Professional Documents
Culture Documents
DE CONTINGENCIA INFORMTICO
PLAN DE CONTINGENCIA
INFORMTICO
INDICE
PLAN
DE
CONTINGENCIA
.........................................................................................................................................
1
1.-
INTRODUCCION
..................................................................................................................................................
1
2.-
DEFINICIONES
....................................................................................................................................................
2
3.-
OBJETIVOS
..........................................................................................................................................................
4
4.-
ESTRUCTURA
DEL
PROYECTO
.............................................................................................................................
5
5.-
RESPONSABILIDADES
.........................................................................................................................................
6
6.-
ANALISIS
DE
IMPACTO
DE
LOS
PROCESOS
.........................................................................................................
7
7.-
M ETODOLOGIA
DE
TRABAJO
..............................................................................................................................
8
8.-
DEFINICIONES
DE
TERMINOS
EMPLEADOS
........................................................................................................
9
9.-
ANALISIS
Y
EVALUACION
DE
RIESGOS
..............................................................................................................
10
9.1.
ESCENARIOS
CONSIDERADOS
PARA
EL
PLAN
DE
CONTINGENCIA
...............................................................
11
9.2.
PLANIFICACIN
...........................................................................................................................................
11
10.-
DISEO
DE
ESTRATEGIA
DE
CONTINUIDAD
DE
LOS
PROCESOS
Y
SERVICIOS
QUE
BRINDA
EL
IVAI
...............
12
10.1.
10.2.
10.5.
10.6.
13.2.
13.3.
13.4.
13.5.
13.6.
13.7.
13.8.
PLAN
DE
CONTINGENCIA
Para el Instituto Veracruzano de Acceso a la Informacin (IVAI) es indispensable recurrir a los recursos de
Tecnologas de la Informacin y Comunicaciones (TICs) como un medio para proporcionar los servicios
que el Instituto ofrece a la ciudadana y es de vital importancia que dicha informacin sea lo ms exacta y
expedita posible.
Es importante resaltar que para que el IVAI logre sus objetivos necesita garantizar tiempos de
indisponibilidad mnimos, tanto en sus recursos informticos como en las comunicaciones; de este modo
podr mantener una productividad eficiente en todas las reas operativas.
Por todo lo mencionado anteriormente, el estar sin el servicio de la plataforma informtica por un lapso mayor
de 2 horas origina distorsiones al funcionamiento normal de nuestros servicios. De continuar esta situacin
por un mayor tiempo nos exponemos al riesgo de paralizar las operaciones por falta de informacin para el
control y toma de decisiones del Instituto.
Es necesario, por tanto, prever cmo actuar y qu recursos necesitamos ante una situacin de contingencia
con el objeto de que su impacto en las actividades sea lo menor posible.
Cabe sealar que el IVAI
1.-
INTRODUCCION
El presente documento es el Plan de Contingencia Informtico del instituto Veracruzano de Acceso
a la Informacin en materia de Riesgos de Tecnologa de Informacin y Comunicaciones (TIC).
Permitir mantener la contingencia operativa frente a eventos crticos del Instituto y minimizar el
impacto negativo sobre el mismo, los usuarios deben ser parte integral para evitar interrupciones,
estar preparado para fallas potenciales y guiar hacia una solucin.
2.-
DEFINICIONES
A. CONTINGENCIA:
Plan de Emergencia
Plan de Recuperacin
C. PLANES
EMERGENCIA
OBJETIVO
Limitar el dao.
ACTUACION
Inmediata.
Evacuacin.
RESTAURACION
A corto plazo.
Arranque de acciones.
RESPONSABILIDAD
PRINCIPAL
Instituto.
Usuarios.
Valoracin de daos.
CONTENIDO
RECUPERACION
Estrategias para la
recuperacin de todos
los recursos.
Direccin de Sistemas
Pruebas
d. Seguros
a. Consenso
La eventual reasignacin de las prioridades debe haber sido pactada con anterioridad por las
tres partes implicadas (Secretara Ejecutiva, Direccin de Sistema Informticos y Usuarios).
b. Recursos
Terminales.
d. Seguros
Contratos negociados.
Tipos de contratos:
1. Daos materiales
Hardware
Instalaciones
2. Prdida de archivos
Costo de reconstruccin
3. Gastos suplementarios
4. Especiales
Finalizacin de proyectos.
Prdidas de explotacin.
3.-
OBJETIVOS
1.
2.
Lder
de
Proyecto
Administrador
del
Proyecto
Equipo de Trabajo
ORGANIZACIN: Para el desarrollo e implementacin, se ha diseado la siguiente estructura,
definiendo las responsabilidades por cada una de las reas participantes.
Secretara Ejecutiva
Oficina de INFOMEX.
Oficina de Desarrollo de Sistemas
Contralora Interna (Si lo amerita).
5.-
RESPONSABILIDADES
Dirigir el desarrollo integral del Proyecto as como verificar el cumplimiento de las actividades
encargadas a cada uno de los lderes usuario.
Asignar los responsables as como las prioridades para el desarrollo de las tareas.
Establecer coordinaciones entre el Equipo de trabajo, el Lder del Proyecto y las dems reas
involucradas.
Identificar los problemas, desarrollar las soluciones y recomendar aquellas acciones especficas.
Informar al Lder del Proyecto, los avances y ocurrencias durante el cumplimiento de las tareas de
los responsables.
Comunicar oportunamente al Administrador del Proyecto, sobre los avances de las tareas
asignadas, as como las dificultades encontradas y la identificacin de los riesgos.
Ejecutar las acciones correctivas del caso, coordinando su implementacin con el Administrador
del Proyecto.
Objetivo Principal:
El objetivo principal del Anlisis del Impacto de los procesos, es determinar las funciones, procesos e
infraestructura de soporte que son crticos para la contingencia operativa del IVAI.
Objetivos Especficos:
Identificar las preocupaciones y prioridades de que deber asumir el Instituto en el caso que
exista una indisponibilidad en los sistemas informticos producida por una contingencia.
Identificar el tiempo mximo en el que un proceso critico del IVAI deber ser restaurado para
su normal y eficiente continuidad.
Identificar el impacto en las aplicaciones que soportan los procesos crticos del IVAI.
INFOMEX
SISTEMA DE CONTROL DE TRANSPARENCIA
SISTEMA DE ADMON. DE PAPELERIA Y RECURSOS
CONTROL DE EXPEDIENTES
CONTROL DE MOBILIARIO
CONTROL Y EMISION DE CHEQUES
SISTEMA DE ADMINISTRACION DE DOCUMENTOS
SISTEMA CONTROL DE RECURSOS
COI
NOI
Software
Windows
Correo Electrnico.
Internet.
Antivirus.
Software Base
Backup de la Informacin.
Respaldo de la Informacin
Backup de la WEBSITE
El Anlisis del Impacto tiene como objetivo determinar los procesos crticos del IVAI y las aplicaciones
que lo soportan con el fin de proporcionar las bases para el Plan de Recuperacin de TI.
ii)
Subprocesos
iii)
iv)
Criticidad.
Frecuencia de uso
Tecnologa.
Criticidad: el activo se define como crtico si su falta o falla es motivo de interrupcin para el
proceso.
Tecnologa: el nivel de innovacin tecnolgica que tiene el activo, relacionado tambin a su valor de
mercado y grado de obsolescencia.
CRITERIOS
CRITICIDAD
CLASIFICACION
FRECUENCIA DE USO
TECNOLOGIA
Para la mejor comprensin de los trminos y contenido de este plan, se detallan las siguientes
definiciones:
Proceso crtico: Proceso considerado indispensable para la continuidad de las operaciones y servicios
del Instituto, y cuya falta o ejecucin deficiente puede tener un impacto operacional o de imagen
significativo para la institucin.
Impacto Alto: se considera que una actividad crtica tiene impacto alto sobre las
operaciones del IVAI, cuando ante una eventualidad en sta se encuentran imposibilitadas
para realizar sus funciones normalmente.
Impacto Medio: se considera que una actividad crtica tiene un impacto medio cuando la
falla de sta ocasiona una interrupcin en las operaciones del IVAI por un tiempo mnimo
de tolerancia.
bajo, cuando la
Plan de Contingencia:
Son procedimientos que definen cmo un negocio continuar o recuperar sus funciones
crticas en caso de una interrupcin no planeada.
Asegura que se d una interrupcin mnima a los procesos de negocios en caso de una
interrupcin significativa de los servicios que normalmente soportan esos procesos.
Todos los aplicativos crticos y sistemas de soporte general deben tener un plan de contingencias.
Los desastres causados por un evento natural o humano, pueden ocurrir, en cualquier
parte, hora y lugar. Existen distintos tipos de contingencias, como por ejemplo:
Las causas ms representativas que originaran cada uno de los escenarios propuestos en el
Plan de Contingencias y Seguridad de la Informacin se presentan en el siguiente cuadro.
Causas
Accidente
Renuncia Intempestiva
Escenarios
I.
II.
FALLA DE UN SERVIDOR.
III.
10
Incendio
Sabotaje
Corto Circuito
Terremoto
IV.
V.
VI.
I.
II.
FALLA DE UN SERVIDOR.
III.
IV.
V.
VI.
Identificar los controles existentes y los nuevos controles a implementar para minimizar los
riesgos, evaluando el costo / beneficio de dichos controles.
Planificar la seguridad de la informacin.
9.2.
PLANIFICACIN
Costos estimados.
Recursos humanos.
Capacitacin.
Retorno a la normalidad.
11
i.
ii.
Planificar la necesidad de personal adicional para atender los problemas que ocurran.
Recurrir al procesamiento manual (de facturas, rdenes, cheques, etc.) si fallan los
sistemas automatizados.
Planificar el cierre y reinicio progresivo de los dispositivos y sistemas que se
consideran en riesgo.
Elaborar un programa de vacaciones que garantice la presencia permanente del
personal.
Almacenamiento y Respaldo de la Informacin (BACKUPS)
iii.
Propios de la organizacin
Instalaciones alquiladas
fros
son
instalaciones
con
el
espacio
adecuado
infraestructura
12
Sitios
reflejos
son
instalaciones
totalmente
redundantes
con
informacin
iv.
Roles y Responsabilidades
El
personal de
la
recuperacin se
asignar a
v.
Tipo de Equipos
Gestin de la crisis: El
la magnitud de todos los posibles daos que hayan ocurrido durante una contingencia.
Prueba del plan: Los encargados de este equipo sern el Director de Sistemas
Informticos.
Apoyo administrativo, transporte y reubicacin: este equipo estar liderado por lder
de Proyecto y el Director de Sistemas Informticos.
Adems conformarn el
equipo dos personas ms, los cuales apoyarn cada uno el aspecto administrativo y
transporte. Estas personas sern escogidas a criterio por la Direccin de Administracin.
13
Consideraciones de Costos
Software y hardware.
Transporte.
Pruebas.
Entrenamiento.
Materiales.
Tiempo a incurrir.
Servicios, etc.
A. Impacto
Impacto
i.
rea Afectada
(Informacin).
ii.
Tiempos aceptables de Cada.
RECURSO
PRIORIDAD DE RECUPERO
1.
Sistema de informacin.
ALTO
2.
Servidor archivos.
ALTO
3.
Servidor de Correo.
ALTO
4.
Internet.
ALTO
14
B. Recursos de Contingencia
Componentes de Remplazo:
Tarjeta de Red,
15
C. Procedimiento:
NO HAY COMUNICACIN ENTRE CLIENTE- SERVIDOR EN IVAI
SI
Cambio de Pacht
Cord.
S
_I
Formateo del sistema
Operativo.
El usuario trabaja en
la red de IVAI
16
Impacto
iii.
iv.
v.
vi.
rea
Afectada
Tiempos aceptables de Cada.
RECURSO
ALTO
1.
2.
Servidor Web
3.
ALTO
4.
ALTO
5.
Servidor de Correo
ALTO
6.
7. Servidor Backup
PRIORIDAD DE RECUPERO
MEDIO
MEDIO
ALTO
CASO A: Error Fsico de Disco de un Servidor (Sin RAID).
Dado el caso crtico de que el disco presenta fallas, tales que no pueden ser reparadas, se
debe tomar las acciones siguientes:
17
Se debe tomar en cuenta que ningn proceso debe quedar cortado, y se deben tomar las
acciones siguientes:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
telfono a jefes de rea.
6.
18
Se debe tomar en cuenta que ningn proceso debe quedar cortado, debindose
ejecutar las siguientes acciones:
1.
Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y
telfono a jefes de rea.
5.
Retirar la conexin del servidor con el concentrador, sta se ubica detrs del
servidor, ello evitar que al encender el sistema, los usuarios ingresen.
6.
7. Al final de las pruebas, luego de los resultados de una buena lectura de informacin,
habilitar las entradas al sistema para los usuarios.
CASO D: Error Lgico de Datos
La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una
de las siguientes causas:
19
PASO 3: Descargar todos los volmenes del servidor, a excepcin del volumen raz.
De encontrarse este volumen con problemas, se deber descargar tambin.
PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenido del(os)
disco(s) duro(s) del servidor.
CASO E: Caso de Virus
Se contar con antivirus para el sistema que aslan el virus que ingresa al sistema
Si los archivos infectados son aislados y an persiste el mensaje de que existe virus en el
sistema, lo ms probable es que una de las estaciones es la que caus la infeccin,
debiendo retirarla del ingreso al sistema y proceder a su revisin.
20
B. Recursos de Contingencia
...
A. impacto
Impacto
Interrupcin de funciones de la persona ausente
Ad mi n i s tr a ci n d e b a se s d e d a to s.
rea Afectada
B. Recursos de Contingencia
Se presentan las funciones actuales que tienen a su cargo el personal de la Direccin de Sistemas
Informticos
21
A. Impacto
Impacto
rea Afectada
i.
ii.
iii.
iv.
v.
IDENTIFICAR
IMPACTO
DE
LA
CAIDA
Y
TIEMPOS
ACEPTABLES
DE
CAIDA.
RECURSO
1.
2.
Servidor Web
3. Servidor de Sistema
INFOMEX
4.
Servidor de Correo
IMPACTO
NO
se
tendr
acceso
a
Sistemas
de
Informacin
desarrollados
y
utilizados
por
el
IVAI
TIEMPO
DE
CAIDA
ACEPTABLE
3
Horas
8 Horas
1 Hora
3
Horas
5
Horas
7. Servidor Backup
8 Horas
22
B. Recursos de Contingencia
pero
Almacenar un equipo sin usar es costoso, pero permite que la recuperacin comience ms
rpidamente.
Recursos de Contingencia Generales
23
EQUIPOS DE REMPLAZO
1.
a. Hardware:
Un servidor tipo Xeon con las siguientes caractersticas:
b. Software y data:
2.
Servidor Web
a. Hardware:
Computador Compatible con las siguientes caractersticas:
b. Software y data
3.
Servidor de INFOMEX
a. Hardware
Un servidor tipo Xeon con las siguientes caractersticas.
Infraestructura del Ambiente Alterno PROPIO: Para este escenario, se requiere acondicionar un
ambiente alterno que pueda ser utilizado como sala de servidores en el momento de la
2
contingencia. Con un espacio de aproximadamente 6 m que tiene forma rectangular para facilitar
la ubicacin de los equipos y mobiliario.
24
ALTERNATIVA PARA IMPLEMENTAR
Alternativas
Ventajas
Desventajas
El IVAI construira
su propio CCA en
una oficina remota
Alta Inversin
Tiempo en la construccin
1)
2)
3)
4)
Modalidades:
a)
b)
Housing, El IVAI es dueo de los equipos, solo alquila el espacio fsico seguro.
Hosting, El IVAI es dueo solo del software propio de su operativa, el proveedor del servicio proporciona todo.
25
Verificacin
Prueba
Probar los equipos bajo condiciones que simulen las de operacin real.
Probar los programas para asegurar que se siguen los estndares apropiados y que
desempean las funciones esperadas.
Verificar que los sistemas sean capaces de operar bajo condiciones normales, pero
tambin bajo potenciales condiciones inesperadas.
Asegurar que se cuente con las debidas medidas de seguridad y que estas se
adecuen a las normas establecidas.
Introduccin
Todos los planes de contingencia deben ser probados para demostrar su habilidad de
mantener la continuidad de los procesos crticos de la empresa.
26
Objetivos
Consiste en probar una sola actividad, entrenando al personal en una funcin especfica,
basndose en los procedimientos estndar definidos en el Plan de Contingencia. De esta
manera el personal tendr una tarea bien definida y desarrollar la habilidad para cumplirla.
b) Prueba de Escritorio
Implica el desarrollo de un plan de pruebas a travs de un conjunto de preguntas
tpicas (ejercicios).
Caractersticas:
27
Permite probar las habilidades gerenciales del personal que tiene una
mayor responsabilidad.
encargado contestar a
las
preguntas que
se
relacionan con
la
28
Enfocar
los
procesos
crticos
que
dependen
de
sistemas
especficos
Definir
el
ambiente
donde
se
realizarn
las
reuniones
del
equipo
de
recuperacin de contingencias.
El diagrama representa los pasos necesarios, para la ejecucin de las pruebas del plan de
contingencias.
29
30
En la mayora de las organizaciones los cambios ocurren todo el tiempo. Los productos y los
servicios cambian continuamente en todos los niveles. El aumento de procesos basados
en tecnologa, ha incrementado significativamente el nivel general de dependencia sobre la
disponibilidad de sistemas e informacin para que el IVAI opere efectivamente.
y hacer las correcciones requeridas. Esto implica el uso de procedimientos formales de control
de cambios bajo el manejo del lder del equipo del Plan de Contingencia.
12.1.
C ontrol
de
Cambios
a l
Plan
Se recomienda establecer controles formales del cambio para cubrir cualquier modificacin al
Plan de Contingencia.
Cada parte del plan ser asignada a un miembro del equipo del Plan de Contingencia o un
Jefe de rea, que ser responsable de actualizar y mantener el plan.
El lder del equipo de Plan de Contingencia, mantendr el control completo del Plan de
Contingencia, pero los jefes de reas necesitarn mantener sus propias secciones al da.
31
El equipo del Plan de Contingencia, nombrar una o ms personas que sern responsables de
coordinar todos los procesos de prueba y asegurar que todo cambio al plan se prueba
apropiadamente.
Cuando los cambios se hacen o son propuestos al Plan de Contingencia, se debe notificar al
coordinador de pruebas del Plan de Contingencia.
Esta seccin del Plan de Contingencia, contiene una comunicacin del coordinador del Plan
de Contingencia a las unidades del Instituto afectadas y contiene informacin acerca de los
cambios que se requieren probar o reexaminar.
12.1. ANEXOS.
32
CAMBIADA
RESUMEN DE
CAMBIOS
HECHOS
FECHA
AFECTA LOS
PROGRAMAS DE
ENTRENAMIENTO
SE REQUIERE
RE-ENTRENAMIENTO
(SI/NO)
COMENTARIOS:
COMENTARIOS:
COMENTARIOS:
COMENTARIOS:
COMPLETADO POR
NOMBRE:
FECHA:
FECHA:
33
PLAN DE CONTINGENCIA
Cronograma de Pruebas
FIRMA:
NOMBRE:
FECHA
Aprobado por:
NOMBRE:
CARGO
FECHA
FIRMA:
/
FECHA:
REVISADO
FECHA:
POR NOMBRE:
34
PERSONA RESPONSABLE DEL
MANTENIMIENTO DEL PLAN
NOMBRE
Inicio del proyecto
Inicio de actividades
Organizacin del proyecto
Evaluacin del riesgo
Evaluacin de incidentes y amenazas
Evaluacin de riesgos para el IVAI
Comunicaciones
Otros procedimientos de recuperacin del desastre
Sitios
Preparacin para una Posible Emergencia
Estrategias de backup y recuperacin
Personal y proveedores claves
Procedimientos y documentacin Clave
Fase de recuperacin del desastre
Planeacin para manejar la emergencia
Notificacin
Prueba
Planeacin de la prueba
Direccin de la prueba
Entrenamiento del personal
Administracin del programa de entrenamiento
Evaluacin del entrenamiento
Mantenimiento del plan
POSICIN
FECHA:
FECHA:
35
36
13.2.
Alcance
d el
Entrenamiento
La
capacitacin
cubrir
todos
aspectos
de
la
seccin
de
actividades
de
El
seguimiento
permanente
permite
conocer
la
evolucin,
los
cambios
en
Simulacros
Simulaciones
37
13.4.
La
simulacin
y
simulacros
Las simulaciones y simulacros son evaluaciones muy importantes, pues entrenan al personal,
enfrentndolo en situaciones probables de emergencia o desastres y ponen a prueba la capacidad
del IVAI.
Los Simulacros, llamados tambin ejercicios de evaluacin, constituye la actividad prctica por
excelencia en el proceso de preparacin del Plan de Contingencia para situaciones de
desastres.
Las Simulaciones, son ejercicios de escritorio que se realizan en situaciones ficticias controladas.
13.6.
Evaluacin
del
Simulacro
Todas las conclusiones deben integrase en un documentos para uso del comit, con la
finalidad de facilitar el proceso de ajuste del plan de acuerdo a los resultados.
13.7.
Errores
Frecuentes
e n
la
Realizacin
d e
los
Simulacros
38
Esta seccin contiene una comunicacin que debe enviarse a cada miembro del
personal para avisarles acerca de su horario de entrenamiento. La comunicacin
debe darse con el fin de avisar y saber si pueden asistir en dichas fechas y
horas.
asista.
39
14. ANEXOS:
DIRECCIONES IP
PUBLICAS OPTICAL
NETWORK
IP: 201.nn.nn.nnn
DIRECCIONES IP PUBLICAS
UTILIZADAS
ServidorWEB
21.nn.nn.nnn
ServidorFTP
201.nnn.n.nnn
RED
EXTERN
A- WAN
SERVICIO DE INTERNET-
IP:201.nn.n.n
MSK: 255.255.255.n
GATEWAY: 201.n.n.n
RED: 192.168.1.0
MSK: 255.255.255.0
DNS1: 192.168.1.2
DNS2: 192.168.1.8
DN$1: 201.n.n.n
DN$1: 201.nnn.nnn.nn
40
Panel de control
Sistema
Desactivar
reproduccin
automtica
automtica en: Todas las Unidades.)
(Desactivar
reproduccin
Sistema
Red /Conexiones de Red
Perfiles de usuarios.
APLICATIVO
43
14.1.3 Ubicacin de los Manuales en el Servidor File Server.
44
Se
detalla
los
servicios
que
se
tienen
que
levantar
segn
el
tipo
de
servidor:
VER PROCEDIMIENTO A
VER PROCEDIMIENTO B
VER PROCEDIMIENTO C
B.
PASOS A SEGUIR:
45
14.2.
Inventario
de
Servidores,
C omunicaciones
y
Software
14.2.1. CLASIFICACION DE LOS ACTIVOS TI
Criticidad
Frecuencia de uso
Tecnologa.
CRITERIOS
CLASIFICACION
CRITICIDAD
FRECUENCIA DE USO
ALTO
TECNOLOGIA
MEDIO BAJO
ALTO
MEDIO BAJO
46
14.2.2.2.
PACHTS PANELS
14.2.2.3.
ORDENADORES DE CABLE
14.2.2.4.
14.2.2.6.
14.2.2.8.
14.2.2.9.
14.2.3. DIAGRAMAS
14.3.
Ante un desastre a la hora de ocurrir el problema estas son las personas criticas que debern ubicar
segn el problema suscitado, para dar el apoyo ante la emergencia suscitada.
1. NOMBRE:
2. PUESTO:
3. DOMICILIO:
4. TELEFONO OFICINA:
PARTICULAR:
5. CAPACITACION ESPECIAL:
6. AREA DE TRABAJO:
77
14.3.2. Lista Telfonos de Emergencia
Lista Telfonos de Emergencia
POLICIA
066
CRUZ ROJA
BOMBEROS
8-17-34-31
066
81
14.4.
15.-
OBSERVACIONES
16.-
CONCLUSIONES
Las principales actividades requeridas para la implementacin del Plan de Contingencia son:
Identificacin de riesgos, Evaluacin de riesgos, Asignacin de prioridades a las aplicaciones,
Establecimiento de los requerimientos de recuperacin, Elaboracin de la documentacin,
Verificacin e implementacin del plan, Distribucin y mantenimiento del plan.
82
83
17.
RECOMENDACIONES
con la
Se
debe tener una adecuada seguridad orientada a proteger todos los recursos informticos
desde el dato ms simple hasta lo ms valioso que es el talento humano; pero no se puede caer
en excesos diseando tantos controles y medidas que desvirten el propio sentido de
la
84