PLAN DE CONTINGENCIA Y

RECUPERACIÓN INFORMÁTICA DEL

PROGRAMA DE PROVISIÓN DE
ALIMENTOS

Página 1 de 39
 Información del Documento

Resumen: Este documento describe las políticas y procedimientos que son parte del
Plan de Contingencia y Recuperación de la plataforma informática del
Programa de Provisión de Alimentos.
Audiencia: Gestión Tecnología Informática

Revisiones al Documento

Cargo / Área Nombre Firma

Dirección de Desarrollo
Elaborado por: Rommel Insuasti
Institucional
Dirección de Desarrollo
Revisado por: William Guerrero
Institucional

Aprobado por: Gestión Tecnológica PPA

Página 2 de 39
Tabla de Contenidos

OBJETIVO GENERAL..................................................................................................................................5
OBJETIVOS ESPECÍFICOS............................................................................................................................5
ALCANCE..................................................................................................................................................6
METODOLOGIAS UTILIZADAS....................................................................................................................6
1.1 DESCRIPCIÓN DEL ENTORNO INFORMÁTICO.........................................................................................7
1.1.1 INFRAESTRUCTURA FÍSICA Y ELÉCTRICA.............................................................................................7
1.1.2 HARDWARE......................................................................................................................................8
1.1.3 SOFTWARE........................................................................................................................................9
SOFTWARE APLICACIÓN...........................................................................................................................9
SOFTWARE DE DESARROLLO...................................................................................................................10
1.1.4 TELECOMUNICACIONES...................................................................................................................10
INTERNET...............................................................................................................................................10
TELEFONÍA..............................................................................................................................................10
1.1.5 SERVICIO CLOUD COMPUTING / VIRTUAL DATA CENTER..................................................................10
1.1.6 PERSONAL GESTIÓN TECNOLOGÍA – PPA.........................................................................................11
1.2 IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS...........................................................................................11
1.2.1 ANÁLISIS DE RIESGO........................................................................................................................11
1.2.2 ANÁLISIS DE IMPACTO....................................................................................................................12
1.2.3 DETERMINACIÓN DE RECURSOS CRÍTICOS.......................................................................................12
1.2.4 ANÁLISIS AMENAZAS Y VULNERABILIDADES....................................................................................13
1.3 PLAN DE MITIGACIÓN........................................................................................................................14
1.3.1 DOCUMENTACIÓN..........................................................................................................................14
1.3.2 PROCESOS DE RESPALDO.................................................................................................................15
1.3.2.1 TIPO DE INFORMACIÓN A RESPALDAR..........................................................................................15
1.3.2.2 ESTRATEGIAS DE RESPALDO.........................................................................................................17
1.3.2.3 BITÁCORAS DE RESPALDO............................................................................................................18
1.3.2.4 PROCESO DE RESPALDO EXTERNO................................................................................................20
1.3.3 CENTRO DE CÓMPUTO ALTERNO.....................................................................................................20
1.3.3.1 TIPOS DE CENTRO DE CÓMPUTO ALTERNO...................................................................................20
1.3.3.2 ANÁLISIS CENTRO DE CÓMPUTO ALTERNO...................................................................................21
1.3.4 MEDIDAS PREVENTIVAS..................................................................................................................23
1.3 PLAN DE CONTENCIÓN.......................................................................................................................27

Página 3 de 39
1.3.1 PROCEDIMIENTO DE EMERGENCIA EN LA SALA DE COMPUTO.........................................................27
1.3.2 GRUPO DE ADMINISTRACIÓN DE EMERGENCIA GTI - PPA................................................................27
1.3.3 ÁRBOL TELEFÓNICO DE EMERGENCIA..............................................................................................28
1.3.4 LÍDERES DE GRUPO RECUPERACIÓN DE DESASTRES.........................................................................28
1.3 PLAN DE RECUPERACIÓN....................................................................................................................28
1.3.1 PROCEDIMIENTOS PARA EL PROCESO DE RESTAURACIÓN...............................................................29
1.5.1.1 PROCEDIMIENTOS PARA EL PROCESO DE RESTAURACIÓN.............................................................29
1.3.2 PROCESAMIENTO EN EL CENTRO DE CÓMPUTO ALTERNO................................................................31
1.4 IMPLEMENTACIÓN DEL PLAN.............................................................................................................35
1.5 PLAN EXPERIMENTAL DE PRUEBAS.....................................................................................................35
1.5.1 PASOS PARA CONDUCIR LA PRUEBA................................................................................................37
1.5.2 ÁREAS O PARTES A PROBAR............................................................................................................37
1.5.3 PROCESO GENERAL PARA PRUEBA ANUNCIADA..............................................................................38
1.5.4 PROCESO GENERAL PARA SIMULACRO............................................................................................39

Página 4 de 39
INTRODUCCION
La información es el principal patrimonio de toda Institución, por lo que se deben aplicar medidas
de seguridad para protegerla y estar preparados para afrontar contingencias y desastres de
diversos tipos.
El Plan de Contingencias Informático que se detalla en el presente documento, es un conjunto de
procesos, procedimientos y recursos físicos, técnicos y humanos que interactúan ante la presencia
de un siniestro, teniendo como finalidad garantizar la continuidad de las operaciones
automatizadas para reducir su nivel de impacto en la organización y en el desempeño normal de
sus funciones.
El Plan de Contingencias Informático esta desarrollado acorde con la realidad del Programa
considerando los activos y servicios informáticos actualmente implementados y en producción. El
Plan de Contingencias Informático es un documento que se debe actualizar periódicamente o
cuando la ocurrencia de algún evento institucional así lo demande; en el caso del Programa de
Provisión de Alimentos en el futuro inmediato se pueden presentar los siguientes eventos, que
obligarán a actualizar / modificar el presente documento:
o El sistema SIGPA entre totalmente a producción,
o Se concrete la transformación del Programa en un Instituto y por ende, el traspaso del
mismo, del Ministerio de Inclusión Económica y Social al Ministerio de Agricultura,
Ganadería, Acuacultura y Pesca

OBJETIVO GENERAL
Desarrollar el “PLAN DE CONTINGENCIA Y RECUPERACIÓN INFORMÁTICA PARA EL
PROGRAMA DE PROVISIÓN DE ALIMENTOS”, con el propósito de afrontar la contingencia
relacionada con el eventual cese de actividades, inoperatividad de equipos causada por razones de
fuerza mayor y la posterior restauración total o parcial del servicio.

Objetivos Específicos.
o Proveer una opción para mantener operativa la plataforma informática del Programa y la
infraestructura relacionada, que permita reducir el impacto en las operaciones normales
cuando son interrumpidas o paralizadas por la presencia de eventos que afectan parcial o
totalmente las instalaciones donde se procesan sistemas / aplicaciones automatizadas y
los servicios de procesamiento de datos de la Institución.
o Efectuar análisis de riesgos realizando una identificación y evaluación del hardware y
software crítico a ser protegido.
o Realizar análisis de vulnerabilidades y riegos que afectan a la información.

Página 5 de 39
 o Desarrollar una lista con las posibles medidas de seguridad la cual permita reducir los
riegos para el Programa de Provisión de Alimentos.
o Definir acciones y procedimientos a ejecutar en caso de fallas originadas por desastres

ALCANCE
Un Plan de Contingencias Informático es un instrumento de gestión para el buen gobierno de las
Tecnologías de la Información y las Comunicaciones; dicho plan contiene las medidas técnicas,
humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones
de una compañía. Un plan de contingencia informático es un caso particular de plan de continuidad
del negocio aplicado al departamento de informática o tecnologías. Otros departamentos pueden
tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No
obstante, dada la importancia de las tecnologías en las organizaciones modernas, el Plan de
Contingencia Informática es el más relevante.
Por lo antes expuesto, en los procedimientos incluidos en el Plan de Contingencia Informático, se
contemplan las acciones a ejecutar con relación al Hardware, Software y Comunicaciones;
centrándose exclusivamente en las operaciones del área de Gestión Tecnología Informática, por lo
tanto no se detalla las acciones específicas de los unidades del negocio o una estrategia de
recuperación global corporativa, pues la misma se debe detallar en el PLAN DE CONTINUIDAD
DEL NEGOCIO.

METODOLOGIAS UTILIZADAS
Existen metodologías para realizar análisis de riesgos, entre las que se puede mencionar: Magerit,
Octave, Mehari; metodologías para elaborar un plan de contingencia: General, William Toigo,
Octave así como estándares internacionales sobre seguridad informática, tales como:

o Normas ISO/IEC 27000: son estándares de seguridad publicados por la Organización

Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional
(IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la
Información para desarrollar, implementar y mantener Especificaciones para los Sistemas
de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se
encuentran en preparación.

o COBIT: Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en

inglés: Control Objectives for Information and related Technology) es una guía de mejores
prácticas presentado como framework, dirigida a la gestión de Tecnología de la
Información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control

Página 6 de 39
 Association) y el IT Governance Institute (ITGI, en inglés: IT Governance Institute), tiene
una serie de recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría,
herramientas para su implementación y principalmente, una guía de técnicas de gestión.

o ITIL: Corresponde a las siglas en ingles Information Technology Infrastructure Library; es

un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la
información, el desarrollo de tecnologías de la información y las operaciones relacionadas
con la misma en general. ITIL proporciona descripciones detalladas de un extenso conjunto
de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y
eficiencia en las operaciones de TI. Estos procedimientos son independientes del
proveedor y han sido desarrollados para servir como guía que abarque toda
infraestructura, desarrollo y operaciones de TI.

El presente documento se ha desarrollado considerando las metodologías, normativas antes

expuestas, adaptándolas a la realidad del Programa de Provisión de Alimentos.

1.1Descripción del entorno informático

1.1.1 Infraestructura física y eléctrica

Elemento Observaciones
Infraestructura física y La Sala de Cómputo del Programa de Provisión de Alimentos se
ubicación de la Sala de encuentra ubicada en el cuarto piso el edificio MIES-IEPS, su
Computo del Programa de infraestructura es de tipo mixto ladrillo y bloque, columnas de
Provisión de Alimentos hormigón.
Aire Acondicionado Sala de El Programa de Provisión de Alimentos dispone de un sistema de
Computo aire acondicionado en su Sala de Cómputo.
Accesos de seguridad Sala de La Sala de Cómputo del Programa, no dispone de un sistema de
Computo seguridad de accesos.
Sensores de Movimiento Sala La Sala de Cómputo del PPA, no dispone de de sensores de
de Computo movimiento.
Sensores de Incendio Sala de La Sala de Cómputo del Programa de Provisión de Alimentos, no
Computo dispone de sensores de incendio
Extintores, Sala de Computo y El Programa de Provisión de Alimentos dispone de extintores en
Oficinas la Sala de Computo y Oficinas
Las tomas eléctricas instaladas en el Programa de Provisión de
Alimentos, cumplen con los estándares de seguridad. Además
Energía eléctrica regulada, las instalaciones eléctricas se encuentran debidamente
Sala de Computo y Oficinas documentadas.
Cableado estructurado, Sala de El cableado estructurado instalado en el Programa de Provisión

Página 7 de 39
 Elemento Observaciones
de Alimentos, cumple con los estándares 6A y se encuentra de
Computo y Oficinas debidamente certificado.

1.1.2 Hardware

Equipos informáticos de oficina

o Desktops
o HP / Pro 6300
o HP / COMPAQ 6000 SFF
o HP / 6200 Pro MT PC ALL
o HP / 6200 Pro MicroTower PC ALL
o Laptops
o HP / EliteBook 8440P
o HP / EliteBook 8460p
o HP / EliteBook 8470p
o HP / PROBOOK 4310s
o HP / PROBOOK 4320s
o Scaners
o HP / N8460
o HP / SCANJET N6350
o Impresora Matricial
o Epson / FX 2190
o Impresoras
o Impresora Laser HP / LaserJet P2055dn

o Impresora Matricial EPSON /FX-2190

o Impresora Multifunción HP / LaserJEt Pro 400 color MFP M475dw

o Impresora Multifunción RICOCH / ATIZIOMP1600
o Teléfonos IP
o Denwa
o Yealink

Equipos de conectividad, seguridad, telefonía

Página 8 de 39
 o Equipos de conectividad
o Switch de Core: Cisco C3560-X 24 T
o Switch de Acceso: Cisco WS-C2960S-48TS-L
o Access point
o Equipos de seguridad
o UTM: Cisco SA 540 Bundle
o Equipos de Telefonía
o Central Telefónica DENWA COMUNICATION
Servidores
o Server - DELL Power Edge R410
UPS
o UPS – Tripp Lite 20KVA

1.1.3 Software

Software Base
o Windows 7 SP1
o Citrix XenCenter
o CLEAR OS
o Windows 2003
o SQLServer 2005
o Apache 5.0
o Linux Centos 5.5
o Kernel 2.6.18-274.12.1.el5xen
o httpd-2.2.3-53.el5.centos.3
o freetds-0.91-1.el5.
o UnixODBC-2.2.11-7.1
o unixODBC-devel-2.2.11-7.1
o Samba
o ESET NOD 32

Software Aplicación

o SICOPA - Sistemas Compras PPA

o SIGPA – Sistema de Gestión Programa de Provisión de Alimentos
o Sitio WEB

Página 9 de 39
 Software de Desarrollo

o PHP 5.1

1.1.4 Telecomunicaciones

Internet

o Enlace Principal: E1 contratado por el Programa de Provisión de Alimentos con la

CNT
o Enlace Secundario: E1 contratado por el MIES que permite acceder al correo
electrónico provisto por esa Institución.

Telefonía

o Troncal telefónica contratada por el Programa de Provisión de Alimentos, la cual

está conectada a la central telefónica del Programa.

1.1.5 Servicio Cloud Computing / Virtual Data Center

Respondiendo al cambio de modelo de negocio, con el objetivo de garantizar la fiabilidad,

seguridad, disponibilidad de la información y alineados a la visión del Gobierno Nacional de
implementar un Centro de Computo para todas las entidades estatales, el Programa de Provisión
de Alimentos contrató con la Corporación Nacional de Telecomunicaciones -CNT- el servicio de
Cloud Computing / Virtual Data Center. El servicio contratado ofrece un pool de recursos de
memoria, procesamiento y almacenamiento para desplegar servidores virtuales donde se aloja los
aplicativos del Programa de forma dinámica y con total independencia de la administración
garantizando la información crítica y no crítica del PPA.
El servicio de Cloud Computing / Virtual Data Center proporciona un Canal de Gestión para las
actividades que se consideran como Gestión del Virtual Data Center, y que son: Aprovisionamiento
de maquinas virtuales, creación de redes, conexión/desconexión de la(s) Maquina(s) Virtual(es) a
la(s) red(es) creada(s), asignación/re asignación de almacenamiento y/o memoria a su(s)
Maquina(s) Virtual(es); subir imágenes de instaladores, instalación del Sistema Operativo, Acceso
a la Consola de Gestión de las Maquinas Virtuales.
La disponibilidad del servicio Virtual Data Center garantizada por la CNT es de 99.98% es decir
1.57 horas de indisponibilidad al año o 7.88 minutos de indisponibilidad al mes.
Como parte del Servicio de Cloud Computing / Virtual Data Center, la CNT es responsable de:
o Aprovisionamiento de capacidad de Memoria (incluye virtualización), Procesamiento y
Almacenamiento de acuerdo a lo solicitado por el Programa de Provisión de Alimentos.
o Garantizar el acceso a la consola de Administración y Monitoreo del Virtual Data Center
contratado a CNT EP.

Página 10 de 39
 1.1.6 Personal Gestión Tecnología – PPA

Para la Unidad de Gestión Tecnología Informática del Programa de Provisión de Alimentos

actualmente se ha implementado la siguiente estructura organizacional:
o Gerente de Proyectos IT
o Unidad de Desarrollo y Aplicaciones
o Unidad de Infraestructura
o Unidad de Soporte Técnico
Las funciones y responsabilidades de cada uno de los funcionarios del área de GTI – PPA se
encuentran detalladas en el estatuto del Programa y en los contratos de cada uno de los
profesionales.

1.2 Identificación y Análisis de Riesgos

1.2.1 Análisis de riesgo

Se entiende por riesgo cualquier circunstancia u ocurrencia que pudiera producir algún tipo de
efecto negativo en las operaciones, cuya presencia acarrearía un retraso temporal en la
planificación o modificaría el planteamiento de las mismas.

Es imposible para una Institución conocer todos los riesgos, enemigos potenciales y sus
motivaciones, por lo que con esta premisa a continuación se detallan los posibles riesgos que
se pueden presentar, los cuales serían los causantes de la interrupción de la continuidad de las
operaciones:

o Fallos de energía eléctrica regulada

o Fallos del aire acondicionado
o Fallos de cableado estructurado
o Fallos de equipos informáticos
o Fallos del software del sistema
o Fallos del software aplicativo
o Fallos comunicaciones de datos
o Acción de virus
o Fallas humanas
o Desastres naturales
o Accesos no autorizados
o Incendios
o Fallos extracción de respaldos de información

Página 11 de 39
 1.2.2 Análisis de impacto

Permite establecer el impacto potencial para el negocio, respecto a los diversos incidentes que
se podrían presentar y la probabilidad de su ocurrencia. El cuadro que se presenta a
continuación detalla la definición de niveles de impacto en términos de riesgo.

Definición de Niveles de Impacto

Nivel Impacto Descripción
1 Catastrófica Sus consecuencias afectan en forma total al funcionamiento del
Programa, sus pérdidas son sumamente altas.
2 Critica Las consecuencias afectan parcialmente al funcionamiento del
Programa, en forma grave, existen pérdidas considerables.
3 Marginal Las consecuencias afectan en forma superficial al funcionamiento del
Programa, es decir se cuenta con pérdidas menores.
4 Despreciable Las consecuencias no afectan al funcionamiento del Programa y no
existen pérdidas.

De acuerdo con las posibles causas que interrumpirían el normal desempeño de las
actividades en el Programa de Provisión de Alimentos se presenta los niveles de impacto,
detallados en la siguiente tabla:

Definición de niveles de impacto de acuerdo a su categoría

Categoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

Fallos de energía eléctrica regulada X
Fallos del aire acondicionado X
Fallos de cableado estructurado X
Fallos de equipos informáticos X
Fallos del software del sistema X
Fallos del software aplicativo X
Fallos comunicaciones de datos X
Acción de virus X
Fallas humanas X
Desastres naturales X
Accesos no autorizados X
Incendios X
Fallos extracción de respaldos de información X
Robo X

1.2.3 Determinación de recursos críticos

Para determinar la criticidad de los recursos es necesario determinar el nivel de riesgo y su

significado, lo cual es detallado en el siguiente cuadro:

Página 12 de 39
 Definición de Niveles de Criticidad
Nivel Significado
(C) Criticas No admiten interrupción por un periodo de 24 horas
(N) Necesarias Admiten interrupción de mediana magnitud y pueden aceptar reemplazos.
(O) Opcionales Admiten una interrupción prolongada no siendo indispensables la
recuperación de la información durante el tiempo de interrupción

Una vez definidos los niveles de criticidad, la clasificación de la criticidad de los recursos
informáticos del Programa de Provisión de Alimentos en caso de fallas de seguridad y de la
probabilidad de ocurrencia es la siguiente:

Criticidad de Recursos
Tipo Elemento Clasificación
Cableado estructurado Critico
Infraestructura
Energía eléctrica regulada Critico
Aire acondicionado Necesarias

Equipos informáticos de oficina Opcional

Hardware Servidores Critico

Equipos de conectividad y seguridad Critico

Software Base Critico
Software Software Aplicación Critico
Software de Desarrollo Necesarias
Internet Critico
Telecomunicaciones
Telefónica Critico

Seguridad de la información. Critico

Información

Respaldo de la Información (Backup). Critico

1.2.4 Análisis amenazas y vulnerabilidades

Los niveles de amenaza estarán dados por la probabilidad de ocurrencia esperada de cada uno de
los incidentes detallados en la tabla anterior. La siguiente tabla muestra los niveles de amenazas y
vulnerabilidad, en donde cada elemento es calificado ubicando una ‘X’ en la columna que mejor
califica la vulnerabilidad a la amenaza. La escala es de 1 hasta 10, donde 1 indica un bajo riesgo
de exposición, a partir del valor 5 indicaría la necesidad de atención, a fin de asegurar que se
establezcan medidas preventivas, en donde sea aplicable, y además de que el respaldo de la
información sea seguro.

Página 13 de 39
Es importante mencionar que esta evaluación es subjetiva y su intención es ayudar a preservar las
instalaciones, activos informáticos e información, vitales para el normal desempeño de la
Institución.
Análisis amenazas y vulnerabilidades

[En escala de 1-a-10, donde 1 indica baja vulnerabilidad]

baja……................................................................alta
Categoría 1 2 3 4 5 6 7 8 9 10
Fallos de energía eléctrica regulada X
Fallos del aire acondicionado X
Fallos de cableado estructurado X
Fallos de equipos informáticos X
Fallos del software del sistema X
Fallos del software aplicativo X
Fallos comunicaciones de datos X
Acción de virus X
Fallas humanas X
Desastres naturales X
Accesos no autorizados X
Incendios X
Fallos extracción de respaldos de
información X
Robo X

1.3Plan de Mitigación

Consiste en el establecimiento, desarrollo de estrategias y procedimientos previos a la posible

materialización del riesgo u ocurrencia de la emergencia, tendientes a la mitigación de los mismos,
haciéndolos menos graves, reduciendo al máximo las consecuencias o posibles pérdidas;
asegurando un proceso de recuperación con el menor costo posible. Las estrategias planteadas
para el Programa de Provisión de Alimentos se resumen a continuación:

1.3.1 Documentación

La unidad de Gestión Tecnológica del Programa de Provisión de Alimentos, para mitigar riesgos
ante la presencia de cualquier contingencia y facilitar el proceso de recuperación, ha documentado
los procesos, procedimientos, manuales de administración, planes de contingencia y recuperación;
la mencionada documentación se encuentra almacenada en el directorio compartido
\\10.2.100.36\sistemas, y se detalla a continuación:

Página 14 de 39
  Unidad de Desarrollo y Aplicaciones

o Manual Técnico SIGPA: Administración de servidores de aplicaciones, base de datos

o Plan de contingencias Unidad de Desarrollo y Aplicaciones
o Recovery Plan para Base de datos

 Unidad de Infraestructura

o Diagrama de Red del PPA

o Diagrama de esquema Cloud Computing
o Esquema de Configuración Cloud Computing
o Diagrama Servidores PPA - Servicios internos
o Instructivo de administración de servidor de virtualización
o Manual de Clear OS
o Instructivo de administración UTM
o Instructivo de administración del servidor de digitalización
o Esquema de configuración telefonía IP
o Tabla de identificación de elementos de conectividad
o Plan de contingencias Unidad de Infraestructura
o Recovery Plan para Infraestructura

1.3.2 Procesos de Respaldo

Un respaldo / backup es una copia de seguridad de la información en un segundo medio (cinta,

CD, DVD, disco externo) que garantiza recuperar la información contenida en la plataforma
informática, en caso de que se presente alguna falla en el disco duro, un borrado accidental o un
accidente imprevisto.
Las políticas, procedimientos sobre la obtención y administración de backups de los diferentes
componentes de la plataforma informática del Programa de Provisión de Alimentos se encuentran
debidamente documentada (numeral anterior), por lo que en el presente documento se propone
lineamientos que permitan tratar la plataforma informática en forma global.

1.3.2.1 Tipo de información a respaldar

Los siguientes tipos de información tendrán que respaldar el Programa de Provisión de Alimentos
para mitigar el riesgo en el caso de presentarse cualquier contingencia;

 Sistemas / Aplicaciones institucionales

Página 15 de 39
 o SICOPPA (Base de datos, Sistema Operativo, Aplicación)
o SIGPA (Base de datos, Sistema Operativo, Aplicación)
o Sitio WEB (Base de datos, Sistema Operativo, Aplicación)
o Directorios Compartidos (Sistema Operativo, Información)
 Software Base
o Windows 7 SP1
o Citrix XenCenter
o CLEAR OS
o Windows 2003
o SQLServer 2005
o Apache 5.0
o Linux Centos 5.5
o Kernel 2.6.18-274.12.1.el5xen
o httpd-2.2.3-53.el5.centos.3
o freetds-0.91-1.el5.
o UnixODBC-2.2.11-7.1
o unixODBC-devel-2.2.11-7.1
o Samba
o ESET NOD 32
 Datos PC’s usuarios
 Documentación de los sistemas
 Parámetros y configuraciones
o Control de acceso las aplicaciones
• SIGPA
• SICOPPA
o Usuarios y contraseñas
o Configuración de hardware
• Switches
• UTM
• Servidor de Dominio
o Configuración de software
• Directorios Compartidos
• Servidor de Dominio
• Antivirus

Página 16 de 39
  Procedimientos
o Procedimientos de recuperación en caso de desastre
o Procedimientos operacionales
o Procedimientos administrativos
o Procedimientos de configuración
o Procedimientos de respaldo y recuperación de información

1.3.2.2 Estrategias de respaldo

Backup de todo el Sistema

o El cual permita la recuperación ante un daño total de la información o para los casos en
que los otros tipos de Backup hayan fallado, se debe realizar mensualmente y será
responsabilidad del administrador del sistema
o El backup de todo el sistema se realiza con una periodicidad mensual. De este tipo de
backups se genera dos copias, una de las cuales debe ser custodiada en forma externa.

Backup de Software Base

o Permite recuperar la información de los diferentes productos de software base, instalados
tales como: Sistema Operativo, Base de Datos, Aplicaciones etc. Para asegurar la eficacia
de éste tipo de Backup, se realizará un backup cada que se instale un nuevo producto o
cada que se actualice versión.
o Es responsabilidad del administrador del sistema programar un backups antes y otro
después de cualquier nueva instalación.

Backup de Aplicaciones
El Software de Aplicaciones se respalda de acuerdo a los siguientes criterios:
o En ambiente de desarrollo dado la continuidad con que se crean y modifican
programas, bases de datos, datos; los backups deben realizarse diariamente.
o En ambiente de producción, se deben asegurar backups semanales de la última
versión en producción.
o Será responsabilidad del funcionario a cargo del desarrollo coordinar con los
funcionarios responsables de la plataforma informática involucrada, los cambios
drásticos en versiones y configuraciones de las aplicaciones en producción para
realizar los diferentes backups antes y después del cambio.

Backup de Datos
El backup de Datos debe obedecer a los criterios descritos a continuación:

Página 17 de 39
 o De acuerdo a la operatividad de las aplicaciones y a la criticidad de los procesos e
información, se deben programar backups ó según requerimientos puntuales.
o Programar backups que permitan el respaldo de toda la base de datos ante el evento
de una falla en el sistema.
o Programar backups que permitan respaldar tablas de referencias.

Backup de Configuraciones
o Se deben respaldar todo tipo de configuración que normalmente se pierden cuando se
realizan reinstalaciones de software o recreaciones de Base de Datos, Sistema
Operativo
o Los backups deben incluir archivos de configuración de: Usuarios, Impresoras,
Terminales, dispositivos, parámetros del sistema, configuración a nivel de discos,
parámetros de Base de Datos, etc.
o Los backups de configuraciones deben realizarse semanalmente.

Backup de usuarios con PC

o Los usuarios son responsables de la información que resida en el PC asignado y el
será el encargado de mantener copia de sus archivos más sensibles.

1.3.2.3 Bitácoras de respaldo

Con el objetivo de controlar los procesos de respaldo y recuperación de información critica del
Programa de Provisión de Alimentos, se utilizan los siguientes formatos, para gestionar los
mencionados procesos:

FORMATO RESPALDO INFORMACION SERVIDOR

Nro. Aspecto Detalle
1 Fecha
2 Hora de inicio
3 Hora de terminación
4 Responsable del respaldo
5 Nombre del servidor
6 Ubicación de la cinta
a. Bóveda

Página 18 de 39
 b. Archivo
c. Otro
7 Identificación de la cinta
8 Archivos y/o procesos a respaldar
a. Sistema operativo
b. Software de aplicación
c. Datos
9 Tipo de respaldo
a. Total
b. Diferencial
c. Incremental
10 Tamaño en GB de respaldo
11 Utilería o comando utilizado
12 Mensaje(s) de terminación
13 Observaciones
14 Firma

FORMATO RECUPERACION INFORMACION SERVIDOR

Nro. Aspecto Detalle
1 Fecha
2 Hora de inicio
3 Hora de terminación
4 Responsable del procedimiento
5 Solicitante del procedimiento
6 Autorizó el procedimiento
7 Motivos para realizar el procedimiento
a. Simulacro
b. Recuperación de histórico
c. Recuperación por daño o desastre
8 Nombre del servidor
9 Ubicación de la cinta
a. Bóveda
b. Archivo
c. Otro
10 Id de la cinta
11 Archivos y/o procesos a bajar
a. Sistema operativo
b. Software de aplicación
c. Datos
12 Tipo de respaldo
a. Total
b. Diferencial

Página 19 de 39
 c. Incremental
13 Verificación del procedimiento y disponibilidad de la información
14 Registrar secuencia de restauración
15 Tamaño en GB restaurados
16 Utilerías o comandos utilizados
17 Mensaje(s) de terminación
18 Personal involucrado
19 Observaciones
20 Visto Bueno del usuario solicitante y final
21 Firma

1.3.2.4 Proceso de Respaldo Externo

Como sitio de respaldo externo se entiende una instalación diferente a la sede principal de la
entidad donde se almacena una copia de los archivos de backups de la entidad, para que ante
cualquier eventualidad que se presente en la sede principal se pueda reiniciar labores con los
archivos almacenados en el sitio de respaldo externo.

En el Programa de Provisión de Alimentos se está gestionando la adquisición de casillero en una

entidad bancaria para cumplir con este requisito.

1.3.3 Centro de cómputo alterno

1.3.3.1 Tipos de Centro de Cómputo Alterno

El disponer de un centro cómputo alterno, tiene como objeto enfrentar contingencias graves
(desaparición del edificio, avería de una plataforma, etc.), que precisan el desplazamiento a
ubicaciones diferentes a la habitual. Estas soluciones se aplican cuando la gravedad de la
contingencia es tal que las soluciones de respaldo interno no se pueden aplicar, bien porque no
cubran la contingencias, bien porque las instalaciones han quedado inoperantes para su uso.

Existen varios tipos de centro de cómputo alternos:

 Cold Sites

Normalmente consisten en una instalación con espacio e infraestructura adecuada (energía

eléctrica regulada, telecomunicaciones, aire acondicionado) para facilitar instalación de la
plataforma tecnológica. Este sitio por lo general no contiene equipos de informáticos, tales como:
PC’s, Laptops, teléfonos, fax máquinas, o copiadoras. La organización que utilice el Cold Site se
encarga del suministro e instalación de los equipos informáticos necesarios y telecomunicaciones.

Página 20 de 39
  Warm Sites

Estos sitios están parcialmente equipados con espacios de oficina que contienen algunas o todas
las instalaciones relacionadas a hardware, software, telecomunicaciones y energía eléctrica
regulada. Los Warm Sites se mantienen en funcionamiento listos para recibir el sistema a
recuperarse. En este tipo se sitios, puede ser necesario prepararlos antes de recibir el sistema
recuperado y su personal. En muchos casos, un Warm Sites puede servir como una instalación
normal de operación para otro sistema o función, y en caso de activación de un plan de
contingencia, las actividades normales son desplazadas temporalmente al Warm Site.

 Hot Sites

Son espacios de oficinas de tamaño adecuado para soportar los requerimientos del sistema y
equipado con el hardware del sistema recuperado necesario, infraestructura y personal de apoyo.
Los Hot Sites por lo general se encuentran abiertos las 24 horas del día, 7 días a la semana.
Personal técnico de Hot Sites, se prepara para la llegada del sistema tan pronto como se les
notifica que el Plan de Contingencia Informático ha sido activado

 Mirrored Sites

Las instalaciones están completamente redundantes con un “espejo completo de información en

tiempo real”. Los Sitios Mirrored Sites son idénticos al sitio primario en todos los aspectos técnicos.
Estos sitios proporcionan el mayor grado de disponibilidad, ya que los datos se procesan y
almacenan en el sitio primario y alterno simultáneamente. Estos sitios generalmente son
diseñados, construidos, operados y mantenidos por la organización.

1.3.3.2 Análisis Centro de Cómputo Alterno

Con los antecedentes antes expuestos, se detalla a continuación las opciones de Centro de
Computo Alterno para el Programa de Provisión de Alimentos:

Warm Site: El Programa de Provisión de Alimentos durante la contingencia trasladaría al Ministerio

al cual el Programa de Provisión de Alimentos sea adscrito, personal del Programa para continuar
las operaciones accediendo a los sistemas informáticos instalados en el Cloud Computing
contratado con la CNT.

Página 21 de 39
Cold Site: En este esquema el Programa de Provisión de Alimentos contrataría un lugar que provea
la infraestructura necesaria para que funcionarios del Programa de Provisión de Alimentos puedan
desempeñar sus actividades accediendo a los sistemas informáticos instalados en el Cloud
Computing contratado con la CNT.

Página 22 de 39
 1.3.4 Medidas Preventivas

CATEGORIA RIESGO DESCRIPCION DEL RIESGO ACCIONES PREVENTIVAS

INFRAESTRUCTURA
El Programa de Provisión de Alimentos no cuenta con Adquirir sensores de incendio para instalarlos por lo menos en
sensores de incendio en la sala de computo la Sala de Cómputo del Programa.

Procurar no almacenar productos inflamables.

Cuidar que los cables de los aparatos eléctricos se encuentren

en perfectas condiciones.

Contar con una alarma de incendios.

Realizar simulacros de manera periódica.

Pérdida de la Sala de
Cómputo por causa de
Incendio incendio.
Pérdida de información o generación de datos Mantenimiento de UPS, plantas eléctricas, para evitar pérdida
inconsistentes por fallas eléctricas. de información por apagones

Respetar las instalaciones con tomas reguladas y tomas

normales, para no saturar el UPS en casos de emergencia

Realizar simulacros de manera periódica.

Falla energía eléctrica Perdida de información

Deben ubicarse en un lugar de fácil acceso y visible los
números telefónicos de emergencia y un botiquín, de ser
posible un radio portátil y una linterna con pilas

Pérdida de la Sala de Realizar simulacros de manera periódica

Sismos Computo por sismo
Control de acceso mediante sistema que registre bitácora de
eventos.

Cámaras de seguridad interrelacionadas a control de acceso.

Pérdida de información por ingreso no autorizado de

Control de acceso Perdida de información personal.

Página 23 de 39
HARDWARE
Un daño total impediría la recuperación total o al menos Adquirir licenciamiento del software de virtualización, para tener
parcial de la información. acceso a extraer respaldos totales de las maquinas virtuales y
el software instalado y configurado en cada una de ellas.

Se debe gestionar ante el Ministerio adscrito la provisión de un

sitio alterno o en su defecto contratar el servicio con la CNT. En
el sitio alterno se debe realizar pruebas de restauración de los
backups para verificar si los mismos permiten recuperar
adecuadamente la información.

Mantenimiento preventivo.
Daño de servidores (bases
de datos, imágenes, web, Realizar pruebas de tolerancia a fallas del servidor.
Fallos equipo informático dominio, antivirus) Cumplir estrictamente políticas de respaldo establecidas.
Daño en equipo Impedimento de que determinado usuario desempeñe Mantenimiento preventivo.
informático de oficinas: sus funciones con normalidad
Scanner
Capacitar a los usuarios acerca de un buen uso del computador
Impresora Matricial
Impresora Laser
Falla del equipo Teléfonos IP
Asignar un servidor de archivos, donde cada usuario respalde
su información en forma organizada y clasificada, a excepción
de documentos considerados personales, los cuales deben ser
conservados en los discos duros locales.

Pérdida de la información Daño PC's, Laptops Pérdida de información de los usuarios

SOFTWARE
Falta de soporte técnico en lo referente a base de datos Una vez concluido la implementación del sistema SIGPA, es
y sistema operativo. recomendable contratar horas de soporte técnico en software
Base de Datos y Sistemas de base de datos y sistema operativo.
Operativos sin soporte
Falla software base externo
Se debe implementar esquema de control y solicitud de
cambios de clave de forma periódica
Falta control de claves de Establecer perfiles y roles adecuados de cada usuario.
Falla software aplicativo acceso Registrar pistas de auditoría.

Página 24 de 39
 La arquitectura de diseño de la base de datos no permite Estructurar un esquema de información histórica ya sea en la
Ausencia de pistas de mantener información histórica. misma base o en otra suplementaria.
auditoría en los registros
Falla software aplicativo del Sistema SIGPA.

TELECOMUNICACIONES

Se paralizaría actividades importantes para la operación Mantenimiento preventivo y monitoreo diario de los equipos de
del negocio. comunicación. Obtener respaldos de las configuraciones de
dichos equipos, guardarlos en un sitio seguro.

Fallos equipos de Falla de equipos de Disponer de herramientas de monitoreo que permitan la

comunicaciones conectividad y seguridad prevención de inconvenientes futuros

INFORMACION
El proceso solo contempla la obtención de respaldos Asignar un responsable de cada área (Desarrollo y
pero no de un chequeo de integridad de la información. Aplicaciones, Infraestructura) para verificar integridad de la
(Generación de Backups a cintas) información.
Destinar un sitio seguro para almacenar los respaldos a nivel
interno
Proveer un plan de pruebas el cual permita realizar pruebas de
restauración total para verificar si la información generada por
los backups es correcta. Apoyarse de un esquema más seguro
para el envío de respaldo, cumpliendo políticas estrictas de
seguridad para su envío.

Adquirir sistema de respaldos a cinta

Fallos extracción de Obtención de respaldos de Contratar el almacenamiento de respaldos fuera de las oficinas
respaldos de información los servidores (Backup.) del Programa de Provisión de Alimentos

OTRAS CONTINGENCIAS

Página 25 de 39
Fallas humanas Falta de capacitación Daños en hardware y software debido a una inadecuada Realizar un estudio de todas las áreas y de acuerdo el nivel de
técnica administración debido a desconocimiento técnico expertise del personal y según este reciba la capacitación
adecuada sobre plataforma tecnológica.

Fallas humanas Falta de capacitación de Daños en hardware y software debido a una inadecuada Los usuarios deben recibir formación en el uso correcto de los
usuarios finales para la operación. recursos informáticos, en el tratamiento de la información y
utilización adecuada de los sobre procedimientos de seguridad de los mismos.
recursos informáticos

Fallas humanas Proporcionar a los usuarios una mayor formación en

procedimientos de seguridad actualizados, instruirlos en el uso
correcto de los recursos, del tratamiento de información,
Falta de capacitación al minimizando los posibles riesgos que faltaren a la seguridad.
personal en cuanto al uso
de las normas de Establecer claramente documentación de políticas de
seguridad Daños en hardware, software; perdida de información seguridad
Fallas humanas

Si no se genera correctamente los respaldos bajo

Políticas y procedimientos políticas estrictas, puede ocasionar información Llevar un manual claro y específico acerca de las políticas y
de respaldos inconsistente en un momento que se requiera de éstos. procedimientos de respaldos.
Fallas humanas Falta de control en No se cuenta con un equipo contra incendios, alarmas; Coordinar con el área de Desarrollo Institucional para tomar
seguridad de extintores, falta control de estos equipos para mantenerlos en buen medidas correctivas sobre este riesgo.
alarmas, escaleras contra estado. Además falta una escalera para evacuación en
incendios). caso de incendio.

Robo información o Perdida de equipamiento Se cuenta con sistema de cámaras de seguridad, Instalar sistema de cámaras de seguridad, alarmas
hardware informático e información alarmas Contratar o actualizar pólizas de seguros
Actualizar y difundir las políticas de seguridad en el PPA.

Página 26 de 39
 1.3 Plan de Contención

En el Plan de Contención se tomará en cuenta las acciones que deben ser ejecutadas
inmediatamente cuando se presenta el siniestro o desastre, para minimizar los daños que se
provoquen cuando la plataforma informática del Programa de Provisión de Alimentos deje de
operar.

Los siguientes deben ser los procedimientos a ser implantados en el momento del desastre,
procedimientos que deben continuar hasta que se restauren los servicios de procesamiento de
datos en el sitio original u otro permanente.

1.3.1 Procedimiento de Emergencia en la Sala de Computo

Si la naturaleza del desastre no da tiempo para apagar y evacuar, la prioridad más alta es la
seguridad de las personas. Ellos deben salir inmediatamente de la Sala de Cómputo o área
afectada. En un caso de éstos, el siguiente paso es notificar inmediatamente al Comité de
Emergencia Institucional

Si hay tiempo para apagar los equipos, se deben realizar las siguientes actividades, en el orden
especificado:

a) Inicializar procedimientos de emergencia organizacional establecidos

b) Ejecutar procedimientos de apagado para los servidores y demás dispositivos del
centro de cómputo.
c) Apagar aire acondicionado
d) Apagar luces y bajar breackers en las cajas de distribución
e) Notificar al Comité de Emergencia

1.3.2 Grupo de Administración de Emergencia GTI - PPA

o Responsable de Gestión Tecnología Informática

o Responsable Unidad de Desarrollo y Aplicaciones
o Responsable Unidad de Infraestructura
o Responsable Soporte Técnico

Página 27 de 39
 1.3.3 Árbol Telefónico de Emergencia

El Comité de Emergencia Institucional, o su designado, se comunicará con los líderes del Grupo de
Recuperación de Desastre informándoles la situación del desastre, localización y hora de reunión a
mantener con el Comité de Emergencia Institucional.

1.3.4 Líderes de Grupo Recuperación de Desastres

o Coordinador del Plan de Contingencias

o Grupo de Administración de Emergencia GTI - PPA
o Responsable Unidad de Infraestructura GTI - PPA

El Responsable de la Unidad de Infraestructura GTI - PPA asumirá la responsabilidad total del

grupo de administración de emergencia. El Comité de Emergencia Institucional hará una
apreciación inicial de la extensión del desastre tan rápido como sea posible.

Será decisión del Comité de Emergencia Institucional, si se inicializa el resto del Plan o no (Si se
activa el Centro Alterno o no). Se espera que esto ocurra en un lapso de 4 horas después del
desastre.

1.3 Plan de Recuperación

Si la interrupción del servicio va a ser por largo tiempo luego del desastre, se debe poner en
ejecución la fase de recuperación del siniestro en el Centro de Cómputo alterno externo.

La estimación del tiempo en que va a durar la interrupción del servicio, se obtiene una luego de
ejecutar el Plan de Contención y una vez se haya evaluado el alcance de las fallas que se
presentaron.

El Plan de Recuperación presupone que debe utilizarse un Centro de Cómputo Alterno externo
debido a que la emergencia afectó en forma general (en un 60% o más) las instalaciones físicas y
plataforma informática instalada en el Centro de Computo que encontraba en producción.

Al siguiente día del desastre, se deberán preparar las copias de respaldo de sistemas, software
base, aplicaciones y procedimientos en busca que las capacidades del servicio inicial del
procesamiento de datos sean restauradas en el sitio alternativo.

Página 28 de 39
 1.3.1 Procedimientos para el proceso de restauración.

Tan pronto como se haya declarado un desastre, los líderes de Grupo de Recuperación de
Desastres serán llamados para ejecutar el Plan de Contingencias.

La Unidad de Gestión Tecnológica establecerá un centro de control y empezará la coordinación

para la restauración de los sistemas que hayan sido afectados.

1.5.1.1 Procedimientos para el proceso de restauración.

Dentro de las 6 horas siguientes al desastre se debe:

o Notificar a los usuarios la interrupción del servicio.

o Notificar al Centro de Cómputo Alterno, Administrador, Servicios de Soporte, Coordinador y
otros.
o Efectuar una evaluación de daños e identificar el equipo reusable para transferirlo al Centro
de Computo Alterno.
o Notificar al Proveedor las configuraciones de Hardware y Software..
o Notificar a todos los funcionarios de la Unidad de Gestión Tecnológica, que están
involucrados en el Plan.
o Inicializar las preparaciones ambientales en el Centro de Computo Alterno.
o Contratar los circuitos para comunicación de datos entre el Centro de Computo Alterno y el
Centro de Operaciones Alterno, si es necesario.

Dentro de las 24 horas siguientes al desastre debe:

o Contactar con los proveedores y ordenar el soporte necesario tanto de hardware como de
software.
o Iniciar y coordinar los procedimientos de preparación del lugar para el Centro de Computo
Alterno.
o Iniciar el ensamblaje de la documentación y medios magnéticos en el lugar de
almacenamiento externo.
o Confirmar el soporte dado por el proveedor.
o Complementar el procesamiento de los reportes seleccionados en el Centro de Computo
Alterno.

Dentro de los 2 días siguientes al desastre debe:

Página 29 de 39
 o Catalogar el despacho de suministros
o Trasladar el personal necesario y/o requerimientos al Centro de Computo Alterno
o Completar el ensamblaje de la documentación y los medios magnéticos en el Centro de
Computo Alterno, coordinando la prestación de los servicios desde el Centro de Computo
Alterno.

Dentro de los 3 días siguientes al desastre:

o El Centro Computo Alterno debe estar totalmente preparado para operar

o Llevar el inventario de los medios magnéticos, los listados y otra documentación en el
Centro de Computo Alterno.
o Recibir en el Centro de Computo Alterno suficientes suministros, muebles y equipo
relacionado.
o Determinar el punto inicial de aplicaciones críticas.
o Establecer un catálogo de procesamiento de las aplicaciones críticas.
o Evaluar las líneas de comunicación de datos catalogados para una restauración inicial.

Dentro de los 4 días siguientes al desastre debe:

o Completar la preparación ambiental del Centro de Computo Alterno

o Recibir la documentación y el medio magnético de los lugares de almacenamiento en el
Centro de Computo Alterno.
o Asegurar el ambiente físico en el Centro de Computo Alterno y establecer la seguridad de
los datos.
o Restablecer los backups de datos de producción de las cintas de backups.
o Evaluar los sistemas en línea, para verificar la operación y validez de los datos
restaurados.
o Evaluar los sistemas operacionales
o Notificar a los usuarios el estado de la recuperación

Dentro de los cinco días siguientes al desastre:

o Asegurar la operación total de los sistemas críticos.

o Continuar la implantación por fases de la red de comunicación de datos

Dentro de los 28 días siguientes al desastre:

Página 30 de 39
 o Restauración completa de la red de comunicación de datos y de las operaciones.

1.3.2 Procesamiento en el Centro de Cómputo Alterno

Las siguientes actividades paralelas caracterizan las acciones a tomar durante esta fase:

o Asegurar un medio ambiente físico y restablecer la seguridad en los datos

o Comenzar el procesamiento de transacciones críticas
o Tener todos los recursos en su lugar en el Centro Alterno
o Localizar los procedimientos de backup y almacenamiento
o Obtener una recuperación total

Las actividades antes mencionadas anteriormente, inician cuando los sistemas críticos y las redes
de computación son operativos y se ha podido completar la restauración de los datos del sistema.

Esta fase continúa hasta que los servicios de procesamiento de datos son restaurados en el lugar u
otro sitio permanente

Página 31 de 39
Procedimiento restauración Centro de Computo

INICIO

Desastre

Destrucción sala de
computo

NO Implementar Centro SI
Modalidad
de Computo Alterno
NO Housing?
Propio
Identificar espacio o
SI lugar para GTI- PPA
El PPA es dueño del El PPA solo alquila el
software propio de su espacio físico,los Identificar los recursos
operatividad, equipos de computo a rescatar(Hardware/
proveedor proporciona son del PPA Software)
equipos de computo
Presupuestar en
recursos Hardware ,
Software, Personal,
Materiales, Transporte
Centro de Computo
Alterno Contratado Adquirir recursos de
recursos Hardware ,
Software, Personal,
Materiales, Transporte

Reconstrucción Centro Instalación de GTI–

de Computo PPA, Institución y
Configuración

FIN Restablecer los

backups realizados de
los sistemas

Página 32 de 39
Procedimiento recuperación fluido eléctrico

IN
ICIO

In
terru
pció
nde
lFluido
E
léctrico

A
pag
adoM
an
ua ldelos
Servidore
s

A
pag
adoM
an
uald
elU
PS

R
estable
cida
N
O e
nerg
íaelé
ctrica

S
I

E
nce
ndid
oM a
nu a
l
Serv
idore
s

V
erifica
relfu
nciona
m ie
nto
dese
rvid
ore
s

F
IN

Página 33 de 39
Procedimiento de recuperación Internet

IN IC IO

C a m b io d e
C o r te s e r v ic io In te r n e t c o m p o n e n te
d e fe c tu o s o

R e s in s ta la c ió n d e
NO s is te m a o p e r a tiv o
E l p r o b le m a e s ta
e n la L ?A N
SI
S e r v id o r d e
d o m in/io
F a la d e H W s e g u r id a?d e s
SI
In s ta la r a p lic a c io n e s
NO

C o n fig u r a r lo s
F a la d e S W
R e s ta u r a r b a c k u p s p e r m is o s d e a c c e s o a
SI
lo s u s u a r io s
NO
C o m u n ic a r s e c o n la
e m p re sa p ro v e e d o ra NO
P ru e b as d e
c o n e c tiv id a d L A N
s a tis fa c to r ia s
R e g is tr a la a v e r ía y
c o o r d in a r p a r a SI
r e s ta b le c e r e l s e r v ic io
d e In te r n e t

Prue bas de
o p e r a tiv id a d d e l
s e r v ic io d e In te r n e t
NO S a tis fa c to r ia

SI

F IN

Página 34 de 39
 1.4 Implementación del Plan

En primera instancia, el presente plan debe ser puesto a consideración, revisión y aprobación por
parte de las autoridades del Programa. Seguido, debe ser probado y simulado.
En segunda instancia, desarrollar un programa de entrenamiento a las personas y unidades
administrativas directamente involucradas, aquellas que asumen responsabilidades y funciones
dentro del plan.
Finalmente, debe adoptarse a nivel institucional mediante Acto Administrativo, es decir,
reglamentado por Resolución emanada por la máxima autoridad del Programa.

PRUEBAS DEL
DISEÑO DEL PLAN MEDIDAS PREVE NTIVAS
PLAN

ON
A CI
L IT

ACCIONES
B I
E HA
/R
N
IO
AC
LU
E VA
R

EJECUCION DEL
PLAN EVALUACION DE
MEJORAS Y AJUSTES
RESULTADOS

1.5 Plan experimental de Pruebas

El Plan de Contingencias Informáticas comprende, finalmente, el desarrollo de un plan

experimental de pruebas en el cual se incluye la simulación de los diferentes siniestros para
comprobar que el plan diseñado es eficaz o, en caso contrario, se le deben efectuar ajustes para
su funcionalidad.
El mayor énfasis será ejercido sobre las pruebas o simulacros, y sobre los eventos posteriores a la
emergencia relacionados con el reinicio de las operaciones normales en el Programa de Provisión
de Alimentos.

Página 35 de 39
Los siguientes son los objetivos de control y auditoría de las pruebas del plan:
 Validar la habilidad de los funcionarios y la consistencia de los procedimientos en eventos
de recuperación de siniestros.

 Probar la factibilidad y compatibilidad de las instalaciones de respaldo y de los

procedimientos relacionados.

 Identificar y corregir fallas en el plan.

 Facilitar la divulgación y el entrenamiento en los procedimientos y guías de recuperación

 Fomentar el respeto por el plan y la seguridad en su efectiva aplicación en caso de

presentarse emergencias

 Estar preparado para evaluar las necesidades de seguros y reducir al máximo los costos
en primas de aseguramiento

 Motivar a los funcionarios involucrados en el diseño y desarrollo del plan a mantener

actualizados los procedimientos inherentes

El Comité de Emergencia Institucional deberá evaluar que sean definidas las responsabilidades de
las pruebas del plan, tales como:
 Personal de administración: Grado de participación y compromiso, niveles jerárquicos de
aprobación y asignación de recursos, capital y tiempo.

 Personal de la Unidad de Gestión Tecnológica: Desarrollo y Aplicaciones, Infraestructura y

Soporte Técnico.

 Grupo de usuarios por Unidad Administrativa.

 Personal externo: Proveedores, grupos de apoyo internos o externos y centros de

recuperación contratados o comprometidos.

El Comité de Emergencia Institucional y personal de GTI - PPA, identificarán y documentarán los

diferentes niveles de prueba del plan. Estos pueden ser por segmentos, por áreas relacionadas o a
gran escala; éste último, como prueba global del plan, según los lineamientos que establezca la
máxima autoridad del Programa. Como métodos de prueba, se sugieren: en papel, real o a gran
escala probado por segmento mediante simulacro a criterio de la máxima autoridad con apoyo del
comité de emergencia.

Página 36 de 39
 1.5.1 Pasos para conducir la prueba

El responsable de la Unidad de Gestión Tecnología Informática indicará al funcionario que preside

el Comité de Emergencia Institucional el esquema ordenado de las pruebas, considerando lo
siguiente:
1) Selección del sujeto de la prueba para identificar los aspectos o capítulos del plan que
están siendo evaluados
2) Descripción de los objetivos de la prueba y mecanismos de medición del alcance exitoso
de los objetivos
3) Reunión con el Comité de Desarrollo Institucional para explicar la prueba y sus objetivos, y
obtener como resultado su acuerdo y soporte
4) Comunicación formal de una prueba anunciada, los factores críticos a considerar y el
tiempo estimado de la prueba.
5) Consolidación de los resultados de la prueba al final de ésta.
6) Evaluación de resultados: progresos, inconvenientes y logros.
7) Determinación de las implicaciones de los resultados de la prueba. Se debe analizar si el
resultado de un caso simple (segmento) puede tomarse como referencia para la realización
satisfactoria de todos los capítulos del Plan (a gran escala)
8) Generación de recomendaciones para cambios o ajustes, definición de la fecha límite para
respuesta y gestión
9) Notificación de los resultados de las pruebas al Comité de Desarrollo Institucional y por su
intermedio al nivel directivo del Programa de Provisión de Alimentos.
10) Cambios en documentación o manuales, si es aplicable.

1.5.2 Áreas o partes a probar

o Recuperación del sistema aplicativo individual utilizando archivos y documentación

almacenada en el sitio externo

o Habilidad para procesar en modo “degradado” o limitado

o En sitios de procesamiento alterno, solución de diferencias en configuración de equipos

o Disponibilidad de equipos periféricos y de procesamiento

o Disponibilidad de equipos de soporte: aire acondicionado, unidades de potencia no

interrumpida de corriente eléctrica

o Disponibilidad de soporte logístico: provisiones, transporte y comunicaciones.

Página 37 de 39
 o Evacuación del equipo desde el centro de cómputo de la Entidad, en respuesta a eventos
tales como inundación o terrorismo.

o Habilidad de la administración y del Comité de Desarrollo Institucional para determinar la

prioridad de sistemas cuando se procesa con recursos computacionales limitados.

o Habilidad para recuperar y procesar en forma satisfactoria sin personal clave, asumiendo la
pérdida del personal o turnos primarios.

o Habilidad para adaptar el plan a desastres menores.

o Efectividad de alternativas manuales para aquellos sistemas que confían en esa opción.

o Habilidad de entrada de datos para alimentar sistemas críticos utilizando las instalaciones
del área de soporte externo.

o Habilidad de los usuarios para continuar con las operaciones normales de la entidad para
los sistemas clasificados como no críticos.

o Habilidad para establecer contacto en un período definido por emergencia y de manera

organizada, con el personal clave o sus designados alternos.

o Nivel de cumplimiento de los estándares normativos aprobados por la entidad.

o Identificación de los recursos utilizados durante la emergencia que son cubiertos por la
póliza de seguros.

o Distribución correcta y oportuna de listados, transmisión de datos vía telefónica conmutada,

servicios de correo.

o Disponibilidad de formas y cantidad mínima de papelería. Control de formas numeradas o

asimilables a títulos valores.

o Adherencia nula, parcial o total a medidas de seguridad durante el período de emergencia.

o Habilidad para ejecutar tareas de evacuación y tratamiento de primeros auxilios.

o Mecanismos para recuperación de información perdida en caso de sistemas en línea.

o Análisis de tiempos y movimientos durante las pruebas.

1.5.3 Proceso general para prueba anunciada

1. Presentación a consideración al Comité de Desarrollo Institucional

Página 38 de 39
 2. Procedimiento de comunicación formal
3. Desarrollo de la prueba

1.5.4 Proceso general para simulacro

1. Presentación a consideración del Comité de Desarrollo Institucional

2. Desarrollo del simulacro

Página 39 de 39