Extracto PLAN DE CONTINGENCIA IVAI PDF

PLAN DE CONTINGENCIA INFORMÁTICO

PLAN DE CONTINGENCIA
INFORMÁTICO

PLAN DE CONTINGENCIA INFORMÁTICO . 4 DE MAYO 2012
INDICE
PLAN DE CONTINGENCIA ......................................................................................................................................... 1
1.-‐ INTRODUCCION .................................................................................................................................................. 1
2.-‐ DEFINICIONES .................................................................................................................................................... 2
3.-‐ OBJETIVOS .......................................................................................................................................................... 4
4.-‐ ESTRUCTURA DEL PROYECTO ............................................................................................................................. 5
5.-‐ RESPONSABILIDADES ......................................................................................................................................... 6
6.-‐ ANALISIS DE IMPACTO DE LOS PROCESOS ......................................................................................................... 7
7.-‐ M ETODOLOGIA DE TRABAJO .............................................................................................................................. 8
8.-‐ DEFINICIONES DE TERMINOS EMPLEADOS ........................................................................................................ 9
9.-‐ ANALISIS Y EVALUACION DE RIESGOS .............................................................................................................. 10
9.1. ESCENARIOS CONSIDERADOS PARA EL PLAN DE CONTINGENCIA ............................................................... 11
9.2. PLANIFICACIÓN ........................................................................................................................................... 11
10.-‐ DISEÑO DE ESTRATEGIA DE CONTINUIDAD DE LOS PROCESOS Y SERVICIOS QUE BRINDA EL IVAI ............... 12
10.1. Escenario I: NO H AY COMUNICACIÓN ENTRE CLIENTE – SERVIDOR. ................................................. 14
10.2. Escenario II: Falla de Servidor Crítico. ................................................................................................ 17
CASO A: Error Físico de Disco de un Servidor (Sin RAID). ................................................................. 17
CASO B: Error de Memoria RAM ............................................................................................................. 18
CASO C: Error de Tarjeta(s) Controladora(s) de Disco ........................................................................ 19
CASO D: Error Lógico de Datos ............................................................................................................... 19
CASO E: Caso de Virus ............................................................................................................................. 20
10.3. Escenario III: Ausencia Parcial o Permanente del Personal de Dirección de Sistemas
Informáticos. ..................................................................................................................................................... 21
10.4. Escenario IV: Interrupción del Fluido Eléctrico ................................................................................... 21
10.5. Escenario V: CORTE DEL SERVICIO DE INTERNET ............................................................................... 21
10.6. ESCENARIO IV: INDISPONIBILIDAD DEL CENTRO DE CÓMPUTO ........................................................ 22
11. PLAN DE VERIFICACION Y PLAN DE PRUEBAS .................................................................................................. 26
11.1. Plan de Verificación .................................................................................................................................. 26
11.2. Procedimientos para las Pruebas del Plan de Contingencia ..................................................................... 26
12. PLAN DE M ANTENIMIENTO ............................................................................................................................ 31
12.1. Control de Cambios al Plan ....................................................................................................................... 31
12.2. Responsabilidad en el M antenimiento de Cada Parte del Plan ................................................................ 31

12.3. Pruebas a todos los cambios del plan ....................................................................................................... 32
12.1. ANEXOS. ......................................................................................................................................... 32
12.1.1. Aviso a persona responsable por el entrenamiento ......................................................................... 33
12.1.2. Control de Cambios al Plan ............................................................................................................... 34
12.1.3. Responsabilidad en el M antenimiento de Cada Parte del Plan ........................................................ 35
13. PLAN DE ENTRENAMIENTO ............................................................................................................................. 37
13.1. Objetivos del Entrenamiento ............................................................................................................ 37
13.2. Alcance del Entrenamiento ............................................................................................................... 37
13.3. Revisión y Actualización .................................................................................................................... 37
13.4. La simulación y simulacros ................................................................................................................ 38
13.5. Guía para simulaciones y simulacros ................................................................................................. 38
13.6. Evaluación del Simulacro ................................................................................................................... 38
13.7. Errores Frecuentes en la Realización de los Simulacros .................................................................... 38
13.8. Comunicación al personal ................................................................................................................. 39
13.9 Evaluación del entrenamiento .................................................................................................................. 39
14. ANEXOS: ........................................................................................................................................................ 40
14.1. Comunicación W EB -‐ IVAI, Configuración de Servidores y Equipos de Comunicación. .............. 40
14.1.1. Servicio de Internet IVAI .................................................................................................................... 40
14.1.2. CONFIGURACIÒN DE LOS SERVICIOS QUE BRINDA EL IVAI ............................................................... 41
14.1.3 Ubicación de los Manuales en el Servidor File Server. ......................................................... 44
14.1.4. Respaldo de Información - Manual de Procedimiento de Backup. ........................................ 44
14.1.5. Procedimiento De Encendido y Apagado del UPS .................................................................. 45
14.1.6. PROCEDIMIENTO DE ENCENDIDO Y APAGADO DE LOS SERVIDORES ................................................ 45
14.2. Inventario de Servidores, Comunicaciones y Software ..................................................................... 46
14.2.1. CLASIFICACION DE LOS ACTIVOS TI .................................................................................... 46
14.2.2. HARDWARE .................................................................................................................................. 77
14.2.3. DIAGRAMAS ...................................................................................................................................... 77
14.3. Relación de coordinadores de Usuario. ........................................................................................... 77
14.3.1. Lista de Personal de Equipo de Respuesta a Desastres. .................................................... 77
14.3.2. Lista Teléfonos de Emergencia ................................................................................................. 81
14.4. DIAGRAMA GENERAL – PLAN DE CONTINGENCIA ........................................................... 82
15.-‐ OBSERVACIONES .......................................................................................................................................... 82

16.-‐ CONCLUSIONES ............................................................................................................................................ 82
17. RECOMENDACIONES .................................................................................................................................... 84



Para el Instituto Veracruzano de Acceso a la Información (IVAI) es indispensable recurrir a los recursos de
Tecnologías de la Información y Comunicaciones (TICs) como un medio para proporcionar los servicios
que el Instituto ofrece a la ciudadanía y es de vital importancia que dicha información sea lo más exacta y
expedita posible.

Es importante resaltar que para que el IVAI logre sus objetivos necesita garantizar tiempos de
indisponibilidad mínimos, tanto en sus recursos informáticos como en las comunicaciones; de este modo
podrá mantener una productividad eficiente en todas las áreas operativas.

Por todo lo mencionado anteriormente, el estar sin el servicio de la plataforma informática por un lapso mayor
de 2 horas origina distorsiones al funcionamiento normal de nuestros servicios. De continuar esta situación
por un mayor tiempo nos exponemos al riesgo de paralizar las operaciones por falta de información para el
control y toma de decisiones del Instituto.

Es necesario, por tanto, prever cómo actuar y qué recursos necesitamos ante una situación de contingencia
con el objeto de que su impacto en las actividades sea lo menor posible.

Cabe señalar que el IVAI ingresa en una situación de contingencia cuando la plataforma
computacional sale de servicio por más de 2 horas y termina cuando se restablece el ambiente de
procesamiento original y el procesamiento normal de sus actividades.

1.-‐ INTRODUCCION

El presente documento es el Plan de Contingencia Informático del instituto Veracruzano de Acceso

a la Información en materia de Riesgos de Tecnología de Información y Comunicaciones (TIC).

Establece el objetivo, alcance y metodología desarrollada. Incluye además, las definiciones
utilizadas, las políticas de seguridad, el análisis de la situación, el análisis de sensibilidad de la
información manejada, la identificación de los riesgos y controles, y la clasificación de activos de
TIC.
1


La metodología práctica comprende: la identificación de riesgos, calificación de la probabilidad de
que ocurra un riesgo, evaluación del impacto en los procesos críticos y la creación de estrategias de
contingencias.

Permitirá mantener la contingencia operativa frente a eventos críticos del Instituto y minimizar el
impacto negativo sobre el mismo, los usuarios deben ser parte integral para evitar interrupciones,
estar preparado para fallas potenciales y guiar hacia una solución.

Ha sido elaborado tomando como base, la Metodología ITIL (INFORMATION TECNOLOGY
INFRASTRUCTURE LIBRARY).
Finalmente, se presentan los anexos como parte complementaria que ayudará a estar preparados
frente a cualquier contingencia en los procesos críticos.

2.-‐ DEFINICIONES

A. CONTINGENCIA:

Interrupción, no planificada, de la disponibilidad de recursos informáticos.

B. PLAN DE CONTINGENCIA:

Conjunto de medidas (de DETECCION y de REACCION) a poner en marcha ante la
presentación de una contingencia.

El Plan de Contingencia se subdivide en:

• Plan de Emergencia

• Plan de Restauración (BACKUP)

• Plan de Recuperación

El Plan de Contingencia suele combinarse con planes de seguridad general.

2


C. PLANES

EMERGENCIA RESTAURACION RECUPERACION

OBJETIVO Limitar el daño. Continuar Procesos Vitales. Recuperar proceso total.

ACTUACION Inmediata. A corto plazo. A medio plazo.

Evacuación.

Estrategias para la
Valoración de daños. Alternativas para los
CONTENIDO recuperación de todos
procesos vitales.
los recursos.
Arranque de acciones.

RESPONSABILIDAD
Instituto. Usuarios. Dirección de Sistemas
PRINCIPAL

ELEMENTOS ESENCIALES DE LOS PLANES

Documentación
a. Consenso
b. Recursos
c. Pruebas
d. Seguros
a. Consenso

− Planes aprobados por la Secretaría Ejecutiva.

− Planes elaborados con el apoyo de los usuarios.

− La eventual reasignación de las prioridades debe haber sido pactada con anterioridad por las
tres partes implicadas (Secretaría Ejecutiva, Dirección de Sistema Informáticos y Usuarios).

b. Recursos

− Lugar alternativo de trabajo.

− Ordenador con "hardware" y "software" apropiados.

− Terminales.

− Copias de seguridad actualizadas.
3

c. Pruebas

− Validez de las copias de seguridad.

− Simulacros de emergencia (una vez por año como mínimo).

− Formación y reciclaje del personal.
d. Seguros

− Contratos negociados.

− No se puede asegurar un riesgo seguro o voluntario.

− Los actos internos de mala intención no siempre se pueden asegurar.
Tipos de contratos:

1. Daños materiales

• Hardware

• Instalaciones

2. Pérdida de archivos

• Costo de reconstrucción

3. Gastos suplementarios

• Utilización forzosa de recursos externos

4. Especiales

• Finalización de proyectos.

• Pérdidas de explotación.

3.-‐ OBJETIVOS

1. Definir las actividades de planeamiento, preparación, entrenamiento y ejecución de tareas
destinadas a proteger la información contra los daños y perjuicios producidos por corte de
servicios, fenómenos naturales o humanos.
2. Establecer un plan de recuperación, formación de equipos y entrenamiento para restablecer la
operatividad del sistema en el menor tiempo posible.
4

3. Establecer actividades que permitan evaluar los resultados y retroalimentación del plan general.

4.-‐ ESTRUCTURA DEL PROYECTO

Para el desarrollo e implementación del Proyecto, se ha diseñado la siguiente estructura, definiendo las
responsabilidades por cada una de las áreas participantes.

Líder de Proyecto

Administrador del
Proyecto

Equipo de Trabajo

ORGANIZACIÓN: Para el desarrollo e implementación, se ha diseñado la siguiente estructura,
definiendo las responsabilidades por cada una de las áreas participantes.

Líder del Proyecto: Secretaría Ejecutiva
Administrador del Proyecto: Director de Sistemas Informáticos
Equipo de Trabajo: Oficina de INFOMEX.
Oficina de Desarrollo de Sistemas
Contraloría Interna (Si lo amerita).
Personal de Seguridad (Si lo amerita).

5


5.-‐ RESPONSABILIDADES

A. DEL LIDER DEL PROYECTO

− Dirigir el desarrollo integral del Proyecto así como verificar el cumplimiento de las actividades
encargadas a cada uno de los líderes usuario.

B. DEL ADMINISTRADOR DEL PROYECTO

− Desarrollar el plan de trabajo establecido.

− Asignar los responsables así como las prioridades para el desarrollo de las tareas.

− Organizar el proyecto y orientar al equipo de trabajo.

− Establecer coordinaciones entre el Equipo de trabajo, el Líder del Proyecto y las demás Áreas
involucradas.

− Verificar y efectuar el seguimiento para que el proyecto sea expresado en documentos
formales y de fácil entendimiento.

− Identificar los problemas, desarrollar las soluciones y recomendar aquellas acciones específicas.

− Controlar el avance del proyecto.

− Informar al Líder del Proyecto, los avances y ocurrencias durante el cumplimiento de las tareas de
los responsables.
C. DEL EQUIPO DE TRABAJO

• Ejecutar las acciones encargadas especificadas en el cronograma o plan de trabajo,
cumpliendo los plazos señalados a fin de no perjudicar el cumplimiento de las demás tareas.
• Comunicar oportunamente al Administrador del Proyecto, sobre los avances de las tareas
asignadas, así como las dificultades encontradas y la identificación de los riesgos.
• Identificar sobre aspectos operativos no contemplados en el Cronograma de actividades.
• Ejecutar las acciones correctivas del caso, coordinando su implementación con el Administrador
del Proyecto.

6

6.-‐ ANALISIS DE IMPACTO DE LOS PROCESOS

Objetivo Principal:

El objetivo principal del Análisis del Impacto de los procesos, es determinar las funciones, procesos e
infraestructura de soporte que son críticos para la contingencia operativa del IVAI.

Objetivos Específicos:

Para lograr el objetivo principal se definieron los siguientes objetivos específicos:

• Identificar las preocupaciones y prioridades de que deberá asumir el Instituto en el caso que
exista una indisponibilidad en los sistemas informáticos producida por una contingencia.
• Identificar el tiempo máximo en el que un proceso critico del IVAI deberá ser restaurado para
su normal y eficiente continuidad.
• Identificar el impacto en las aplicaciones que soportan los procesos críticos del IVAI.
• Proporcionar las bases de una estrategia para la contingencia operativa en

caso de un desastre.
Principales Procesos Identificados

• Software

INFOMEX
SISTEMA DE CONTROL DE TRANSPARENCIA
SISTEMA DE ADMON. DE PAPELERIA Y RECURSOS
CONTROL DE EXPEDIENTES
CONTROL DE MOBILIARIO
CONTROL Y EMISION DE CHEQUES
SISTEMA DE ADMINISTRACION DE DOCUMENTOS
SISTEMA CONTROL DE RECURSOS
COI
NOI

Principales servicios que deberán ser restablecidos Y/O recuperados (Centro

De Cómputo Alterno)

• Windows

– Correo Electrónico.

– Internet.

– Antivirus.

– Herramientas de Microsoft Office.

7


• Software Base

– Base de SQL Server

– Backup de la Información.

– Ejecutables de las aplicaciones.

• Respaldo de la Información

– Backup de la Base de Datos de INFOMEX (SQL server)

– Backup de la Plataforma de Aplicaciones (Sistemas)

– Backup de la WEBSITE

– Backup del Servidor controlador de Dominio.

– Backup del Servidor de Archivos.
7.-‐ METODOLOGIA DE TRABAJO

El Análisis del Impacto tiene como objetivo determinar los procesos críticos del IVAI y las aplicaciones
que lo soportan con el fin de proporcionar las bases para el Plan de Recuperación de TI.

Se llevarán a cabo las siguientes actividades:

a) Entrevistas a diferentes empleados responsables de las áreas que conforman el IVAI.

b) División de los procesos en líneas:

i) Identificación de los Procesos
ii) Subprocesos
iii) Aplicaciones que soporta el IVAI.

iv) Máximo tiempo de interrupción en que el subproceso puede estar interrumpido en horas.
c) Validación de la criticidad por proceso.
d) Clasificación de los Activos TIC
Para la clasificación de los activos de TIC se han considerado tres criterios:

– Criticidad.

– Frecuencia de uso

– Tecnología.

Se considera el criterio de criticidad como el más importante, y los criterios de frecuencia
de uso y tecnología que confirman la clasificación de Activos de TIC:

Criticidad: el activo se define como crítico si su falta o falla es motivo de interrupción para el
proceso.

8

Frecuencia de uso: el grado de utilización que se le da al activo.

Tecnología: el nivel de innovación tecnológica que tiene el activo, relacionado también a su valor de
mercado y grado de obsolescencia.

CRITERIOS
CLASIFICACION CRITICIDAD FRECUENCIA DE USO TECNOLOGIA
ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO
A X X X
B X X X
C X X X
8.-‐ DEFINICIONES DE TERMINOS EMPLEADOS

Para la mejor comprensión de los términos y contenido de este plan, se detallan las siguientes
definiciones:

Proceso crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios
del Instituto, y cuya falta o ejecución deficiente puede tener un impacto operacional o de imagen
significativo para la institución.

• Impacto: El impacto de una actividad crítica se encuentra clasificado, dependiendo de la importancia
dentro de los procesos TI, en:
– Impacto Alto: se considera que una actividad crítica tiene impacto alto sobre las
operaciones del IVAI, cuando ante una eventualidad en ésta se encuentran imposibilitadas
para realizar sus funciones normalmente.
– Impacto Medio: se considera que una actividad crítica tiene un impacto medio cuando la
falla de ésta ocasiona una interrupción en las operaciones del IVAI por un tiempo mínimo
de tolerancia.
– Impacto Bajo: se considera que una actividad crítica tiene un impacto bajo, cuando la
falla de ésta, no tiene un impacto en la continuidad de las operaciones del IVAI.

9

• Plan de Contingencia:

– Son procedimientos que definen cómo un negocio continuará o recuperará sus funciones
críticas en caso de una interrupción no planeada.
– Los sistemas de TI son vulnerables a diversas interrupciones.
Leves: Caídas de energía de corta duración, fallas en disco duro, etc.

Severa: Destrucción de equipos, incendios, etc.

– Asegura que se dé una interrupción mínima a los procesos de negocios en caso de una
interrupción significativa de los servicios que normalmente soportan esos procesos.
– Todos los aplicativos críticos y sistemas de soporte general deben tener un plan de contingencias.
9.-‐ ANALISIS Y EVALUACION DE RIESGOS

Los desastres causados por un evento natural o humano, pueden ocurrir, en cualquier
parte, hora y lugar. Existen distintos tipos de contingencias, como por ejemplo:

• Riesgos Naturales: tales como mal tiempo, terremotos, etc.

• Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y accidentes de
transmisión y transporte.
• Riesgos Sociales: como actos terroristas y desordenes.

Las causas más representativas que originarían cada uno de los escenarios propuestos en el
Plan de Contingencias y Seguridad de la Información se presentan en el siguiente cuadro.

Causas Escenarios

• Fallas Corte de Cable UTP.
• Fallas Tarjeta de Red.
• Fallas IP asignado. I. NO HAY COMUNICACIÓN ENTRE CLIENTE
• Fallas Punto de Switch. – SERVIDOR.
• Fallas Punto Patch Panel.
• Fallas Punto de Red.

• Fallas de Componentes de Hardware del Servidor.
• Falla del UPS (Falta de Suministro eléctrico).
• Virus. II. FALLA DE UN SERVIDOR.
• Sobrepasar el límite de almacenamiento del Disco
• Computador de Escritorio funciona como Servidor.

III. AUSENCIA PARCIAL O PERMANENTE DEL
• Accidente
PERSONAL DE TECNOLOGÍA DE LA
• Renuncia Intempestiva
INFORMACIÓN.
10


IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO
• Corte General del Fluido eléctrico DURANTE LA EJECUCIÓN DE LOS
PROCESOS.

• Falla de equipos de comunicación: SWITCH, Fibra
Óptica.

V. PERDIDA DE SERVICIO DE INTERNET
• Fallas en el software de Acceso a Internet.
• Perdida de comunicación con proveedores de Internet.
• Incendio
• Sabotaje VI.
INDISPONIBILIDAD DEL CENTRO DE
• Corto Circuito COMPUTO
• Terremoto (DESTRUCCIÓN DEL SITE DE SERVIDORES)

9.1. ESCENARIOS C ONSIDERADOS PARA EL PLAN D E C ONTINGENCIA

I. NO HAY COMUNICACIÓN ENTRE CLIENTE – SERVIDOR.
II. FALLA DE UN SERVIDOR.
III. AUSENCIA PARCIAL O PERMANENTE DEL PERSONAL DE LA DIRECCIÓN DE SISTEMAS
INFORMÁTICOS.
IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO DURANTE LA EJECUCIÓN DE LOS PROCESOS.
V. PERDIDA DE SERVICIO INTERNET
VI. INDISPONIBILIDAD DEL CENTRO DE CÓMPUTO

La evaluación y administración de estos riesgos van a permitir al IVAI:

• Desarrollar estrategias de recuperación y respaldo de las decisiones operacionales,
tecnológicas y humanas.
• Identificar los controles existentes y los nuevos controles a implementar para minimizar los
riesgos, evaluando el costo / beneficio de dichos controles.
• Planificar la seguridad de la información.

9.2. PLANIFICACIÓN

• Tiempo máximo de la contingencia.

• Costos estimados.

• Recursos humanos.

• Capacitación.

• Retorno a la normalidad.

• Validar el plan de contingencia
11


10.-‐ DISEÑO DE ESTRATEGIA DE CONTINUIDAD DE LOS PROCESOS Y

SERVICIOS QUE BRINDA EL IVAI

i. Estrategia de Respaldo y Recuperación

– Planificar la necesidad de personal adicional para atender los problemas que ocurran.
– Recurrir al procesamiento manual (de facturas, órdenes, cheques, etc.) si fallan los
sistemas automatizados.
– Planificar el cierre y reinicio progresivo de los dispositivos y sistemas que se
consideran en riesgo.
– Elaborar un programa de vacaciones que garantice la presencia permanente del
personal.

ii. Almacenamiento y Respaldo de la Información (BACKUPS)

– Manual de Procedimiento de Backup - definen la frecuencia de los backup (diario o
periódico, incremental o total) considerando la criticidad de los datos y la frecuencia con
que se introduce nueva información.
– Manual de Procedimiento de Backup - definen la ubicación de los backups, los
estándares de identificación, la frecuencia de rotación de medios y el modo de transporte al
sitio externo.
– Los datos se respaldaran en discos magnéticos o discos ópticos.
– Es una buena práctica contar con lugar alternativo externo para el almacenamiento de la
información más importante.

iii. Sitios Alternos para el Centro de Cómputo

– El plan incluye una estrategia para recuperar y ejecutar operaciones de sistemas en
instalaciones alternativas por un periodo extendido; los sitios alternativos pueden ser:
• Propios de la organización

• De una entidad con la que hay un acuerdo de reciprocidad

• Instalaciones alquiladas

– En función a su aprestamiento operativo los sitios alternos se clasifican en:
Sitios fríos son instalaciones con el espacio adecuado e infraestructura
adecuados (electricidad, telecomunicaciones y controles ambientales) para
soportar el sistema de TI; no contiene equipos de cómputo.
Sitios tibios son ambientes equipados parcialmente con hardware, software,

equipos de telecomunicaciones y electricidad; y que además se mantienen en
estatus operativos.
Sitios calientes son instalaciones que cuentan con el equipo y personal

necesarios 24 horas por día, 7 días por semana.
12


Sitios reflejos son instalaciones totalmente redundantes con información
actualizada en tiempo real y técnicamente idénticos al sitio primario.

iv. Roles y Responsabilidades

• Designar un responsable general del plan y toma de decisiones.

• Designar equipos para ejecutar el plan; cada equipo debe entrenarse y
prepararse para actuar.
• El personal de la recuperación se asignará a equipos específicos que
responderán al evento, recuperarán los sistemas de TI y restaurarán operaciones
normales.
• Los tipos específicos de equipos requeridos dependen del sistema afectado.

• El tamaño de cada equipo, sus denominaciones y estructura dependen de la
organización.

v. Tipo de Equipos

• Gestión de la crisis: El responsable de este equipo será el administrador, el cual
tendrá que reportar directamente con el encargado de la crisis.
• Evaluación de daños: estará a cargo de especialistas auditoría interna, logística, de
informática y cualquier otro personal que crea conveniente incluir. Ellos determinarán
la magnitud de todos los posibles daños que hayan ocurrido durante una contingencia.
• Recuperación de sistemas operativos, utilitarios, servidores, redes, bases de
datos, aplicaciones y telecomunicaciones: este equipo estará formado por personal
de la Dirección de Sistemas Informáticos.
• Recuperación en sitio alterno: El jefe de este equipo serán el Director de
Sistemas Informáticos.
• Restauración en el sitio original: La conformación de este equipo será similar a la
del equipo de recuperación en sitio alterno.
• Prueba del plan: Los encargados de este equipo serán el Director de Sistemas
Informáticos.
• Apoyo administrativo, transporte y reubicación: este equipo estará liderado por líder
de Proyecto y el Director de Sistemas Informáticos. Además conformarán el
equipo dos personas más, los cuales apoyarán cada uno el aspecto administrativo y
transporte. Estas personas serán escogidas a criterio por la Dirección de Administración.
• Compras (equipos y suministros): este equipo estará conformado por personal de
Logística, la Dirección de Sistemas Informáticos. El director de Administración
señalará a las personas adecuadas para este equipo.
13


Consideraciones de Costos

• Asegurar que la estrategia elegida pueda implementarse de manera eficaz con el
personal y recursos financieros disponibles.
• Determinar un presupuesto de gastos para el planeamiento de contingencias:

− Software y hardware.

− Transporte.

− Pruebas.

− Entrenamiento.

− Materiales.

− Tiempo a incurrir.

− Servicios, etc.

10.1. Escenario I: N O HAY COMUNICACIÓN ENTRE C LIENTE – SERVIDOR.

A. Impacto

Impacto Área Afectada
i. No se puede trabajar con los recursos de la red IVAI.
Área en que labora.
(Información).
ii. Interrupción de sus actividades. Área en que labora.

Tiempos aceptables de Caída.

TIEMPOS ACEPTABLES DE CAIDA.

RECURSO PRIORIDAD DE RECUPERO
1. Sistema de información. ALTO

2. Servidor archivos. ALTO
3. Servidor de Correo. ALTO
4. Internet. ALTO

14


B. Recursos de Contingencia

− Componentes de Remplazo:

− Tarjeta de Red,

− Conector RJ-45, Jack RJ-45, Probador, herramientas de Cableado Estructurado, etc.
15

C. Procedimiento:

NO HAY COMUNICACIÓN ENTRE CLIENTE- SERVIDOR EN IVAI

SI
Cambio de Pacht
Cord.

S
_I -+1 Cambio de Tarjeta de Red.

Formateo del sistema
Operativo.

Mantenimiento del Punto de
Red del usuario y del
Gabinete de comunicaciones.

El usuario trabaja en
la red de IVAI

16


10.2. Escenario II: F alla de Servidor Crítico.
A. Impacto


iii. Paralización de los sistemas o aplicaciones que se
Todas las Áreas
encuentran en los servidores que presentan fallas.
iv. Posible Pérdida de Hardware y Software. Dirección de Sistemas

Informáticos.
v. Perdida del proceso automático de Backup y restore. Dirección de Sistemas
Informáticos.
vi. Interrupción de las operaciones. Dirección de Sistemas
Informáticos.

Tiempos aceptables de Caída.

TIEMPOS ACEPTABLES DE CAIDA.

RECURSO PRIORIDAD DE RECUPERO
1. Servidor Base de Datos ALTO

2. Servidor Web MEDIO
3. Servidor de Aplicaciones - SISTEMAS ALTO
4. Servidor de Controlador de Dominio Primario ALTO
5. Servidor de Correo ALTO
6. Servidor FIREWALL - PROXY MEDIO
7. Servidor Backup ALTO
Causas de la Falla del Servidor.

CASO A: Error Físico de Disco de un Servidor (Sin RAID).

Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser reparadas, se
debe tomar las acciones siguientes:

1. Ubicar el disco dañado.

2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
17


3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.

4. Bajar el sistema y apagar el equipo.

5. Retirar el disco dañado y reponerlo con otro del mismo tipo, formatearlo y darle
partición.

6. Restaurar el último backup en el disco, enseguida restaurar las
modificaciones efectuadas desde esa fecha a la actualidad.

7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen
estado.

8. Habilitar las entradas al sistema para los usuarios.

CASO B: Error de Memoria RAM

En este caso se dan los siguientes síntomas:

• El servidor no responde correctamente, por lentitud de proceso o por no rendir ante
el ingreso masivo de usuarios.

• Ante procesos mayores se congela el proceso.

• Arroja errores con mapas de direcciones hexadecimales.

• Es recomendable que el servidor cuente con ECC (error correctchecking), por lo
tanto si hubiese un error de paridad, el servidor se autocorregirá.

Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo fijado por
el Institito, a menos que la dificultad apremie, cambiarlo inmediatamente.

Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben tomar las
acciones siguientes:


2. El servidor debe estar apagado, dando un correcto apagado del sistema.

3. Ubicar las memorias dañadas.

4. Retirar las memorias dañadas y reemplazarlas por otras iguales o similares.

5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del
servidor, ello evitará que al encender el sistema, los usuarios ingresen.

6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable
hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán
18

las pruebas.

7. Probar los sistemas que están en red en diferentes estaciones.

Finalmente luego de los resultados, habilitar las entradas al sistema para los
usuarios.
CASO C: Error de Tarjeta(s) Controladora(s) de Disco

Se debe tomar en cuenta que ningún proceso debe quedar cortado, debiéndose
ejecutar las siguientes acciones:


2. El servidor debe estar apagado, dando un correcto apagado del sistema.
3. Ubicar la posición de la tarjeta controladora.

4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o
similar.

5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del
servidor, ello evitará que al encender el sistema, los usuarios ingresen.

6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable
hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán
las pruebas.

7. Al final de las pruebas, luego de los resultados de una buena lectura de información,
habilitar las entradas al sistema para los usuarios.

CASO D: Error Lógico de Datos

La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una
de las siguientes causas:

• Caída del servidor de archivos por falla de software de red.

• Falla en el suministro de energía eléctrica por mal funcionamiento del UPS.

19

• Bajar incorrectamente el servidor de archivos.

• Fallas causadas usualmente por un error de chequeo de inconsistencia física.

En caso de producirse alguna de las situaciones descritas anteriormente; se deben
realizar las siguientes acciones:

PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme, proceder
con el encendido del servidor de archivos.

PASO 2: Deshabilitar el ingreso de usuarios al sistema.

PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz.
De encontrarse este volumen con problemas, se deberá descargar también.
PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenido del(os)
disco(s) duro(s) del servidor.

PASO 5: Al término de la operación de reparación se procederá a habilitar entradas a
estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos
índices estén correctas, para ello se debe empezar a correr los sistemas y así poder
determinar si el usuario puede hacer uso de ellos inmediatamente.

Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se
debe recuperar con utilitarios.

CASO E: Caso de Virus

Dado el caso crítico de que se presente virus en las computadoras se procederá a lo
siguiente:

• Se contará con antivirus para el sistema que aíslan el virus que ingresa al sistema
llevándolo a un directorio para su futura investigación

• El antivirus muestra el nombre del archivo infectado y quién lo usó.

• Estos archivos (exe, com, etc.) serán reemplazados del disco original de instalación o
del backup.

• Si los archivos infectados son aislados y aún persiste el mensaje de que existe virus en el
sistema, lo más probable es que una de las estaciones es la que causó la infección,
debiendo retirarla del ingreso al sistema y proceder a su revisión.

20


...

10.3. Escenario III: Ausencia Parcial o Permanente del Personal de Dirección de
Sistemas Informáticos.

A. impacto

Interrupción de funciones de la persona ausente

− Ad mi n i s tr a ció n d e b a se s d e d a to s.
Todas las Áreas
− Control y monitoreo de servidores.

− Soporte a los usuarios.

− Ajustes a programas críticos en producción


Se presentan las funciones actuales que tienen a su cargo el personal de la Dirección de Sistemas
Informáticos …

10.4. Escenario IV: I nterrupción del F luido Eléctrico

…

10.5. Escenario V: CORTE D EL SERVICIO DE I NTERNET

…
21


10.6. ESCENARIO I V: INDISPONIBILIDAD D EL CENTRO D E C ÓMPUTO

A. Impacto


i. Caída de la Red LAN: Servidores Windows y equipos de
Todas las Áreas
comunicación.

ii. Interrupción de las comunicaciones Internas y Externas. Todas las Áreas

iii. Paro de los sistemas que soportan las funciones de la Institucion. Todas las Áreas

iv. Paro de operaciones de Informática. Todas las Áreas

v. Perdida de Hardware y Software. Dirección de Sistemas Informáticos.

IDENTIFICAR IMPACTO DE LA CAIDA Y TIEMPOS ACEPTABLES DE CAIDA.
TIEMPO DE
RECURSO IMPACTO CAIDA
ACEPTABLE
NO se tendrá acceso a Sistemas de Información desarrollados y
utilizados por el IVAI
1. Servidor Base de Datos.
3 Horas

No se contará con acceso al Portal WEB del Instituto.

No se contará con acceso a información alojada en la web.
2. Servidor Web 8 Horas
No se realizarán transacciones bancarias y depósitos electrónicos a los
proveedores.
NO se realiza recepción de solicitdes por parte de la ciudadanía
No se realiza recepción de recursos de revisión.
No se realiza conclusión de procesos por finalización o
calendarización comprometida.

3. Servidor de Sistema
1 Hora
INFOMEX

No existiría comunicación Interna y Externa (Proveedores,
4. Servidor de Correo 3 Horas
Instituciones Gubernamentales, etc.).
6. Servidor FIREWALL -
No existiría Comunicación Externa 5 Horas
PROXY
Vulnerabilidad de red del IVAI expuesta a infecciones como Virus,
Troyanos, etc y falta de seguridad en el Sistema Operativo y
aplicaciones.

En caso de una contingencia no habría disponibilidad de
7. Servidor Backup 8 Horas
Información.
22



– Si es necesario, el hardware y software necesarios deben activarse o adquirirse, así
como ser transportados al sitio alterno; las estrategias básicas para disponer de equipo de
reemplazo son:
o Acuerdos con proveedores: Se establecen acuerdos de nivel de servicios con los
proveedores de software, hardware y medios de soporte; se debe especificar el
tiempo de respuesta requerido.
o Inventario de equipos: Los equipos requeridos se compran por adelantado y se
almacenan en una instalación segura externa (el sitio alterno).
o Equipo Compatible Existente: Equipo existente en sitios alternativos.

– Comprar los equipos cuando se necesitan puede ser mejor financieramente, pero
puede incrementar de manera significativa el tiempo de recuperación.
– Almacenar un equipo sin usar es costoso, pero permite que la recuperación comience más
rápidamente.
– Considerar la posibilidad de un desastre extendido que requiere reemplazos masivos de
equipos y retrasos del transporte.
– Mantener listas detalladas de necesidades de equipo y especificaciones dentro del plan
de contingencia.

Recursos de Contingencia Generales

− Router (Proveído por el proveedor de Internet).

− Servidores y Equipos de Comunicación (Switchs, Fibra, etc.).

− Gabinete de Comunicaciones y Servidores.

− Materiales y herramientas para cableado estructurado.

− UPS y Equipos de aire acondicionado.

− Backup de los Sistemas.

− Instaladores de las aplicaciones, de Software Base, Sistema Operativo, Utilitarios, etc.
23


Recursos de Contingencia Específicos

EQUIPOS DE REMPLAZO

1. Servidor Base de Datos

a. Hardware:
Un servidor tipo Xeon con las siguientes características: …
b. Software y data: …
–
2. Servidor Web
a. Hardware:
Computador Compatible con las siguientes características: …
b. Software y data…
3. Servidor de INFOMEX
a. Hardware
Un servidor tipo Xeon con las siguientes características….

Infraestructura del Ambiente Alterno PROPIO: Para este escenario, se requiere acondicionar un
ambiente alterno que pueda ser utilizado como sala de servidores en el momento de la
2
contingencia. Con un espacio de aproximadamente 6 m que tiene forma rectangular para facilitar
la ubicación de los equipos y mobiliario.
24


El ambiente alterno contará con los siguientes recursos:…

ALTERNATIVA PARA IMPLEMENTAR

CENTRO DE COMPUTO ALTERNO

Alternativas Ventajas Desventajas

1) Centro Computo Alterno Propio
1) Constituye activo fijo del IVAI
2) Manejo de la BD solo por personal del 1) Alta Inversión
El IVAI construiría IVAI
su propio CCA en 2) Tiempo en la construcción
una oficina remota
3) Inversión adicional en seguridad en el CCA
4) Recurso Humano Adicional para el manejo del CCA
(operación)
2) Outsourcing del Centro Computo Alterno
5) Implementar procedimientos de Seguridad
El IVAI tercerizara 1) Menor inversión, ya que es compartido adicionales sobre la BD por estar localizada en una entidad
su CCA con otra externa
empresa 2) Tiempo de implementación menor

especialista en 3) La seguridad es parte del servicio
proporcionar estos
servicios 4) No requiere RRHH adicional
Modalidades:
a) Housing, El IVAI es dueño de los equipos, solo alquila el espacio físico seguro.
b) Hosting, El IVAI es dueño solo del software propio de su operativa, el proveedor del servicio proporciona todo.
25


11. PLAN DE VERIFICACION Y PLAN DE PRUEBAS

Tres medidas de minimizar los riesgos de la tecnología son la:

• Verificación

• Prueba

• Mantenimiento de los sistemas.

Cada componente de un sistema de cómputo equipo, comunicaciones y programas
debe ser verificado y probado rigurosamente antes de utilizarlo para un evento.

11.1. Plan de Verificación

Para el Plan de Contingencia es muy importante y es conveniente que una autoridad
independiente aplique las pruebas de verificación.

Para sistemas de menor importancia, la verificación puede realizarse internamente.

Las pruebas de verificación (también conocidas como pruebas de calidad) pueden
incluir:

• Probar los equipos bajo condiciones que simulen las de operación real.

• Probar los programas para asegurar que se siguen los estándares apropiados y que
desempeñan las funciones esperadas.
• Asegurar que la documentación sea la adecuada y esté completa.

• Asegurar que los sistemas de comunicación se adecue a los estándares
establecidos y funcionen de manera efectiva.
• Verificar que los sistemas sean capaces de operar bajo condiciones normales, pero
también bajo potenciales condiciones inesperadas.
• Asegurar que se cuente con las debidas medidas de seguridad y que estas se
adecuen a las normas establecidas.

11.2. Procedimientos para l as Pruebas del Plan de Contingencia

Introducción

Todos los planes de contingencia deben ser probados para demostrar su habilidad de
mantener la continuidad de los procesos críticos de la empresa.
26


Las pruebas se efectúan simultáneamente a través de múltiples unidades, incluyendo
entidades externas.

Realizando pruebas se descubrirán elementos operacionales que requieren ajustes para
asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes perfeccionen los
planes preestablecidos.

Objetivos

• El objetivo principal, es determinar si el Plan de contingencia es capaz de
proporcionar el nivel deseado de apoyo a la sección o a los procesos críticos del
IVAI, probando la efectividad de los procedimientos expuestos en el plan de
contingencias.
• Las pruebas permiten efectuar una valoración detallada de los costos de
operación en el momento de ocurrencia de una contingencia.

Procedimientos para las Pruebas del Plan de Contingencias Niveles de Prueba

Se recomiendan dos niveles de prueba:

• Pruebas en pequeñas Unidades Orgánicas.

• Pruebas a nivel Gerencial.

La premisa es comenzar la prueba en las Unidades Orgánicas más pequeñas, extendiendo
el alcance a nivel Gerencial.

Métodos para Realizar Pruebas de Planes de Contingencia a)
Prueba Específica

Consiste en probar una sola actividad, entrenando al personal en una función específica,
basándose en los procedimientos estándar definidos en el Plan de Contingencia. De esta
manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla.

b) Prueba de Escritorio

Implica el desarrollo de un plan de pruebas a través de un conjunto de preguntas
típicas (ejercicios).

Características:

• La discusión se basa en un formato preestablecido.
27


• Esta dirigido al equipo de recuperación de contingencias.

• Permite probar las habilidades gerenciales del personal que tiene una
mayor responsabilidad.
Los ejercicios de escritorio son ejecutados por el encargado de la prueba y el personal
responsable de poner el plan de contingencias en ejecución, en una situación hipotética de
contingencia. Un conjunto de preguntas se pedirán que resuelva el personal. El encargado
y el personal utilizarán el plan de contingencias para resolver las respuestas a cada
situación. El encargado contestará a las preguntas que se relacionan con la
disponibilidad del personal entrenado, suficiencia de los recursos, suficiencia de máquinas,
y si los requerimientos necesarios están a la mano. Los ajustes serán hechos al plan
o al ambiente determinado durante esta fase si cualquier parte del plan no cumple con los
objetivos propuestos.

c) Simulación en Tiempo Real

Las pruebas de simulación real, en una Unidad Orgánica, a nivel de Gerencia en e l
I V A I está dirigido a una situación de contingencia por un período de tiempo definido.

• Las pruebas se hacen en tiempo real.

• Son usadas para probar partes específicas del plan.

• Permiten probar las habilidades coordinativas y de trabajo en equipo de los
grupos asignados para afrontar contingencias.

Preparaciones PRE Prueba

• Repasar el plan de contingencia.

• Verificar si se han asignado las respectivas responsabilidades.

• Verificar que el plan este aprobado por la alta dirección de la institución.

• Entrenar a todo el personal involucrado, incluyendo orientación completa de los
objetivos del plan, roles, responsabilidades y la apreciación global del proceso.
• Establecer la fecha y hora para la ejecución de la prueba.

• Desarrollar un documento que indique los objetivos, alcances y metas de la
prueba y distribuirlo antes de su ejecución.
• Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal
esencial en los días de ejecución de dichas pruebas.
• No dejar de lado los resultados obtenidos, la meta es aprender y descubrir las
vulnerabilidades, no generar fracaso y frustración.
• La prueba inicial se enfoca principalmente en entrenar al equipo que ejecutará con
éxito el plan de contingencias, solucionando el problema y restableciendo a la
28

normalidad las actividades realizadas.
• Enfocar los procesos críticos que dependen de sistemas específicos o
compañías externas donde se asume que hay problemas.
• Definir el ambiente donde se realizarán las reuniones del equipo de
recuperación de contingencias.
• Distribuir una copia de la parte del Plan de Contingencias a ser ejecutado.

Comprobación de Plan de Contingencias

La prueba final debe ser una prueba integrada que involucre secciones múltiples e
instituciones externas. La capacidad funcional del plan de contingencia radica en el
hecho de que tan cerca se encuentren los resultados de la prueba con las metas
planteadas.

El diagrama representa los pasos necesarios, para la ejecución de las pruebas del plan de
contingencias.
29


PRUEBAS DEL PLAN DE CONTINGENCIAS

30


12. PLAN DE M ANTENIMIENTO

En la mayoría de las organizaciones los cambios ocurren todo el tiempo. Los productos y los
servicios cambian continuamente en todos los niveles. El aumento de procesos basados
en tecnología, ha incrementado significativamente el nivel general de dependencia sobre la
disponibilidad de sistemas e información para que el IVAI opere efectivamente.

Es por lo tanto necesario que el PLAN DE CONTINGENCIA, se adecue a esos cambios y se
mantenga continuamente actualizado.

Cuando se realizan cambios al PLAN DE CONTINGENCIA, se deben probar completamente
y hacer las correcciones requeridas. Esto implica el uso de procedimientos formales de control
de cambios bajo el manejo del líder del equipo del Plan de Contingencia.

– Control de cambios al Plan.

– Responsabilidad en el mantenimiento de cada parte del plan.

– Pruebas a todos los cambios del plan.

– Aviso a persona responsable del mantenimiento.

12.1. C ontrol de Cambios a l Plan

Se recomienda establecer controles formales del cambio para cubrir cualquier modificación al
Plan de Contingencia.

Esto es necesario debido al nivel de complejidad contenida dentro del plan.

Se debe preparar una plantilla para solicitud de cambios y debe ser aprobada.

Esta sección contendrá una plantilla de la solicitud de cambio a ser usada en el Plan de

Contingencia.

12.2. R esponsabilidad e n e l Mantenimiento de C ada Parte del Plan

Cada parte del plan será asignada a un miembro del equipo del Plan de Contingencia o un
Jefe de área, que será responsable de actualizar y mantener el plan.

El líder del equipo de Plan de Contingencia, mantendrá el control completo del Plan de
Contingencia, pero los jefes de áreas necesitarán mantener sus propias secciones al día.
31


12.3. Pruebas a todos l os c ambios del plan

El equipo del Plan de Contingencia, nombrará una o más personas que serán responsables de
coordinar todos los procesos de prueba y asegurar que todo cambio al plan se prueba
apropiadamente.

Cuando los cambios se hacen o son propuestos al Plan de Contingencia, se debe notificar al
coordinador de pruebas del Plan de Contingencia.

Esta sección del Plan de Contingencia, contiene una comunicación del coordinador del Plan
de Contingencia a las unidades del Instituto afectadas y contiene información acerca de los
cambios que se requieren probar o reexaminar.

12.1. ANEXOS.
32


12.1.1. Aviso a persona responsable por e l e ntrenamiento

AFECTA LOS SE REQUIERE
SECCION DEL PLAN
RESUMEN DE
DE CONTINGENCIA
CAMBIOS FECHA PROGRAMAS DE RE-ENTRENAMIENTO

HECHOS
CAMBIADA
ENTRENAMIENTO (SI/NO)

COMENTARIOS:

COMENTARIOS:

COMENTARIOS:

COMENTARIOS:

COMPLETADO POR NOMBRE: FECHA:

REVISADO POR NOMBRE: FECHA:
33


12.1.2. Control de C ambios a l Plan


FORMATO PARA CAMBIOS
Cambio Nº.
Descripción del Cambio
Justificación para el cambio
Fecha en que se hace efectivo
Alternativas consideradas o eliminadas
Proceso(s) dela institucion(es) impactadas
Cronograma de Pruebas
Entrenamiento Ajustado al cambio

Solicitado por: Responsable del Plan
FIRMA:
NOMBRE:
FECHA / /

Aprobado por:

NOMBRE:

CARGO FIRMA:
FECHA / /
34


12.1.3. Responsabilidad e n e l Mantenimiento de C ada Parte del Plan

PERSONA RESPONSABLE DEL
CONTENIDO DEL PLAN MANTENIMIENTO DEL PLAN

NOMBRE POSICIÓN
Inicio del proyecto

Inicio de actividades
Organización del proyecto
Evaluación del riesgo
Evaluación de incidentes y amenazas
Evaluación de riesgos para el IVAI
Comunicaciones
Otros procedimientos de recuperación del desastre
Sitios
Preparación para una Posible Emergencia
Estrategias de backup y recuperación
Personal y proveedores claves
Procedimientos y documentación Clave
Fase de recuperación del desastre
Planeación para manejar la emergencia
Notificación
Prueba
Planeación de la prueba
Dirección de la prueba
Entrenamiento del personal
Administración del programa de entrenamiento
Evaluación del entrenamiento
Mantenimiento del plan


35


36


13. PLAN DE ENTRENAMIENTO

Todo el personal de la Dirección de Sistemas Informáticos, debe entrenarse en el proceso de
recuperación del Plan de Contingencia. Esto es particularmente importante cuando los
procedimientos son significativamente diferentes de las operaciones normales y se requiere un
desempeño excelente para garantizar la restauración de los equipos de cómputo.

La capacitación se debe planear detenidamente y debe ser completamente estructurada y
coherente acorde con las exigencias de recuperación. El entrenamiento se debe evaluar para
verificar que ha logrado sus objetivos.

13.1. Objetivos d el Entrenamiento

– Entrenar todo el personal en los procedimientos particulares a seguir durante el

proceso de recuperación del plan de contingencia.
– Difusión del Plan de entrenamiento

13.2. Alcance d el Entrenamiento

– La capacitación se llevará a cabo de manera exhaustiva para que se llegue a estar

familiarizado con todos los aspectos del proceso de recuperación.
– La capacitación cubrirá todos aspectos de la sección de actividades de
recuperación del plan de contingencia.
Es importante desarrollar un programa corporativo que cubra las partes esenciales
requeridas para comunicar los procedimientos del proceso de recuperación de los
procesos de negocio de la Institución.

13.3. Revisión y Actualización

– El seguimiento permanente permite conocer la evolución, los cambios en
condiciones actuales, el cumplimiento de metas propuestas y los ajustes requeridos.

La evaluación periódica del Plan de Contingencia se realiza a través de:

– Simulacros

– Simulaciones

– Evaluación del desempeño por evento
37


13.4. La simulación y simulacros

Las simulaciones y simulacros son evaluaciones muy importantes, pues entrenan al personal,
enfrentándolo en situaciones probables de emergencia o desastres y ponen a prueba la capacidad
del IVAI.

Los Simulacros, llamados también ejercicios de evaluación, constituye la actividad práctica por
excelencia en el proceso de preparación del Plan de Contingencia para situaciones de
desastres.

Las Simulaciones, son ejercicios de escritorio que se realizan en situaciones ficticias controladas.

13.5. Guía para simulaciones y simulacros

– Conforme un Comité de emergencia y defina sus funciones.

– Evalué los riesgos informáticos, y la vulnerabilidad del IVAI.

– Realice un inventario de recursos humanos y materiales.

– Elabore un plan para la atención del centro de computo y centro de

computo alterno.
– Difunda el plan a todo el personal del IVAI.

– Coordinar con las instituciones que nos prestan servicios

– Realice simulaciones o ejercicios de escritorio.

13.6. Evaluación del Simulacro

Todas las conclusiones deben integrase en un documentos para uso del comité, con la
finalidad de facilitar el proceso de ajuste del plan de acuerdo a los resultados.

Los pasos son:

– Reunión con las comisiones o brigadas de las áreas del IVAI.

– Revisión del Plan e integración de las recomendaciones y decisiones
adoptadas de acuerdo con las lecciones aprendidas del ejercicio.
– Difusión del documento de evaluación

13.7. Errores Frecuentes e n la Realización d e los Simulacros
38


– Improvisación y falta de planificación adecuada al simulacro.

– Falta de entrenamiento del personal participante en los procedimientos que

se desarrollan.
– Dificultares disciplinarias con los simuladores, que en ocasiones no
asumen la ejecución de los ejercidos con la responsabilidad requerida.
– Falta de coordinación entre las diferentes entidades participantes del
simulacro.

13.8. Comunicación a l p ersonal

– Una vez se defina la capacitación a ser impartida a los empleados, es
necesario avisarles acerca del programa de capacitación en el que se requiere su
asistencia.

– Esta sección contiene una comunicación que debe enviarse a cada miembro del
personal para avisarles acerca de su horario de entrenamiento. La comunicación
debe darse con el fin de avisar y saber si pueden asistir en dichas fechas y
horas.

– Se debe enviar una comunicación separada a Funcionarios Públicos del IVAI
IVAIJefes, encargados
avisándoles del horario propuesto de entrenamiento para que su personal
asista.

13.9 Evaluación del entrenamiento

Se debe valorar el programa de capacitación individual del Plan de
Contingencia y el Plan de Contingencia completo, para asegurar su eficacia y
aplicabilidad.

– Esta información se tomará de los entrenadores y también de las personas que
toman los entrenamientos. Este proceso se hará con cuestionarios al final, con el
propósito de tener realimentación.

39


14. ANEXOS:

14.1. Comunicación WEB -‐ I VAI, Configuración de Servidores y Equipos de Comunicación
14.1.1. Servicio d e I nternet IVAI

DIRECCIONES IP
PUBLICAS OPTICAL
NETWORK
IP: 201.nn.nn.nnn

DIRECCIONES IP PUBLICAS
UTILIZADAS

ServidorWEB :
2’1.nn.nn.nnn

ServidorFTP :
201.nnn.n.nnn

1

RED
EXTERN
RED INTERNA • LAN
A- WAN
RED: 192.168.1.0
MSK: 255.255.255.0

IP:201.nn.n.n
MSK: 255.255.255.n DNS1: 192.168.1.2
1 GATEWAY: 201.n.n.n DNS2: 192.168.1.8
SERVICIO DE INTERNET-
DN$1: 201.n.n.n
DN$1: 201.nnn.nnn.nn
40


14.1.2. CONFIGURACIÒN DE LOS SERVICIOS QUE BRINDA EL IVAI
14.1.2.1. Servidor de ACTIVE DIRECTORY
a. MANUAL DE DISEÑO DE DIRECTORIO ACTIVO.

• − DIRECCION DE SERVIDOS IP: 201.n.n.n
• − SISTEMA OPERATIVO: WINDOWS SERVER 2003 STANDAR EDITION
b. MANUAL DE POLÍTICAS DE SEGURIDAD A NIVEL DE DOMINIO

b.1. POLITICA A NIVEL DE USUARIO

Internet Explorer

− Configurar como página de inicio de Internet Explorer a:
www.verivai.org.mx

Panel de control

− Prohibir el acceso al Panel de Control.

Panel de control /Agregar y quitar Programas

− Ocultar la opción “agregar y quitar programas desde la red”.

− Ocultar la opción “agregar y quitar programas desde Microsoft”.

− Ocultar la opción “agregar y quitar programas desde un CD-ROM o
Disquete”.

− Ocultar la pagina agregar nuevos programas.

− Ocultar la pagina agregar o quitar componentes de Windows.

− Ocultar la pagina agregar y quitar programas.

− Ocultar la pagina configurar acceso y programas predeterminados.

− Quitar agregar o quitar programas.

− Quitar la información de Soporte Técnico.

Panel de control /Pantalla

− Impedir cambios en el papel Tapiz.

41

− Ocultar la ficha apariencia y temas.

− Ocultar la ficha configuración.

Sistema

− Desactivar reproducción automática (Desactivar reproducción
automática en: Todas las Unidades.)

− No mostrar la Pantalla de bienvenida de introducción al iniciar sesión.

Escritorio

− No agregar recursos compartidos de documentos abiertos recientemente a
mis sitios de red.

− Ocultar el icono de mis sitios de red del escritorio.

− Prohibir al usuario cambiar la ruta de mis documentos.

− Prohibir el ajuste de las barras de herramientas del escritorio.

− Quitar el elemento propiedades del menú contextual de mis documentos.

Escritorio /Active Desktop

− Configurar el papel tapiz del escritorio una imagen del I V A I

Menú Inicio y barra de tareas.

− Bloquear la barra de tareas.

− Borrar el historial de documentos abiertos recientemente al salir.

− Forzar menú inicio clásico.

− Impedir cambios en la configuración de la barra de tareas y del menú
inicio.

− No guardar el historial de documentos abiertos recientemente.

− No mostrar ninguna barra de herramientas personalizada en la barra de
Tareas.

− Quitar conexiones de red del menú inicio.

− Quitar el icono mi música del menú inicio.
42


− Quitar el icono mis documentos del menú inicio.

− Quitar el icono de mis imágenes del menú inicio.

− Quitar el icono mis sitios de red del menú inicio.

− Quitar el menú mis documentos del menú inicio.

− Quitar el menú favorito del menú inicio.

− Quitar las carpetas de usuario del menú inicio.

− Quitar programas del menú configuración.

− Quitar vínculos y accesos a Windows update.

b.2. POLITICA A NIVEL DE EQUIPO

Sistema

− Impedir el acceso a herramientas de edición de registro.

Red /Conexiones de Red

− Impedirel cambio de nombre en la conexión LAN.

− No mostrar la conexión LAN en la barra de tareas.

− Prohibir la configuración TCP/IP avanzada.

Perfiles de usuarios.

PROGRAMAS / SERVICIOS QUE SIEMPRE DEBEN ESTAR INSTALADOS Y
CONFIGURADOS EN UNA PC

APLICATIVO

−
− ….
43


14.1.3 Ubicación de los Manuales en el Servidor File Server.

Todos los manuales están Ubicados en el Directorio: …

El acceso a esta carpeta es solo al personal de la Dirección de Ssistemas
Informáticos.

14.1.4. Respaldo de Información - Manual de Procedimiento de Backup. ...

44


14.1.5. Procedimiento De Encendido y Apagado del UPS

…

14.1.6. P ROCEDIMIENTO D E E NCENDIDO Y APAGADO D E LOS S ERVIDORES
A. ENCENDIDO DE SERVIDORES. PASOS A SEGUIR:
…

Se detalla los servicios que se tienen que levantar según el tipo de servidor:
…
VER PROCEDIMIENTO A

VER PROCEDIMIENTO B

VER PROCEDIMIENTO C

B. APAGADO DE LOS SERVIDORES
PASOS A SEGUIR:

45


14.2. Inventario de Servidores, C omunicaciones y Software

14.2.1. CLASIFICACION DE LOS ACTIVOS TI

Para la clasificación de los activos de TI se han considerado tres criterios:

• Criticidad
• Frecuencia de uso
• Tecnología.

Se considera el criterio de criticidad como el más importante, y los criterios
de frecuencia de uso y tecnología que confirman la clasificación de Activos de
TI:

Criticidad: el activo se define como crítico si su falta o falla es motivo
de interrupción para el proceso.

Frecuencia de uso: el grado de utilización que se le da al activo.

Tecnología: el nivel de innovación tecnológica que tiene el activo,
relacionado también a su valor de mercado y grado de obsolescencia.

CRITERIOS

CLASIFICACION CRITICIDAD FRECUENCIA DE USO TECNOLOGIA
ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO
A X X X
B X X X
C X X X
46


14.2.2. HARDWARE
14.2.2.2. PACHTS PANELS

14.2.2.3. ORDENADORES DE CABLE
14.2.2.4. EQUIPOS DE ACCESO AL INTERNET

14.2.2.5. CONVERTIDOR FIBRA OPTICA - ETHERNET

14.2.2.6. SWICHT VIDEO, TECLADO Y MOUSE: DKVM

14.2.2.8. SALA DE SERVIDORES:
14.2.2.9. EQUIPOS DE SUMINISTRO DE ENERGÍA

14.2.2.10. SWITCHES DE COMUNICACIÓN DE DATOS

14.2.3. DIAGRAMAS

14.2.3.1. UBICACIÓN DE COMPUTADORES

14.3. Relación de coordinadores de Usuario.

14.3.1. Lista de Personal de Equipo de Respuesta a Desastres.

Ante un desastre a la hora de ocurrir el problema estas son las personas criticas que deberán ubicar
según el problema suscitado, para dar el apoyo ante la emergencia suscitada.

1. NOMBRE:

2. PUESTO:

3. DOMICILIO:

4. TELEFONO OFICINA: PARTICULAR:

5. CAPACITACION ESPECIAL:

6. AREA DE TRABAJO:

77


14.3.2. Lista Teléfonos de Emergencia

Lista Teléfonos de Emergencia
POLICIA 066
CRUZ ROJA 8-17-34-31

BOMBEROS 066

81


14.4. DIAGRAMA GENERAL – PLAN DE CONTINGENCIA

En la eventualidad de la ocurrencia de una situación de emergencia, se seguirá el procedimiento que
esta esquematizado en los siguientes cuadros, los cuales tienen principalmente una fase inicial de
respuesta y la segunda fase que es la restauración de los sistemas de información a fin de
normalizar la operación de los usuarios.
…

15.-‐ OBSERVACIONES

La contingencia no debe extenderse a más de un día salvo casos extremos, paralelamente a los
procedimientos de recuperación y como parte de ellos; se debe contactar con los proveedores de
los equipos y recursos necesarios para asegurar la continuidad de las operaciones en
condiciones normales.

16.-‐ CONCLUSIONES

• El presente Plan de contingencia, tiene como fundamental objetivo el salvaguardar la
infraestructura de la Red y Sistemas de Información extremando las medidas de seguridad para
protegernos y estar preparados a una contingencia de cualquier tipo.
• Las principales actividades requeridas para la implementación del Plan de Contingencia son:
Identificación de riesgos, Evaluación de riesgos, Asignación de prioridades a las aplicaciones,
Establecimiento de los requerimientos de recuperación, Elaboración de la documentación,
Verificación e implementación del plan, Distribución y mantenimiento del plan.
• Un Plan de Contingencia es la herramienta que el Instituto Veraruzano de Acceso a la Información
debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones,
en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupción parcial o
total en sus funciones. Las políticas con respecto a la recuperación de desastres deben de
emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.
• El plan de Contingencia del Instituto Veracruzano de Acceso a la Información está sujeto a la
infraestructura física y las funciones que realiza la Dirección de Sistemas Informáticos.
82


• Lo único que realmente permitirá al Instituto Veracruzano de Acceso a la Información reaccionar
adecuadamente ante procesos críticos, es mediante la elaboración, prueba y mantenimiento de
un Plan de Contingencia.
83


17. RECOMENDACIONES

• Programar las actividades propuestas en el presente Plan de Contingencias.

• Hacer de conocimiento general el contenido del presente Plan de Contingencias, con la
finalidad de instruir adecuadamente al personal del Instituto Veracruzano de Acceso a la
Información
• Se debe tener una adecuada seguridad orientada a proteger todos los recursos informáticos
desde el dato más simple hasta lo más valioso que es el talento humano; pero no se puede caer
en excesos diseñando tantos controles y medidas que desvirtúen el propio sentido de la
seguridad, por consiguiente, se debe hacer un análisis de costo/beneficio evaluando las
consecuencias que pueda acarrear la pérdida de información y demás recursos informáticos, así
como analizar los factores que afectan negativamente la productividad del Instituto

84

Extracto PLAN DE CONTINGENCIA IVAI PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Extracto PLAN DE CONTINGENCIA IVAI PDF

Cargado por

Copyright:

Formatos disponibles

PLAN DE CONTINGENCIA INFORMÁTICO

PLAN DE CONTINGENCIA

El presente documento es el Plan de Contingencia Informático del instituto Veracruzano de Acceso

4.-­‐ ESTRUCTURA DEL PROYECTO

Administrador del Proyecto: Director de Sistemas Informáticos

Equipo de Trabajo: Oficina de INFOMEX.

Oficina de Desarrollo de Sistemas

Contraloría Interna (Si lo amerita).

Personal de Seguridad (Si lo amerita).

C. DEL EQUIPO DE TRABAJO

Principales Procesos Identificados

– Herramientas de Microsoft Office.

– Ejecutables de las aplicaciones.

7.-­‐ METODOLOGIA DE TRABAJO

CLASIFICACION CRITICIDAD FRECUENCIA DE USO TECNOLOGIA

ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO

8.-­‐ DEFINICIONES DE TERMINOS EMPLEADOS

9.-­‐ ANALISIS Y EVALUACION DE RIESGOS

10.-­‐ DISEÑO DE ESTRATEGIA DE CONTINUIDAD DE LOS PROCESOS Y

ii. Interrupción de sus actividades. Área en que labora.

1. Sistema de información. ALTO

iv. Posible Pérdida de Hardware y Software. Dirección de Sistemas

1. Servidor Base de Datos ALTO

Causas de la Falla del Servidor.

CASO A: Error Físico de Disco de un Servidor (Sin RAID).

CASO B: Error de Memoria RAM

CASO C: Error de Tarjeta(s) Controladora(s) de Disco

3. Ubicar la posición de la tarjeta controladora.

CASO D: Error Lógico de Datos

De encontrarse este volumen con problemas, se deberá descargar también.

CASO E: Caso de Virus

Interrupción de funciones de la persona ausente

1. Servidor Base de Datos

Alternativas Ventajas Desventajas

11. PLAN DE VERIFICACION Y PLAN DE PRUEBAS

12. PLAN DE M ANTENIMIENTO

– Responsabilidad en el mantenimiento de cada parte del plan.

– Pruebas a todos los cambios del plan.

– Aviso a persona responsable del mantenimiento.

COMPLETADO POR NOMBRE: FECHA:

REVISADO POR NOMBRE: FECHA:

Inicio del proyecto

13. PLAN DE ENTRENAMIENTO

– Entrenar todo el personal en los procedimientos particulares a seguir durante el

– La capacitación se llevará a cabo de manera exhaustiva para que se llegue a estar

– Conforme un Comité de emergencia y defina sus funciones.

– Evalué los riesgos informáticos, y la vulnerabilidad del IVAI.

– Realice un inventario de recursos humanos y materiales.

– Elabore un plan para la atención del centro de computo y centro de

– Realice simulaciones o ejercicios de escritorio.

– Falta de entrenamiento del personal participante en los procedimientos que

13.9 Evaluación del entrenamiento

14.1.1. Servicio d e I nternet IVAI

14.1.2. CONFIGURACIÒN DE LOS SERVICIOS QUE BRINDA EL IVAI

14.1.2.1. Servidor de ACTIVE DIRECTORY

a. MANUAL DE DISEÑO DE DIRECTORIO ACTIVO.

b. MANUAL DE POLÍTICAS DE SEGURIDAD A NIVEL DE DOMINIO

14.1.4. Respaldo de Información - Manual de Procedimiento de Backup. ...

14.1.5. Procedimiento De Encendido y Apagado del UPS

A. ENCENDIDO DE SERVIDORES. PASOS A SEGUIR:

14.2.1. CLASIFICACION DE LOS ACTIVOS TI

ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO

PLAN DE CONTINGENCIA INFORMÁTICO . 4 DE MAYO 2012

4.-‐ ESTRUCTURA DEL PROYECTO

7.-‐ METODOLOGIA DE TRABAJO

8.-‐ DEFINICIONES DE TERMINOS EMPLEADOS

9.-‐ ANALISIS Y EVALUACION DE RIESGOS

10.-‐ DISEÑO DE ESTRATEGIA DE CONTINUIDAD DE LOS PROCESOS Y