control de cambios fecha descripción aprobado por el ... plan de... · aumentar la probabilidad de...

PLAN DE CONTINGENCIA TECNOLÓGICA IDEP

Código: PL-GT-12-02

Versión: 4

Fecha Aprobación: 27/07/2015

Página 1 de 36

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP

Aprobado por el Comité Interno de Sistemas mediante Acta No. 03 de 2015

Firma de Autorizaciones

Elaboró Revisó Aprobó

Profesional Especializado 222-04 Oficina Asesora de

Planeación

Jefe Oficina Asesora de Planeación

Representante para la Alta Dirección del Sistema Integrado de Gestión

Control de Cambios

Fecha Descripción

Mayo de 2010 Actualización del Documento

Diciembre de 2013 Actualización del Documento

Julio de 2015 Actualización del Documento



Versión: 4


Página 2 de 36


CONTENIDO

1. OBJETIVO ............................................................................................................. 4

1.1. Objetivo General ............................................................................................. 4

1.2. Objetivos Específicos ..................................................................................... 4

2. ALCANCE .............................................................................................................. 4

3. DEFINICIONES TÉCNICAS .................................................................................. 5

4. REFERENCIA NORMATIVAS ............................................................................... 7

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN ...... 8

1.1 PRESENTACIÓN ................................................................................................ 8

1.2 PREMISAS DE PARTIDA ................................................................................... 8

1.3 FUNCIONES DE LA DIRECCIÓN ....................................................................... 9

1.3.1. Informe a Dirección.................................................................................. 9

ANÁLISIS DE IMPACTO ............................................................................................ 11

2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN ............................................. 11

2.1.1. Impactos más comunes y tiempos de recuperación ................................... 11

2.2. RESUMEN PARA LA DIRECCIÓN ............................................................... 13

2.2.1. Objetivos del análisis ............................................................................. 13

2.2.2. Alcance del Análisis ............................................................................... 13

ESTRATEGIA DE CONTINGENCIA ........................................................................... 17

3.1. EMPRESAS DE SERVICIO ........................................................................... 17

3.2. COMUNICACIONES ALTERNATIVAS ............................................................. 17

3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD .......................... 17

3.4. CENTRO DE ALMACENAMIENTO EXTERNO ................................................ 18

3.4.1. Solución propia .......................................................................................... 18

EQUIPOS DE RECUPERACIÓN ................................................................................ 20

4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ...... 20

4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ................. 21

PLAN DE ACCIÓN ..................................................................................................... 22

5.1. DEFINICIÓN DE DESASTRE ....................................................................... 22

5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA .......................... 23

5.2.1. Notificación de primera alerta ................................................................ 23



Versión: 4


Página 3 de 36


5.2.2. Escalado de problemas ......................................................................... 24

INFORME DE EMERGENCIA ................................................................................. 27

5.2.3. Evaluación de daños ............................................................................. 28

5.3. PROCEDIMIETOS DE RESPUESTA ........................................................... 29

PRUEBAS Y ACTUALIZACIÓN .................................................................................. 32

6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN ................................................... 32

6.1.1. Revisiones periódicas ................................................................................ 32

6.1.2. Pruebas técnicas ...................................................................................... 32

6.2. MANTENIMIENTO DEL PLAN ......................................................................... 33

6.2.1. Actualizaciones .......................................................................................... 33

LISTA DE DISTRIBUCIÓN ......................................................................................... 35

BIBLIOGRAFÍA ........................................................................................................... 36



Versión: 4


Página 4 de 36


1. OBJETIVO

1.1. Objetivo General

Aumentar la probabilidad de recuperación en la continuidad de las operaciones en los

sistemas de información que el IDEP tiene en producción en el menor tiempo y

reduciendo el impacto en las operaciones del Instituto.

1.2. Objetivos Específicos

Proporcionar un enfoque organizado y consolidado para dirigir actividades de

respuesta y recuperación ante cualquier incidente o interrupción de trabajo

imprevista, evitando confusión y reduciendo la situación de tensión.

Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto,

reduciendo así los impactos resultantes de interrupciones de trabajo a corto

plazo.

Aumentar la probabilidad de continuidad del servicio informático de la

organización en caso de que un incidente interrumpa sus operaciones

normales.

Reducir el tiempo de recuperación, y como consecuencia, las pérdidas

económicas, directas e inducidas, como resultado de un desastre.

Realizar la recuperación de las funciones críticas, mediante el desarrollo de los

procedimientos necesarios para:

o Reducir la duración de la recuperación.

o Minimizar el coste de la recuperación.

o Evitar la confusión y reducir el riesgo de errores.

o Evitar la duplicación de esfuerzos.

2. ALCANCE

El Plan de Contingencia de los Sistemas de Información del IDEP está diseñado para

crear una situación de preparación que proporcione una respuesta inmediata diseñada

en función de una serie de posibles escenarios previamente definidos.

Es necesario definir las áreas del IDEP que van a estar relacionadas y deben ser

incluidas en el plan. Adicionalmente se debe distinguir las amenazas más probables y

descartar aquellas que, aún siendo posibles, su probabilidad de ocurrencia es muy

bajo.



Versión: 4


Página 5 de 36


Se consideran los siguientes tipos de incidentes:

Cualquier incidente externo o interno que pudiera potencialmente causar una

interrupción de las operaciones del negocio, tales como la pérdida de los

servicios de suministro eléctrico o de telecomunicaciones.

Cualquier incidente que afecte al funcionamiento del hardware o del software y

que suponga una interrupción superior a las 24 horas.

Cualquier incidente interno que pudiera potencialmente causar o afectar la

interrupción de las operaciones de los sistemas de información, como son la

falla en los servidores o puntos de conexión.

Cualquier incidente que suponga la paralización de actividades de la

organización por motivos ajenos a la tecnología, tales como problemas

laborales propios o del sector o problemas laborales que afecten al área

geográfica donde se encuentra ubicada la organización.

Se descartan o son poco probables de suceder los siguientes tipos de incidentes:

Los que causen un daño físico en las instalaciones o equipos, como fuego,

humo o daños por agua.

Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones,

como evacuación de emergencia por amenaza de bomba, o amenazas

externas tales como incendios en instalaciones cercanas, fuga de gases

tóxicos, etc.

Desastres regionales no previstos o inesperados, que puedan causar daños en

las instalaciones y equipos e impedir el acceso normal al personal encargado o

quien haga sus funciones de las operaciones informáticas, aunque las

instalaciones estén intactas, tales como inundaciones, huracanes etc.

3. DEFINICIONES TÉCNICAS

Copias de seguridad (Backup): una copia de seguridad o backup (su nombre en

Inglés) en tecnología de la información o informática es una copia de seguridad - o el

proceso de copia de seguridad - con el fin de que estas copias adicionales puedan

utilizarse para restaurar el original después de una eventual pérdida de datos.

Disco duro: en informática, un disco duro o disco rígido (en inglés Hard Disk Drive,

HDD) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema

de grabación magnética para almacenar datos digitales. Se compone de uno o más

platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de

una caja metálica sellada. Sobre cada plato se sitúa un cabezal de lectura/escritura

que flota sobre una delgada lámina de aire generada por la rotación de los discos.



Versión: 4


Página 6 de 36


Enrutador (router) : el enrutador (calco del inglés router), direccionador, ruteador o

encaminador es un dispositivo de hardware para interconexión de red de ordenadores

que opera en la capa tres (nivel de red). Un enrutador es un dispositivo para la

interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes

entre redes o determinar la mejor ruta que debe tomar el paquete de datos.

Hardware: corresponde a todas las partes físicas y tangibles de una computadora: sus

componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables,

gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.

Hub: Concentrador. Dispositivo capaz de enlazar físicamente varios ordenadores de

forma pasiva, enviando los datos para todos los ordenadores que estén conectados,

siendo éstos los encargados de discriminar la información.

LAN: (Local Area Network - Red de Área Local). Interconexión de computadoras y

periféricos para formar una red dentro de una empresa u hogar, limitada generalmente

a un edificio.

Módem : Un módem es un dispositivo que sirve para enviar una señal llamada

moduladora mediante otra señal llamada portadora. Se han usado módems desde los

años 60, principalmente debido a que la transmisión directa de las señales

electrónicas inteligibles, a largas distancias, no es eficiente, por ejemplo, para

transmitir señales de audio por el aire, se requerirían antenas de gran tamaño (del

orden de cientos de metros) para su correcta recepción. Es habitual encontrar en

muchos módems de red conmutada la facilidad de respuesta y marcación automática,

que les permiten conectarse cuando reciben una llamada de la RTPC (Red Telefónica

Pública Conmutada) y proceder a la marcación de cualquier número previamente

grabado por el usuario. Gracias a estas funciones se pueden realizar automáticamente

todas las operaciones de establecimiento de la comunicación.

Plan de Contingencia: Conjunto de estrategias, acciones, procedimientos

planificados y responsabilidades definidas para minimizar el impacto de una

interrupción imprevista de las funciones críticas y conseguir la restauración de las

mismas, dentro de unos límites de tiempo establecidos. Sin que sea una regla general,

se suele aplicar al plan circunscrito a las actividades de los departamentos de

Sistemas de Información.

Red: Una red de computadoras, también llamada red de ordenadores o red

informática, es un conjunto de equipos informáticos conectados entre sí por medio de

dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas

o cualquier otro medio para el transporte de datos para compartir información y

recursos . Este término también engloba aquellos medios técnicos que permiten

compartir la información.



Versión: 4


Página 7 de 36


Software: se conoce como software al equipamiento lógico o soporte lógico de una

computadora digital; comprende el conjunto de los componentes lógicos necesarios

que hacen posible la realización de tareas específicas, en contraposición a los

componentes físicos del sistema, llamados hardware.

Servidores: una aplicación informática o programa que realiza algunas tareas en

beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los

servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos

de una computadora y los servicios de aplicaciones, que realizan tareas en beneficio

directo del usuario final. Este es el significado original del término. Es posible que un

ordenador cumpla simultáneamente las funciones de cliente y de servidor.

S.O. (Sistema Operativo): un Sistema operativo (SO) es un software que actúa de

interfaz entre los dispositivos de hardware y los programas de usuario o el usuario

mismo para utilizar un computador. Es responsable de gestionar, coordinar las

actividades y llevar a cabo el intercambio de los recursos y actúa como intermediario

para las aplicaciones que se ejecutan.

Servidor espejo: con ese nombre se conoce a un procedimiento de protección de

datos y de acceso a los mismos en los equipos informáticos. Este sistema se

implementa en la tecnología de RAID 1.

Consiste en la idea básica de tener dos discos duros conectados. Uno es el principal y

en el segundo se guarda la copia exacta del principal, almacenando cualquier cambio

que se haga en tiempo real en las particiones, directorios, etc., creando imágenes

exactas, etc.

Telecomunicaciones: es una técnica consistente en transmitir un mensaje desde un

punto a otro, normalmente con el atributo típico adicional de ser bidireccional. El

término telecomunicación cubre todas las formas de comunicación a distancia,

incluyendo radio, telegrafía, televisión, telefonía, transmisión de datos e interconexión

de computadoras a nivel de enlace.

4. REFERENCIA NORMATIVAS

Resolución 305 de 2008: Por la cual se expiden políticas públicas para las entidades,

organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la

Información y Comunicaciones respecto a la planeación, seguridad, democratización,

calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales

y Software Libre.



Versión: 4


Página 8 de 36


CAPÌTULO 1

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN

1.1 PRESENTACIÓN

El Plan de Contingencia de Sistemas de Información implica un análisis de los posibles

riesgos a cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de

información en el IDEP. Corresponde a la Oficina Asesora de Planeación y al equipo

de operaciones tecnológicas aplicar medidas de seguridad para proteger y estar

preparados para afrontar contingencias y desastres de diversos tipos.

El Plan de Contingencia de los Sistemas de Información del IDEP está orientado a

establecer un adecuado sistema de seguridad lógica en previsión de desastres, para

establecer medidas destinadas a salvaguardar la información contra los daños

producidos por hechos naturales, técnicos, organizacionales, proveedores, soporte,

falla de hardware, errores humanos, entre otros.

La información como uno de los activos más importantes del Instituto, es el

fundamento más importante de este Plan.

1.2 PREMISAS DE PARTIDA

Es necesario precisar y delimitar una seria de supuestos sobre los cuales basar todas

las actualizaciones en las que se fundamenta el plan, dependiendo del

comportamiento de los factores se analizarán si son aplicables o no; también cabe

mencionar los supuestos para que la dirección determine si los resultados son

positivos o negativos y se requiera de corregir el plan.

El Plan se ha desarrollado sobre los siguientes supuestos:

Sólo el área habitual de trabajo ha sido afectada por el incidente; todos los

lugares alternativos predesignados están intactos.

Los almacenes externos de archivos críticos de Backup e información están

intactos y accesibles.

El personal cualificado en cantidad suficiente está disponible para realizar los

trabajos de recuperación.

Las copias de seguridad y su correspondiente rotación (incluyendo papel, fichas,

películas, y soportes electrónicos) se han realizado correctamente, y se ha

corregido cualquier riesgo identificado.

El Backup de las telecomunicaciones y las estrategias de recuperación

identificadas en otros capítulos del presente plan, están completamente

realizadas y comprobadas.



Versión: 4


Página 9 de 36


Las estrategias de recursos y soluciones de recuperación (por ejemplo:

soluciones de reposición de estaciones de trabajo) están disponibles, realizadas

y comprobadas satisfactoriamente.

Las organizaciones externas como proveedores y organismos públicos,

cooperarán razonablemente durante el periodo de los trabajos de recuperación.

Se han realizado adecuadamente los programas de pruebas del Plan y las

modificaciones pertinentes como consecuencia de su resultado.

La revisión del Plan, mantenimiento, y actualizaciones están realizadas con

periodicidad para asegurar que responde a las necesidades de cada momento.

1.3 FUNCIONES DE LA DIRECCIÓN

Las funciones de la Dirección del IDEP se limitan a la revisión y aprobación de

cualquier acción que exceda de las estrategias de respuesta y recuperación

planificadas y previamente aprobadas.

Solo en los casos en que el incidente haya sobrepasado las previsiones se precisa la

intervención directa de la Dirección.

En esos casos, el responsable de reportar los incidentes debe preparar informes para

la Dirección para ayudar a la gestión de cada día y a la toma de decisiones acerca de

cuestiones no previstas en el plan.

1.3.1. Informe a Dirección

En el supuesto de suceder cualquier incidente, la persona encargada de reportar, una

vez atendidas las decisiones más urgentes descritas en el Plan de Contingencia,

emitirá un informe a la Dirección con el siguiente contenido:

1. Estado de las actividades de respuesta a la emergencia:

Evaluación de los daños a los sistemas de información.

Respuesta de los organismos públicos.

2. Descripción del incidente:

¿Qué ocurrió?.

Localización del suceso.

Hora del suceso.

Supuesta causa.

3. Informe de daños a los servidores (si los hay):

Descripción del servidor.

Nombre y estado de los daños al sistema del servidor.

Daños potenciales adicionales.



Versión: 4


Página 10 de 36


4. Áreas afectadas:

Áreas afectadas.

Estado actual.

Posibilidad de acceso a corto plazo a los sistemas de información.

Impacto en las operaciones del negocio.

5. Plan de Acción:

Localización del Centro de Control.

Situación de las comunicaciones con los sistemas de información.

¿Qué se ha hecho hasta ahora?.

Planes a corto plazo.



Versión: 4


Página 11 de 36


CAPITULO 2

ANÁLISIS DE IMPACTO

2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN

Los impactos normalmente aumentan de forma acelerada dependiendo del tiempo que

lleve la restauración del servicio, los tiempos de respuesta se pueden organizar dentro

de los siguientes intervalos:

El mismo día (Día 0).

El día siguiente (Día 1).

Día 2.

Días 3 – 7.

Más de 7 días.

El gráfico siguiente ilustra un comportamiento típico de impacto en función del tiempo:

2.1.1. Impactos más comunes y tiempos de recuperación

Recuperación en el mismo día

Solamente unas pocas funciones de negocio requieren una respuesta o recuperación

en el mismo día. En el caso del IDEP no se considera que existan funciones críticas

que requieran una respuesta en un término inmediato, so pena de consecuencias

graves que afecten la estabilidad del Instituto.

Se debe tener en cuenta que pueden ocurrir fallos en la comunicación de la

información de un evento o desastre, trayendo como resultado reacciones negativas

graves, esto puede ser causado por situaciones tales como:

Falta de compresión por parte de los funcionarios, contratistas, practicantes y

docentes investigadores sobre los acontecimientos.

Sensación de incompetencia de la dirección percibida por usuarios externos,

funcionarios, contratistas y practicantes.

0123456789

Mismo día Día 1 Día 2 Días 3-7 > 7 Días

IMPACTO



Versión: 4


Página 12 de 36


1 – 2 días

Para el caso del IDEP el negocio puede sobrevivir durante un día de interrupción sin

que haya consecuencias amenazadoras para el Instituto, (por ejemplo, la interrupción

producida por un apagón). Sin embargo, después de uno o dos días, empiezan a

sentirse los impactos siguientes:

La comunicación con los diferentes usuarios (proveedores, profesores,

investigadores, representantes de diferentes entidades, entre otros), comienza

a deteriorarse sensiblemente.

Retraso de datos dentro de los sistemas de información que se encuentran en

producción del Instituto.

La comunicación y la información con las diferentes áreas que requieran de

retroalimentación de los datos, se deteriora progresivamente.

3 – 7 días

En el IDEP el impacto reportado en el marco de 3 – 7 días incluye:

Retraso de actividades financieras que se deben reportar a entidades

reguladoras Distritales.

Problemas contractuales graves (plazos incumplidos, cláusulas de

penalización, pleitos).

Información desarticulada de las áreas que requieran de continuidad (por

ejemplo, el área financiera tendrá información diferente a la de contabilidad)

Más de una semana

Es mucho menos común que exista información sobre impactos de interrupciones de

los servicios del servicio por plazos tan largos (por ejemplo, superior a una semana).

La mayor parte de las organizaciones no pueden predecir exactamente los impactos

de interrupciones gastarán todos los recursos que sean necesarios, para recuperar un

cierto nivel de servicio, dentro del plazo de una semana.

Incluso después de una recuperación con éxito de las funciones del negocio críticas,

los impactos negativos continuarán haciéndose notar las organizaciones que no

estaban preparadas:

La reconstrucción de la información, cuando es posible, es enormemente

costosa y demorada.

La pérdida permanente de información, impacta la competitividad a largo plazo

con entidades del mismo sector, (por ejemplo, pérdida de información histórica,

credibilidad de la entidad, entre otras).



Versión: 4


Página 13 de 36


La desmotivación y altas tasas de rotación del personal son frecuentes

después de que ocurra una interrupción demasiado prolongada.

2.2. RESUMEN PARA LA DIRECCIÓN

En el momento de realizar un análisis de impacto formal para el IDEP, si bien habrá de

ser realizado de forma exhaustiva, es favorable preparar un resumen para la dirección

general, anotando los elementos básicos del análisis, tanto desde el punto de vista del

planteamiento, como de sus resultados, conclusiones y propuestas a la dirección.

2.2.1. Objetivos del análisis

El objetivo del Análisis de Impacto es proporcionar a la dirección general del Instituto la

información necesaria para que pueda tomar decisiones en el desarrollo de su

estrategia de recuperación.

Para ello, el Análisis de Impacto debe establecer el grado de criticidad de dichas

funciones en la razón de ser del IDEP y el tiempo máximo a partir del cual la

interrupción de cada una de ellas es inaceptable.

Los objetivos básicos son:

Definir los tipos de impacto que se deberían considerar, (económico,

operacional, de cumplimiento, etc.).

Identificar las funciones críticas del IDEP.

Identificar el impacto causado al Instituto por la interrupción de cada una de

ellas.

Informar a la Dirección General de los resultados anteriores para que pueda

fijar prioridades, definiendo cuáles son las funciones consideradas prioritarias y

establecer los umbrales máximos de recuperación para cada una de dichas

funciones.

Posibilitar la identificación de los recursos mínimos necesarios para una

recuperación satisfactoria de las funciones definidas como críticas y justificar

su adquisición.

2.2.2. Alcance del Análisis

El análisis de Impacto realizado se refiere exclusivamente a los efectos, tanto tangibles

como intangibles, que podrían causar entorpecimiento de las siguientes funciones

consideradas críticas por la dirección y subdirecciones del Instituto:



Versión: 4


Página 14 de 36


DIRECCION GENERAL

Celebrar los contratos, acuerdos y convenios que se requieran para los

cumplimientos de las funciones del Instituto.

SUBDIRECCIÓN ADMINISTRATIVA FINANCIERA Y DE CONTROL DISCIPLINARIO

Programar, dirigir, controlar y evaluar todas las actividades financieras y

administrativas del Instituto

Asegurar la funcionalidad de las actividades para la ejecución eficaz del

presupuesto del Instituto.

Informes consolidados que se soliciten dentro o fuera de la Institución.

TESORERÍA

Administrar y manejar el portafolio de inversiones de la entidad y garantizar que

los procesos relacionados con los ingresos de capital y pagos a cargo de la

entidad, cumplan a cabalidad con la normatividad vigente.

Elaborar los comprobantes de egreso para los correspondientes pagos.

Registrar los ingresos propios y las transferencias en los libros auxiliares de

caja y bancos.

Realizar todos los procedimientos de causación órdenes de pago,

programación anual mensualizada de caja PAC, pagos generales con orígenes

presupuestal y sin orígenes presupuestales.

PRESUPUESTO

Formular, organizar, coordinar, ejecutar, evaluar y controlar el manejo integral

de los recursos administrativos y financieros y el desarrollo de las actividades

presupuestales requeridas para su funcionamiento, dentro de una política de

mejoramiento continuo y calidad total.

Elaborar y mantener procedimientos que faciliten la gestión presupuestal.

El manejo de la programación presupuestal con sus actividades necesarias,

continúa con la modificación, ejecución y por último el cierre que debe

realizarse al final de cada año.

CONTABILIDAD

Administrar, coordinar, ejecutar y controlar el manejo integral de los recursos

financieros para el desarrollo de las actividades contables y presupuestales

requeridas para el funcionamiento de la institución.

Colaborar con el contador en la causación de las órdenes de pago.



Versión: 4


Página 15 de 36


Los archivos físicos y electrónicos se mantienen actualizados y ordenados para

el soporte de informes y auditorías.

TALENTO HUMANO

Realiza la interventoría a los contratos que le asignan, de acuerdo con los

términos de referencia y las políticas impartidas por las Directivas.

Ejercer control sobre el sistemas integrado de información.

SERVICIOS GENERALES

Manejar la caja menor de acuerdo con las normas establecidas, cuando así lo

requiera la Dirección General.


términos de referencia y las políticas impartidas por las Directivas.

Rendir la cuenta semestral correspondiente al movimiento del almacén, ante

las autoridades competentes.

Presentar informes periódicos sobre el control de consumos y rotación de

inventarios y presentar a Contabilidad el informe mensual de Almacén.

Administrar el Sistema Integrado del aplicativo SIAFI correspondiente al área

del Almacén.

El inventario y los libros reglamentarios se llevan en los módulos de almacén y

compras del sistema de información integrado SIAFI, de acuerdo con las

normas vigentes.

CONTROL INTERNO

Verificar los procesos relacionados con el manejo de los recursos, bienes y los

sistemas de información de la entidad y recomendar los correctivos que sean

necesarios.

Elaboración, ejecución y seguimiento del Plan de Acción de área.

OFICINA ASESORA JURÍDICA

Elaborar o revisar y aprobar los contratos con formalidades plenas,

contratación de mínima cuantía, convenio, resoluciones y demás actos

administrativos que deban suscribir la Dirección General u otras instancias del

Instituto autorizadas para ellos o dependencias de la Administración del Distrito

Capital, previa solicitud de la Dirección General o del área que así lo requiera.



Versión: 4


Página 16 de 36


OFICINA ASESORA DE PLANEACIÓN

Coordinar con las áreas de la Subdirección Académica la elaboración del

anteproyecto de inversión.

Elaborar los reportes de seguimiento a la ejecución a la ejecución física y

financiera solicitados periódicamente por el Departamento Administrativo de

Planeación Distrital.

Coordinar con el área de Presupuesto las modificaciones presupuestales de

inversión que sean necesarias para el normal funcionamiento de la entidad.

Realizar estudios sobre aspectos financieros y de costos de los planes y

proyectos del Instituto.

SISTEMAS. Apoyar, administrar, controlar y evaluar el desarrollo de los

procesos y procedimientos que requiera la entidad en el área de sistemas de

información.

SUBDIRECCIÓN ACADÉMICA

SEGUIMIENTO Y EVALUACIÓN A LA POLÍTICA EDUCATIVA

Elaborar los proyectos de términos de referencia de las investigaciones que

deba realizar el Instituto en forma directa o mediante contratación.

Efectuar la interventoría a los contratos de investigación que realice el Instituto,

de acuerdo con los términos de referencia o mediante contratación.


términos de referencia y las políticas impartidas por las Directivas

COMUNICACIÓN, DIVULGACIÓN Y SOCIALIZACIÓN

Efectuar la interventoría que se le solicite, sobre los contratos que tengan por

objeto la divulgación y comunicación de las actividades del IDEP.

Desarrolla medios institucionales de comunicación para la mejor interacción de

la organización internamente y con el entorno.



Versión: 4


Página 17 de 36


CAPITULO 3

ESTRATEGIA DE CONTINGENCIA

Para que exista la continuidad del negocio en el IDEP, deben tener presente todas las

posibles alternativas reales, en costo y geográficamente.

Para el Instituto aplican:

3.1. EMPRESAS DE SERVICIO

Las empresas de servicios pueden ofrecer una copia de seguridad pasajera muy

ventajosa, es similar a usar el centro de cómputo del proveedor que está colaborando.

Para aplicar este tipo de alternativas se debe tener presente la capacidad suficiente de

hardware incluyendo la compatibilidad. Adicionalmente, no se puede dejar a un lado

todas las características lógicas, de espacio y hardware de la empresa que está

prestando el servicio.

Cualquiera que sea el caso, se debe tener en cuenta el tiempo contratado y en lo

posible el máximo estipulado en el contrato.

También deben tener presente las condiciones de uso de ocurrencia por otros clientes

que tenga la empresa prestadora del servicio, de la existencia de respaldo del centro

alternativo al centro principal en caso de presentarse una falla.

Por último la evaluación de los costos y la revisión de los servicios adquiridos, con el

fin de revisar que no sea otro tipo de contrato.

3.2. COMUNICACIONES ALTERNATIVAS

Determinado la magnitud del incidente, se puede optar por un centro alternativo

remoto. Al momento de los usuarios requieran acceder, lo pueden realizar en cualquier

punto interno o externo del Instituto. Para esto requiere de una red de comunicaciones

que tenga este servicio de conexión.

3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD

El área que se encarga del proceso de las copias de seguridad tanto de los

computadores y servidores que se encuentran en producción del IDEP, realiza esta

actividad con el único objetivo de respaldo en caso de presentarse una emergencia;

esto incluye las bases de datos de cada uno de los sistemas existentes y la

información que tiene cada funcionario del Instituto.



Versión: 4


Página 18 de 36


Para una protección más tangible, estas se deben almacenar en un lugar fuera del

centro de cómputo en condiciones ambientales que permita la seguridad de la

información. Para tener un registro del Backup, se tiene los formatos aprobados.

3.4. CENTRO DE ALMACENAMIENTO EXTERNO

Una medida que se debe tener en cuenta es un armario ignífugo en un sótano, cuarto

alejado o sitio en donde no es admisible todo el público. Como primera medida, este

armario solamente protege contra el incendio y aún así, durante un tiempo limitado

(aproximadamente unos 120 minutos). Pasado este tiempo ya se empieza a notar el

deterioro de componentes plásticos.

Aún teniendo presente este medio de seguridad para el almacenamiento de la

información de las copias de seguridad, es necesario acudir a otras alternativas.

3.4.1. Solución propia

Es la solución más accesible e inmediata, sin embargo, no suelen mantener las

condiciones de seguridad mínimas exigibles, sobre todo por la dejadez y costes. Es

una solución costosa, si se quiere realizar con un mínimo de garantía, debido a la

necesidad de ocupación de un espacio dedicado y acondicionado, por la logística de

traslado y sobre todo tener personal dedicado a la gestión del almacenamiento

externo. Si se sumasen estos costos internos, se vería que una solución cara.

A parte de todos estos inconvenientes, está el más grave, la dejadez. El realizarlo uno

mismo hace relajarse en los respaldos, en los envíos, y en sobre todo en el control de

la información almacenada, con lo que se crean archivos estáticos, y lo que es más

grave, muchas veces no se sabe si la información salvada y almacenada se encuentra

completa. Si se plantea realizar este servicio de una forma interna a continuación se

recomienda una serie de consejos para tener una cámara de almacenamiento en

condiciones.

Accesibilidad: Las 24 horas del día, 365 días del año.

Resistencia al fuego: La resistencia al fuego de los muros, paredes, o paneles

exteriores de la cámara de seguridad, debe ser de 120 minutos (RF-120) cómo

mínimo.

Temperatura contralada: Aunque la temperatura en la cual los soportes magnéticos

empezaría a sufrir consecuencias irreparables es de aproximadamente 55 grados, por

degradación y mantenimiento se hace necesario mantener la temperatura de 20

grados.



Versión: 4


Página 19 de 36


Ello obliga a sistemas de acondicionamiento de aire redundantes, con toma de aire

fresco externo, con energía eléctrica alternativa y dotados de sensores de alarma y de

activación de acciones de emergencia, por ejemplo llamadas telefónicas automáticas a

personas del servicio de mantenimiento.

Humedad controlada: Los soportes magnéticos se deterioran a partir de una

humedad relativa del aire superior al 85%, pero para un mantenimiento continuo se

recomienda una humedad relativa del 50%. Ello obliga a un control de humedad por el

sistema acondicionamiento de aire descrito anteriormente, dotado también de

sensores y activación de alarma.

Resistentica al aplastamiento: La cámara debe ser capaz de aguantar el derrumbe

de las estructuras superiores, con lo cual su construcción resulta cara y compleja.

Hermeticidad ante gases: Si la zona que la rodea, emite gases corrosivos en caso de

incendio, la cámara debe contar con estanqueidad ante la penetración de dichos

gases, es decir, sus ventanas y puertas deben ser CORTAFUEGOS y no

PARALLAMAS, que es lo que habitualmente se monta.

Una puerta cortafuegos se diferencia de una parallamas es que la primera impide el

paso de gases y la segunda no, aún siendo las dos resistentes al fuego. Esto se

consigue normalmente con el sellado de ventanas y cierres a base de siliconas

intumescentes, es decir, que se hinchan en caso de fuego, sellando todos los escapes.

Hermeticidad ante agua: En el caso de actuación de los bomberos en la zona

circundante, de rotura de cañerías, desagües, inundación externa, etc., la cámara

debe tener propios desagües y la puerta debe elevada con una rampa de acceso.

Medidas de seguridad adicionales

Sistema de detección

Deben existir detectores de humo iónicos, no son necesario detectores de calor

y humedad si ha sido instalado un sistema de control de temperatura y de

humedad.

Sistema de extinción

Debe existir un sistema de extinción no de agua, con detección y disparo

autónomo.

Cierre rápido: En el caso de que se produjera un desastre súbito mientras se

está en la cámara, es normal salir corriendo dejando la puerta abierta.

La puerta debe tener cierre automático inbloqueable y, eso sí, contar con

medidas de emergencia para que no se quede atrapada ninguna persona

dentro; por ejemplo, con una puerta pequeña de escape, telefónico interior e

iluminación de emergencia.

Protección contra el robo. La puerta, cerradura, etc., deben ser resistentes a la

agresión.



Versión: 4


Página 20 de 36


CAPITULO 4.

EQUIPOS DE RECUPERACIÓN

Los equipos de recuperación son grupos de personas que se encargan de una serie

de actividades para conseguir un proceso de recuperación efectivo. Cada equipo

puede constar de una sola persona, y una persona puede pertenecer a más un

equipo, dependiendo de las circunstancias.

Como es de importancia, el Comité de Sistemas, Informática y de Seguridad de la

Información deberá coordinar la conformación de tales equipos y quedar registrado

mediante acta, para dejar evidencia de la aplicación del presente documento.

Esta elección será de libre nombramiento con el nivel de personal necesario para su

ejecución, teniendo presente la información necesaria que será ubicada en los cuadros

correspondiente a cada grupo.

Por último, se deberá entrenar constantemente a cada miembro de los equipos ya que

al momento de presentarse una emergencia de nivel grave, puedan entrar a liderar y

mantener la calma de los empleados públicos y continuar con las labores diarias.

4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Este equipo será responsable de la rápida y efectiva reimplementación de las

instalaciones informáticas después del desastre. Cuando se pide el servicio de

recuperación, el suministrador de los servicios de respaldo pondrá a disposición del

usuario un técnico auxiliar que será capaz de responder a la petición de servicio.

Las funciones básicas serán:

Instalación de la solución de recuperación.

Aviso a la empresa de respaldo o soluciones propias.

Petición de las copias de seguridad adecuadas de programas y datos.

Prueba de la máquina de respaldo o servidores en producción.

Restauración de las comunicaciones locales.

Restauración de las comunicaciones remotas.

Obtención de soportes magnéticos nuevos para Backup, material preimpreso y

suministros.

Recuperación de las copias de seguridad del sistema operativo, programas y

datos.

Restauración del sistema operativo, software de aplicaciones y datos.

Realizar las pruebas de comprobación de la calidad de las aplicaciones

restauradas.



Versión: 4


Página 21 de 36


4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Cada actividad de este plan está identificada por un número de suceso. Durante una

crisis, el equipo recibirá una lista de acciones a realizar y reportar al coordinador del

proceso de respuesta y continuidad de las operaciones del Instituto.

Las funciones que se relacionan a continuación son las básicas que se deben cumplir

al momento de presentarse una emergencia:

FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Ref. Descripción de la función

4.2.1 Restaurar las comunicaciones locales

4.2.2 Obtener soportes digitales nuevos

4.2.3 Dar instrucciones, cuando proceda, a la empresa proveedora del servicio de

Backup para desencadenar los procedimientos correspondientes.

4.2.4

Si se trata de reposición de máquinas, decidir el lugar adecuado para su

instalación. Si es el traslado a un centro fijo, comunicarlo al suministrador del

servicio para realizar el traslado en el tiempo acordado

4.2.5 Probar máquinas de respaldo

4.2.6 Comprobar si hay energía disponible. De no ser así, poner en marcha el

sistema de alimentación alternativo

4.2.7 Recuperar las copias de seguridad si están custodiadas en un almacenamiento

externo a la sala de sistemas

4.2.8 Instalar y configurar el sistema operativo en la máquina de respaldo

4.2.9 Restaurar las aplicaciones y datos en la máquina de respaldo

4.2.10 Probar y verificar las aplicaciones

4.2.11 Determinar cuántas estaciones de trabajo es necesario sustituir

4.2.12 Implementar nuevos procedimientos de registro y procedimientos de Backup de

emergencia

4.2.13 Identificar las necesidades de soportes y suministros de Backup.

4.2.14 Si está dañada la línea telefónica, prever el uso de teléfonos móviles y la

sustitución de la línea telefónica

4.2.15 Restaurar las comunicaciones de la red de datos

4.2.16 Coordinar el arranque de los sistemas y mantener informados del progreso a

los usuarios



Versión: 4


Página 22 de 36


CAPITULO 5.

PLAN DE ACCIÓN

El aspecto más importante de la continuidad del negocio es la inmediata notificación al

responsable apropiado de cualquier suceso que pueda causar una interrupción en las

operaciones informáticas, con independencia de su dimensión. El enemigo más

grande de combatir es el tiempo, por ello, las acciones a realizar deben estar

perfectamente definidas así como los responsables de llevarlas a cabo y el momento

de realizarlas.

Cualquiera que sea el inconveniente presentado, se le debe dar aviso al coordinador

de las acciones de respuesta o contingencia o al que haga sus veces.

Al momento de recibir la notificación de un incidente, el coordinador del Plan tomará

acción según se especifica en la lista de actividades del la gestión del mismo,

poniendo en marcha los procedimientos correspondientes.

Para ser más claros en los conceptos que se manejarán, se definirán a continuación

tres grandes familias con denominación genérica.

Procedimientos de emergencia. Son actuaciones inmediatas al incidente que tratan

de proteger la integridad de la infraestructura y la información, atajar la progresión del

incidente y pararlo en la medida de lo posible, realizando la correspondiente

evaluación de daños.

Procedimientos de respuesta. Son actuaciones de cada área o servicio que tienden

a sustituir los procedimientos habituales de trabajo por otros alternativos que, aunque

no reproduzcan totalmente las funcionalidades de cada área o servicio, permiten

atender las necesidades más inmediatas y críticas de los mismos.

Procedimientos de recuperación. Normalmente referidos a actividades de los

sistemas de información, como son los procedimientos que permiten volver a utilizar

datos, aplicaciones, sistemas operativos, etc.

5.1. DEFINICIÓN DE DESASTRE Se deben observar las directrices siguientes teniendo en cuenta el nivel de gravedad

en función del periodo de la interrupción previsto. Esto se hará para establecer el nivel

de la activación del plan.

Las categorías son las siguientes:

Desastre menor.

Desastre mayor.

Desastre catastrófico.



Versión: 4


Página 23 de 36


Desastre menor

Se puede definir como desastre menor aquel que provoca una parada que no

sobrepase las cuatro horas.

Desastre mayor

Se puede definir como desastre mayor aquel que provoca una parada de más de

cuatro horas y que no sobrepase un día.

El daño aquí puede ser ligeramente mayor que en el caso anterior, por ejemplo, el

causado por inundación de la sala o apagón de los servidores por una descarga

eléctrica.

Desastre catastrófico

Cuando el sistema informático vaya a estar fuera de servicio más de un día y que no

sobrepase una semana, se puede calificar como desastre catastrófico.

La severidad del daño de un desastre catastrófico pude incluir la destrucción total del

centro informático, que puede suponer la sustitución completa de hardware, software y

una renovación significativa de la instalación.

5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA

El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de

contingencia debe ser activado. El plan de contingencia de los sistemas de

información debe ser activado si una o más de las siguientes condiciones son

verdaderas:

Interrupción total de las operaciones del Centro de Cómputo ubicado en la

oficina 402B del Centro Empresarial Arrecife por un periodo mayor a 4 horas.

No disponibilidad total de los Sistemas de Información soportados en el Centro

de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un

periodo mayor a 4 horas, debido a daños en hardware y/o software de los

equipos servidores o pérdida de conectividad.

Otro criterio que se considere apropiado.

5.2.1. Notificación de primera alerta

Dependiendo de la naturaleza del incidente, el día, hora y ubicación, la notificación

será descrita en estos ambientes. La respuesta inicial se dará con los procedimientos

que tengan en el Instituto y las prácticas operativas estándar.



Versión: 4


Página 24 de 36


Los procedimientos siguientes muestran un flujo típico de las notificaciones y acciones

iniciales del aviso de emergencia.

Al momento de ser avisado o ser testigo del incidente, los pasos a seguir son los

siguientes:

Dar aviso de lo sucedido a la persona encargada de sistemas, por vía escrita.

Esto debe contener lo siguiente:

o Nombre completo;

o Descripción del incidente;

o Informe preliminar de los daños presentados;

o Información acerca de cualquier intento de notificación anterior;

o Número de teléfono, correo o cualquier medio en donde pueda ser

ubicado.

Al momento de realizar el paso anterior, la persona encargada de sistemas

deberá avisar al jefe del equipo de Gestión de Incidentes o quien haga las

veces.

El jefe del equipo de Gestión de Incidentes decidirá las acciones a tomar,

pudiendo convocar al resto de los miembros del equipo para poner en marcha

el Plan de Contingencia o permanecer en alerta hasta nueva orden.

5.2.2. Escalado de problemas

Un aspecto crítico en la recuperación de desastres es la inmediata notificación al

personal apropiado, para que las operaciones de detención de la emergencia, o el

activado del Plan de Acción, sean iniciadas lo antes posible.

Los objetivos de esta actividad son:

Determinar QUIÉN debe ejecutar la acción.

Determinar el TIEMPO MÁXIMO permitido para la ejecución de la acción.

En caso de no tener éxito en la acción, determinar QUIÉN debe ser avisado a

continuación para hacerse cargo del problema y de su resolución.

Si el tiempo pasa y las acciones de resolución del problema no tienen éxito,

determinar en qué nivel de gravedad se encuentra la organización, por medio

de un sistema de graduación de alertas.

Resumiendo, el procedimiento de Escalado del Problema pretende evitar que una

emergencia menor pueda llegar a convertirse en un desastre:

Tardando demasiado tiempo en solucionarla.

No informando a niveles superiores, para que aporten su experiencia,

autoridad, o medios extraordinarios, en la solución.



Versión: 4


Página 25 de 36


RESPONSABILIDAD

Una emergencia debe ser tratada en su origen por:

Personal designado para ello en el Plan de Acción.

Personal no designado pero entrenado, o informado de los procedimientos de

notificación.

Si no hay nadie de los anteriores, cualquier persona que se encuentre con el

problema.

ACCIONES A EJECUTAR

Esta persona deberá:

Detenerlo y solucionarlo si es su responsabilidad.

Si no es su responsabilidad, intentar detenerlo si lo cree posible y no puede

causar daños mayores o correr riesgos innecesarios.

Informar A LA MAYOR BREVEDAD, al personal implicado en el Plan de

Acción, y si no lo conoce, a sus superiores o al departamento que le

corresponda.

TIEMPO

En la detección del problema y activación de medidas resolutorias son piezas

fundamentales:

El conocimiento y entrenamiento en las acciones a realizar.

El tiempo MÁXIMO a invertir en ellas.

En las guías de escalado que se acompañan, se ha asignado un tiempo

máximo de realización para cada tarea. Este tiempo, deberá ser objeto de

revisión continua a lo largo de la vida del Plan de Acción y se modificará como

consecuencia del entrenamiento, de las pruebas y de la inclusión / supresión /

modificación de acciones.

NOTIFICACIÓN

Uno de los aspectos peor resueltos de los planes de contingencia, está referido a la

notificación:

A QUÍEN notificar. (Superior, coordinador del Plan de Acción).

CUÁNDO notificar. (Al momento de presentarse la situación con denotación de

emergencia).

CÓMO notificar. (De manera escrita u oral).

DÓNDE y CÚANDO celebrar la primera reunión. (En la oficina de la Dirección

General).



Versión: 4


Página 26 de 36


En las guías de escalado del problema de esta sección, quedan especificados los dos

primeros puntos. En cuanto a la mecánica de notificación, se seguirá en principio la

forma general, esto es:

Se avisará al jefe del equipo de Recuperación. Si no es posible localizarle, se

avisará a su suplente.

El jefe del equipo avisará a los miembros de su equipo.

En ambos casos se utilizarán los teléfonos de localización en caso de

emergencia. Esta lista obrará en poder del jefe a cargo y del responsable del

plan.

En la notificación se indicará:

Tipo de desastre ocurrido.

Daños que se estiman de forma muy general.

Lugar previsto para la reunión de equipos afectados.

Hora límite de comienzo de la reunión.

A partir de aquí se pondrán en funcionamiento los procedimientos de respuesta y

recuperación de cada equipo.

Guía de escalado de problema

A las __.__ horas, del __.__.__ se ha producido una interrupción de las operaciones

Paso Acción a realizar Minutos

permitidos Resultado

Tiempo

acumulado

1

El responsable de la

operación, Dr.

______________ se

hace cargo del problema.

Si el problema está resuelto

ir al paso 'Final de

Emergencia'

Si no lo está, se avisará al

Jefe que siga en el conducto

regular

2

El Jefe, Dr. _________

se hace cargo del

problema

Si el problema queda

resuelto, ir al paso 'Final de

Emergencia'

Si no lo está, se avisará al

Jefe que continúe con el

conducto regular

3

El Jefe de Explotación,

Dr. _____ se hace cargo

del problema.

Si el problema queda

resuelto, ir al paso 'Final de

Emergencia'

Si no lo está, informará de

ello al Jefe del Equipo de

Gestión de Incidentes. La

organización se encuentra en

Alerta 1



Versión: 4


Página 27 de 36


4

El Jefe del Equipo de

Gestión de Incidentes

convocará a los

miembros del equipo

para celebrar la reunión

de activación del Plan

El Plan queda activado y los

equipos de recuperación

entran en acción

Este formato es una propuesta para el momento de presentarse una emergencia que

justifique su uso.

A partir de aquí, y dependiendo de las funciones de cada equipo, se establecerá

igualmente una lista de chequeo de actividades y tiempos previstos de forma que el

total de tiempos necesarios para el conjunto de actividades de todos los equipos,

hasta conseguir la continuidad de las operaciones, unido al tiempo acumulado

indicado en la tabla anterior. Se ajuste a las necesidades marcada por los umbrales de

recuperación indicados al inicio del documento.

INFORME DE EMERGENCIA

Una vez que el Plan de Contingencia haya sido puesto en práctica y se hayan

recuperado las funciones críticas, el jefe del equipo de Gestión de Incidentes elaborará

un informe con el siguiente formulario:

INFORME DE EMERGENCIA

EMERGENCIA NUMERO:

_____

DETECTADA

POR:_________

DPTO.

__________

ACCIONES REALIZADAS HORA FECHA

EMERGENCIA DETECTADA

ACCIÓN REALIZADA:

_______________________

PRIMERA ACCION TERMINADA SIN ÉXITO

JEFE DE TURNO AVISADO

JEFE DE TURNO EN EL CPD1

ACCIÓN REALIZADA:

_______________________

SEGUNDA ACCION TERMINADA SIN ÉXITO

1Referencia de internet: http://bit.ly/1OcfoB0 . Centro de proceso de datos, ubicación de los recursos necesarios

para el procesamiento de información de una organización.

http://bit.ly/1OcfoB0



Versión: 4


Página 28 de 36


JEFE EXPLOTACION AVISADO

JEFE EXPLOTACION EN EL CPD

ACCIÓN REALIZADA:

_______________________

TERCERA ACCION TERMINADA SIN ÉXITO

RESPONSABLE DEL PLAN AVISADO

RESPONSABLE DEL PLAN EN EL CPD

ACCIÓN REALIZADA:

_______________________

CUARTA ACCION TERMINADA SIN ÉXITO

CENTRO EN ALERTA 1

ACCIÓN REALIZADA:

_______________________

LA EMERGENCIA FUE RESUELTA A LAS

5.2.3. Evaluación de daños

Se celebrará una reunión del equipo de Gestión de Incidentes para estudiar las

necesidades de evaluación, revisando:

Procedimientos de valoración.

Necesidades de información y formularios.

Revisiones de seguridad de personas e instalaciones.

Cualquier información especial relacionada con seguros.

NOTA: El acceso a las instalaciones después de un fuego, será probablemente

denegado durante un periodo de 24 horas o mayor.

Una vez sea permitido el acceso al edificio, se realizará una inspección in situ

de las áreas afectadas para evaluar el daño de:

.1. Equipos electrónicos (destrucción, recuperación a corto plazo, o

posibilidad de uso inmediato – no recuperación de contenidos).

.2. Archivos esenciales – copias impresas (archivos, manuales, discos

duros, instaladores, documentación, etc.) y datos en otros soportes

(datos en estaciones de trabajo, etc.) – para ayudar en las necesidades

más urgentes de recuperación y permitir el establecimiento de un plan

general de restauración/recuperación.

Obtener una evaluación de los daños de los siguientes elementos realizada por

los miembros del equipo de Gestión de Incidentes:



Versión: 4


Página 29 de 36


.1. Tiempo de reparación de los equipos electrónicos y de

telecomunicaciones (ordenadores personales, terminales, equipos de

comunicaciones);

.2. Instalaciones físicas (edificio, salas instalaciones de suministro de

energía, aire acondicionado, etc.)

Inmediatamente después de la inspección del lugar, los miembros del equipo

se ocuparán de recopilar la información siguiente:

.1. Documentación de los resultados de la evaluación de daños usando un

impreso similar al que se describe a continuación:

FORMULARIO DE EVALUACIÓN DE DAÑOS

Equipo de recuperación :

Área afectada:

Elemento Restaurable (SI/NO) Tiempo estimado de restauración

.2. Identificación de las prioridades de restauración de los elementos

dañados, informando qué registros vitales y equipos electrónicos

necesarios para las actividades de recuperación podrían ser

restaurados rápidamente, o los que tienen el mayor impacto negativo en

las operaciones de la organización.

5.3. PROCEDIMIETOS DE RESPUESTA

Los procedimientos de respuesta pueden ser activados muy rápidamente, pero

usualmente son solo medidas de emergencia y, por lo general, no son suficientes para

las operaciones del negocio a más largo plazo. Los procedimientos de respuesta están

basados típicamente en equipos y facilidades utilizadas específicamente para ese fin.

Son a menudo lo único que se requiere durante las interrupciones breves del negocio.

Los servicios informáticos y de comunicación serán responsables de la valoración de

hardware dañado, así como la reubicación de dichos equipos. Además, esta área

ayudará a las otras áreas afectadas en la recuperación de sus datos, estaciones de

trabajo y red de comunicaciones.



Versión: 4


Página 30 de 36


1. Presentarse en la Dirección General según instrucciones recibidas durante la

alerta.

2. Participar en la reunión de activación dirigida por el equipo de Gestión de

Incidentes.

3. Conseguir todos los detalles posibles en relación a lo siguiente:

Detalles específicos relacionados con el suceso, como tipo de suceso,

lugar, duración, causa.

Espacio físico potencialmente afectado, acceso al edificio y acceso

potencial a corto plazo.

Cualquier instrucción especial.

4. Contactar inmediatamente con el equipo de proveedores para obtener apoyo

en la evaluación del daño y actividades de restauración.

5. Coordinar las siguientes actividades de evaluación del daño en las

instalaciones:

Recopilar los datos necesarios de los siguientes elementos:

Servidores.

Estaciones de trabajo.

Equipos de comunicaciones y líneas.

Impresoras

Computadores personales.

Otros equipos.

6. Coordinar con el equipo de Gestión de Incidentes, la estimación del tiempo

necesario para la reconstrucción del centro de proceso de datos.

7. Revisar posibles alternativas de trabajar en centros alternativos.

8. Coordinar los datos en el centro de almacenamiento externo, regularizando la

entrega de los datos de recuperación a las áreas afectadas.

9. Si se quiere un espacio físico alternativo para alojar un nuevo centro de

proceso de datos, asegurarse de que las necesidades particulares de la

instalación son conocidas por los responsables de su contratación. Tener en

cuenta los requisitos particulares siguientes:

Alimentación de energía eléctrica

Cableado

Aire acondicionado.

Otros.

10. Coordinar con el área Financiera, Servicios Generales, Planeación y Jurídica la

adquisición de computadores personales y servidores, además del software

adecuado, según se especifica en la lista de recursos mínimos necesarios de

cada área.

11. Pedir estimación de costos y disponibilidad de los principales proveedores

potenciales.



Versión: 4


Página 31 de 36


12. Una vez se reciban los primeros ordenadores personales, asignar personas

que se ocupen de configurar los equipos de acuerdo con las necesidades

definidas en la lista de recursos críticos de cada equipo.

13. Coordinar el cableado de nuevo centro y los suministradores externos.

14. Ayudar a los departamentos afectados en la recuperación de sus datos

utilizando sus copias de seguridad.

15. Coordinar la retirada de los elementos recuperables con vendedores y

representantes de la compañía de seguros.

16. Restablecer el acceso a la red de datos.

17. Contactar inmediatamente con el proveedor de telecomunicaciones para

obtener soporte presencial en el sitio para la evaluación de los daños y

actividades de recuperación.

18. Coordinar las actividades de evaluación de daños con Servicios Generales

para evaluar la extensión del daño a telecomunicaciones de voz y datos:

Sistemas y periféricos de la sala de sistemas.

Instalaciones de entrada de cables.

Cableado del edificio y armarios de telefonía.

Posibilidades de re-direccionamiento.

Equipos y líneas de comunicación de datos.

Coordinación en estimación del marco de tiempo para la reconstrucción de

las comunicaciones normales.

19. Coordinar actividades de soporte para la recuperación de voz y datos.

20. Revisar el listado de recursos mínimos necesarios a las áreas afectadas para

obtener las necesidades inmediatas de telecomunicaciones de las unidades

operativas que inician actividades inmediatas de recuperación.

21. Coordinar con el área de Servicios Generales la adquisición de teléfonos.

22. Pedir al proveedor de telecomunicaciones que re-direccione las líneas

telefónicas y conexiones de internet de la organización al lugar donde estén

ubicados.

23. Recuperar los circuitos de datos.

24. Cableado necesario para la recuperación de las comunicaciones del IDEP.



Versión: 4


Página 32 de 36


CAPITULO 6.

PRUEBAS Y ACTUALIZACIÓN

6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN

El programa de pruebas y entrenamiento debe constar, como mínimo, de tres

elementos:

Revisiones periódicas.

Ejercicios de entrenamiento.

Pruebas técnicas.

Es aconsejable establecer una programación anual de estos tres ejercicios para

asegurar su ejecución.

Después de cada revisión o ejercicio, los diversos componentes del plan deben ser

actualizados, si procede, con las experiencias obtenidas de los mismos.

6.1.1. Revisiones periódicas

Las revisiones deben comprobar los siguientes puntos:

¿Siguen siendo válidas las premisas de partida sobre las que se construyó el

plan?

¿Se han transformado en críticas, funciones de negocio que antes no lo eran?

¿Están todavía disponibles los recursos de recuperación, incluyendo las copias

de seguridad actualizadas en el almacenamiento externo?

¿Son todavía apropiados, en cantidades y umbrales de recuperación, los

recursos críticos que se han definido?

¿Ha habido algún cambio en la criticidad de alguna información, que ahora la

haga esencial para la recuperación?

¿Son todavía apropiados los umbrales de recuperación de las funciones de

negocio identificadas como críticas?

6.1.2. Pruebas técnicas

Una buena parte del funcionamiento del plan se basa en el buen funcionamiento de la

tecnología. Algunos elementos del plan requieren pruebas reales para asegurarse que

todo funcionará según lo previsto. Se recomienda una prueba anual de determinados

elementos tecnológicos y logísticos del plan. Estas recomendaciones están basadas

en la experiencia de muchos ejercicios de recuperación y en dificultades surgidas,

tanto en pruebas como en casos reales de recuperación.



Versión: 4


Página 33 de 36


Restaurar todos los servicios de copias de seguridad de computadores y red de

datos.

Comprobar la idoneidad de las copias de seguridad de bases de datos,

aplicaciones, instaladores de los aplicativos en producción, archivos en

general, existentes en el almacenamiento externo y su posibilidad de lectura.

Igualmente con toda la información almacenada en otros soportes.

Verificar la disponibilidad de los proveedores de recursos críticos.

Recuperar los elementos custodiados en el almacenamiento externo utilizando

la logística descrita en el plan.

Efectuar algunas transacciones y procesos reales utilizando los recursos y

registros identificados en el plan.

6.2. MANTENIMIENTO DEL PLAN

El Plan de Contingencia debe estar al día si queremos que sea útil en el momento de

la recuperación. El equipo de Gestión de Incidentes tiene como responsabilidad

primaria el mantener el plan actualizado. Además, deben ser consideradas algunas

cuestiones aparte de los planes de recuperación individuales. Revise estas cuestiones

para asegurar que se han establecido los procedimientos adecuados, tanto dentro

como fuera del plan.

Cuando sea necesario realizar cambios, se enviará copia de los cambios requeridos a

la persona a cargo del Plan de Contingencia para su revisión. La persona responsable

debe:

Revisar los cambios propuestos y verificar que se ha recibido la

correspondiente aprobación de la Dirección General para el cambio propuesto.

Si el cambio es de naturaleza técnica, refleja un cambio en la logística de

recuperación de negocio, o afecta a diferentes equipos de recuperación, el

responsable del plan debe enviar las revisiones propuestas a todos los equipos

afectados para su conocimiento y aprobación, si tal aprobación es necesaria.

Distribuir las copias necesarias del plan a los miembros del equipo de Gestión

de Incidentes.

6.2.1. Actualizaciones

El responsable del plan deberá:

Mantener una copia actualizada de su Plan de Contingencia en su casa y en la

oficina.

Asegurar que todos los miembros del equipo y el personal alternativo tienen

una copia actualizada de este Plan en su casa.

Asegurarse que todo el personal del equipo de recuperación considera las

actividades de recuperación como una parte de sus actividades diarias.



Versión: 4


Página 34 de 36


Asegurarse que las actividades de copias de seguridad y almacenado de los

registros vitales, incluyendo los correspondientes a PCs, están siendo

ejecutadas.

Mantener al día el Plan de Contingencia, incluyendo todos los procedimientos,

listado y registros del equipo actualizados. Actualizar este plan en cualquiera

de las siguientes circunstancias:

o Cambios en el personal del área incluido en el informe de composición

del equipo.

o Cambios significativos en las necesidades de la recuperación del

negocio, que supongan cambios en cualquier umbral de recuperación o

en los informes de recursos críticos.

o Cambios significativos en los procedimientos de la recuperación del

negocio, como la incorporación de nuevas características del negocio o

cambios en el instituto.

Participar en el Programa de Pruebas del Plan de Contingencia.



Versión: 4


Página 35 de 36


CAPITULO 7.

LISTA DE DISTRIBUCIÓN

El Plan de Contingencia debe ser distribuido al personal que deba participar en

cualquier fase del proceso de recuperación o deba estar informado del mismo. Nadie

ajeno a la organización debe poder leer, revisar, copiar o verificar el plan, sin previa

autorización escrita.

Del plan se harán, por tanto, tantas copias como sea necesario, pero éstas deben

estar numeradas y relacionadas en una lista que figurará como un capítulo más del

plan, siguiendo un modelo similar al siguiente:

EJEMPLAR No. Asignado a Cargo



Versión: 4


Página 36 de 36


BIBLIOGRAFÍA

Gaspar Martínez Juan, 2006. EL PLAN DE CONTINUIDAD DE NEGOCIO,

Guía práctica para su elaboración. Editorial Díaz de Santos.2

Internet

http://www.alegsa.com.ar

http://www.google.com

2 Nota aclaratoria: el presente documento fue desarrollado y en algunas secciones transcrito del libro original en

donde se aplicó y enfocó al IDEP. Resalto el trabajo y originalidad del documento utilizado para tal fin del autor Juan Gaspar Martínez.

http://www.alegsa.com.ar/

http://www.google.com/

control de cambios fecha descripción aprobado por el ... plan de... · aumentar la probabilidad de...

Documents