrá actualizada la relación de los equipos de computación de la compañía, en cuanto a número de serie y ubicación, con el fin que este mismo departamento verifique, por lo menos una vez al año su correcta destinación. El departamento de sistemas actualizará el software comprado cada vez que una nueva versión salga al mercado, a fin de aprovechar las mejoras realizadas a los programas, siempre y cuando se justifique esta actualización.

DERECHOS DE AUTOR Y LICENCIA DE USO DE SOFTWARE. El Copyright, o los derechos de autor, son el sistema de protección jurídica concebido para titular las obras originales de autoría determinada expresadas a través de cualquier medio intangible. Las obras literarias (incluidos los programas informáticos), musicales, dramáticas, plásticas, gráficas y escultóricas, cinematográficas y demás obras audiovisuales, así como las fonogramas, están protegidos por las leyes de derechos de autor.. El titular de los derechos de autor tiene el derecho exclusivo para efectuar y autorizar las siguientes acciones: •

Realizar copias o reproducciones de las obras.

•

Preparar obras derivadas basadas en la obra protegida por las leyes de derechos de autor.

•

Distribuir entre el público copias de la obra protegida por las leyes de derechos de autor mediante la venta u otra cesión de la propiedad, o bien mediante alquiler, arrendamiento financiero o préstamo.

•

Realizar o mostrar la publicidad de la obra protegida por las leyes de derechos de autor.

•

Importar el trabajo, y realizar actos de comunicación pública de las obras protegidas.

TIPOLOGIAS Y PLATAFORMAS Tipos de hardware •

El hardware básico: abarca el conjunto de componentes indispensables necesarios para otorgar la funcionalidad mínima a una computadora.

17

•

El Hardware complementario: que, como su nombre indica, es el utilizado para realizar funciones específicas estrictamente necesarias para el funcionamiento de la computadora.

•

Hardware Gráfico: El hardware gráfico lo constituyen básicamente las tarjetas de video que actualmente poseen su propia memoria y Unidad de Procesamiento, llamada unidad de procesamiento gráfico (o GPU, siglas en inglés de Graphics Processing Unit). El objetivo básico de la GPU es realizar exclusivamente procesamiento gráfico, liberando al procesador principal (CPU) de esa costosa tarea (en tiempo) para que pueda así efectuar otras funciones más eficientemente.

Tipos de software La clasificación básica es: software de sistema y software de aplicación.

1. El software de sistema: es el software básico o sistema operativo. Es un conjunto de programas cuyo objeto es facilitar el uso del computador (aísla de la complejidad de cada dispositivo, y presenta al exterior un modelo común de sistema de manejo para todos los dispositivos) y conseguir que se use eficientemente (ejemplo: realizar operaciones mientras se ejecuta un programa). Administra y asigna los recursos del sistema (hardware).

2. El software de aplicación: son los programas que controlan y optimización la operación de la máquina, establecen una relación básica y fundamental entre el usuario y el computador, hacen que el usuario pueda usar en forma cómoda y amigable complejos sistemas hardware, realizan funciones que para el usuario serían engorrosas o incluso imposibles, y actúan como intermediario entre el usuario y el hardware.

Plataformas Una plataforma es una combinación de hardware y software usada para ejecutar aplicaciones; en su forma más simple consiste únicamente de un sistema operativo, una arquitectura, o una combinación de ambos. La plataforma más conocida es probablemente Microsoft Windows en una arquitectura x86; otras plataformas conocidas son GNU/Linux y Mac OS X (por defecto son multiplataforma). El software en general está escrito de modo que dependa de las características de una plataforma particular; bien sea el hardware, sistema operativo, o máquina virtual en que se ejecuta. La plataforma Java es una máquina virtual multiplataforma, tal vez la más conocida de este tipo, así como una plataforma popular para hacer software (que, por supuesto, se considera multiplataforma).

a)

Plataformas de hardware: Una plataforma de hardware es una arquitectura de computador o de procesador. Por ejemplo, los procesadores x86 y x86-64 son las arquitecturas más comunes actualmente para los computadores caseros. Entre los sistemas operativos existentes para estas arquitecturas se cuentan Windows, GNU/Linux, GNU/Hurd, Mac OS X, y BSD.

b)

Plataformas de software: Las plataformas de software pueden ser un sistema operativo, un entorno de programación, o (más comúnmente) una combinación de ambos. Una excepción notable es el lenguaje de programación Java, que usa una máquina virtual independiente del sistema operativo para leer el código compilado, conocido en la jerga de Java como byte code.

c) Plataforma Java: es una excepción a la regla general de que el sistema operativo constituye la plataforma de software. El lenguaje Java provee una máquina virtual o "procesador virtual" que ejecuta cualquier código que haya sido escrito en dicho lenguaje; lo que permite que el mismo binario ejecutable se pueda usar en todos los sistemas compatibles con el software Java. Esto tiene, sin embargo, un precio: los

18

ejecutables de Java no los puede procesar directamente el sistema operativo, sino que hace falta un programa especial, la Máquina virtual Java, que siendo ejecutada por el sistema operativo, se encargue a su vez de ejecutar esos programas.

LA SEGURIDAD DE UN CENTRO DE COMPUTO La seguridad de un sistema de cómputo se da cuando: • • •

Hay confianza en él. El comportamiento del software es el esperado. La información almacenada – Inalterada – Accesible

PRINCIPIOS Y FUNDAMENTOS Principios • • • • • • • • • •

El intruso probablemente es alguien conocido. No confiar, y ser cauteloso con quien requiera alguna información. Verificar lo que uno mismo hace para no cometer errores. Hacer creer al intruso que será atrapado. Protección por capas Mientras se planea la estrategia de seguridad, presumir de la completa falla de cualquier capa de seguridad. La seguridad debe ser parte del diseño original. Deshabilitar servicios paquetes y cualquier elemento innecesario. Antes de conectar un equipo, asegurarse que este todo correcto. Prepararse para lo peor.

Fundamentos La seguridad informática debe vigilar principalmente las siguientes propiedades:

Privacidad La información debe ser vista y manipulada principalmente por quienes tienen el derecho o la autoridad de hacerlo.

Integridad La información debe ser consistente, fiable y no propensa a alteraciones no deseadas.

19

Disponibilidad La información debe estar en el momento que el usuario requiera de ella.

TIPOS DE SEGURIDAD Se puede dividir en Seguridad Física y Lógica.

Seguridad Física Se refiere al equipo de cómputo, las instalaciones eléctricas, redes y los mecanismos de acceso a los mismos por parte del personal.

Ubicación física y disposición del centro de cómputo Consideraciones: • • • • • •

Características del equipo Valor del equipo Importancia del equipo Lugar más conservador y clandestino Lejos del tránsito terrestre y aéreo Lejos de elementos electrónicos – Radares – Microondas

Riesgos por ubicación ACTIVIDAD ALTO Acceso a Máquinas Acceso de elementos de trabajo Carga del suelo Filtraciones de agua Inundación Sabotaje G: Grave

M: Mediano

G G G G I P P: Poco

NIVEL MEDIO BAJO M M M P P G

P I P P M G

SÓTAN O P P I P G P

I: Inexistente

Instalaciones físicas del centro de cómputo Factores inherentes a la localidad •

Naturales – Hundimiento del piso – Temperatura – Sismos

20

•

Servicios – Líneas telefónicas – Instalación eléctrica – Antenas de comunicación

•

Seguridad – Lugares desolados o desprotegidos – Fuentes de incendios – Inundaciones

•

Piso falso – Sellado hermético – Nivelado topográfico – Tierra física (aterrizado) – Cubrir el cableado – Aprox. 40 cm.

•

Cableado – De alto y bajo voltaje – Cables de telecomunicaciones – Cables de señales para monitores

•

Paredes y techos – Pintura plástica lavable – Falso (amarres del plafón) – La altura neta: 2.70 a 3.30 metros.

•

Puertas de acceso – Puertas de doble hoja de 1.50 cm – Salida de emergencia – Dimensiones máximas del equipo

•

Iluminación – Generadores fuera de la sala – La alimentación de la iluminación diferente a la del equipo – El 25% debe ser de emergencia conectado al UPS

•

Filtros – 99% de eficiencia sobre partículas de 3 micrones – Si existen otros contaminantes seleccionar filtros adecuados – Aire de renovación y ventilación tratados previamente  Temperatura  Humedad

•

Vibración – Equipos anti vibraciones

•

Ductos – Lisos y sin desprendimiento de partículas

Acondicionamiento del local 21

•

Necesidades de espacio – Especificaciones técnicas del equipo – Áreas de cintas, discos, archivos – Evitar áreas con formas extrañas – Preferentemente rectangulares – Consideraciones a futuro

•

Distribución en planta – Planos civiles y arquitectónicos  Hidráulicos  Planta  Memoria de cálculo  Sanitario  Teléfono  Seguridad  Energía eléctrica

Control de acceso físico Estructura y disposición del área de recepción • Identificación del personal y visitantes • Recursos magnéticos • Vidrio reforzado Acceso de terceras personas • De mantenimiento del aire acondicionado y cómputo • De limpieza • Identificación plenamente Identificación del personal • Algo que sea portable • Algo que se sabe • Alguna característica física especial – Guardias y escoltas especiales – Registro de firmas de entrada y salida – Puertas con chapas de control electrónico – Tarjetas de acceso y gafetes de identificación – Entrada de dos puertas – Equipo de monitoreo – Alarmas contra robos – Trituradores de papel

Aire acondicionado Riesgos • Mal funcionamiento del AC ocasiona que el equipo de cómputo sea apagado • La instalación del AC es una fuente de incendios Prevenciones • Instalar AC de respaldo • Extintores y detectores de humo

22

•

Alarmas de temperatura y humedad

Capacidad del equipo de AC • Disipación térmica de las máquinas y del personal • Pérdidas por puertas y ventanas • El AC debe ser independiente del aire general • Conectarse directamente al generador de electricidad Distribución del aire en la sala • Distribución por techo • Distribución por piso falso • Distribución por dos canales

Instalación eléctrica Corriente regulada Sistemas de corriente interrumpida • Regular la corriente eléctrica • Proporcionar energía eléctrica continua • Tipos de sistemas – Básico – Completo – Redundante Consideraciones • El tiempo de interrupción es variable • Proporcionar operación continua durante un tiempo determinado • Costo depende de la capacidad Instalación física • Temperatura de las baterías • Ventilación • Nivel de acústica • Seguridad • Accesibilidad Plantas generadoras de energía • Clasificación – Gas – Diesel – Gasolina Sistema de conexión de tierra

Riesgo de inundación • • • •

Existencia de inundaciones El equipo no debe estar en el sótano Acontecimientos no naturales Ruptura de tuberías

23

•

Drenaje bloqueado

Protección, detección y extinción de incendios Consideraciones sobresalientes • Paredes de material incombustible • Techo resistente al fuego • Canales y aislantes resistentes al fuego • Sala y áreas de almacenamiento impermeables • Sistema de drenaje en el piso firme • Detectores de fuego alejados del AC • Alarmas de incendios conectado al general

TIPO H₂O

DE MATERIAL Seco

E

Líquidos Eléctrico

SI NU NU: No Usar

TIPO DE EXTINTOR ESPUMA POLVO CO₂ SECO Luego Agua E E

E E NO

Luego Agua E SI

E: Excelente

Mantenimiento • • • • •

Propio o externo Equipo informático Electricidad, agua, AC, etc. Refleja las actividades disciplinarias Falta provoca una fractura en la seguridad

Seguridad Lógica Hace referencia a los mecanismos de proteger los datos, es decir lo más valioso para una organización, su información.

Causas de inseguridad • • • • • • •

La deficiencia en los equipos respectivos de soporte La “inteligencia” social El espionaje industrial La deficiente administración de una red Los virus Fallos en la seguridad de programas Los vándalos informáticos

Huecos de seguridad 24

• • • • •

Física En el software No confiar en los scripts y/o programas de instalación Por la falta de experiencia Filosofía de seguridad y forma de mantenerla

Intrusiones y ataques Intrusiones al sistema • Física • Por sistema • Remota

Técnicas utilizadas • • • •

Barrido de puertos Escaneo del medio Bugs Backdoors

Esquema del comportamiento • Entrar al sistema • Explotar un fallo para obtener privilegios • Controlar el sistema Formas de controlar • Copia del archivo de password para desencriptarlos • Instalación de sniffers y/o caballos de Troya • Normas de asignación de cuentas Formas de protección • Firewalls • VPN’s • Conexiones seguras (SSL) • Wrappers • Software de análisis de vulnerabilidad • Fingerprints para archivos

PLAN DE CONTINGENCIA Un plan de contingencia es una presentación para tomar acciones específicas cuando surjan problemas o una condición que no esté considerado en el proceso de planeación y ejecución normal. Un plan de contingencia contempla tres tipos de acciones, las cuales son: Responsables del cumplimiento. Las Direcciones y jefaturas, el responsable del área de Seguridad Informática (designar), el responsable de Desarrollo Tecnológico, el responsable del área de Auditoría Interna, son responsables de la definición y la implementación del Plan de Contingencia (Plan de Continuidad del Procesamiento).

25

Prevención Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total. Esta vela por reducir el impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos reducidos.

Detección Deben contener el daño en el momento, así como limitarlo tanto como sea posible contemplando todos los desastres naturales y eventos no considerados.

Recuperación Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como de su recuperación o restauración Es necesario un plan de contingencias que abarca lo siguiente: Plan de Reducción de Riesgos (Plan de Seguridad). Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una lista de todos los riesgos conocidos, para lo cual se deberá realizar un análisis de riesgos.

Análisis de Riegos El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se ha de poder obtener una evaluación económica del impacto de estos sucesos negativos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Luego se efectuará un resumen de los riesgos ordenados por el factor de riesgo de cada uno.

TIPO DE RIESGOS Robo Vandalismo Fallas en los Equipos Acción de virus Equivocaciones Terremotos Accesos no autorizados Robo de datos Fuego Fraude

FACTOR DE RIESGOS Alto Medio Medio Medio Bajo Bajo Bajo Bajo Bajo Muy Bajo

Protecciones Actuales 1. Generales, se hace una copia casi diaria de los archivos que son vitales para la Institución. 2. Robo común, se cierran las puertas de entrada y ventanas. 3. Vandalismo, se cierra la puerta de entrada. 4. Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma regular, no se permite fumar, está previsto el préstamo de otros equipos. 5. Daño por virus, todo el software que llega se analiza en un sistema utilizando software antivirus. Los programas de dominio público y de uso compartido (Shareware), sólo se usan si proceden de una fuente fiable.

26

6. Equivocaciones, los empleados tienen buena formación. Cuando son necesarios, se intenta conseguir buenos trabajadores temporales. 7. Terremoto, nada. Aparte de la protección contra incendios, la cual es buena. 8. Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de llave de bloqueo del teclado. 9. Robo de datos, se cierra la puerta principal. Varias computadoras disponen de llave de bloqueo del teclado. 10. Fuego, en la actualidad se encuentra instalado Sistemas contra incendios, extinguidores, en sitios estratégicos y se brinda entrenamiento en el manejo de los sistemas o extinguidores al personal, en forma periódica.

Plan de Recuperación de Desastres Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento. Las actividades a realizar en un Plan de Recuperación de Desastres se pueden clasificar en tres etapas:

Actividades Previas al Desastre Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de la información, que nos aseguren un proceso de Recuperación con el menor costo posible a nuestra Institución.

Establecimiento del Plan de Acción: En esta fase de Planeamiento se debe de establecer los procedimientos relativos a: Sistemas e Información: La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los realizados por el centro de cómputo como los hechos por las áreas usuarias. Debiendo identificar toda información sistematizada o no, que sea necesaria para la buena marcha Institucional. Equipos de Cómputo: Inventario actualizado de los equipos de manejo de información (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicación y nivel de uso Institucional. Obtención y almacenamiento de los Respaldos de Información (BACKUPS). Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los Sistemas o aplicativos de la Institución. Políticas (Normas y Procedimientos de Backups). Se debe establecer los procedimientos, normas, y determinación de responsabilidades en la obtención de los Backups mencionados anteriormente. 1. Periodicidad de cada Tipo de Backup.

27

2. Respaldo de Información de movimiento entre los períodos que no se sacan Backups (backups incrementales). 3. Uso obligatorio de un formulario estándar para el registro y control de los Backups. Formación de Equipos Operativos: En cada unidad operativa de la Institución, que almacene información y sirva para la operatividad Institucional, se deberá designar un responsable de la seguridad de la Información de su unidad. Pudiendo ser el jefe de dicha Área Operativa. Formación de Equipos: de Evaluación (auditoria de cumplimiento de los procedimientos sobre Seguridad). Esta función debe ser realizada de preferencia por personal de Auditoria, de no ser posible, la realizará el personal del área de Informática, debiendo establecerse claramente sus funciones, responsabilidades y objetivos: •

Revisar que las Normas y procedimientos con respecto a Backups y seguridad de equipos y data se cumpla.

•

Supervisar la realización periódica de los backups, por parte de los equipos operativos, comprobando físicamente su realización, adecuado registro y almacenamiento.

•

Revisar la correlación entre la relación de Sistemas e Informaciones necesarios para la buena marcha de la Institución (detallados en «a»), y los backups realizados.

•

Informar de los cumplimientos e incumplimientos de las Normas, para las acciones de corrección respectivas.

Actividades Durante el Desastre Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente: Plan de Emergencias: En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así como la difusión de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del siniestro: 1. Durante el día. 2. Durante la noche o madrugada. Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar: 1. Vías de salida o escape. 2. Plan de Evacuación del Personal. 3. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Información) de la Institución (si las circunstancias del siniestro lo posibilitan) 4. Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores contra agua, etc.) Formación de Equipos:

28

Establecer claramente cada equipo (nombres, puestos, ubicación, etc.) con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa básica es la protección de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una área cercana, etc.), deberá de existir dos equipos de personas que actúen directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informáticos. Entrenamiento: Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta dirección otorga a la Seguridad Institucional.

Actividades Después del Desastre Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Acción. Evaluación de Daños: Inmediatamente después que el siniestro ha concluido, se deberá evaluar la magnitud del daño que se ha producido, que sistemas se están afectando, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc. Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual tenemos el convenio de respaldo, para ir avanzando en las labores de preparación de entrega de los equipos por dicha Institución. Priorización de Actividades del Plan de Acción: Toda vez que el Plan de acción es general y contempla una pérdida total, la evaluación de daños reales y su comparación contra el Plan, nos dará la lista de las actividades que debemos realizar, siempre priorizándola en vista a las actividades estratégicas y urgentes de nuestra Institución. Es importante evaluar la dedicación del personal a actividades que puedan no haberse afectado, para ver su asignación temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte técnico. Ejecución de Actividades: La ejecución de actividades implica la creación de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de acción. Cada uno de estos equipos deberá contar con un coordinador que deberá reportar diariamente el avance de los trabajos de recuperación y, en caso de producirse algún problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. Los trabajos de recuperación tendrán dos etapas, la primera la restauración del servicio usando los recursos de la Institución o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y eficiente para no perjudicar el buen servicio de nuestro Sistema e imagen Institucional, como para no perjudicar la operatividad de la Institución o local de respaldo.

29

Evaluación de Resultados: Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como se comportaron los equipos de trabajo, etc. De la Evaluación de resultados y del siniestro en sí, deberían de salir dos tipos de recomendaciones, una la retroalimentación del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro. Retroalimentación del Plan de Acción: Con la evaluación de resultados, debemos de optimizar el plan de acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. El otro elemento es evaluar cual hubiera sido el costo de no haber tenido nuestra Institución el plan de contingencias llevado a cabo.

30