Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Extracto PLAN DE CONTINGENCIA IVAI PDF
Extracto PLAN DE CONTINGENCIA IVAI PDF
PLAN DE CONTINGENCIA
INFORMÁTICO
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
INDICE
PLAN
DE
CONTINGENCIA
.........................................................................................................................................
1
1.-‐
INTRODUCCION
..................................................................................................................................................
1
2.-‐
DEFINICIONES
....................................................................................................................................................
2
3.-‐
OBJETIVOS
..........................................................................................................................................................
4
4.-‐
ESTRUCTURA
DEL
PROYECTO
.............................................................................................................................
5
5.-‐
RESPONSABILIDADES
.........................................................................................................................................
6
6.-‐
ANALISIS
DE
IMPACTO
DE
LOS
PROCESOS
.........................................................................................................
7
7.-‐
M ETODOLOGIA
DE
TRABAJO
..............................................................................................................................
8
8.-‐
DEFINICIONES
DE
TERMINOS
EMPLEADOS
........................................................................................................
9
9.-‐
ANALISIS
Y
EVALUACION
DE
RIESGOS
..............................................................................................................
10
9.1.
ESCENARIOS
CONSIDERADOS
PARA
EL
PLAN
DE
CONTINGENCIA
...............................................................
11
9.2.
PLANIFICACIÓN
...........................................................................................................................................
11
10.-‐
DISEÑO
DE
ESTRATEGIA
DE
CONTINUIDAD
DE
LOS
PROCESOS
Y
SERVICIOS
QUE
BRINDA
EL
IVAI
...............
12
10.1.
Escenario
I:
NO
H AY
COMUNICACIÓN
ENTRE
CLIENTE
–
SERVIDOR.
.................................................
14
10.2.
Escenario
II:
Falla
de
Servidor
Crítico.
................................................................................................
17
CASO A: Error Físico de Disco de un Servidor (Sin RAID).
.................................................................
17
CASO B: Error de Memoria RAM
.............................................................................................................
18
CASO C: Error de Tarjeta(s) Controladora(s) de Disco
........................................................................
19
CASO D: Error Lógico de Datos
...............................................................................................................
19
CASO E: Caso de Virus
.............................................................................................................................
20
10.3.
Escenario
III:
Ausencia
Parcial
o
Permanente
del
Personal
de
Dirección
de
Sistemas
Informáticos.
.....................................................................................................................................................
21
10.4.
Escenario
IV:
Interrupción
del
Fluido
Eléctrico
...................................................................................
21
10.5.
Escenario
V:
CORTE
DEL
SERVICIO
DE
INTERNET
...............................................................................
21
10.6.
ESCENARIO
IV:
INDISPONIBILIDAD
DEL
CENTRO
DE
CÓMPUTO
........................................................
22
11.
PLAN
DE
VERIFICACION
Y
PLAN
DE
PRUEBAS
..................................................................................................
26
11.1.
Plan
de
Verificación
..................................................................................................................................
26
11.2.
Procedimientos
para
las
Pruebas
del
Plan
de
Contingencia
.....................................................................
26
12.
PLAN
DE
M ANTENIMIENTO
............................................................................................................................
31
12.1.
Control
de
Cambios
al
Plan
.......................................................................................................................
31
12.2.
Responsabilidad
en
el
M antenimiento
de
Cada
Parte
del
Plan
................................................................
31
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12.3.
Pruebas
a
todos
los
cambios
del
plan
.......................................................................................................
32
12.1.
ANEXOS.
.........................................................................................................................................
32
12.1.1.
Aviso
a
persona
responsable
por
el
entrenamiento
.........................................................................
33
12.1.2.
Control
de
Cambios
al
Plan
...............................................................................................................
34
12.1.3.
Responsabilidad
en
el
M antenimiento
de
Cada
Parte
del
Plan
........................................................
35
13.
PLAN
DE
ENTRENAMIENTO
.............................................................................................................................
37
13.1.
Objetivos
del
Entrenamiento
............................................................................................................
37
13.2.
Alcance
del
Entrenamiento
...............................................................................................................
37
13.3.
Revisión
y
Actualización
....................................................................................................................
37
13.4.
La
simulación
y
simulacros
................................................................................................................
38
13.5.
Guía
para
simulaciones
y
simulacros
.................................................................................................
38
13.6.
Evaluación
del
Simulacro
...................................................................................................................
38
13.7.
Errores
Frecuentes
en
la
Realización
de
los
Simulacros
....................................................................
38
13.8.
Comunicación
al
personal
.................................................................................................................
39
13.9
Evaluación
del
entrenamiento
..................................................................................................................
39
14. ANEXOS:
........................................................................................................................................................
40
14.1.
Comunicación
W EB
-‐
IVAI,
Configuración
de
Servidores
y
Equipos
de
Comunicación.
..............
40
14.1.1.
Servicio
de
Internet
IVAI
....................................................................................................................
40
14.1.2.
CONFIGURACIÒN
DE
LOS
SERVICIOS
QUE
BRINDA
EL
IVAI
...............................................................
41
14.1.3
Ubicación de los Manuales en el Servidor File Server.
.........................................................
44
14.1.4. Respaldo de Información - Manual de Procedimiento de Backup.
........................................
44
14.1.5. Procedimiento De Encendido y Apagado del UPS
..................................................................
45
14.1.6.
PROCEDIMIENTO
DE
ENCENDIDO
Y
APAGADO
DE
LOS
SERVIDORES
................................................
45
14.2.
Inventario
de
Servidores,
Comunicaciones
y
Software
.....................................................................
46
14.2.1. CLASIFICACION DE LOS ACTIVOS TI
....................................................................................
46
14.2.2. HARDWARE
..................................................................................................................................
77
14.2.3. DIAGRAMAS
......................................................................................................................................
77
14.3.
Relación
de
coordinadores
de
Usuario.
...........................................................................................
77
14.3.1. Lista de Personal de Equipo de Respuesta a Desastres.
....................................................
77
14.3.2. Lista Teléfonos de Emergencia
.................................................................................................
81
14.4.
DIAGRAMA GENERAL – PLAN DE CONTINGENCIA
...........................................................
82
15.-‐
OBSERVACIONES
..........................................................................................................................................
82
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
16.-‐
CONCLUSIONES
............................................................................................................................................
82
17.
RECOMENDACIONES
....................................................................................................................................
84
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
1.-‐
INTRODUCCION
Finalmente, se presentan los anexos como parte complementaria que ayudará a estar preparados
frente a cualquier contingencia en los procesos críticos.
2.-‐
DEFINICIONES
A. CONTINGENCIA:
Interrupción, no planificada, de la disponibilidad de recursos informáticos.
B. PLAN DE CONTINGENCIA:
Conjunto de medidas (de DETECCION y de REACCION) a poner en marcha ante la
presentación de una contingencia.
El Plan de Contingencia se subdivide en:
• Plan de Emergencia
• Plan de Restauración (BACKUP)
• Plan de Recuperación
El Plan de Contingencia suele combinarse con planes de seguridad general.
2
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
C. PLANES
EMERGENCIA RESTAURACION RECUPERACION
OBJETIVO Limitar el daño. Continuar Procesos Vitales. Recuperar proceso total.
ACTUACION Inmediata. A corto plazo. A medio plazo.
Evacuación.
Estrategias para la
Valoración de daños. Alternativas para los
CONTENIDO recuperación de todos
procesos vitales.
los recursos.
Arranque de acciones.
RESPONSABILIDAD
Instituto. Usuarios. Dirección de Sistemas
PRINCIPAL
ELEMENTOS ESENCIALES DE LOS PLANES
Documentación
a. Consenso
b. Recursos
c. Pruebas
d. Seguros
a. Consenso
− Planes aprobados por la Secretaría Ejecutiva.
− Planes elaborados con el apoyo de los usuarios.
− La eventual reasignación de las prioridades debe haber sido pactada con anterioridad por las
tres partes implicadas (Secretaría Ejecutiva, Dirección de Sistema Informáticos y Usuarios).
b. Recursos
− Lugar alternativo de trabajo.
− Ordenador con "hardware" y "software" apropiados.
− Terminales.
− Copias de seguridad actualizadas.
3
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
c. Pruebas
− Validez de las copias de seguridad.
− Simulacros de emergencia (una vez por año como mínimo).
− Formación y reciclaje del personal.
d. Seguros
− Contratos negociados.
− No se puede asegurar un riesgo seguro o voluntario.
− Los actos internos de mala intención no siempre se pueden asegurar.
Tipos de contratos:
1. Daños materiales
• Hardware
• Instalaciones
2. Pérdida de archivos
• Costo de reconstrucción
3. Gastos suplementarios
• Utilización forzosa de recursos externos
4. Especiales
• Finalización de proyectos.
• Pérdidas de explotación.
3.-‐
OBJETIVOS
1. Definir las actividades de planeamiento, preparación, entrenamiento y ejecución de tareas
destinadas a proteger la información contra los daños y perjuicios producidos por corte de
servicios, fenómenos naturales o humanos.
2. Establecer un plan de recuperación, formación de equipos y entrenamiento para restablecer la
operatividad del sistema en el menor tiempo posible.
4
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
3. Establecer actividades que permitan evaluar los resultados y retroalimentación del plan general.
5.-‐
RESPONSABILIDADES
A. DEL LIDER DEL PROYECTO
− Dirigir el desarrollo integral del Proyecto así como verificar el cumplimiento de las actividades
encargadas a cada uno de los líderes usuario.
B. DEL ADMINISTRADOR DEL PROYECTO
− Desarrollar el plan de trabajo establecido.
− Asignar los responsables así como las prioridades para el desarrollo de las tareas.
− Organizar el proyecto y orientar al equipo de trabajo.
− Establecer coordinaciones entre el Equipo de trabajo, el Líder del Proyecto y las demás Áreas
involucradas.
− Verificar y efectuar el seguimiento para que el proyecto sea expresado en documentos
formales y de fácil entendimiento.
− Identificar los problemas, desarrollar las soluciones y recomendar aquellas acciones específicas.
− Controlar el avance del proyecto.
− Informar al Líder del Proyecto, los avances y ocurrencias durante el cumplimiento de las tareas de
los responsables.
6
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
6.-‐
ANALISIS
DE
IMPACTO
DE
LOS
PROCESOS
Objetivo Principal:
El objetivo principal del Análisis del Impacto de los procesos, es determinar las funciones, procesos e
infraestructura de soporte que son críticos para la contingencia operativa del IVAI.
Objetivos Específicos:
Para lograr el objetivo principal se definieron los siguientes objetivos específicos:
• Identificar las preocupaciones y prioridades de que deberá asumir el Instituto en el caso que
exista una indisponibilidad en los sistemas informáticos producida por una contingencia.
• Identificar el tiempo máximo en el que un proceso critico del IVAI deberá ser restaurado para
su normal y eficiente continuidad.
• Identificar el impacto en las aplicaciones que soportan los procesos críticos del IVAI.
• Proporcionar las bases de una estrategia para la contingencia operativa en
caso de un desastre.
– Antivirus.
7
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
• Software Base
– Base de SQL Server
– Backup de la Información.
– Frecuencia de uso
– Tecnología.
Se considera el criterio de criticidad como el más importante, y los criterios de frecuencia
de uso y tecnología que confirman la clasificación de Activos de TIC:
Criticidad: el activo se define como crítico si su falta o falla es motivo de interrupción para el
proceso.
8
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Frecuencia de uso: el grado de utilización que se le da al activo.
Tecnología: el nivel de innovación tecnológica que tiene el activo, relacionado también a su valor de
mercado y grado de obsolescencia.
CRITERIOS
A X X X
B X X X
C X X X
• Fallas Corte de Cable UTP.
• Fallas Tarjeta de Red.
• Fallas IP asignado. I. NO HAY COMUNICACIÓN ENTRE CLIENTE
• Fallas Punto de Switch. – SERVIDOR.
• Fallas Punto Patch Panel.
• Fallas Punto de Red.
• Fallas de Componentes de Hardware del Servidor.
• Falla del UPS (Falta de Suministro eléctrico).
• Virus. II. FALLA DE UN SERVIDOR.
• Sobrepasar el límite de almacenamiento del Disco
• Computador de Escritorio funciona como Servidor.
III. AUSENCIA PARCIAL O PERMANENTE DEL
• Accidente
PERSONAL DE TECNOLOGÍA DE LA
• Renuncia Intempestiva
INFORMACIÓN.
10
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO
• Corte General del Fluido eléctrico DURANTE LA EJECUCIÓN DE LOS
PROCESOS.
• Falla de equipos de comunicación: SWITCH, Fibra
Óptica.
V. PERDIDA DE SERVICIO DE INTERNET
• Fallas en el software de Acceso a Internet.
• Perdida de comunicación con proveedores de Internet.
• Incendio
• Sabotaje VI.
INDISPONIBILIDAD DEL CENTRO DE
• Corto Circuito COMPUTO
• Terremoto (DESTRUCCIÓN DEL SITE DE SERVIDORES)
9.1.
ESCENARIOS
C ONSIDERADOS
PARA
EL
PLAN
D E
C ONTINGENCIA
I. NO HAY COMUNICACIÓN ENTRE CLIENTE – SERVIDOR.
II. FALLA DE UN SERVIDOR.
III. AUSENCIA PARCIAL O PERMANENTE DEL PERSONAL DE LA DIRECCIÓN DE SISTEMAS
INFORMÁTICOS.
IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO DURANTE LA EJECUCIÓN DE LOS PROCESOS.
V. PERDIDA DE SERVICIO INTERNET
VI. INDISPONIBILIDAD DEL CENTRO DE CÓMPUTO
La evaluación y administración de estos riesgos van a permitir al IVAI:
• Desarrollar estrategias de recuperación y respaldo de las decisiones operacionales,
tecnológicas y humanas.
• Identificar los controles existentes y los nuevos controles a implementar para minimizar los
riesgos, evaluando el costo / beneficio de dichos controles.
• Planificar la seguridad de la información.
9.2.
PLANIFICACIÓN
• Tiempo máximo de la contingencia.
• Costos estimados.
• Recursos humanos.
• Capacitación.
• Retorno a la normalidad.
• Validar el plan de contingencia
11
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Sitios reflejos son instalaciones totalmente redundantes con información
actualizada en tiempo real y técnicamente idénticos al sitio primario.
iv. Roles y Responsabilidades
• Designar un responsable general del plan y toma de decisiones.
• Designar equipos para ejecutar el plan; cada equipo debe entrenarse y
prepararse para actuar.
• El personal de la recuperación se asignará a equipos específicos que
responderán al evento, recuperarán los sistemas de TI y restaurarán operaciones
normales.
• Los tipos específicos de equipos requeridos dependen del sistema afectado.
• El tamaño de cada equipo, sus denominaciones y estructura dependen de la
organización.
v. Tipo de Equipos
• Gestión de la crisis: El responsable de este equipo será el administrador, el cual
tendrá que reportar directamente con el encargado de la crisis.
• Evaluación de daños: estará a cargo de especialistas auditoría interna, logística, de
informática y cualquier otro personal que crea conveniente incluir. Ellos determinarán
la magnitud de todos los posibles daños que hayan ocurrido durante una contingencia.
• Recuperación de sistemas operativos, utilitarios, servidores, redes, bases de
datos, aplicaciones y telecomunicaciones: este equipo estará formado por personal
de la Dirección de Sistemas Informáticos.
• Recuperación en sitio alterno: El jefe de este equipo serán el Director de
Sistemas Informáticos.
• Restauración en el sitio original: La conformación de este equipo será similar a la
del equipo de recuperación en sitio alterno.
• Prueba del plan: Los encargados de este equipo serán el Director de Sistemas
Informáticos.
• Apoyo administrativo, transporte y reubicación: este equipo estará liderado por líder
de Proyecto y el Director de Sistemas Informáticos. Además conformarán el
equipo dos personas más, los cuales apoyarán cada uno el aspecto administrativo y
transporte. Estas personas serán escogidas a criterio por la Dirección de Administración.
• Compras (equipos y suministros): este equipo estará conformado por personal de
Logística, la Dirección de Sistemas Informáticos. El director de Administración
señalará a las personas adecuadas para este equipo.
13
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Consideraciones de Costos
• Asegurar que la estrategia elegida pueda implementarse de manera eficaz con el
personal y recursos financieros disponibles.
• Determinar un presupuesto de gastos para el planeamiento de contingencias:
− Software y hardware.
− Transporte.
− Pruebas.
− Entrenamiento.
− Materiales.
− Tiempo a incurrir.
− Servicios, etc.
10.1.
Escenario
I:
N O
HAY
COMUNICACIÓN
ENTRE
C LIENTE
–
SERVIDOR.
A. Impacto
Impacto
Área
Afectada
i.
No
se
puede
trabajar
con
los
recursos
de
la
red
IVAI.
Área
en
que
labora.
(Información).
Tiempos aceptables de Caída.
TIEMPOS ACEPTABLES DE CAIDA.
RECURSO
PRIORIDAD
DE
RECUPERO
14
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
B. Recursos de Contingencia
− Componentes de Remplazo:
− Tarjeta de Red,
− Conector RJ-45, Jack RJ-45, Probador, herramientas de Cableado Estructurado, etc.
15
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
C. Procedimiento:
NO HAY COMUNICACIÓN ENTRE CLIENTE- SERVIDOR EN IVAI
SI
Cambio de Pacht
Cord.
S
_I -+1 Cambio de Tarjeta de Red.
Formateo del sistema
Operativo.
Mantenimiento del Punto de
Red del usuario y del
Gabinete de comunicaciones.
El usuario trabaja en
la red de IVAI
16
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
10.2.
Escenario
II:
F alla
de
Servidor
Crítico.
A. Impacto
Impacto
Área
Afectada
iii.
Paralización
de
los
sistemas
o
aplicaciones
que
se
Todas
las
Áreas
encuentran
en
los
servidores
que
presentan
fallas.
RECURSO
PRIORIDAD
DE
RECUPERO
Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser reparadas, se
debe tomar las acciones siguientes:
1. Ubicar el disco dañado.
2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
teléfono a jefes de área.
17
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
4. Bajar el sistema y apagar el equipo.
5. Retirar el disco dañado y reponerlo con otro del mismo tipo, formatearlo y darle
partición.
6. Restaurar el último backup en el disco, enseguida restaurar las
modificaciones efectuadas desde esa fecha a la actualidad.
7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen
estado.
8. Habilitar las entradas al sistema para los usuarios.
18
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
las pruebas.
7. Probar los sistemas que están en red en diferentes estaciones.
Finalmente luego de los resultados, habilitar las entradas al sistema para los
usuarios.
PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenido del(os)
disco(s) duro(s) del servidor.
PASO 5: Al término de la operación de reparación se procederá a habilitar entradas a
estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos
índices estén correctas, para ello se debe empezar a correr los sistemas y así poder
determinar si el usuario puede hacer uso de ellos inmediatamente.
Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se
debe recuperar con utilitarios.
10.4.
Escenario
IV:
I nterrupción
del
F luido
Eléctrico
…
10.5.
Escenario
V:
CORTE
D EL
SERVICIO
DE
I NTERNET
…
21
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
10.6.
ESCENARIO
I V:
INDISPONIBILIDAD
D EL
CENTRO
D E
C ÓMPUTO
A. Impacto
Impacto Área Afectada
i. Caída de la Red LAN: Servidores Windows y equipos de
Todas las Áreas
comunicación.
ii. Interrupción de las comunicaciones Internas y Externas. Todas las Áreas
iii. Paro de los sistemas que soportan las funciones de la Institucion. Todas las Áreas
iv. Paro de operaciones de Informática. Todas las Áreas
v. Perdida de Hardware y Software. Dirección de Sistemas Informáticos.
IDENTIFICAR
IMPACTO
DE
LA
CAIDA
Y
TIEMPOS
ACEPTABLES
DE
CAIDA.
TIEMPO
DE
RECURSO
IMPACTO
CAIDA
ACEPTABLE
NO
se
tendrá
acceso
a
Sistemas
de
Información
desarrollados
y
utilizados
por
el
IVAI
1. Servidor Base de Datos.
3
Horas
No
se
contará
con
acceso
al
Portal
WEB
del
Instituto.
No
se
contará
con
acceso
a
información
alojada
en
la
web.
2. Servidor Web 8
Horas
No
se
realizarán
transacciones
bancarias
y
depósitos
electrónicos
a
los
proveedores.
NO
se
realiza
recepción
de
solicitdes
por
parte
de
la
ciudadanía
No
se
realiza
recepción
de
recursos
de
revisión.
No
se
realiza
conclusión
de
procesos
por
finalización
o
calendarización
comprometida.
3. Servidor de Sistema
1
Hora
INFOMEX
No
existiría
comunicación
Interna
y
Externa
(Proveedores,
4. Servidor de Correo 3
Horas
Instituciones
Gubernamentales,
etc.).
6. Servidor FIREWALL -
No
existiría
Comunicación
Externa
5
Horas
PROXY
Vulnerabilidad
de
red
del
IVAI
expuesta
a
infecciones
como
Virus,
Troyanos,
etc
y
falta
de
seguridad
en
el
Sistema
Operativo
y
aplicaciones.
En
caso
de
una
contingencia
no
habría
disponibilidad
de
7. Servidor Backup 8
Horas
Información.
22
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
B. Recursos de Contingencia
– Si es necesario, el hardware y software necesarios deben activarse o adquirirse, así
como ser transportados al sitio alterno; las estrategias básicas para disponer de equipo de
reemplazo son:
o Acuerdos con proveedores: Se establecen acuerdos de nivel de servicios con los
proveedores de software, hardware y medios de soporte; se debe especificar el
tiempo de respuesta requerido.
o Inventario de equipos: Los equipos requeridos se compran por adelantado y se
almacenan en una instalación segura externa (el sitio alterno).
o Equipo Compatible Existente: Equipo existente en sitios alternativos.
– Comprar los equipos cuando se necesitan puede ser mejor financieramente, pero
puede incrementar de manera significativa el tiempo de recuperación.
– Almacenar un equipo sin usar es costoso, pero permite que la recuperación comience más
rápidamente.
– Considerar la posibilidad de un desastre extendido que requiere reemplazos masivos de
equipos y retrasos del transporte.
– Mantener listas detalladas de necesidades de equipo y especificaciones dentro del plan
de contingencia.
Recursos de Contingencia Generales
− Router (Proveído por el proveedor de Internet).
− Servidores y Equipos de Comunicación (Switchs, Fibra, etc.).
− Gabinete de Comunicaciones y Servidores.
− Materiales y herramientas para cableado estructurado.
− UPS y Equipos de aire acondicionado.
− Backup de los Sistemas.
− Instaladores de las aplicaciones, de Software Base, Sistema Operativo, Utilitarios, etc.
23
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Recursos de Contingencia Específicos
EQUIPOS DE REMPLAZO
2. Servidor Web
a. Hardware:
Computador Compatible con las siguientes características: …
b. Software y data…
3. Servidor de INFOMEX
a. Hardware
Un servidor tipo Xeon con las siguientes características….
Infraestructura del Ambiente Alterno PROPIO: Para este escenario, se requiere acondicionar un
ambiente alterno que pueda ser utilizado como sala de servidores en el momento de la
2
contingencia. Con un espacio de aproximadamente 6 m que tiene forma rectangular para facilitar
la ubicación de los equipos y mobiliario.
24
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
El ambiente alterno contará con los siguientes recursos:…
ALTERNATIVA PARA IMPLEMENTAR
CENTRO DE COMPUTO ALTERNO
Modalidades:
a) Housing, El IVAI es dueño de los equipos, solo alquila el espacio físico seguro.
b) Hosting, El IVAI es dueño solo del software propio de su operativa, el proveedor del servicio proporciona todo.
25
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
26
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Las pruebas se efectúan simultáneamente a través de múltiples unidades, incluyendo
entidades externas.
Realizando pruebas se descubrirán elementos operacionales que requieren ajustes para
asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes perfeccionen los
planes preestablecidos.
Objetivos
• El objetivo principal, es determinar si el Plan de contingencia es capaz de
proporcionar el nivel deseado de apoyo a la sección o a los procesos críticos del
IVAI, probando la efectividad de los procedimientos expuestos en el plan de
contingencias.
• Las pruebas permiten efectuar una valoración detallada de los costos de
operación en el momento de ocurrencia de una contingencia.
Procedimientos para las Pruebas del Plan de Contingencias Niveles de Prueba
Se recomiendan dos niveles de prueba:
• Pruebas en pequeñas Unidades Orgánicas.
• Pruebas a nivel Gerencial.
La premisa es comenzar la prueba en las Unidades Orgánicas más pequeñas, extendiendo
el alcance a nivel Gerencial.
Métodos para Realizar Pruebas de Planes de Contingencia a)
Prueba Específica
Consiste en probar una sola actividad, entrenando al personal en una función específica,
basándose en los procedimientos estándar definidos en el Plan de Contingencia. De esta
manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla.
b) Prueba de Escritorio
Implica el desarrollo de un plan de pruebas a través de un conjunto de preguntas
típicas (ejercicios).
Características:
• La discusión se basa en un formato preestablecido.
27
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
• Esta dirigido al equipo de recuperación de contingencias.
• Permite probar las habilidades gerenciales del personal que tiene una
mayor responsabilidad.
Los ejercicios de escritorio son ejecutados por el encargado de la prueba y el personal
responsable de poner el plan de contingencias en ejecución, en una situación hipotética de
contingencia. Un conjunto de preguntas se pedirán que resuelva el personal. El encargado
y el personal utilizarán el plan de contingencias para resolver las respuestas a cada
situación. El encargado contestará a las preguntas que se relacionan con la
disponibilidad del personal entrenado, suficiencia de los recursos, suficiencia de máquinas,
y si los requerimientos necesarios están a la mano. Los ajustes serán hechos al plan
o al ambiente determinado durante esta fase si cualquier parte del plan no cumple con los
objetivos propuestos.
c) Simulación en Tiempo Real
Las pruebas de simulación real, en una Unidad Orgánica, a nivel de Gerencia en e l
I V A I está dirigido a una situación de contingencia por un período de tiempo definido.
• Las pruebas se hacen en tiempo real.
• Son usadas para probar partes específicas del plan.
• Permiten probar las habilidades coordinativas y de trabajo en equipo de los
grupos asignados para afrontar contingencias.
Preparaciones PRE Prueba
• Repasar el plan de contingencia.
• Verificar si se han asignado las respectivas responsabilidades.
• Verificar que el plan este aprobado por la alta dirección de la institución.
• Entrenar a todo el personal involucrado, incluyendo orientación completa de los
objetivos del plan, roles, responsabilidades y la apreciación global del proceso.
• Establecer la fecha y hora para la ejecución de la prueba.
• Desarrollar un documento que indique los objetivos, alcances y metas de la
prueba y distribuirlo antes de su ejecución.
• Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal
esencial en los días de ejecución de dichas pruebas.
• No dejar de lado los resultados obtenidos, la meta es aprender y descubrir las
vulnerabilidades, no generar fracaso y frustración.
• La prueba inicial se enfoca principalmente en entrenar al equipo que ejecutará con
éxito el plan de contingencias, solucionando el problema y restableciendo a la
28
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
normalidad las actividades realizadas.
• Enfocar los procesos críticos que dependen de sistemas específicos o
compañías externas donde se asume que hay problemas.
• Definir el ambiente donde se realizarán las reuniones del equipo de
recuperación de contingencias.
• Distribuir una copia de la parte del Plan de Contingencias a ser ejecutado.
Comprobación de Plan de Contingencias
La prueba final debe ser una prueba integrada que involucre secciones múltiples e
instituciones externas. La capacidad funcional del plan de contingencia radica en el
hecho de que tan cerca se encuentren los resultados de la prueba con las metas
planteadas.
El diagrama representa los pasos necesarios, para la ejecución de las pruebas del plan de
contingencias.
29
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
PRUEBAS
DEL
PLAN
DE
CONTINGENCIAS
30
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
Se recomienda establecer controles formales del cambio para cubrir cualquier modificación al
Plan de Contingencia.
Esto es necesario debido al nivel de complejidad contenida dentro del plan.
Se debe preparar una plantilla para solicitud de cambios y debe ser aprobada.
Esta sección contendrá una plantilla de la solicitud de cambio a ser usada en el Plan de
Contingencia.
12.2.
R esponsabilidad
e n
e l
Mantenimiento
de
C ada
Parte
del
Plan
Cada parte del plan será asignada a un miembro del equipo del Plan de Contingencia o un
Jefe de área, que será responsable de actualizar y mantener el plan.
El líder del equipo de Plan de Contingencia, mantendrá el control completo del Plan de
Contingencia, pero los jefes de áreas necesitarán mantener sus propias secciones al día.
31
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12.3.
Pruebas
a
todos
l os
c ambios
del
plan
El equipo del Plan de Contingencia, nombrará una o más personas que serán responsables de
coordinar todos los procesos de prueba y asegurar que todo cambio al plan se prueba
apropiadamente.
Cuando los cambios se hacen o son propuestos al Plan de Contingencia, se debe notificar al
coordinador de pruebas del Plan de Contingencia.
Esta sección del Plan de Contingencia, contiene una comunicación del coordinador del Plan
de Contingencia a las unidades del Instituto afectadas y contiene información acerca de los
cambios que se requieren probar o reexaminar.
12.1.
ANEXOS.
32
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12.1.1.
Aviso
a
persona
responsable
por
e l
e ntrenamiento
AFECTA LOS SE REQUIERE
SECCION DEL PLAN
RESUMEN DE
DE CONTINGENCIA
CAMBIOS FECHA PROGRAMAS DE RE-ENTRENAMIENTO
HECHOS
CAMBIADA
ENTRENAMIENTO (SI/NO)
COMENTARIOS:
COMENTARIOS:
COMENTARIOS:
COMENTARIOS:
COMPLETADO POR NOMBRE: FECHA:
REVISADO POR NOMBRE: FECHA:
33
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12.1.2.
Control
de
C ambios
a l
Plan
PLAN DE CONTINGENCIA
FORMATO PARA CAMBIOS
Cambio Nº.
Descripción del Cambio
Justificación para el cambio
Fecha en que se hace efectivo
Alternativas consideradas o eliminadas
Proceso(s) dela institucion(es) impactadas
Cronograma de Pruebas
Entrenamiento Ajustado al cambio
Solicitado por: Responsable del Plan
FIRMA:
NOMBRE:
FECHA / /
Aprobado por:
NOMBRE:
CARGO FIRMA:
FECHA / /
34
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
12.1.3.
Responsabilidad
e n
e l
Mantenimiento
de
C ada
Parte
del
Plan
PERSONA RESPONSABLE DEL
CONTENIDO DEL PLAN MANTENIMIENTO DEL PLAN
NOMBRE POSICIÓN
35
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
36
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
– Simulaciones
– Evaluación del desempeño por evento
37
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
13.4.
La
simulación
y
simulacros
Las simulaciones y simulacros son evaluaciones muy importantes, pues entrenan al personal,
enfrentándolo en situaciones probables de emergencia o desastres y ponen a prueba la capacidad
del IVAI.
Los Simulacros, llamados también ejercicios de evaluación, constituye la actividad práctica por
excelencia en el proceso de preparación del Plan de Contingencia para situaciones de
desastres.
Las Simulaciones, son ejercicios de escritorio que se realizan en situaciones ficticias controladas.
13.5.
Guía
para
simulaciones
y
simulacros
39
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
14. ANEXOS:
14.1.
Comunicación
WEB
-‐
I VAI,
Configuración
de
Servidores
y
Equipos
de
Comunicación
IP:201.nn.n.n
MSK: 255.255.255.n DNS1: 192.168.1.2
1 GATEWAY: 201.n.n.n DNS2: 192.168.1.8
SERVICIO DE INTERNET-
DN$1: 201.n.n.n
DN$1: 201.nnn.nnn.nn
40
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
43
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
14.1.3 Ubicación de los Manuales en el Servidor File Server.
Todos los manuales están Ubicados en el Directorio: …
El acceso a esta carpeta es solo al personal de la Dirección de Ssistemas
Informáticos.
44
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
…
Se
detalla
los
servicios
que
se
tienen
que
levantar
según
el
tipo
de
servidor:
…
VER PROCEDIMIENTO A
VER PROCEDIMIENTO B
VER PROCEDIMIENTO C
B. APAGADO DE LOS SERVIDORES
PASOS A SEGUIR:
45
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
14.2.
Inventario
de
Servidores,
C omunicaciones
y
Software
A X X X
B X X X
C X X X
46
PLAN
DE
CONTINGENCIA
INFORMÁTICO
14.2.2. HARDWARE
14.2.2.2. PACHTS PANELS
14.2.2.3. ORDENADORES DE CABLE
14.2.3. DIAGRAMAS
14.2.3.1.
UBICACIÓN
DE
COMPUTADORES
77
PLAN
DE
CONTINGENCIA
INFORMÁTICO
POLICIA 066
81
PLAN
DE
CONTINGENCIA
INFORMÁTICO
…
15.-‐
OBSERVACIONES
La contingencia no debe extenderse a más de un día salvo casos extremos, paralelamente a los
procedimientos de recuperación y como parte de ellos; se debe contactar con los proveedores de
los equipos y recursos necesarios para asegurar la continuidad de las operaciones en
condiciones normales.
16.-‐
CONCLUSIONES
• El presente Plan de contingencia, tiene como fundamental objetivo el salvaguardar la
infraestructura de la Red y Sistemas de Información extremando las medidas de seguridad para
protegernos y estar preparados a una contingencia de cualquier tipo.
• Las principales actividades requeridas para la implementación del Plan de Contingencia son:
Identificación de riesgos, Evaluación de riesgos, Asignación de prioridades a las aplicaciones,
Establecimiento de los requerimientos de recuperación, Elaboración de la documentación,
Verificación e implementación del plan, Distribución y mantenimiento del plan.
• Un Plan de Contingencia es la herramienta que el Instituto Veraruzano de Acceso a la Información
debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones,
en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupción parcial o
total en sus funciones. Las políticas con respecto a la recuperación de desastres deben de
emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.
• El plan de Contingencia del Instituto Veracruzano de Acceso a la Información está sujeto a la
infraestructura física y las funciones que realiza la Dirección de Sistemas Informáticos.
82
PLAN
DE
CONTINGENCIA
INFORMÁTICO
83
PLAN
DE
CONTINGENCIA
INFORMÁTICO
.
4
DE
MAYO
2012
PLAN
DE
CONTINGENCIA
INFORMÁTICO
17.
RECOMENDACIONES
• Programar las actividades propuestas en el presente Plan de Contingencias.
• Hacer de conocimiento general el contenido del presente Plan de Contingencias, con la
finalidad de instruir adecuadamente al personal del Instituto Veracruzano de Acceso a la
Información
• Se debe tener una adecuada seguridad orientada a proteger todos los recursos informáticos
desde el dato más simple hasta lo más valioso que es el talento humano; pero no se puede caer
en excesos diseñando tantos controles y medidas que desvirtúen el propio sentido de la
seguridad, por consiguiente, se debe hacer un análisis de costo/beneficio evaluando las
consecuencias que pueda acarrear la pérdida de información y demás recursos informáticos, así
como analizar los factores que afectan negativamente la productividad del Instituto
84